Graphic

Informatie
Beveiliging

Digitale
Transformatie

IT
Audit

BIQ

IT Recht

Privacy

Cyber
Security

Bol IT Audit & Advies

Steeds meer bedrijven en organisaties maken een digitale transformatie door. Een digitaal businessmodel leidt tot nieuwe kansen, maar ook tot exponentieel meer data die worden gegenereerd en gedeeld tussen organisaties en hun klanten. Digitale informatie is een waardevolle levensader in het zakelijke en maatschappelijke ecosysteem en daarmee gevoelig voor bedreigingen. Daarom gaat digitalisering gelijk op met een effectieve aanpak van informatiebeveiliging, cybersecurity en privacy om waardevolle data te beschermen. Uiteindelijk wil een ondernemer ook weten of de bedrijfsdoelstellingen gerealiseerd worden. Dit kan risicoreductie zijn, maar ook de financiële prestaties. Wij geloven in het principe ‘What gets measured, gets managed’.

Binnen Bol IT audit & advies wordt een zevental thema’s onderscheiden. Binnen het thema ‘digitale transformatie’ helpen wij ondernemers bij het maken van de vertaling van het businessmodel naar de IT beheersing en inrichting. Met andere woorden; HOE kan een onderneming op IT gebied in control komen en HOE kan ervoor gezorgd worden dat IT daadwerkelijk bijdraagt aan de realisatie van de bedrijfsdoelstellingen?

Binnen de thema’s techniek, informatiebeveiliging, cyber security, privacy, IT-audit en BIQ helpen wij ondernemers bij het bepalen WAT er moet gebeuren om in controle te komen en bedrijfsdoelstellingen te realiseren.

Essentieel in onze aanpak is de samenwerking. Onze specialisten werken intensief samen met het bestaande klantenteam, zodat kennis wordt overgedragen en onze klant zoveel mogelijk te maken houdt met de vertrouwde gezichten. Ook is de samenwerking met onze klant belangrijk. IT beheersing is een continu proces. Daarom is het noodzakelijk dat onze kennis overgedragen wordt aan onze klant zodat hij of zij hier zelf mee aan de slag kan, zonder afhankelijk te zijn van derden. Daarnaast hebben wij een expertise netwerk opgebouwd zodat wij samen met onze eigen specialisten onze klanten nog beter kunnen adviseren.

Missie Bol IT audit & advies

Onze klanten helpen zodat hun IT organisatie en informatievoorziening dezelfde kenmerken krijgt als water uit de kraan: betrouwbaar, schoon en niet geïnfecteerd, altijd beschikbaar zonder dat het lekt en bijdragend aan groei van hun onderneming.

De wereld van IT staat nooit stil. Technische ontwikkelingen volgen elkaar in rap tempo op, maar cybercriminelen proberen ook steeds andere manieren uit om bij je binnen te komen. Daarom is het van groot belang om continu te blijven investeren in de IT-organisatie. Het is een doorlopend proces.

Digitale Transformatie

De rol van de ICT-organisatie is sterk aan verandering onderhevig. Jarenlang heeft de ICT-afdeling met alle goede bedoelingen diensten geleverd aan de business zonder zich de vraag te stellen of de business het wel nodig had en of de diensten wel op de juiste wijze aansloten op de behoefte. Dat is mede door de komst van SaaS applicaties en cloud oplossingen veranderd. De business of de gebruiker heeft een vraag, zet deze vraag intern en extern uit en wacht op de juiste aanbieding. We zien een verschuiving van aanbod naar vraag. Dit vraagt ook wat van jouw ICT-organisatie: een andere inrichting, andere competenties, andere functies en rollen.

Wie is regievoerder? Wat wil de business? Welke eisen worden er vanuit jouw business gesteld aan de output die ICT levert? Zo maar enkele vragen waaruit blijkt dat de IT-organisatie dichter op de business moet kruipen. En wellicht bestaande werkwijzen los moet laten om niet alleen te leveren wat er is, maar vooral om te leveren wat er wordt gevraagd.

Wij richten ons op jouw businessvraagstukken en helpen je graag met de inrichting van jouw ICT-organisatie, zodat de mogelijkheden van de ICT van vandaag de dag je niet overvallen in 2025.

IT Audit

IT neemt een steeds belangrijkere plek in bij bedrijven. Waar voorheen werd gewerkt met een standaard financiële applicatie en enkele standalone applicaties voor bijvoorbeeld het voorraadbeheer, werken steeds meer bedrijven met ERP-systemen of andere geïntegreerde oplossingen. Vaak zijn dit standaard pakketten, welke met branche-specifieke of zelfs klant-specifieke bouwstenen wordt uitgebouwd tot een maatwerkapplicatie of met configuraties bedrijfsspecifiek wordt gemaakt.

