Benieuwd naar hoe wij organisaties helpen bij het waarborgen van informatiebeveiliging en privacy? Van het behalen van certificeringen en voldoen aan de laatste eisen tot het verhogen van bewustzijn bij alle lagen in een organisatie. We nemen je graag mee in onze klantcases. Deze keer een healthtech startup.
Bij Newmorn’ geloven we in langdurige samenwerkingen. Een healthtech startup, inmiddels uitgegroeid tot een scale-up, vroeg ons zo’n zes jaar geleden om hulp bij het waarborgen van informatiebeveiliging en privacy. De organisatie blijft anoniem om privacyredenen.
Een vliegende start met onze CISO as a Service
Bij de start van onze CISO as a Service rol bestond de startup uit een klein team van ongeveer tien medewerkers. Ze richten zich met name op het leveren van een veilige communicatiedienst voor zorgprofessionals. Door klantvragen over ISO 27001 en NEN 7510 certificering begon onze samenwerking met als doel: implementeren en certificeren van een ISMS conform ISO 27001 en NEN 7510. Dit vergrootte niet alleen het informatiebeveiligingsniveau intern, maar hiermee werd ook aantoonbaar gemaakt dat het product veilig is en voldoet aan de hoogste (inter)nationale veiligheidseisen.
ISO 27001 is een internationale norm die specificeert hoe een informatiebeveiligingsmanagementsysteem (ISMS) moet worden opgezet en beheerd. Het richt zich op het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie door middel van een systematische aanpak van risicobeheer.
NEN 7510 is specifiek ontwikkeld voor de zorgsector in Nederland en legt de nadruk op de bescherming van medische informatie. Het zorgt ervoor dat zorginstellingen voldoen aan strenge eisen op het gebied van informatiebeveiliging en daarmee de vertrouwelijkheid en integriteit van patiëntgegevens waarborgen.
De eerste stappen
Newmorn’ kreeg de vrijheid om de nodige stappen te zetten zonder enige beperking, wat leidde tot een snelle opbouw van een ISMS framework in een SharePoint omgeving. Dit framework omvatte onder andere beleidsdocumenten, gedetailleerde beveiligingsprocedures, risicobeoordelingsrapporten, compliance checklists en incidentbeheerprotocols. We zorgden ervoor dat alle aspecten van informatiebeveiliging gedocumenteerd en toegankelijk waren voor het team.
Daarnaast integreerden we toegangsbeheerbeleid, trainingsmateriaal voor medewerkers en continue monitoring tools. Dankzij het kleine team en de korte communicatielijnen konden er efficiënt beslissingen worden gemaakt. Dit zorgde ervoor dat de implementatie van het ISMS soepel en snel verliep, zonder onnodige bureaucratie, en dat de organisatie volledig voorbereid was op toekomstige audits en beveiligingsuitdagingen.
“De samenwerking met Newmorn’ was cruciaal voor het behalen van onze ISO 27001 en NEN 7510 certificeringen.”
Internationale aandacht
Na certificering voor ISO 27001 en NEN 7510 nam de interesse van klanten toe, wat leidde tot een teamuitbreiding naar ruim 40 medewerkers. Het onderhouden van het ISMS werd hierdoor complexer met meer aandacht voor rollen, verantwoordelijkheden en integratie in verschillende processen. Privacy werd ook belangrijker, wat leidde tot de aanstelling van een Data Protection Officer vanuit Newmorn’. Het security team groeide en bestond uit de CISO, Data Protection Officer, Head of Engineering en het management.
De healthtech scale-up kreeg internationale aandacht uit Engeland, Duitsland en de Verenigde Staten, wat gevolgen had voor compliance. Naast ISO 27001 en NEN 7510 werden er nu ook eisen gesteld vanuit de National Health Service (Engeland), Bundesamt für Sicherheit in der Informationstechnik (Duitsland) en Health and Human Services (VS). Dit betekende dat het ISMS continu moest worden aangepast en verbeterd om te voldoen aan de verschillende internationale standaarden en wetgevingen, wat een extra laag van complexiteit toevoegde aan de reeds uitgebreide beveiligingsmaatregelen.
