ISO 27001 is mensenwerk
De praktijkcase van DialogueTrainer
Een SaaS bedrijf dat communicatievaardigheden traint met digitale simulaties is per definitie afhankelijk van het vertrouwen dat zij krijgt van haar klanten en gebruikers. Maar hoe toon je aan dat informatiebeveiliging niet alleen goed voelt, maar ook structureel veilig is ingericht?
In deze praktijkcase laat DialogueTrainer zien hoe ISO 27001 hielp om bestaande keuzes scherper vast te leggen, klantvragen sneller te beantwoorden en AI een beheerst onderdeel te maken van het ISMS.
Over DialogueTrainer
DialogueTrainer ontwikkelde een platform waarop mensen realistische gesprekken kunnen oefenen. Gebruikers openen een scenario, spreken met een avatar en krijgen feedback op keuzes en reacties. Zo trainen organisaties communicatievaardigheden op een manier die meetbaar en herhaalbaar is. DialogueTrainer ontstond vanuit de Universiteit Utrecht en werkt voor grote organisaties in onder meer het bedrijfsleven, de zorg en het onderwijs.
De organisatie bestaat uit ongeveer twintig mensen. Binnen het ISO 27001 traject speelden Michiel Hulsbergen, één van de oprichters, en Jan Nederhorst, customer support manager en operational security officer, een centrale rol. Jan had grote impact op het slagen van het traject.
Samen met een collega voor de technische kant is Jan verantwoordelijk voor de security officer rol binnen DialogueTrainer. Voor hem betekende het certificeringsproject ISO 27001 niet alleen beleid maken, maar vooral zorgen dat informatiebeveiliging onderdeel werd van het dagelijkse werk. Nieuwe leveranciers beoordelen, incidenten melden, taken opvolgen, documenten controleren en collega’s betrokken houden. En dit terwijl het ‘gewone’ werk ook doorging.
“De activiteiten voelen inmiddels als normaal. Soms is het nog zoeken waar de tijd vandaan komt, maar hoe vaker je het doet, hoe meer routine het wordt.”
Jan Nederhorst, DialogueTrainer

De aanleiding
DialogueTrainer werkte al langer bewust aan informatiebeveiliging. Toch was de stap naar ISO 27001 certificering nodig want de marktvraag veranderde. Klanten vroegen regelmatiger expliciet naar een ISO 27001 certificaat. Waar DialogueTrainer eerder kon uitleggen dat zij ISO conform werkte, wilden klanten nu steeds vaker onafhankelijk bewijs zien.
Michiel: “DialogueTrainer verwerkt veel data. Dan moet je vertrouwen kunnen bouwen. ISO 27001 was daarom geen administratieve exercitie, maar een logische stap in de professionalisering van het platform en de organisatie.”
De inzet van AI maakte de noodzaak voor ISO 27001 nog groter. DialogueTrainer gebruikte eerder vooral vaste antwoordopties in simulaties. Inmiddels gebruikt het platform ook AI om open gesprekken, ook wel de AI deeptalks genoemd, mogelijk te maken. Daardoor kunnen deelnemers vrijer reageren en worden simulaties realistischer. De waarde zit hier vooral in de feedback die gebruikers ontvangen. De feedback vertelt je waar jouw verbeterpunten zitten. Door het gesprek vervolgens opnieuw te doen werk je concreet en direct aan je leerpunten. AI vraagt in het licht van ISO 27001 om extra scherpte op risicoanalyse, dataverwerking, bewaartermijnen, monitoring en bewijslast.
Van goed geregeld naar aantoonbaar geregeld
Tijdens de implementatie van ISO 27001 bleek dat DialogueTrainer al veel zaken inhoudelijk goed had doordacht. De grootste stap zat niet in alles opnieuw bedenken, maar in structureren, vastleggen en aantonen.
Jan omschreef de start van het project als logisch en overzichtelijk, maar ook intensief. De structuur van het ISMS, ProActive Compliance Tool (PCT) hielp ons zichtbaar maken welke onderwerpen aandacht vroegen. Volgens Jan gaf dat richting aan het traject: “In je hoofd weet je het vaak wel. Maar omschrijf het nou eens op alle verschillende vlakken.”
Processen die altijd vanzelfsprekend voelden, moesten nu expliciet worden beschreven. Wie doet wat? Waar wordt data opgeslagen? Welke leveranciers zijn betrokken? Welke risico’s horen daarbij? Welke bewaartermijnen gelden? En hoe bewijst de organisatie dat afspraken worden nageleefd?
Een concreet voorbeeld is het proces van het selecteren van leveranciers. Voorheen koos DialogueTrainer eerst een oplossing die functioneel werkte. Daarna keek het team naar data, risico’s en voorwaarden. Door ISO 27001 draaide de organisatie dat proces om. Eerst beoordeelt het team dataopslag, risico’s en de leverancier. Daarna Wordt gekeken of de applicatie voldoet aan de functionele eisen.
De rol van Jan
In veel ISO 27001 trajecten bepaalt de invulling van rollen het succes. Dat gold ook bij DialogueTrainer. Jan combineerde zijn rol als customer support manager met de operationele kant van informatiebeveiliging. Samen met een collega die de technische kant oppakte, gaf hij de security rol verder vorm.