Dit alles heeft impact op de accountantscontrole. Enerzijds wil de accountant steunen op interne beheersing en anderzijds op betrouwbare data. Bij de jaarrekeningcontrole proberen wij gebruik te maken van de IT-omgeving. Dit kan resulteren in een Data First of IT First aanpak, of een combinatie daarvan.

Informatiebeveiliging

De data binnen je bedrijf is goud waard. Het is daarom belangrijk dat de informatievoorziening van jouw bedrijf goed wordt georganiseerd, er inzicht bestaat in mogelijke bedreigingen en de juiste werkzaamheden worden uitgevoerd om de risico’s te beheersen. Als organisatie kun je dan ook niet zonder een goede informatiebeveiliging.

Onze IT-adviseurs helpen ondernemers om de vertrouwelijkheid, integriteit en beschikbaarheid van hun gegevens te beoordelen, te verbeteren en te monitoren. Hiervoor hebben wij verschillende diensten tot onze beschikking, die de ondernemer handvatten biedt om de informatiebeveiliging naar een hoger niveau te krijgen.

IT Recht

In de digitale wereld van nu speelt Informatietechnologie (IT) vanzelfsprekend een grote rol. De technische ontwikkelingen volgen elkaar in rap tempo op, waardoor ondernemers continu staan voor belangrijke keuzes. Wat doe je zelf, wat besteed je uit? Bij het maken van deze keuzes spelen ook juridische aspecten een rol.

Onze IT-adviseurs helpen ondernemers om juridische keuzes te maken op IT-gebied. Of het nu gaat om het beoordelen van offertes en algemene voorwaarden, of het opstellen van IT-overeenkomsten en Service Level Agreements, of het beoordelen van de polisvoorwaarden van cyber security verzekeringen, wij zorgen dat ondernemers de best passende keuze maken in hun specifieke situatie.

Cyber security

Cybersecurity is een thema dat binnen veel organisaties steeds hoger op de agenda komt te staan. De gevolgen van een geslaagde cyber-aanval kunnen immers zeer schadelijk zijn. In de huidige tijd zijn investeringen in de IT-infrastructuur noodzakelijk om de weerbaarheid tegen cyber-aanvallen te vergroten.

Maar met enkel uitstekende technische beveiligingsmiddelen is er nog geen sprake van effectief cybersecuritymanagement. Er dient namelijk ook rekening gehouden te worden met andere componenten, zoals bijvoorbeeld het beveiligingsbewustzijn van mensen binnen de organisatie en de mate waarin cybersecuritymaatregelen gewaarborgd worden binnen bedrijfsprocessen.

BIQ

BIQ is geen tool, maar een samenwerking

Steeds meer bedrijven en organisaties maken een digitale transformatie door. Een digitaal businessmodel leidt tot exponentieel meer data die worden gegenereerd en gedeeld tussen organisaties en hun klanten. Bol heeft een uniek concept, genaamd BIQ, ontwikkeld waardoor je in staat wordt gesteld om deze datagroei te gebruiken als kans in plaats van een bedreiging.

Je kunt slimmer gaan ondernemen omdat je weet hoe het zit! De uniciteit zit niet in het ontsluiten, structureren en rapporteren van data, maar in de implementatie aanpak, het bedrijfsbrede informatieplan, de multidisciplinaire teams en de continuïteit van het verbeterproces. Ons vertrekpunt is niet de techniek maar jouw business. BIQ zorgt ervoor dat deze data gebruikt gaat worden om slimmer te kunnen ondernemen.

Privacy

De beveiliging van persoonsgegevens wordt steeds belangrijker. Met de komst van de AVG is er meer aandacht dan ooit voor Privacy en de bescherming van persoonsgegevens. Een goede ontwikkeling, maar als organisatie moet je wel zorgen dat alles goed geregeld is.

Dit begint met het inzichtelijk maken van de bedrijfsprocessen en de persoonsgegevens die je daarbij verwerkt. Nadat je dit gedaan hebt kun je de risico’s beoordelen. Immers, wanneer je dit weet, kun je ook de juiste stappen nemen om eventuele risico’s te beheersen.

Cyber Security

Awareness training

Er zijn tal van artikelen die gaan over het creëren van een positieve cybersecurity cultuur. Ze richten zich echter vaak op het beveiligingsteam en vergeten de essentiële rol van de medewerkers te centraliseren. De technische verdediging is natuurlijk de zorg van het beveiligingsteam. Maar, menselijke risicomitigatie komt voort uit de eigen acties van de werknemers.

Als je een positieve cultuur wil creëren, moet je jouw medewerkers betrekken bij jouw missie. Er zijn een verschillende stappen die je moet nemen om een positieve cybersecurity cultuur in de organisatie te creëren, maar de eerste stap is het creëren van bewustzijn bij jouw medewerkers. Hiervoor hebben wij een speciale training ontwikkeld.

