Ga naar inhoud
YipYip ISMS YipYip

Handleiding bewustwordingssessies

Waar is deze handleiding voor?

Elke twee weken verzorgt een wisselend teamlid een korte presentatie of activiteit over informatiebeveiliging tijdens de weekopening.

Deze handleiding legt uit wat er van je verwacht wordt en hoe je dat aanpakt — van voorbereiding tot afronding.

Wat wordt er van je verwacht?

In het kort doorloop je vijf stappen:

  1. Voorbereiding / research — kies een onderwerp en bereid iets voor
  2. Presentatie geven — deel het met het team tijdens de weekopening
  3. Rapportage invullen — leg kort vast wat er besproken is
  4. ISMS aanvullen of verbeteren — verbeter het ISMS als de sessie daar aanleiding toe geeft
  5. Nieuwe presentator aanstellen — draag het stokje zelf over

Je hebt twee weken de tijd om je voor te bereiden. Heb je onverwachts een drukke sprint of lukt het niet op tijd? Informeer ons over een beter geschikt moment, wissel om met een ander of vraag om hulp.

Wat zijn de ISO, het ISMS en de audit?

ISO 27001 is een internationale norm die beschrijft hoe een bedrijf moet omgaan met informatiebeveiliging. Denk aan regels voor wachtwoorden, wie toegang heeft tot welke systemen, hoe je omgaat met datalekken, en meer.

NEN 7510 is de Nederlandse variant van ISO 27001, speciaal gemaakt voor de zorgsector. De structuur is vrijwel identiek aan ISO 27001, maar de norm voegt extra eisen toe die specifiek gaan over het omgaan met patiëntgegevens en medische informatie — denk aan toegangsbeheer tot elektronische patiëntdossiers, logging en veilige gegevensuitwisseling.

Het ISMS (Information Security Management System) is hoe wíj die regels hebben ingevuld. Het is een verzameling van afspraken, processen en documenten die beschrijft hoe wij als bedrijf veilig werken.

De externe audit wordt jaarlijks gedaan door een onafhankelijke certificeringsinstantie. Die toetst of ons ISMS voldoet aan de ISO 27001 / NEN 7510 norm. Een positieve beoordeling leidt tot certificering — het bewijs naar klanten en partners dat wij informatiebeveiliging serieus nemen.

De interne audit wordt intern uitgevoerd om problemen in het ISMS op te sporen, als voorbereiding op de externe audit.

Deze sessies en de bijbehorende rapportage is auditbewijs. De auditor wil namelijk niet alleen zien dat we beleid hebben — die wil zien dat we het ook naleven. Een map vol gedateerde sessierapporten laat precies dat zien: het hele team is structureel en aantoonbaar actief bezig met bewustwording.

Belangrijk: het ISMS is niet van de eigenaren — het is van het hele team. De afspraken daarin gaan over hoe wij allemaal werken. Jij bent er dus ook verantwoordelijk voor, en jouw inbreng telt.

Research & presentatie

Hoe kies ik een onderwerp?

Je mag zelf bepalen wat je doet. Hier zijn wat ideeën om op gang te komen:

  • Duik in het ISMS — blader erdoorheen en zoek iets wat je niet kende of interessant vindt. Licht het toe met een voorbeeld uit de praktijk of gerelateerde informatie.
  • Maak een quiz — stel 5 à 10 vragen over je onderwerp en laat het team raden of zelfstandig invullen. Een discussie starten is het doel.
  • Speel een wat-als scenario uit — “Wat als mijn laptop gestolen wordt?” of “Wat als een database gehacked is?” Bespreek samen wat je dan doet.
  • Behandel recent nieuws — een hack in het nieuws, een nieuw beveiligingslek of een relevante ontwikkeling in de tech-wereld.
  • Laat een tool of techniek zien — denk aan een wachtwoordmanager, two-factor authenticatie, hoe je veilig bestanden deelt, of nieuwe ontwikkelingen.
  • Bespreek een (bijna-)incident — bespreek iets wat (bijna) mis ging. Wat leren we ervan?

Praktisch

  • Duur: circa 5 à 10 minuten tijdens de weekopening
  • Heb je langer nodig? Laat dit vooraf weten
  • Je hoeft geen perfecte presentatie te maken — een praatje, een gedeeld scherm of een paar slides is prima
  • Het gaat om bewustwording, niet om een tentamen. Je krijgt er geen cijfer voor
  • Op de lange termijn is het niet erg als onderwerpen herhaald worden. De intentie is om belangrijke onderwerpen in beeld te houden en om ook nieuwe teamleden te informeren.

Rapportage

Na je sessie vul je het rapportage-template in. Dit hoeft niet uitgebreid — een paar regels per onderdeel is genoeg.

Je legt hierin vast:

  • Wat je behandeld hebt
  • Welk deel van het ISMS dit raakt
  • Wat de belangrijkste leerpunten waren
  • Of er vragen of discussiepunten waren
  • Of er vervolgacties zijn

Het ingevulde rapport sla je op in de map van jouw sessie in github:

awareness-sessions/
  2026-03-25_mijn_onderwerp/
    presentation.pdf
    report.md

ISMS aanvullen of verbeteren

Het ISMS is een levend document. Komt er tijdens je sessie iets naar voren wat ontbreekt, verouderd is of beter kan? Dan is dat waardevolle input.

Maak een pull request op de repository met je voorgestelde wijziging. Weet je niet hoe dat werkt? Vraag een collega om je te helpen. Als je weinig tijd hebt, of grotere veranderingen wilt dan op korte termijn uitgevoerd kan worden kan je ook een GitHub Issue aanmaken met de gewenste aanpassing.

Het ISMS is beschikbaar op het web via https://yipyip-isms.pages.dev/ (main branch). Als je een eigen branch maakt als feature dan kan je deze (kort na pushen) voor branch feature/xyz terugvinden op https://feature-xyz.yipyip-isms.pages.dev/. Zo kan je je wijzigingen previewen voor je ze instuurt via een pull request.

Nieuwe presentator aanstellen

Direct na je presentatie draag je de beurt over aan de volgende persoon.

  1. Vraag eerst of iemand zich vrijwillig aanmeldt
  2. Niemand? Kijk dan in de planning wie al een tijdje niet aan de beurt is geweest en voldoende tijd heeft de komende twee weken om iets voor te bereiden
  3. Spreek dit kort af en zorg dat het in de planning wordt bijgewerkt

Vragen over deze handleiding? Stel je vraag in Slack#algemeen of open een issue in de repository.