Newmorn’ hielp de organisatie bij het navigeren door deze internationale eisen door gedetailleerde compliance-strategieën te ontwikkelen en te implementeren. We voerden regelmatige audits uit en werkten nauw samen met het interne security team om ervoor te zorgen dat alle processen en systemen up-to-date en compliant bleven. Deze inspanningen zorgden ervoor dat de scale-up niet alleen kon voldoen aan de internationale eisen, maar ook haar positie als betrouwbare en veilige dienstverlener in de zorgsector kon versterken.
Een nieuwe fase na overname
In 2023 werd de healthtech scale-up overgenomen door een veel grotere organisatie. Dit had natuurlijk gevolgen voor de dienstverlening vanuit Newmorn’. Waar de startup destijds koos voor een decentrale werkwijze, met medewerkers die zich focusten op de core dienstverlening en externe expertise inhuurden voor randzaken zoals informatiebeveiliging, had de overnemende partij een uitgebreide interne afdeling voor informatiebeveiliging, legal en compliance. Hierdoor werd de rol van Newmorn’ beperkter, maar zeker niet minder belangrijk.
De expertise van Newmorn blijft’, vooral op het gebied van Nederlandse wetgeving, zeer gewaardeerd. Newmorn’ fungeert nu meer in een uitvoerende en faciliterende rol, waarbij onze diepgaande kennis van lokale regelgeving en compliance cruciaal blijft. Ook hebben we gezorgd voor een soepele integratie van de healthtech startup in het ecosysteem van de overnemende partij door nauw samen te werken. Dit omvatte onder andere het harmoniseren van bestaande ISMS-processen met de nieuwe interne structuren en het ondersteunen bij de implementatie van uniforme beveiligingsprotocollen.
Newmorn’ blijft het eerste aanspreekpunt voor informatiebeveiligingsvragen van de medewerkers van de scale-up. We blijven betrokken bij het opleiden van nieuw personeel, het uitvoeren van periodieke audits en het bieden van continue ondersteuning bij nalevingskwesties. Door onze aanwezigheid en expertise kunnen we ervoor zorgen dat de informatiebeveiligingsstandaarden consistent blijven, wat bijdraagt aan een naadloze transitie en het behoud van een vertrouwde werkomgeving voor de medewerkers. Zo blijft het ondanks alle ontwikkelingen toch nog een beetje vertrouwd, terwijl we samen bouwen aan een veiligere toekomst.
CISO as a Succes
De langdurige samenwerking tussen Newmorn’ en de healthtech startup heeft geresulteerd in een robuust en volwassen ISMS. Deze samenwerking heeft niet alleen geleid tot certificeringen, maar heeft ook bijgedragen aan een cultuur van bewustzijn en verantwoordelijkheid rondom informatiebeveiliging binnen de organisatie. Dit is essentieel gebleken voor het behoud van klantvertrouwen en het aantrekken van nieuwe (zakelijke) kansen.
- Certificeringen: Behalen en behouden van ISO 27001 en NEN 7510 certificaten
- Compliance: Volledige naleving van de AVG (Algemene Verordening Gegevensbescherming)
- Klantvertrouwen: Toegenomen vertrouwen van klanten dankzij duidelijke documentatie over informatiebeveiliging en privacy op de website
- Bewustzijn: Verhoogd bewustzijn onder medewerkers over informatiebeveiliging en privacy
- Overname: Zeer positief resultaat tijdens het due diligence onderzoek bij de overname
Newmorn’ heeft de healthtech startup geholpen om succesvol op te schalen door het behalen van certificaten en het implementeren en onderhouden van diverse maatregelen rondom informatiebeveiliging en privacy. Ook waren ze door de hulp van Newmorn’ klaar voor een soepele integratie in het ecosysteem van de overnemende partij.
Newmorn' helpt je doelen te bereiken
Of je nu een startup bent die op zoek is naar de juiste certificeringen, of een scale-up die zich voorbereidt op internationale expansie, wij bij Newmorn’ staan klaar om je te ondersteunen. Onze ervaring en expertise zorgen ervoor dat je organisatie niet alleen voldoet aan de huidige eisen, maar ook klaar is voor de uitdagingen van de toekomst.
Neem contact met ons op en ontdek hoe wij je kunnen helpen je doelen te bereiken.
Jordi van Duyne
Wil je direct in contact komen met een deskundige op het gebied CISO as a Service? Neem dan gerust contact op met Jordi van Duyne, Consultant bij Newmorn’.
