Standaard voor gegevensbescherming bij clouddiensten

ISO/IEC 27018 bevat algemeen aanvaarde controledoelstellingen en richtlijnen voor de bescherming van persoonlijke gegevens bij cloud computing. Inhoudelijk bouwt de norm voort op bestaande beveiligingsnormen - in het bijzonder ISO/IEC 27002. De eisen hebben echter specifiek betrekking op het regelen van de verwerking van persoonsgegevens in een cloudomgeving.

De internationale standaard is van toepassing op alle soorten en maten organisaties, waaronder publieke en private bedrijven, overheidsinstellingen en non-profitorganisaties die informatieverwerkingsdiensten leveren als verwerkers van PII via cloud computing namens andere organisaties. De richtlijnen in dit document kunnen ook relevant zijn voor organisaties die optreden als verantwoordelijken voor de verwerking van PII. Voor beheerders van PII kunnen echter aanvullende wet- en regelgeving en verplichtingen inzake de bescherming van PII gelden die niet van toepassing zijn op verwerkers van PII. Dit document is niet bedoeld om dergelijke aanvullende verplichtingen te behandelen.

ISO/IEC 27018:2020 is van toepassing op alle soorten en maten organisaties, waaronder private en publieke bedrijven, overheidsinstellingen en non-profitorganisaties, die informatieverwerkingsdiensten leveren via cloud computing in de zin van een PII-verwerker.

Meer tonen
Minder tonen

Beheersysteem voor informatiebeveiliging bij cloud computing op basis van ISO 27001

Implementatie van algemeen geaccepteerde controles op de bescherming van PII

Koppeling aan privacyprincipes van de OESO

Internationaal erkende naleving biedt concurrentievoordelen

Beschreibung Standard/Regelwerk
Loading...

Informatie over de ISO 27018-norm

De vereisten van ISO 27018 zijn specifiek voor de bescherming van persoonlijk identificeerbare informatie (PII). Ze zijn afgestemd op de implementatieaanbevelingen uit de ISO 27002:2013 Guide to Information Security Controls en passen dus naadloos in een ISO 27001:2013 informatiebeveiligingsbeheersysteem. Beide normen zijn in 2022 herzien, wat met name gevolgen heeft gehad voor de inhoud en structuur van de Annex A controles. ISO/IEC 27018 blijft echter verwijzen naar de 2013-versies van de normen.

ISO/IEC 27018 specificeert vereisten voor gegevensbescherming voor leveranciers van clouddiensten en formuleert controlemechanismen en richtlijnen voor het implementeren van controles om de bescherming van persoonsgegevens in een cloudomgeving te waarborgen. Daarbij houdt de norm rekening met vereisten voor gegevensbescherming die al bestaan op andere gebieden en past deze specifiek aan op risico's voor informatiebeveiliging op het gebied van cloud computing.

De huidige norm is in augustus 2020 gepubliceerd door de G

ISO/IEC 27018:2019Informatietechnologie - Beveiligingstechnieken - Praktijkcode voor de bescherming van persoonlijk identificeerbare informatie (PII) in openbare clouds die als PII-verwerkers optreden is beschikbaar op de website van ISO.

Deze norm volgt op ISO/IEC 27017 (Information security controls for cloud services), die betrekking heeft op andere informatiebeveiligingsaspecten van cloud computing dan alleen gegevensprivacy.

Meer tonen
Minder tonen
Mehrwert
Loading...

Wat zijn de voordelen van een internationaal gecertificeerde cloudstandaard?

In de praktijk is het gebruik van erkende beveiligingsprocedures een doorslaggevend criterium voor het selecteren van een cloudaanbieder. Dit geldt des te meer voor de controlerechten van de klant in het kader van gegevensverwerking in opdracht in overeenstemming met nationale wetgeving, zoals artikel 11 (2) nr. 7 van de Duitse BDSG. Met de introductie van ISO 27018 hebben aanbieders van clouddiensten de mogelijkheid om hun managementsysteem specifiek af te stemmen op deze vereisten voor gegevensbescherming en het te laten beoordelen.

Wer darf zertifizieren
Loading...

Wie mag certificeren volgens ISO 27018?