CS Maturity Scan

De data binnen je bedrijf is goud waard. Dat geldt niet alleen voor jou als ondernemer, maar ook voor internetcriminelen. Zij willen maar al te graag deze waardevolle, virtuele bedrijfseigendommen in handen krijgen. Als organisatie kun je dan ook niet zonder een goede informatiebeveiliging. De Maturity Scan is een quick scan waarin een onderzoek uitgevoerd wordt naar het volwassenheidsniveau van je organisatie op het gebied van informatiebeveiliging. Het doel hiervan is antwoord kunnen geven op de vraag ‘in hoeverre volstaat het huidige volwassenheidsniveau van informatiebeveiliging voor onze organisatie en de genoemde processen en systemen?’ Een Maturity Scan is een goede eerste stap in het traject van een beter informatiebeveiligingsbeleid.

Security scan & pentest

Je hebt het je vast weleens afgevraagd: zou het een hacker lukken om toegang te krijgen tot ons kantoornetwerk? Of tot een van onze (web)applicaties? En als de hacker eenmaal binnen is, wat kan hij of zij dan allemaal? Een Security scan en / of een pentest geeft de antwoorden op deze vragen.

Tijdens een Security scan doen wij een technisch onderzoek naar de kwetsbaarheden in de IT-systemen, waarbij op de openstaande poorten de online verbindingen worden geanalyseerd. Een pentest is een onderzoek waarbij een security specialist met een ‘hacker mindset’ alle mogelijke middelen en beschikbare informatie gebruikt om te ontdekken hoever een hacker kan binnendringen in een systeem.

De resultaten van de scan en test worden vervolgens gebruikt om inzicht te krijgen in de risico’s om vervolgens de juiste maatregelen te kunnen nemen. De aanbevelingen worden op detail geformuleerd zodat je hiermee direct aan de slag kunt. Na het toepassen/uitvoeren van deze maatregelen, kan wederom een controle worden uitgevoerd om te kijken of de genomen maatregelen voldoende bescherming bieden.

Privacy

Awareness training

Hoe zorg je er nou voor dat iedereen binnen de organisatie de AVG juist toepast? Met een awareness training leren medewerkers wat de AVG inhoudt, en wat de gevolgen zijn op zijn of haar werkzaamheden. Dit kan namelijk voor elke functie of afdeling anders zijn, denk hierbij bijvoorbeeld aan de afdelingen HRM, marketing, IT, verkoop. Al deze afdelingen hebben met andere persoonsgegevens en processen te maken.

Met een awareness training afgestemd op de processen binnen jouw bedrijf, helpen wij medewerkers met het verhogen van het bewustzijn. Welke persoonsgegevens mogen we verwerken? Welke maatregelen horen hier bij? Wanneer moet ik toestemming vragen aan personen? Wat moet ik doen als iemand gebruik maakt van zijn of haar privacy-rechten? Wanneer is sprake van een datalek en wat moet ik dan doen? Deze awareness trainingen zorgen ervoor dat de AVG een automatisme wordt en niet als last wordt ervaren.

Privacy Maturity Scan

Als ondernemer wil je er zeker van zijn dat je bedrijf aan alle richtlijnen rondom privacy voldoet. Het privacy compliant zijn van je bedrijf zorgt ervoor dat je niet voor vervelende verrassingen komt te staan, zoals boetes of imagoschade. Privacy compliant zijn bereik je niet zomaar: de hele organisatie dient er namelijk op ingericht te zijn.

Een eerste stap bij het privacy compliant maken van je bedrijf is het in kaart brengen van het huidige niveau van governance, risk & compliance op het gebied van privacy en gegevensbescherming. Dit noemen we een Privacy Maturity Scan. Deze scan brengt de stand van zaken rondom privacy compliance helder in beeld en maakt het meetbaar. Daardoor krijgt je bedrijf een helder kader en stappenplan om risico’s weg te nemen en compliance te versterken waar dat nodig is.

DPIA

Als je als bedrijf veel gegevens verwerkt met een hoog privacy risico, kun je onder de AVG-wetgeving verplicht worden gesteld om een Data Protection Impact Assessment (DPIA) uit te voeren. De hoogte van het privacy risico wordt bijvoorbeeld bepaald door de omvang van het aantal personen waar gegevens van worden verwerkt en of hierbij sprake is van gevoelige gegevens of gegevens van zeer persoonlijke aard, zoals bijvoorbeeld personeelsdossiers.

Aangeraden wordt om dit minimaal eens in de drie jaar te doen, maar ook bij nieuwe verwerkingssoorten. Bijvoorbeeld bij het opstarten van een nieuwe bedrijfsactiviteit of een nieuwe vestiging, bij het implementeren van een nieuw softwaresysteem, het ontwikkelen van een website, de overstap naar een cloud-omgeving, het installeren van camerabewaking of het inzetten van GPS-systemen.

