Standaard voor gegevensbescherming bij clouddiensten
De internationale standaard is van toepassing op alle soorten en maten organisaties, waaronder publieke en private bedrijven, overheidsinstellingen en non-profitorganisaties die informatieverwerkingsdiensten leveren als verwerkers van PII via cloud computing namens andere organisaties. De richtlijnen in dit document kunnen ook relevant zijn voor organisaties die optreden als verantwoordelijken voor de verwerking van PII. Voor beheerders van PII kunnen echter aanvullende wet- en regelgeving en verplichtingen inzake de bescherming van PII gelden die niet van toepassing zijn op verwerkers van PII. Dit document is niet bedoeld om dergelijke aanvullende verplichtingen te behandelen.
ISO/IEC 27018:2020 is van toepassing op alle soorten en maten organisaties, waaronder private en publieke bedrijven, overheidsinstellingen en non-profitorganisaties, die informatieverwerkingsdiensten leveren via cloud computing in de zin van een PII-verwerker.
Beheersysteem voor informatiebeveiliging bij cloud computing op basis van ISO 27001
Implementatie van algemeen geaccepteerde controles op de bescherming van PII
Koppeling aan privacyprincipes van de OESO
Internationaal erkende naleving biedt concurrentievoordelen
Informatie over de ISO 27018-norm
ISO/IEC 27018 specificeert vereisten voor gegevensbescherming voor leveranciers van clouddiensten en formuleert controlemechanismen en richtlijnen voor het implementeren van controles om de bescherming van persoonsgegevens in een cloudomgeving te waarborgen. Daarbij houdt de norm rekening met vereisten voor gegevensbescherming die al bestaan op andere gebieden en past deze specifiek aan op risico's voor informatiebeveiliging op het gebied van cloud computing.
De huidige norm is in augustus 2020 gepubliceerd door de G
ISO/IEC 27018:2019Informatietechnologie - Beveiligingstechnieken - Praktijkcode voor de bescherming van persoonlijk identificeerbare informatie (PII) in openbare clouds die als PII-verwerkers optreden is beschikbaar op de website van ISO.
Deze norm volgt op ISO/IEC 27017 (Information security controls for cloud services), die betrekking heeft op andere informatiebeveiligingsaspecten van cloud computing dan alleen gegevensprivacy.
Wat zijn de voordelen van een internationaal gecertificeerde cloudstandaard?
Wie mag certificeren volgens ISO 27018?
Wat zijn de stappen naar een ISO 27018 certificering?
Uw bedrijf wordt gecertificeerd op basis van de internationale norm ISO/IEC 27001 voor een beheersysteem voor informatiebeveiliging dat is geïmplementeerd volgens SO/IEC 27018:2019. Zodra alle standaardvereisten zijn geïmplementeerd, kunt u uw managementsysteem laten certificeren. Je doorloopt bij DQS een certificeringsproces in meerdere stappen.
In de eerste stap bespreek je jouw bedrijf, je huidige informatiebeveiliging en de doelen van een ISO 27018 certificering. Op basis van deze gesprekken ontvangt u een individuele offerte die is afgestemd op de behoeften van uw bedrijf.
De certificeringsaudit begint met een systeemanalyse (auditfase 1) en de evaluatie van uw documentatie, de doelstellingen, de resultaten van uw managementbeoordeling, de beoordeling van de reikwijdte en de interne audits. In dit proces bepalen we of uw managementsysteem voldoende is ontwikkeld en klaar is voor certificering.
In de volgende stap (systeemaudit fase 2) beoordeelt uw DQS-auditor de effectiviteit van alle managementprocessen op locatie om vast te stellen of u aan alle eisen van de norm voldoet. Er wordt een juridisch expert aan het auditteam toegevoegd om de effectiviteit van het managementsysteem met betrekking tot de toepasselijke wetgeving op het gebied van gegevensprivacy te beoordelen. De resultaten worden gepresenteerd tijdens een afsluitende vergadering en indien nodig worden plannen voor concrete maatregelen overeengekomen.
Na de certificeringsaudit worden de resultaten geëvalueerd door de onafhankelijke certificeringscommissie van DQS. U ontvangt een auditrapport met de auditresultaten. Als aan alle eisen van de norm is voldaan, ontvangt u een bijbehorend conformiteitscertificaat. De geldigheid hiervan is gekoppeld aan die van het onderliggende ISO 27001-certificaat.
Om ervoor te zorgen dat uw bedrijf ook na de audit aan alle belangrijke eisen blijft voldoen, voeren we jaarlijks surveillance audits uit. Dit biedt deskundige ondersteuning voor de voortdurende verbetering van uw beheersysteem voor informatiebeveiliging en uw bedrijfsprocessen.
Het conformiteitscertificaat is maximaal drie jaar geldig. Hercertificering wordt tijdig voor het verstrijken van de geldigheidsduur uitgevoerd om ervoor te zorgen dat u blijft voldoen aan de toepasselijke standaardvereisten van de IT-beveiligingscatalogus. Bij naleving wordt een nieuw conformiteitscertificaat uitgegeven.
Wat kost ISO 27018 certificering?
Wat u van ons kunt verwachten
- Expertise en accreditaties voor alle relevante normen
- Persoonlijke, soepele ondersteuning door onze specialisten - regionaal, nationaal en internationaal
- Individuele offertes met flexibele contractvoorwaarden en geen verborgen kosten