Veel bedrijven zijn op zoek naar een certificaat om zorgvuldige en effectieve voorzorgsmaatregelen voor gegevensbescherming aan te tonen. Ook de Algemene Verordening Gegevensbescherming van de EU voorziet in certificering van gegevensbescherming. Met ISO 27701 is in augustus 2019 een nieuwe norm gepubliceerd voor het aantonen van de implementatie van regelgeving op het gebied van gegevensbescherming. Deze nieuwe internationale norm is nu ook certificeerbaar.
INHOUD
Idealiter wordt het beheer van gegevensbescherming ontworpen met behulp van een internationale norm, in combinatie met ISO 27001. De bekende norm ISO/IEC 27001 behandelt de vereisten voor een managementsysteem voor informatiebeveiliging (ISMS) en kan ook voor dit toepassingsgebied worden gecertificeerd. De nieuwe norm ISO/IEC 27701 voor gegevensbeschermingsmanagement bouwt voort op ISO 27001 en voegt daar criteria voor gegevensbescherming aan toe. Deze uitbreiding integreert de vereisten voor een informatiemanagementsysteem voor gegevensbescherming (DSMS of Privacy Information Management System, PIMS) in een ISMS.
De volledige titel van de internationale gegevensbeschermingsnorm is:
ISO/IEC 27701:2019 - Beveiligingstechnieken - Uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacyinformatiemanagement - Eisen en richtlijnen.
De norm is verkrijgbaar via de website van ISO.
Net als ISO 27001 houdt ook ISO 27701 rekening met de managementsysteembenadering en verwijst naar de basisstructuur van moderne managementsysteemnormen, de High Level Structure (HLS).
Stephan Rehfeld, gegevensbeschermingsexpert en auditor bij DQS
De nieuwe internationale norm maakt deel uit van ISO 29100, die alle gegevensbeschermingsprincipes bevat. Hij zou aanvankelijk ISO 27552 gaan heten, maar werd toen omgedoopt tot ISO 27701. De achtergrond hiervan is de beslissing van de International Organization for Standardization (ISO) om alle belangrijke certificeerbare normen te laten eindigen op 01.
In plaats van "informatiebeveiliging" spreekt de nieuwe gegevensbeschermingsnorm over "informatiebeveiliging en gegevensbescherming". Bovendien zijn er toevoegingen aan de inhoud. Zo moet bij de context van de organisatie rekening worden gehouden met relevante wetten inzake gegevensbescherming en gerechtelijke uitspraken. Zo moet bij de risicobeoordeling ook rekening worden gehouden met criteria voor de verwerking van persoonsgegevens - met de bescherming van getroffen personen en een mogelijke effectbeoordeling altijd in het achterhoofd.
Daarnaast bevat ISO 27701 aanvullingen op ISO 27002, de leidraad voor de uitvoering van de maatregelen uit bijlage A van ISO 27001.
De ISO-norm biedt ook de volgende leidraad voor het beheer van gegevensbescherming:
Gegevensbescherming in het kader van informatiebeveiliging - een spannend onderwerp? Meer deskundige kennis over de ISO 27701 norm in onze gratis White Paper.
De bijlage van ISO 27701 bevat een gedetailleerde toewijzingstabel van maatregelen aan de vereisten van de GDPR. Hier wordt duidelijk welke invloed de EU General Data Protection Regulation heeft op deze internationale norm voor gegevensbescherming.
Information security management systems (ISMS) en privacy information management systems (PIMS) zijn nauw met elkaar verweven.
Privacy en gegevensbeveiliging gaan over persoonsgegevens. De ISO 27000 normenreeks gaat vooral over het beschermen van informatie, waarbij persoonsgegevens een deelverzameling vormen. Dus het perspectief bepaalt of iets een datalek of een informatiebeveiligingsincident is, of zelfs beide.
Stephan Rehfeld, expert gegevensbescherming en auditor bij DQS
Waar in ISO 27001 of ISO 27002 de term "informatiebeveiliging" wordt gebruikt, heet het in ISO 27701 "informatiebeveiliging en gegevensbescherming". Door deze toevoeging wordt gegevensbescherming een onderdeel van het managementsysteem voor informatiebeveiliging.
Er zijn echter ook afwijkingen waarbij een PIMS anders functioneert dan een ISMS. Eén voorbeeld: het andere begrip van de context van de organisatie. In ISO 27701, in clausule 4.1, is er een aanvullende eis ten opzichte van ISO 27001 dat "de organisatie haar rol als verantwoordelijke partij of medebeheerder voor gedeelde verantwoordelijkheden en/of als contractverwerker moet definiëren."
Deze eis ontbreekt in het managementsysteem voor informatiebeveiliging omdat het ISMS het onderscheid tussen "verantwoordelijke" en "bewerker" niet erkent. Derhalve bevat ISO 27701 twee aanvullende bijlagen met gegevensbeschermingsspecifieke maatregelen voor "voor de verwerking verantwoordelijken" en "verwerkers".
ISO 29100 definieert de gegevensbeschermingsbeginselen waaraan het eigen managementsysteem van het bedrijf moet voldoen. Artikel 5 van de algemene verordening gegevensbescherming (GDPR) laat zien welke gegevensbeschermingsdoelstellingen moeten worden bereikt met de operationele artikelen van de GDPR. De beginselen en doelstellingen komen grotendeels overeen. Dit komt doordat de OESO in 1980 doelstellingen voor gegevensbescherming heeft gedefinieerd. Deze dienden als basis voor zowel ISO 29100 als de GDPR.