In zo’n DPIA breng je vooraf in kaart welke persoonsgegevens worden verwerkt en van welke groep personen. Op basis hiervan worden privacy risico’s beoordeeld en welke maatregelen zijn genomen om deze risico’s te verkleinen. Op basis van de DPIA kan jouw bedrijf besluiten om de gegevensverwerking aan te passen of de maatregelen bij te stellen.

Privacy overeenkomst

Om als bedrijf in de huidige tijd efficiënt te kunnen blijven werken, kun je niet alles in eigen hand houden. Sommige zaken besteed je daarom liever uit aan andere organisatie. Maar als je een andere organisatie inschakelt voor processen waarbij persoonsgegevens worden verwerkt, moet je met deze organisatie een privacy overeenkomst afsluiten. Je wilt immers dat deze organisatie de persoonsgegevens verwerkt op basis van jouw instructies. Dit wordt ook wel een verwerkingsovereenkomst genoemd. In zo’n verwerkingsovereenkomst maak je bijvoorbeeld afspraken over welk soort persoonsgegevens mogen worden verwerkt, welk doel het dient en hoelang de gegevens bewaart mogen worden.

Niet met alle organisaties met wie je persoonsgegevens deelt moet je een verwerkersovereenkomst sluiten. Dit hangt af bijvoorbeeld af van het soort activiteiten die deze organisatie voor jouw bedrijf uitvoert. In sommige gevallen is deze organisatie zelf verantwoordelijk voor het verwerken van persoonsgegevens. In dat geval worden andere privacy overeenkomsten opgesteld. Het is dan ook belangrijk om vooraf een analyse te maken van de rol van jouw bedrijf en de andere organisatie bij het verwerken van persoonsgegevens.

Verwerkingsregister

De AVG vereist in bijna alle gevallen dat bedrijven een register van verwerkingsactiviteiten opstellen. In dit register breng je bijvoorbeeld in beeld welke persoonsgegevens worden verwerkt, van welke groep personen, op basis van welke grondslag dit mag, welke externe partijen deze gegevens ontvangen, welke bewaartermijnen van toepassing zijn en welke maatregelen zijn getroffen.

Privacy beleid

In een privacybeleid leg je vast hoe je als organisatie omgaat met persoonsgegevens. Wie zijn binnen de organisatie verantwoordelijk voor het toepassen van de AVG? Wwelke rollen zijn hiervoor nodig en welke taken en bevoegdheden horen hierbij?

In sommige gevallen kan een privacy-coördinator voldoende zijn, terwijl bij andere bedrijven een privacy-team nodig is, met afdelingscoördinatoren en een privacy-manager. In dit beleid worden ook standpunten gemaakt over het trainen van medewerkers, het informeren van personen en het periodiek onderhouden van het beleid en overige documenten, zoals het register van verwerkingsactiviteiten of afsluiten van privacy overeenkomsten.

Functionaris voor gegevensbescherming

Sommige organisaties zijn verplicht om een functionaris voor gegevensbescherming (FG) aan te stellen. Hier kan bijvoorbeeld sprake zijn als op grote schaal bijzondere persoonsgegevens worden verwerkt of als personen wordt geobserveerd met bijvoorbeeld camerasystemen of GPS-tracking Een FG is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). Belangrijk is dat de FG een onafhankelijke positie heeft binnen de organisatie. De FG mag dan ook geen bemoeienis hebben met de bedrijfsactiviteiten, waardoor het voor veel bedrijven lastig is om deze rol intern in te vullen. In dat geval kan jouw bedrijf een externe FG inschakelen.

Is jouw organisatie niet verplicht om een FG aan te stellen, maar wil je wel gebruik maken van de deskundigheid van een privacy-specialist? Dan is het ook mogelijk om externe privacy manager in te schakelen.

Privacy Statement

Elk bedrijf dat persoonsgegevens verzamelt, is verplicht om de mensen van wie je die gegevens verzamelt hierover te informeren. Vaak wordt dit gedaan door middel van een privacyverklaring, ook wel een privacy statement genoemd.

Een persoon die zijn of haar gegevens aan een organisatie wil gaan verstrekken, kan in het privacy statement lezen wat er met de gegevens gebeurt. Waarom worden de gegevens opgeslagen, hoe lang worden de data bewaard, met wie worden de gegevens gedeeld en hoe is de beveiliging geregeld? Op basis van deze informatie kan de persoon beslissen of hij of zij persoonsgegevens met de organisatie wil delen of niet. Een bedrijf kan ervoor kiezen om een privacy statement op te stellen voor al haar doelgroepen, maar er ook afzonderlijke privacy statements voor bijvoorbeeld websitebezoekers, klanten en medewerkers.

