Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Vanaf dat moment kan de Autoriteit Persoonsgegevens (AP) als toezichthouder optreden uit hoofde van deze Europese verordening indien de privacyregels niet goed worden nageleefd.

Veel organisaties kampen met de vraag hoe men compliant moet worden en waar te beginnen. Men realiseert zich niet vaak dat de weg naar compliance grote overlap bevat met het implementeren of aanvullen van een managementsysteem zoals die voor ISO/ IEC 27001:2013, het information Security Management Systeem (ISMS).

Parallellen borging informatiebeveiliging en privacy

De implementatie van een ISMS en daarbij de borging van informatiebeveiliging en privacy gaan hand in hand. De extra stap vanuit een werkend ISMS is een relatief kleine, waarbij een verdieping moet worden gemaakt naar privacy. Dit is ook logisch aangezien de 27001 standaard het beveiligen van informatie beoogd; dus ook privacygevoelige informatie. Hieronder enkele voorbeelden:

Eis 27001:2013

Eis AVG

Stel een informatiebeveiligingsbeleid op (5.2). Stel een passend gegevensbeschermingsbeleid op (art. 24 lid 2).
De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren (6.1.2)

Informatiebeveiliging moet aan de orde komen in projectbeheer (A.6.1.5).

De Privacy Impact Assessment wordt door de EU-verordening (art. 33) bij bijzondere risico’s voor de betrokkenen.
Informatie moet worden geclassificeerd voor de wettelijke eisen, waarde belang en gevoeligheid voor onbevoegde bekendmaking of wijziging (A.8.2.1)

Informatie en informatie verwerkende faciliteiten moeten worden geïdentificeerd en een inventaris worden opgesteld en onderhouden. (A.8.1.1).

Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten, inclusief een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens (art. 30).
Het opstellen van principes voor beveiligde systemen (A.14.2.5). Het toepassen van privacy by design in producten en diensten (art. 25).
Procedures moeten worden vastgesteld voor informatiebeveiligingsincidenten (A.16.1.1). Een procedure voor het melden van (vermeende) datalekken bij de AP (art. 33).
Opnemen van beveiligingsaspecten in leveranciersovereenkomsten (A.15.1.2). Een verwerking door een verwerker wordt geregeld in een overeenkomst (art. 28 lid 3).

De bovenstaande punten zijn slechts enkele voorbeelden, waarbij een directe koppeling is te maken tussen beide standaarden. Graag staan wij nog specifiek stil bij het register met de verwerkingen. Het zo vaak genoemde verwerkingsregister is onderdeel van het standaard eisenpakket van de ISO/ IEC 27001 standaard!

Toenemende vraag naar certificeringsmechanismen door de AVG

Sterker in artikel 28 stelt de AVG expliciet dat certificeringsmechanismen kunnen worden gebruikt om aan te tonen dat voldoende (technische en organisatorische) garanties zijn getroffen voor de bescherming van de (privacy)gevoelige informatie. Bij uitstek leent een behaald certificaat voor de ISO/ IEC 27001:2013 standaard zich hiervoor. Het certificaat biedt voor de generieke zaken al een voorsprong en (potentiële) opdrachtgevers zullen vanuit dit oogpunt in toenemende mate vragen naar dergelijke certificeringsmechanismen.

Heeft u interesse in het behalen van een ISO/ IEC 27001 certificering?

Wilt u uw organisatie laten certificering naar de ISO/ IEC 27001:2013 norm of een andere norm en daarmee een bijdrage te leveren aan compliance aan de AVG. Dan bent u bij QMS International aan het juiste adres. Neem vrijblijvend contact met ons op voor het bespreken van de mogelijkheden.