In het Information Security Management System (ISMS) staan de informatiebeveiligingsdoelstellingen vertrouwelijkheid, integriteit, beschikbaarheid. Dit is ook terug te vinden in respectievelijk artikel 5 en artikel 32 DS-GVO. Een belangrijk verschil is echter de definitie van "belanghebbenden" in het ISMS. Hieronder vallen bijvoorbeeld de eigen werknemers van de onderneming, klanten, leveranciers, investeerders of autoriteiten. Bij gegevensbescherming daarentegen is de belanghebbende alleen de betrokkene.
Risicobeheer inzake gegevensbescherming verschilt dus ook van risicobeheer inzake informatiebeveiliging. Bijgevolg kan het ISMS niet één op één worden gebruikt als PIMS met zijn gegevensbeschermingsspecifieke processen. Niettemin zijn er mogelijkheden voor integratie, zodat bijvoorbeeld gezamenlijke interne audits kunnen plaatsvinden.
Op het gebied van certificering zal de nieuwe ISO 27701-norm in de toekomst een aanvulling vormen op ISO 27001 - en het zal de eerste norm zijn die gegevensbescherming bevestigt door middel van een certificaat. DQS zit daartoe momenteel in het accreditatieproces bij de Duitse accreditatie-instantie (DAkkS) en verwacht binnenkort goedkeuring te krijgen. Aangezien ISO 27701 is ontworpen als een uitbreiding van ISO 27001, kan het managementsysteem voor gegevensbescherming volgens ISO 27701 niet worden gecertificeerd zonder een managementsysteem voor informatiebeveiliging volgens ISO 27001.
Iedereen die een systematisch managementsysteem voor gegevensbescherming (PIMS) in overeenstemming met ISO 27701 heeft ontwikkeld en geïmplementeerd - met andere woorden, iedereen die zijn persoonsgegevens systematisch beschermt en beheert - zal het gemakkelijk vinden om de naleving van de wettelijke vereisten te waarborgen en aan te tonen. Bedrijven kunnen de nieuwe norm gebruiken om de informatiebeveiliging en de bijbehorende gegevensbescherming grotendeels in overeenstemming te brengen met de gegevensbescherming.
Bij de implementatie van de nieuwe ISO-norm ontkomen bedrijven er niet aan om duidelijke verantwoordelijkheden op het gebied van gegevensbescherming te definiëren. Dit voordeel mag niet onderschat worden. In de meeste bedrijven zonder een systematisch managementsysteem voor gegevensbescherming worden verantwoordelijkheden te vaak op een zachte manier geformuleerd uit onbegrepen beleefdheid ("Zou je dit in de toekomst kunnen overnemen?"). Of verantwoordelijkheden worden gedeeld, onder het motto "We doen het samen!". Beide leiden er onvermijdelijk toe dat uiteindelijk niemand zijn verantwoordelijkheid neemt. Met een goed gestructureerd managementsysteem voor gegevensbescherming zijn er duidelijke richtlijnen, en dat is onbetaalbaar.
Stephan Rehfeld, dataprotectie-expert en auditor bij DQS
De nieuwe ISO-norm is zeker niet alleen gebaseerd op de principes van de Algemene Verordening Gegevensbescherming, maar is ook bedoeld om bedrijven te ondersteunen bij de naleving van wereldwijde gegevensbeschermingsnormen. Het doel is om een PIMS op te zetten, te implementeren, te onderhouden en continu te verbeteren.
Er is nog een ander pluspunt ten gunste van de integratie van ISO 27701 met ISO 27001. Met de invoering van ISO 27701 worden bedrijven vrijwel "gedwongen" tot een risicogerichte aanpak van de bescherming van persoonsgegevens. Dit omvat bijvoorbeeld het volledig definiëren en beoordelen van risico's en het inschatten van de waarschijnlijkheid waarmee deze zich zullen voordoen.
Deze risicobeoordeling vormt vervolgens het uitgangspunt om het concrete schadepotentieel tot een aanvaardbaar niveau terug te brengen. Overigens vinden we deze heerlijk pragmatische aanpak in vergelijkbare vorm ook terug bij de GDPR, zodat de cirkel qua praktische relevantie ook rond is.
Wie veilig door de klippen van de nationale en internationale regelgeving inzake gegevensbescherming wil navigeren, ontkomt er niet aan het onderwerp gestructureerd en systematisch te benaderen. In deze context biedt ISO 27701 een grote toegevoegde waarde.
Gegevensbescherming en -beveiliging kunnen zo ook door middelgrote bedrijven worden beheerst en bieden een uitstekende blauwdruk voor compliance-compliance gegevensbescherming. Dit omvat een uitgebreide verzameling van best practices die bedrijven kunnen gebruiken om met vertrouwen te documenteren dat ze de nodige zorgvuldigheid betrachten bij het omgaan met kritieke gegevens.
Wat zijn de vereisten voor ISO 27701-certificering en wat zijn de kosten? Kom erachter. Gratis en vrijblijvend.
In het samenspel van dynamiek en stabiliteit worden gecertificeerde managementsystemen steeds belangrijker - een ontwikkeling die DQS positief aanvoelt. Want succesvolle bedrijven en organisaties gebruiken de bevindingen van onze audits om hun resultaten voortdurend te verbeteren. Ook gebruiken zij onze wereldwijd erkende certificaten als objectief bewijs van hun kwaliteitscapaciteit. Dit schept vertrouwen - zowel intern als extern aan uw bedrijf.
Onze teksten en brochures worden uitsluitend geschreven door onze normdeskundigen of auditors met een lange staat van dienst. Als u vragen hebt over de tekstinhoud of onze diensten aan onze auteur, neem dan contact met ons op.
Productmanager en expert voor informatiebeveiliging en softwareontwikkeling. Holger Schmeken brengt ook zijn expertise in als auditor voor ISO 27001 met KRITIS audit procedure competentie en Chief Information Security Officer van DQS BIT GmbH.