IT Recht

Offerte IT leveranciers

Een bedrijf heeft steeds te maken met nieuwe ontwikkelingen, waarbij je als bedrijf op zoekt kunt gaan naar IT leveranciers met nieuwe software oplossingen. Denk hierbij bijvoorbeeld aan het selecteren van de juiste leverancier en het softwarepakket.

IT leveranciers stellen offertes op met software oplossingen, de infrastructuur en hardware, de implementatie en support en beheer daarvan. Vaak wordt in de offerte ook een verwijzing gemaakt naar de algemene voorwaarden.

Wij helpen klanten bij het beoordelen van de offertes op (juridische) risico’s.

IT overeenkomst

In een IT overeenkomst wordt vaak een verwijzing opgenomen naar de algemene voorwaarden van de leverancier. De algemene voorwaarden van de leverancier zijn leveranciersvriendelijk opgesteld en kunnen daardoor nadelige bepalingen bevatten voor bedrijven. Enkele voorbeelden hiervan zijn:

aansprakelijkheidsbeperkingen van de leverancier;
indicatieve termijnen;
beperkte ontbindingsmogelijkheden;
laagdrempelig meerwerk mogelijk;
Geen duidelijk vastgestelde prijzen voor implementatie.

Wij adviseren voordat het project wordt gestart de IT overeenkomst en de algemene voorwaarden te beoordelen, zodat problemen tijdens de IT implementatie voorkomen kunnen worden.

Service Level Agreement

Na de Go Live wordt de software door de leverancier ondersteunt met een onderhoud. Afspraken over het onderhoud worden opgenomen in onderhoudsovereenkomsten, software abonnementen en Service Level Agreement (SLA). Hierbij worden bijvoorbeeld afspraken gemaakt over responsetijden bij service meldingen, storingen of incidenten. OP het moment dat storingen of incidenten zich voordoen, wil je geen verrassingen. Wij adviseren daarom om vooraf onderhoudsovereenkomsten, Service Level Agreements en software abonnementen door onze IT-juristen te laten beoordelen.

Privacy overeenkomst

Om als bedrijf in de huidige tijd efficiënt te kunnen blijven werken, kun je niet alles in eigen hand houden. Sommige zaken besteed je daarom liever uit aan andere organisatie. Maar als je een andere organisatie inschakelt voor processen waarbij persoonsgegevens worden verwerkt, moet je met deze organisatie een privacy overeenkomst afsluiten. Je wilt immers dat deze organisatie de persoonsgegevens verwerkt op basis van jouw instructies. Dit wordt ook wel een verwerkingsovereenkomst genoemd. In zo’n verwerkingsovereenkomst maak je bijvoorbeeld afspraken over welk soort persoonsgegevens mogen worden verwerkt, welk doel het dient en hoelang de gegevens bewaart mogen worden.

Niet met alle organisaties met wie je persoonsgegevens deelt moet je een verwerkersovereenkomst sluiten. Dit hangt af bijvoorbeeld af van het soort activiteiten die deze organisatie voor jouw bedrijf uitvoert. In sommige gevallen is deze organisatie zelf verantwoordelijk voor het verwerken van persoonsgegevens. In dat geval worden andere privacy overeenkomsten opgesteld. Het is dan ook belangrijk om vooraf een analyse te maken van de rol van jouw bedrijf en de andere organisatie bij het verwerken van persoonsgegevens.

Polis cyber verzekering

Bedrijven kunnen zich verzekeren tegen de gevolgen en schade van cyber incidenten, De verzekeringspolissen kunnen uitsluitingen bevatten. Wij adviseren daarom om vooraf de polisvoorwaarden kritisch te laten beoordelen door een IT-jurist.

Nederland ICT Voorwaarden

De NL Digital voorwaarden, ook bekend als Nederland ICT Voorwaarden (thans NL Digital voorwaarden) zijn opgesteld door de branchevereniging voor IT leveranciers. Het accepteren van de voorwaarden kunnen nadelige gevolgen hebben. Enkele voorbeelden hiervan zijn:

Gebonden aan een inspanningsverplichting van de leverancier;
Geen concrete datum voor Go Live;
Beperkte mogelijkheden ontbinding;
Beperkte garantie op de software.

Wij adviseren om de algemene voorwaarden altijd kritisch te beoordelen. Wij kunnen ondersteunen bij het beoordelen en maken van afspraken met de IT leverancier.

Licentieovereenkomst

Als bedrijf kun je behoefte hebben aan specifieke software oplossingen en een leverancier inschakelen om maatwerk software te ontwikkelen. Als opdrachtgever betaal je de leverancier voor de ontwikkeling van de maatwerk software. Het is dan ook logisch dat de auteursrechten die daarop rusten worden overgedragen aan jouw bedrijf als opdrachtgever. De leverancier ontvangt dan vaak een gebruiksrecht van de software. Het gebruiksrecht wordt in een licentieovereenkomst vorm gegeven.

