Wat is met betrekking tot ISO-certificering de impact van de nieuwe privacywet, Algemene Verordening Gegevensbescherming (AVG) voor jouw organisatie? In gesprek hierover met Wirish Chanchal en Reinier van Es werkzaam bij Lloyd’s Register Quality Assurance (LRQA).
Welke certificaten zijn relevant voor de privacywetgeving?
Van Es: “Specifieke richtlijnen/ normen die relevant zijn op het gebied van de privacy wetgeving zijn onder andere:
- Generally Accepted Privacy Principles van AICPA/CICA
- NIST SP800-53R4-Security and Privacy Controls
- Het NOREA Raamwerk Privacy Audit
- ISO/IEC 29100:2011 Privacy Framework
- ISO/IEC 27018: Cloud Privacy Protection
Deze privacy gerichte standaarden en richtlijnen zijn toegespitst op de regelingen, procedures en afspraken die nodig zijn in de organisatie voor specifieke privacy gronden en hier kan compliance mee worden gerealiseerd. Een managementsysteem gebaseerd op ISO 27001 geeft echter een effectiever management baseline waarbij privacy compliance nu en in de toekomst beter kan worden gewaarborgd.
Daarnaast bestaat het belang van privacy-experts, die zich bezighouden met persoonscertificatie- en registratie. Op dit persoonsgebonden gebied opereert bijvoorbeeld de IAAP (International Association of Privacy Professionals). Alles omvattend is er meer is dan één standaard.”
Wat is het belang van de ISO 27001 standaard?
Van Es: “Dit is een internationale managementstandaard. Bij het opzetten van een managementsysteem helpt deze goed om te gaan met informatiebeveiliging. Organisaties tonen hiermee aan, vanuit een bedrijfsstrategie en stakeholdersoptiek gevoelige informatie serieus te behandelen, door kwalitatieve risicoanalyses uit te voeren waaruit passende controle maatregelen volgen.
In Nederland bestaat een afgeleide hiervan, de NEN 7510, die aanwijzingen geeft voor het toepassen van informatiebeveiliging ISO/IEC 27002:2005 in de gezondheidszorg. Dit betreft met name patiënt-gerelateerde data.”
Wanneer dient gestart te worden met certificeren om de deadline van 25 mei 2018 te halen?
Van Es: “Compliant zijn met de privacywet- en regelgeving is allereerst belangrijk. Grote en middelgrote organisaties zullen dit beter voor elkaar hebben dan de kleinere, omdat die vaak expertise en capaciteit missen.”
Chanchal: “Ontwikkelingen als inwerkingtreding van de AVG is een enorme drive voor organisaties om een managementsysteem op te zetten . De deadline en de tijd die nodig is om de compliance van een organisatie aantoonbaar te maken in ogenschouw genomen, is het advies om nu te beginnen. Factoren als bedrijfsomvang, processen, deskundigheid, type persoonsgegevens zijn hierop van invloed.”
Wat is de rol van Lloyd’s Register bij het implementeren van het ISO-certificaat?
Chanchal: “De nieuwe privacywet is een trigger om met het ISO 27001 certificaat in te haken op informatiebeveiliging. Denk hierbij aan auditing en certificatie van informatiebeveiliging in de breedste zin.
Organisaties zullen in de toekomst hun bedrijfsrisico’s steeds meer moeten afdekken op verschillende aspecten. Hierbij kan een Information Security Management System (ISMS) van toegevoegde waarde zijn. En zorgt in het geval van ISO 27001 dat een organisatie de informatiebeveiliging en privacy doelstellingen kan besturen en verbeteren.
De stappen die een organisatie dient te nemen zijn:
- Beleid kunnen vormgeven in een ISMS
- Inrichting kenbaar maken aan de buitenwereld
- Strikte naleving van wet- en regelgeving (Bijv. d.m.v. één van de 5 richtlijnen)
- Uitvoeren van interne audits en externe audits door een onafhankelijke partij
Lloyd’s Register kan organisaties bij elke stap ondersteunen.
Welke ontwikkelingen zijn er op het gebied van ISO-certificatie?
Chanchal: “Dat informatiebeveiliging van onderwerpen als cybersecurity, Internet of Things (IoT), Cloud Software diensten en privacy steeds belangrijker worden is ook te zien in de groei van ISO 27001 certificaten.
Er is een enorme beweging in de markt die leidt tot meer aanvragen. Mede door samenwerkingsverbanden die steeds meer zichtbaar zijn in de keten. Internationale cijfers laten zien dat er in 2015 een groei was van 20% in de uitgifte van ISO 27001 certificaten. Afgaande op onze cijfers is de groei in de laatste twee jaar:
- 2015 t.o.v. 2014 = 7 %
- 2016 t.o.v. 2015 = 15 % ”
Ontvang tips en tricks en start met informatiebeveiliging op basis van ISO 27001
- Wilt u zich bewust worden van informatiebeveiliging? Wilt u uw beleid van informatiebeveiliging verder professionaliseren en aantoonbaar maken?
- Wat is en welke oplossingen biedt een Information Security Management System (ISMS)?
- Hoe kunt u uw ISMS op basis van ISO 27001 laten certificeren en in welk stadium doet u dat?
“Information Security Management System (ISMS): uw baseline voor informatiebeveiliging.”
Vraag de guide aan!