Waarom kies je voor ISO 27001-gecertificeerde hosting?

Op zoek naar een nieuwe hostingprovider? Dan kies je er natuurlijk voor om jouw website te stallen bij een provider waar zorgvuldig wordt omgegaan met jouw gegevens. De informatieverwerking en -beveiliging van klantdata moet op orde zijn. Kies daarom voor een hostingprovider die het ISO 27001 certificaat op zak heeft. Dit certificaat laat zien dat de provider zijn informatiebeveiligingssysteem goed op poten heeft staan.

Wat is ISO?

Producten en diensten die we in ons dagelijks leven gebruiken, komen al lang niet meer altijd van eigen bodem. Wanneer je als bedrijf een product aanschaft dat uit het buitenland komt, is het fijn om er zeker van te zijn dat dit aan bepaalde eisen voldoet. ISO is hiervoor in het leven geroepen. Een globaal netwerk van 164 organisaties die een standaard uitschrijven voor de kwaliteit, veiligheid en efficiëntie van producten en diensten.

Deze standaarden worden beoordeeld met ISO-certificaten en gaan van de productie en het verpakken van melk en kaas tot de beveiliging van IT-diensten en webhosting. Het orgaan dat in Nederland toezicht houdt op deze standaarden is de NEN. Naast dat het fijn is om er zeker van te zijn dat buitenlandse producten aan bepaalde kwaliteitseisen voldoen, is het natuurlijk even veel waard als Nederlandse producten dit kwaliteitscertificaat dragen.

Waar staat het ISO 27001-certificaat voor?

Het ISO 27001-certificaat is een keurmerk voor informatiebeveiliging. Bij IT- en hostingbedrijven een beleidsterrein dat extra aandacht verdient. Om het certificaat te behalen wordt een hostingbedrijf getoetst op veiligheidspunten als persoonsgegevensverzameling, de infrastructuur van servers, systeem- en softwareontwikkeling (en het onderhoud hiervan), personeelsbeleid (toegangscontrole, diefstal, fraude, misbruik enz.) en meer. Ieder jaar wordt een bedrijf opnieuw getoetst. Een hostingprovider moet zich dus voortdurend inspannen en zijn informatiebeveiliging op orde te houden om het certificaat te behouden.

Wat zegt een ISO 27001-certificaat nou eigenlijk echt?

Ook bij hostingproviders met een ISO 27001-certificaat bestaat er geen garantie dat er nooit een datalek ontstaat. Toch zegt het certificaat wel degelijk iets over de intenties van een hoster en hoe serieus ze informatiebeveiliging nemen. Het certificaat wordt namelijk op vrijwillige basis behaald en vraagt een flinke investering. Voor het aanbieden van hostingdiensten is het geen vereiste. Veel hostingbedrijven schermen met informatiebeveiliging als een van de speerpunten in de bedrijfsvoering. In dat geval laat een ISO 27001-certificaat zien dat er ook daadwerkelijk werk van is gemaakt.

Wat betekend het ISO 27001-certificaat voor jouw bedrijf?

Veel bedrijven en instanties die gebruik maken van hostingsdiensten hebben zelf ook te maken met informatiebeveiliging. Misschien lees je dit artikel wel omdat je bezig bent met het behalen van het ISO 27001-certificaat voor je werkgever of voor je eigen bedrijf. Hoe een hostingprovider omgaat met jouw data, en dat van je klanten, moet je verantwoorden. Daarin maakt het nogal uit of jouw provider gecertificeerd is of niet. Zonder certificaat is het een stuk lastiger om aan te tonen (ook al ben je er zelf van overtuigt) dat de informatiebeveiliging bij de provider op orde is. Het kost je meer tijd, aandacht en controle om je leveranciersonderzoek goed te doen.

Als je leverancier geen ISO 27001-certificaat heeft, is het aan jou om aan te tonen dat je voldoende hebt onderzocht of genoeg beveiligingsmaatregelen zijn getroffen door de leverancier. Voor online winkels en vele andere sites die persoonlijke informatie verwerken, is dit een actueel thema sinds de aandacht voor de AVG, of GDPR. De wet legt hierbij een grote verantwoordelijkheid bij de website-eigenaar. Je moet zelf afspraken maken met je leverancier over de verwerking van de gegevens via een verwerkersovereenkomst. Naast zo’n overeenkomst hoor je ook tijd te steken in onderzoek naar de betrouwbaarheid van je leverancier. En juist dat onderzoek wordt een stuk eenvoudiger als je hostingpartner zelf een ISO 27001-certificaat heeft.

Hoe behaalt een hostingprovider zijn ISO-certificaat?

Iedere provider die zijn ISO 27001-certificaat wil halen stelt een scope op. In de scope wordt afgebakend welke bedrijfsonderdelen en informatietypen onderdeel zijn van het informatiebeveiligingssysteem. Een hostingbedrijf bepaalt dus zelf de strategie over hoe klantdata verzameld, verwerkt en opgeslagen wordt. Daarom is het belangrijk om de verklaring van toepasselijkheid, die na uitreiking van het certificaat gegeven wordt, te lezen. Hierin staat precies wat er in de beoordeling is meegenomen. Vraag ernaar bij de hostingprovider.

Als voorbeeld nemen we ons eigen certificaat. In de scope staat beschreven dat ons informatiebeveiligingssysteem van toepassing is op de levering van domeinregistratie, hostingoplossingen en clouddiensten aan resellers en eindgebruikers. Een brede scope dus waarbij we alle diensten die we aanbieden, of aan willen gaan bieden, hebben gekoppeld aan ons informatiebeveiligingssysteem. In onze verklaring van toepasselijkheid hebben we beschreven welke maatregelen we genomen hebben.

Waarom zit je goed bij Savvii?

Als managed WordPress hostingprovider willen we het beste hostingplatform zijn voor jouw WordPress website(s). Daarbij hoort ook dat we data op een veilige manier willen verwerken. Hoewel we het ISO 27001-certificaat daar niet voor nodig hebben, vinden we het toch belangrijk deze op zak te hebben. Zo weten wij, dat we de strengste toetsen doorstaan in ons streven naar databeveiliging. We zorgen er zo ook voor dat we continu verbeteren. We zijn op 102 punten beoordeeld en hebben de volledige bedrijfsbreedte meegenomen in onze scope. Jouw data is bij ons in goede handen!

Timo Kuijpers - Timo Kuijpers - Voormalig journalist die het schrijven nog niet verleerd is. Timo verdiept zich vandaag de dag liever in marketing en WordPress. Doordeweeks drinkt hij proteïne shakes. In het weekend drinkt hij bier. Heeft geen bierbuik of sixpack – wellicht dat beide brouwsels elkaar tegenwerken.