Die rol vroeg veel. Jan moest niet alleen documenten vullen, maar vooral zorgen dat ISO 27001 onderdeel werd van de dagelijkse praktijk. Nieuwe leveranciers beoordelen, incidenten melden, taken opvolgen, audits voorbereiden, collega’s betrekken en bewijslast verzamelen. Dat maakte hem een belangrijke drager van het traject.
Michiel gaf aan dat hij zelf vooral de kaders bewaakte, terwijl Jan veel intensiever met de dagelijkse uitvoering bezig was.
Jan beschrijft de ontwikkeling nuchter:
“De activiteiten voelen inmiddels als normaal doen. Soms is het nog zoeken waar de tijd vandaan komt, maar hoe vaker je het doet, hoe meer routine het wordt.”
De aanpak van Protify
Protify hielp DialogueTrainer om ISO 27001 praktisch te maken. Niet door de norm zwaarder te maken dan nodig, maar door de vertaalslag te maken naar de organisatie.
De begeleiding door Tim van Protify hebben Jan & Michiel als zeer positief ervaren. Zijn beschikbaarheid, het meedenken en de manier waarop Tim het team stap voor stap meenam zijn daarin voor hen belangrijke punten.
“Het is niet alleen maar antwoord geven op jouw vraag, maar ook breder meedenken.”
Michiel benoemde vooral de toon van de begeleiding:
“Tim is niet bezig met groot doen over ISO. Hij is bezig met normaal doen over ISO. Dat vind ik heel belangrijk.”
Dat past ook bij DialogueTrainer. De organisatie werkt speels en flexibel, maar hanteert duidelijke kwaliteitscriteria. Protify sluit daarop aan door structuur te bieden zonder de organisatie te verstarren.
Het resultaat
ISO 27001 helpt DialogueTrainer heel direct in klantgesprekken. Wanneer security nu ter sprake komt, kan worden aangeven dat DialogueTrainer ISO 27001 gecertificeerd is. Dat helpt enorm.
Dat is ook het commerciële effect dat DialogueTrainer zocht met de certificering. Klanten vragen steeds vaker om aantoonbaarheid. Een verwerkersovereenkomst alleen is vaak niet meer genoeg. Met het ISO 27001certificaat kan DialogueTrainer laten zien dat processen zijn ingericht en dat informatiebeveiliging structureel wordt opgevolgd.
Jan benoemde het effect richting klanten als volgt:
Klanten hoeven ons niet meer op onze blauwe ogen te geloven. We kunnen laten zien dat onze processen op orde zijn.
Intern leverde het traject meer scherpte op. Processen werden strakker en beter gepland. Leveranciersselectie werd bewuster. Bewaartermijnen, incidenten, taken en risico’s kwamen nadrukkelijker in beeld. Informatiebeveiliging is geen los project meer, maar onderdeel van het dagelijks werk.
De belangrijkste lessen
De eerste les is dat ISO 27001 alleen werkt wanneer de basis klopt. Michiel verwoordde dat als advies aan andere SaaS organisaties:
“Vraag jezelf af: Klopt het wat je doet? Dan gaat dit je ook lukken.”
De tweede les is dat management actief betrokken moet zijn. Tijdens onze audit viel het de auditor positief op dat twee MT leden aanwezig waren en eigenaarschap namen. Daarmee liet DialogueTrainer zien dat informatiebeveiliging niet bij één persoon werd neergelegd, maar echt door de organisatie wordt gedragen.
De derde les is dat een audit geen afrekening is, maar een toetsmoment. Ja een auditor stelt kritische vragen. Dat kan spanning geven, maar helpt ook om keuzes scherper te onderbouwen. DialogueTrainer leerde om kritische vragen niet persoonlijk te nemen, maar te gebruiken om zichzelf te verbeteren.
Waarom Protify?
DialogueTrainer koos met Protify voor een partner die ISO 27001 werkbaar maakte. Protify bracht structuur, stelde de juiste vragen en hielp om bestaande keuzes aantoonbaar te maken. De aanpak sloot aan bij een kleine, snel bewegende SaaS organisatie die professioneel wil werken zonder onnodige complexiteit.
De kern van het traject zat uiteindelijk niet alleen in beleid, processen en bewijs. Het zat in mensen die verantwoordelijkheid nemen. In Michiel, die het belang van vertrouwen en aantoonbaarheid zag. In Jan, die de dagelijkse borging trok en daarmee grote impact heeft gehad op het traject. En in Protify, dat ISO 27001 begrijpelijk en uitvoerbaar maakte.
Michiel zegt daarover: “ISO 27001 is mensenwerk.”
Willen jullie ook de stap naar ISO 27001 maken?
En wil je dit op een praktische en werkbare manier aanpakken? Neem dan gerust contact met ons op voor een vrijblijvend kennismakingsgesprek. Samen zorgen we dat jouw organisatie aantoonbaar en duurzaam werkt aan informatiebeveiliging. Plan vrijblijvend een kennismakingsgesprek .
