Spring naar inhoud

3.3 Processen die uitblinken

Beoordeling kwaliteitsmanagementsysteem

In 2024 is ons kwaliteitsmanagementsysteem tweemaal beoordeeld en goedgekeurd voor de ISO-normen 9001 en 55001. Hiermee tonen wij aan dat we voldoen aan de strenge eisen op het gebied van kwaliteitsmanagement (ISO 9001) en assetmanagement (ISO 55001). Daarnaast heeft een positieve externe audit plaatsgevonden op de 43 kritieke beheersmaatregelen die waterbedrijven verplicht moeten implementeren volgens de Wet Beveiliging Netwerk- en Informatiesystemen. Bij beide audits zijn geen grote onvolkomenheden geconstateerd.

NIB-audit

In mei 2024 vond de eens per vier jaar verplichte externe audit PA-normen waterleidingbedrijven plaats. Deze audit maakt onderdeel uit van het Leveringsplan. Uit de audit bleek dat Waterbedrijf Groningen haar digitale weerbaarheid goed op orde heeft.

Verbeteracties

Wij houden alle verbeteracties die voortkomen uit interne en externe audits en de directiebeoordeling bij in het Verbeterregister. In de loop van 2024 is de gemiddelde doorlooptijd van verbeteracties gestegen naar 10,2 maanden (2023: 7,2 maanden). Deze stijging wordt verklaard door enkele acties die al langere tijd openstaan en daarmee het gemiddelde omhoog trekken. Door regelmatig aandacht te vragen voor deze acties houden we de juiste focus. Ondanks de stijging voldoen alle openstaande acties nog steeds aan de gestelde interne norm.

Harmonisatie kwaliteitsmanagementsysteem

In 2024 is gestart met een project om vier afzonderlijke kwaliteitssystemen (9001, 55001, milieumanagement en informatieveiligheid) samen te brengen in één integraal kwaliteitsmanagementsysteem. Hiervoor zijn meerdere deelprojecten opgezet, gericht op het ontwikkelen van procesmanagement en het minimaliseren van overlap bij het opstellen van brondocumenten die nodig zijn om te voldoen aan diverse externe verantwoordingsvereisten.

Daarnaast is een project gestart om het beheer van kwaliteitsdocumenten te stroomlijnen in één centrale applicatie. Dit zal ons helpen om interne procedures en werkinstructies uniform en eenduidig beschikbaar te stellen.

Beveiliging en crisismanagement

Meer dan ooit hebben we aandacht voor beveiliging en crisismanagement. Hierbij draait het om het borgen van de leveringszekerheid en het voorbereid zijn op eventuele calamiteiten en crises. Want wat doen we, op het moment dat we geen betrouwbaar drinkwater kunnen leveren? 

Een belangrijk onderdeel van beveiliging en crisismanagement is dan ook het identificeren van potentiële gevaren (niet-moedwillig) en dreigingen (moedwillig). We beoordelen de impact en de waarschijnlijkheid hiervan in een verstoringsrisico-analyse en benoemen vervolgens passende maatregelen. 

We doen dit doorlopend en eens in de vier jaar leggen we deze analyse en maatregelen vast in ons Leveringsplan. Hiermee voldoen we aan de eisen van de Drinkwaterwet. In 2024 is het Leveringsplan goedgekeurd door de Inspectie Leefomgeving en Transport (ILT).

Oefeningen in 2024

Om de directe afspraken en onze kennis rondom verstoringen blijvend onder de aandacht te houden, organiseerden we ook in 2024 doorlopend oefeningen. Dit varieert van zogenoemde laptop-oefeningen waarbij een scenario wordt voorgelegd aan een groep die een casus gaat uitwerken tot korte kennisquizen over specifieke onderwerpen.

Zo hebben we in 2024 aan de hand van het scenario ‘brand bij ons drinkwaterlaboratorium WLN’ geoefend of de maatregelen die dan genomen moeten worden bekend zijn en werken. Ook hebben we op een van onze drinkwaterlocaties geoefend met het blijven produceren van drinkwater als de IT uitvalt.

Digitaal fit

In 2024 hebben we eveneens gewerkt aan de weerbaarheid van medewerkers op het vlak van cyberveiligheid. We investeerden niet alleen in het vergroten van kennis over het werken met onze IT-systemen maar trainden ook in het herkennen van phishing en social engineering. Speciaal voor nieuwe medewerkers is er als onderdeel van het ‘onboarding programma’ een basistraining cyberweerbaarheid ontwikkeld.

AVG-incident

Op 17 mei 2024 werd Waterbedrijf Groningen geïnformeerd door leverancier AddComm over een ransomware-incident (ook wel een incident met gijzelsoftware genoemd). AddComm nam maatregelen om verdere verspreiding te voorkomen en bevestigde begin juni dat klantgegevens van Waterbedrijf Groningen deel uitmaakten van het incident. Er waren geen aanwijzingen dat onze systemen zelf waren getroffen.

Wij hebben de Autoriteit Persoonsgegevens ingelicht en klanten gewaarschuwd voor mogelijke phishing. Mede naar aanleiding van dit incident hebben we een CISO (Chief Information Security Officer) aangesteld die samen met onder andere de afdeling inkoop kritisch kijkt naar ons leveranciersmanagement.

Samenwerkingsprotocol incidenten

In 2024 hebben Waterbedrijf Groningen, WLN en WMD afspraken met elkaar gemaakt over samenwerking en coördinatie ingeval van verstoringen. Het kan gaan om verstoringen in de ICT, verstoringen in de kwantiteit of de kwaliteit van onderlinge drinkwaterleveringen tussen Waterbedrijf Groningen en WMD alsook om uitval van het (gezamenlijke) laboratorium WLN. Aanleiding hiervoor was (ook) de ISIDOOR-oefening in 2023. In 2025 wordt aan de hand van oefeningen gekeken of de afspraken goed functioneren.