‘Het doel is niet het certificaat, maar ons handelen’
Beveco Gebouwautomatisering B.V. is gespecialiseerd in merkonafhankelijke systeemintegratie en verzorgt de complete regeltechniek voor onder meer gebouwbeheersystemen. Het bedrijf groeit gestaag; het begon een kleine 20 jaar geleden met 8 medewerkers, nu staan er 45 mensen op de loonlijst. ‘Die groei zorgt ervoor dat je moet structureren en certificeren.’
Technisch directeur Patrick Schelling
Aan het woord is Patrick Schelling. Hij is als technisch directeur verantwoordelijk voor de technische en operationele zaken
binnen Beveco. Bovendien is Patrick de aanjager binnen het Zuid-Hollandse bedrijf als het gaat om het behalen en in stand houden van de certificeringen zoals ISO 9001, ISO 14001, ISO 27001 en VCA*.
Waarmee zijn jullie gestart?
“Met VCA en ISO 9001. Heel concreet betekende dit dat wij al vrij snel aanpassingen moesten doen aan ons bestaande handboek en de bestaande structuren. Een voorbeeld van dat laatste; wij hadden geen officieel vertrouwenspersoon binnen de organisatie. Die is er nu wel. Na de VCA en ISO 9001 hebben we ons laten certificeren voor ISO 27001.”
Waarom is die laatste norm zo belangrijk voor Beveco?
“Wij automatiseren allerlei processen voor onze opdrachtgevers. Dat kan zijn een compleet gebouwbeheersysteem, maar ook alleen een klimaatsysteem of toegangscontrolesysteem. Als project- en serviceorganisatie maken wij voor deze vakgebieden passende oplossingen, gebaseerd op bestaande en nieuwe installaties. Kortom, wij hangen veel aan IT-systemen en software. En juist dan is informatieveiligheid belangrijk. Dat verwachten opdrachtgevers ook van ons; informatieveiligheid is bij velen topprioriteit. Zij willen aantoonbaar hun systemen en werkwijzen beveiligen tegen datalekken en dreiging van buitenaf. Daarom was de ISO 27001 voor ons een logisch vervolg op de ISO 9001- & VCA-certificering.”
Wat betekende deze stap in de praktijk voor jullie? 
“Concreet; wij moesten meer en beter gaan nadenken over informatieveiligheid. En dit procesmatig inrichten. Zo moesten wij in eerste instantie vaststellen hoe wij ervoor stonden. Wat is onze status van informatiebeveiliging? En wat is er nodig om aan de eisen van ISO 27001 te voldoen? Daarvoor hebben wij een risicoanalyse informatiebeveiliging uitgevoerd, waarmee wij risico’s in kaart brachten. Hieraan gekoppeld hebben wij de doelstellingen en acties bepaald om die risico’s terug te brengen tot een aanvaardbaar niveau.”
Welke maatregelen hebben jullie concreet moeten nemen?
“Wij hebben onder meer de gebruikersrechten geformaliseerd. Wie mag welke informatie inzien? Ook gebruiken wij sinds de ISO 27001-certificering bijvoorbeeld geen WeTransfer meer om bestanden te delen. Verder ontwikkelen wij ook zelf software, daarbij geldt de eis ‘privacy by design’. Privacy by design houdt concreet in dat er bij de ontwikkeling van een nieuw product of dienst, door zowel de softwareontwikkelaar als door de klant, vooraf nagedacht moet worden over privacy- en security aspecten, zodat persoonsgegevens te allen tijde worden beschermd. Bij ons is dat goed geregeld.”
Is het proces rond de ISO 27001 nu helemaal afgerond?
“Dat is nooit af. Je voert continu risicoanalyses uit en daar waar aanpassingen nodig zijn, dan worden die doorgevoerd. En vervolgens moet je dit ook beheren. Het is eigenlijk een continu proces om de ISO 27001 certificering te behalen en te behouden.”
‘Het doel is niet het ISO 9001, 14001, 27001,- of VCA-certificaat, maar ons handelen op het gebied van kwaliteit, arbeidsomstandigheden informatiebeveiliging en het milieu ’
Hoe hebben jullie het beheer van de certificaten (ISO’s & VCA, etc.) intern geborgd?
“Wij laten een aantal keer per jaar een interne audit uitvoeren en één keer per jaar een externe audit. Die interne audits worden uitgevoerd door cresco-consultancy.
Waarom laten jullie de interne audits door cresco-consultancy uitvoeren?
Wij willen weten wat we goed doen en waar het beter kan. cresco-consultancy zit veel bij andere bedrijven, waarvan wij kunnen
leren. Bovendien zijn alle nieuwe en aankomende wetten en regels rondom certificeringen bij cresco-consultancy bekend, zij kunnen ons hierop wijzen en zodoende zijn we altijd actueel.
Maar er is ook nog een andere reden waarom wij een externe partij inschakelen; op directieniveau kunnen we heel goed sparren met de mensen van cresco-consultancy. Samen kijken waar wij binnen onze organisatie welke verbeteringen wij kunnen/moeten doorvoeren, zowel organisatorisch, als procesmatig. En hoe we dit het beste kunnen aanpakken. Het moet namelijk wel toepasselijk en toepasbaar zijn.
Daarbij wil ik weten wat de impact van een bepaalde toevoeging/aanpassing is binnen ons bedrijf. Als directie hebben wij natuurlijk doelen, en hoe past deze toevoeging/aanpassing binnen die doelen?
Tot slot is er nog één andere reden waarom wij vinden dat een externe partij voor een interne audit nuttig is; de onafhankelijkheid. Je mag een interne audit zelf uitvoeren, maar dan is het risico dat je gekleurd naar zaken kijkt en wellicht minder kritisch ben. Dat houdt toekomstige verbetering mogelijk tegen.”
Jullie zijn VCA*, ISO9001, ISO14001 en ISO27001 gecerticeerd. Wat is het volgende certificaat?
“Op dit moment zijn we drukdoende om de Veiligheidsladder te integreren in onze organisatie. Deze norm wordt ondersteund door de overheid en veel (grote) bouwbedrijven en installateurs. Per 1 januari 2022 is dit Veiligheidsladdercertificaat eigenlijk wel een verplichting. Nog buiten dat veilig werken zeer belangrijk is, en dat wij willen dat iedereen in de avond gezond naar huis gaat, zie je dat dit door de hele keten wordt omarmd.”
‘Wij hangen veel aan IT-systemen en software. En juist dan is informatieveiligheid belangrijk. Dat verwachten opdrachtgevers ook van ons.’
Wat is de belangrijkste tip aan andere bedrijven die ook meer willen doen met certificering?
“Het begint bij de directie, die moet volledig achter de implementatie van de normen staan. Immers, er moet in worden geïnvesteerd. Het certificaat kost geld, mensen steken er tijd en energie in en je moet de medewerkers trainen. En vervolgens moet men er ook echt naar handelen. Tenminste, zo zien wij het. Het doel is niet het certificaat, dat is ons handelen volgens de vastgestelde richtlijnen.”
Patrick Schelling is al 18 jaar werkzaam bij Beveco, de laatste 5 jaar als technisch directeur. Daarvoor was hij 5 jaar lang actief als manager techniek en uitvoering. Tijdens zijn loopbaan heeft hij een groot aandeel in het behalen en in stand houden van de certificeringen ISO 9001, VCA*, ISO 27001 en ISO 14001.