TAGGRS is een snelgroeiend platform dat organisaties helpt om marketingdata en tracking op een privacyvriendelijke manier te verzamelen en beheren. Het bedrijf werkt op de raakvlakken van data, marketingtechnologie en privacy, waar het zorgvuldig omgaan met persoonsgegevens noodzakelijk is. Omdat TAGGRS werkt met gevoelige klant- en gebruiksdata, zijn informatiebeveiliging en privacy (AVG/GDPR) niet alleen een randvoorwaarde, maar het belangrijkste onderdeel van de dienstverlening. Naarmate het bedrijf groeide, werd het steeds belangrijker om dit niet alleen technisch goed in te richten, maar ook aantoonbaar en structureel te borgen volgens ISO 27001.

‍

Groeipijn, ongeschreven regels en de roep om structuur

Door de snelle groei van TAGGRS nam ook de behoefte aan structuur en aantoonbare informatiebeveiliging toe. Waar veel processen in de praktijk al goed liepen, was dat niet overal vastgelegd of op een consistente manier geborgd. Veel kennis zat in de organisatie zelf, maar niet in systemen of documentatie. Daardoor moesten zaken regelmatig opnieuw worden uitgelegd of uitgezocht, wat steeds minder schaalbaar werd.

“Er waren veel ongeschreven regels. Alles liep prima, maar het stond nergens gedocumenteerd”, vertelt Edwin Remery, ISO-verantwoordelijke binnen TAGGRS.

Tegelijkertijd kwamen er vanuit klanten steeds meer vragen over informatiebeveiliging en privacy. Niet alleen in de vorm van losse vragen, maar ook uitgebreide vragenlijsten die aantoonbaar moesten worden beantwoord.

Dat zorgde voor een duidelijke behoefte: niet alleen voldoen aan ISO 27001, maar het ook écht aantoonbaar en structureel organiseren. Daarbij speelde nog een extra uitdaging: de norm zelf was niet altijd eenvoudig te interpreteren. Het vertalen van eisen naar concrete maatregelen in de praktijk bleek complex, zeker in een organisatie die volop in ontwikkeling was.

Structuur en draagvlak creëren in een snelgroeiende scale-up

Voor TAGGRS was al snel duidelijk dat er behoefte was aan meer dan alleen advies of een auditvoorbereiding. De organisatie zocht een partner die ISO 27001 niet alleen kon uitleggen, maar vooral praktisch kon vertalen naar de dagelijkse realiteit binnen het bedrijf. De uitdaging zat niet alleen in het behalen van certificering, maar juist in het structureel inrichten en borgen van processen binnen een snelgroeiende organisatie.

“Een auditor mag geen advies geven. Dan is het juist fijn om een partij te hebben die kan helpen met duiding en praktische begeleiding”, aldus Edwin Remery.

Fendix werd daarom gekozen als implementatiepartner. De samenwerking startte met een GAP-analyse om scherp te krijgen waar de organisatie stond en welke stappen nodig waren richting volwassen informatiebeveiliging. Van daaruit werd stap voor stap gewerkt aan het inrichten van het ISMS en de voorbereiding op audits. Daarbij lag de focus niet alleen op compliance op papier, maar vooral op hoe processen in de praktijk daadwerkelijk werken en worden toegepast door medewerkers.

Van interpretatie naar praktische uitvoering

In de eerste fase werd wekelijks afgestemd in sessies van ongeveer één uur. Deze korte lijnen zorgden voor snelheid, directe afstemming en het snel kunnen oppakken van openstaande vragen. Naarmate het traject vorderde, verschoven deze sessies naar tweewekelijkse sessies van twee uur. Hierdoor ontstond meer ruimte voor verdieping, het uitwerken van maatregelen en het toetsen van implementaties in de praktijk.

“Teksten uit de norm zijn best lastig te lezen. Dan is het fijn als iemand kan uitleggen wat het concreet betekent voor je organisatie”, geeft Edwin aan.

Gedurende het traject bleef Fendix het vaste aanspreekpunt voor interpretatie en duiding. In eerste instantie werkte TAGGRS met Word en Excel om acties en taken te structureren. Tijdens het traject is dit verder geprofessionaliseerd met de overstap naar Notion, waardoor informatiebeveiliging en compliance centraler en consistenter beheerd konden worden.

Daarnaast werd bewust ingezet op interne communicatie. Tijdens maandelijkse sessies werden medewerkers meegenomen in nieuwe maatregelen en de achterliggende redenen daarvan. Dit zorgde voor meer begrip, draagvlak en betrokkenheid binnen de organisatie. Door het hele traject heen lag de nadruk niet alleen op het uitvoeren van maatregelen, maar juist op het begrijpen, toepassen en borgen ervan in de organisatiecultuur.

Er was veel welwillendheid vanuit TAGGRS en deadlines werden serieus genomen. Daarnaast kwamen er tijdens de sessies altijd concrete vragen vanuit het team, waardoor we heel gericht feedback konden geven en snel stappen konden zetten. Volgens Ruben den Dulk die TAGGRS als consultant mocht begeleiden, draait een succesvol ISO 27001-traject niet alleen om documentatie of compliance, maar vooral om draagvlak en toepasbaarheid binnen de organisatie.

“Je kunt processen perfect opschrijven, maar als medewerkers niet begrijpen waarom bepaalde maatregelen bestaan of hoe ze ermee moeten werken, blijft informatiebeveiliging iets op papier. Juist die vertaalslag naar de praktijk maakt het verschil.”

Daarom lag de focus tijdens het traject niet alleen op het implementeren van maatregelen, maar ook op het begrijpelijk maken ervan voor de organisatie zelf.