Om een beheersysteem voor informatiebeveiliging te kunnen certificeren, moet de betreffende certificeringsinstantie zelf geaccrediteerd zijn volgens ISO/IEC 17021 en ISO/IEC 27006. DQS is geaccrediteerd door de Duitse accreditatie-instelling DAkkS (Deutsche Akkreditierungsstelle GmbH) en is daarom bevoegd om audits en certificeringen uit te voeren volgens zowel ISO/IEC 27001 als ISO/IEC 27018.

Business28.png
Loading...

Wat zijn de stappen naar een ISO 27018 certificering?

Uw bedrijf wordt gecertificeerd op basis van de internationale norm ISO/IEC 27001 voor een beheersysteem voor informatiebeveiliging dat is geïmplementeerd volgens SO/IEC 27018:2019. Zodra alle standaardvereisten zijn geïmplementeerd, kunt u uw managementsysteem laten certificeren. Je doorloopt bij DQS een certificeringsproces in meerdere stappen.

In de eerste stap bespreek je jouw bedrijf, je huidige informatiebeveiliging en de doelen van een ISO 27018 certificering. Op basis van deze gesprekken ontvangt u een individuele offerte die is afgestemd op de behoeften van uw bedrijf.

De certificeringsaudit begint met een systeemanalyse (auditfase 1) en de evaluatie van uw documentatie, de doelstellingen, de resultaten van uw managementbeoordeling, de beoordeling van de reikwijdte en de interne audits. In dit proces bepalen we of uw managementsysteem voldoende is ontwikkeld en klaar is voor certificering.

In de volgende stap (systeemaudit fase 2) beoordeelt uw DQS-auditor de effectiviteit van alle managementprocessen op locatie om vast te stellen of u aan alle eisen van de norm voldoet. Er wordt een juridisch expert aan het auditteam toegevoegd om de effectiviteit van het managementsysteem met betrekking tot de toepasselijke wetgeving op het gebied van gegevensprivacy te beoordelen. De resultaten worden gepresenteerd tijdens een afsluitende vergadering en indien nodig worden plannen voor concrete maatregelen overeengekomen.

Na de certificeringsaudit worden de resultaten geëvalueerd door de onafhankelijke certificeringscommissie van DQS. U ontvangt een auditrapport met de auditresultaten. Als aan alle eisen van de norm is voldaan, ontvangt u een bijbehorend conformiteitscertificaat. De geldigheid hiervan is gekoppeld aan die van het onderliggende ISO 27001-certificaat.

Om ervoor te zorgen dat uw bedrijf ook na de audit aan alle belangrijke eisen blijft voldoen, voeren we jaarlijks surveillance audits uit. Dit biedt deskundige ondersteuning voor de voortdurende verbetering van uw beheersysteem voor informatiebeveiliging en uw bedrijfsprocessen.

Het conformiteitscertificaat is maximaal drie jaar geldig. Hercertificering wordt tijdig voor het verstrijken van de geldigheidsduur uitgevoerd om ervoor te zorgen dat u blijft voldoen aan de toepasselijke standaardvereisten van de IT-beveiligingscatalogus. Bij naleving wordt een nieuw conformiteitscertificaat uitgegeven.

Banking13.png
Loading...

Wat kost ISO 27018 certificering?

Aangezien elk bedrijf andere voorwaarden en individuele vereisten voor een managementsysteem heeft, kunnen de kosten voor de audit en certificering volgens ISO 27018 op basis van ISO 27001 niet als een vast bedrag worden gegeven. Neem contact met ons op: We maken graag een offerte op maat op basis van een objectieve beoordeling en uw vereisten.

Business2.png
Loading...

Wat u van ons kunt verwachten

  • Meer dan 35 jaar ervaring in de certificering van managementsystemen en -processen
  • Ervaren auditors en experts met een hoog niveau van sectorkennis en expertise
  • Inzichten in uw bedrijf die waarde toevoegen
  • Internationaal geaccepteerde certificaten
  • Expertise en accreditaties voor alle relevante normen
  • Persoonlijke, soepele ondersteuning door onze specialisten - regionaal, nationaal en internationaal
  • Individuele offertes met flexibele contractvoorwaarden en geen verborgen kosten
Meer tonen
Minder tonen
Loading...

Vraag een offerte aan

Uw lokale contactpersoon

We maken graag een offerte op maat voor uw ISO 27018 certificering.