Escrow overeenkomst

In de situaties dat een IT leverancier software heeft ontwikkeld voor jouw bedrijf, is het belangrijk dat de broncode van deze software veilig wordt gesteld. Hiermee wordt voorkomen dat broncode niet meer beschikbaar is als de IT leverancier failliet gaat.

Een broncode wordt veilig gesteld door deze te deponeren bij een Escrow Agent. Wij kunnen hierbij ondersteunen bij het beoordelen of opstellen van een escrow overeenkomst.

Informatie beveiliging

Awareness training

Als je jouw bedrijf stabiel wilt houden is er geen ontkomen aan het beveiligen van je digitale assets. Het hoort net zo goed bij een goede bedrijfsvoering als het op orde hebben van de bedrijfsfinanciën en het op tijd en correct opgeven van de aangifte omzetbelasting. Grote bedrijven stellen steeds vaker een security officer aan, maar de beveiliging stopt niet bij die functie of het eenmalig goed inrichten van informatiebeveiligingsprotocollen.

Goede informatiebeveiliging is namelijk niet alleen afhankelijk van techniek en procedures, maar ook van de mens. De keten is zo sterk als de zwakste schakel. In een awareness training maken wij medewerkers bewust van de risico’s en geven wij handvatten om veilig met informatie om te gaan.

Total Maturity Scan

Vanuit de AVG en informatiebeveiligingsstandaarden, moet de informatie binnen jouw organisatie beschermd worden. Loopt dat proces nu al naar tevredenheid, of is er nog ruimte voor verbetering, of zijn er momenteel nog risico’s op het gebied van de verwerking van persoonsgegevens, informatiebeveiliging of cyber security? Door meer inzicht te krijgen in hoe ‘volwassen’ jouw organisatie is op deze thema’s, kun je vervolgens doorgroeien naar het gewenste niveau en proactief risico´s vermijden.

De Total Maturity Scan is nulmeting waarbij wij een onderzoek uitvoeren naar het volwassenheidsniveau op het gebied van informatiebeveiliging, de AVG en cyber. De nulmeting geeft antwoord op de vraag: ‘In hoeverre volstaat het huidige volwassenheidsniveau van de interne organisatie om mogelijke risico’s preventief te beheersen of tijdig te ontdekken.

Een Total Maturity Scan is een goede eerste stap naar in control zijn over je informatie.

IB Maturity Scan

Door ontwikkelingen op het gebied van IT worden de bedrijfsprocessen steeds afhankelijker van IT. Hierdoor worden zaken als informatiebeveiliging en bedrijfscontinuïteit steeds belangrijker. Voor bedrijven is het belangrijk dat informatiebeveiliging een behoorlijk volwassenheidsniveau heeft, zodat risico’s inzichtelijk en beheersbaar zijn. Belangrijke aspecten hierbij zijn de techniek, de mens en het proces. De IB Maturity Scan informatiebeveiliging richt zich op beheersmaatregelen voor de mens en het proces, die uiteindelijk nodig zijn om de techniek optimaal te laten functioneren.

De IB Maturity Scan is nulmeting waarbij wij een onderzoek uitvoeren naar het volwassenheidsniveau op het gebied van informatiebeveiliging en geeft antwoord op de vraag: ‘In hoeverre volstaat het huidige volwassenheidsniveau van informatiebeveiliging voor onze organisatie en de genoemde processen en systemen? Het gewenste volwassenheidsniveau bepaal je zelf en is bijvoorbeeld afhankelijk van de activiteiten of van de risico-analyse. Een IB Maturity Scan is een goede eerste stap naar betere informatiebeveiliging en kan jaarlijks, eens in de drie jaar of bij belangrijke wijzigingen in de IT-infrastructuur of organisatie worden uitgevoerd.

Informatiebeveiligingsbeleid

Het informatiebeveiligingsbeleid is de baseline voor het veilig omgaan met informatie. Dit beleid sluit aan op de IT-visie en het IT-beleid en bevat taken en bevoegdheden, beleidsregels en gedragsregels voor IT-medewerkers, maar ook voor gebruikers van IT-systemen. Het beleid wordt aangevuld met procedures en werkinstructies die aansluiten bij de behoeftes van jouw bedrijf. Denk hierbij bijvoorbeeld aan procedures en werkinstructies voor het verlenen van toegang tot IT-systemen, het beheren van incidenten en wijzigen, het monitoren van backups, het onderhouden van data.

Een informatiebeveiligingsbeleid vormt ook een goede basis voor het afsluiten van uitbestedingsovereenkomsten en Service Level Agreements en geeft handvatten hoe je de prestaties van externe partijen kunt beoordelen en bewaken.

Implementatie-advies ISO 27001

Een informatiebeveiligingsbeleid kan worden opgesteld op basis van best-practices. Er kan ook gekozen worden voor de implementatie van een managementsysteem, waarbij maatregelen worden geïmplementeerd op basis van een internationaal normenkader: ISO 27001. Wij kunnen jouw bedrijf begeleiden bij het opzetten van zo’n managementsysteem, het opzetten van de maatregelen en ondersteunen van de medewerkers bij het toepassen daarvan. Als het managementsysteem eenmaal is opgezet kan deze door een geaccrediteerde organisatie worden getoetst en worden voorzien van een certificaat. Met dit certificaat laat je zien dat jouw bedrijf veilig omgaat met informatie op basis van internationale normen. Dit is waardevol voor stakeholders, bovendien merken wij dat (potentiële) klanten hier steeds meer naar vragen.

Naast de externe audit vraagt ISO 27001 ook om interne audits. Naast het implementatie-advies kunnen wij ook ondersteunen bij het uitvoeren van de interne audits.

Externe Security Officer

Een Security Officer ziet toe op de naleving van het informatiebeveiligingsbeleid, beoordeelt risico’s op het gebied van informatiebeveiliging en adviseert de directie over maatregelen.

Voor bedrijven kan lastig zijn om deze rol intern in te vullen, bijvoorbeeld omdat het geen fulltime functie is, of omdat specifieke deskundigheid wordt gevraagd. In dat geval kan jouw bedrijf een externe Security Officer inschakelen.

Digitale Transformatie

IT-strategie

IT-strategie is de discipline die omschrijft hoe IT gebruikt zal worden om bedrijven te helpen winnen binnen hun gekozen bedrijfscontext. Bij veel mensen wordt IT een steeds meer geïntegreerd deel van hun leven. Daarnaast wordt IT ook steeds belangrijker als deel van hoe “bedrijven winnen binnen hun gekozen bedrijfscontext”.

Bij de meerderheid van onze klanten hebben we IT zien veranderen. Eerst werd er vooral gefocust op stabiliteit en kosten. Tegenwoordig wordt er ook gefocust op snelle ontwikkeling, flexibiliteit en het bieden van geavanceerde digitale diensten. Onze IT-adviseurs helpen je om de beste strategische IT-keuzes te maken voor jouw bedrijf.

Trusted advisor

Niet ieder directielid heeft een IT-achtergrond, terwijl de impact die IT kan hebben op een organisatie groot kan zijn. In dat soort gevallen is het handig om als directie of management iemand naast je te hebben staan en ondersteuning kan bieden bij het nemen van strategische IT-beslissingen. Soms alleen bij grotere vraagstukken, soms door een periodiek overleg waarbij lopende zaken worden doorgesproken. Onze IT-adviseurs kunnen deze rol op zich nemen.

MoSCoW analyse

De MoSCow-methode is een principe dat veel wordt toegepast binnen productontwikkeling, software-ontwikkeling en bedrijfsanalyse om prioriteiten vast te stellen. De eisen van een project worden bij een moscow-analyse ingedeeld in één van de volgende categorieën:

Must-have: vereist om te kunnen spreken van een werkbaar product;
Should-have: hoge prioriteit, maar niet vereist voor een bruikbaar product;
Could-have: optie die alleen wordt meegenomen als er tijd over is;
Would-have: geen prioriteit, kan eventueel in de toekomst opnieuw worden overwogen.

Pakketselectie & implementatie advies

Investeringen in software hebben vaak een grote (strategische) impact op bedrijven en de invloed van de investeringen werken nog jaren door in de bedrijfsvoering. Sta je voor een belangrijke beslissing om nieuwe software aan te schaffen of je huidige software te vervangen? Denk je nog in termen van kosten of ben je meer geïnteresseerd in efficiency? Overweeg je een IT analyse te laten maken? Wij begeleiden je bij het proces om deze keuze op een gefundeerde wijze te kunnen doen.

IT Audit

Data First

Met Data First gaan wij onderzoeken welke data relevant is voor de jaarrekeningcontrole. Vervolgens wordt deze data geanalyseerd. Hierbij maken wij gebruik van gerenommeerde analyse-tools of de inzet van Business Intelligence. Hierdoor ontstaat een beter inzicht in de bedrijfsprocessen en stelt de accountant in staat om basis van een integrale controle zich te focussen op de uitzonderingen. Deze uitzonderingen kunnen ook voor jouw bedrijf interessante informatie opleveren. Om deze reden maken onze IT-specialisten en data-analisten deel uit van het team dat de jaarrekening controleert.

IT First

Waar Data First zich richt op een controle achteraf, richt IT First zich op de preventieve kant: namelijk de interne beheersing van de organisatie. Als organisatie wil je in control zijn en voor de accountant is het belangrijk dat dit aangetoond kan worden.

Traditioneel onderzoekt de accountant de vastleggingen van interne processen, bijvoorbeeld op basis van de aanwezigheid van blokstempels en parafen. Door de toename van IT-systemen en geautomatiseerde workflows, neemt de interne beheersing andere vormen aan. De accountant onderzoekt in dat geval de inrichting van de systemen. Wie mag wat vastleggen, raadplegen en hoe wordt gewaarborgd dat de input en output van gegevens betrouwbaar is? De accountantscontrole richt zich dan ook steeds meer op de geprogrammeerde controles in de IT-systemen. Om deze reden maken onze IT-specialisten deel uit van het team dat de jaarrekening controleert.

BIQ

Prestaties en benchmarking

De meeste ondernemers denken wel een goed beeld te hebben van hoe hun bedrijf ervoor staat. Maar is dit beeld gebaseerd op feiten of op onderbuikgevoel? Waar wordt het geld nu écht verdiend en welke activiteiten leveren (te) weinig rendement op? Door slim gebruik te maken van data wordt onderbuikgevoel concreet en kun je op basis van volledige informatie beslissingen maken.

Nog interessanter wordt het wanneer deze informatie in het juiste perspectief wordt geplaatst. Dit heet benchmarken. Je kunt de data bijvoorbeeld vergelijken met historische gegevens om te volgen hoe er gepresteerd wordt ten opzichte van de doelstellingen. Of leg je data eens naast die van je concurrentie. Zo krijg je een helder en volledig beeld van de prestaties van je bedrijf.

Data Visualisatie

Tegenwoordig hebben we te maken met een enorme overvloed aan data. Deze hoeveelheid neemt iedere dag sneller toe. Met deze data kunnen we steeds meer meten en ingewikkelde zaken inzichtelijk maken, maar de enorme hoeveelheid kan er ook voor zorgen dat mensen door de bomen het bos niet meer zien.

Met data visualisatie kunnen we abstracte data concreet maken door deze te vertalen naar begrijpbare boodschappen. Trends of patronen zijn immers gemakkelijker te herkennen als ze zijn weergegeven in een visuele vorm of grafiek. Data visualisatie biedt inzicht, precies wat je nodig hebt als je je bedrijf verder wilt optimaliseren.

Statistische analyse

Business Intelligence is een overkoepelende term voor de processen en methodes waarmee data uit bedrijfsvoering of -activiteiten wordt verzameld, opgeslagen en geanalyseerd, zodat prestaties verbeterd kunnen worden. Samen geven ze een overzichtelijk beeld van een bedrijf, waardoor betere, toepasbare beslissingen genomen kunnen worden.

Met behulp van statistische analyse duiken we nóg dieper in de data. We kijken niet alleen naar welke trends zich voor hebben gedaan, maar ook naar hoe en waarom. Dit levert namelijk waardevolle kennis op voor bedrijven. Wie immers doorheeft hoe een trend werkt, kan op de markt gaan anticiperen in plaats van reageren.

Rapportage

Vaak ligt de data binnen een bedrijf niet vast binnen één systeem, maar is deze verspreid over meerdere bronnen. Het genereren van rapportages uit verschillende databronnen kan een tijdrovende klus zijn. Veel efficiënter is het als de data uit verschillende systemen met één muisklik in een rapportage kan worden gebundeld. Er zijn verschillende mogelijkheden op dit gebied.

Denk bijvoorbeeld aan een ETL-tool en het opzetten van een data warehouse, maar vaak wordt er gekozen voor de meest gebruiksvriendelijke oplossing in de vorm van een speciale rapportagetool. Power BI, Qlikview/Qliksense, Tableau en Excel zijn rapportagetools waar wij mee werken. Deze programma’s zijn eenvoudig en gebruik, waardoor ondernemers binnen de kortste keren díe rapportages uitdraaien waar ze echt behoefte aan hebben.

Data mining

‘Data is het nieuwe goud’ is een steeds vaker gehoorde term in het bedrijfsleven. Steeds meer organisaties maken gebruik van Business Intelligence om deze data door middel van analyse te vertalen in bruikbare stuurinformatie. Een goed begin, maar kunnen we daarmee spreken van optimaal gebruik van data? Waarschijnlijk niet, want er zit meer verborgen in data dan je denkt!

Bij Data Mining wordt gebruik gemaakt van grote datasets, waarbij met behulp van statistiek en artificial intelligence gezocht wordt naar interessante trends en modellen. Op deze manier worden verbanden zichtbaar die in eerste instantie onzichtbaar bleven en kan het toekomstig gedrag van klanten heel gedetailleerd worden voorspeld.