Beheer van gegevensbescherming met een certificaat

INHOUD

• Wat staat er in ISO 27701?
• ISMS en PIMS: overeenkomsten en verschillen
• Gegevensbeschermingsdoelstellingen en informatiebeveiligingsdoelstellingen: overeenkomsten en verschillen
• ISO 27701-certificering binnen handbereik
• ISO 27701: een grote stap in de richting van gegevensbescherming
• Duidelijke verantwoordelijkheden creëren
• Plus: risicogerichtheid
• In één oogopslag: de voordelen van ISO 27701
• Conclusie: een systematische en gestructureerde aanpak van gegevensbescherming
• DQS: Simply leveraging Quality.

Gegevensbescherming als aanvulling op een managementsysteem

Idealiter wordt het beheer van gegevensbescherming ontworpen met behulp van een internationale norm, in combinatie met ISO 27001. De bekende norm ISO/IEC 27001 behandelt de vereisten voor een managementsysteem voor informatiebeveiliging (ISMS) en kan ook voor dit toepassingsgebied worden gecertificeerd. De nieuwe norm ISO/IEC 27701 voor gegevensbeschermingsmanagement bouwt voort op ISO 27001 en voegt daar criteria voor gegevensbescherming aan toe. Deze uitbreiding integreert de vereisten voor een informatiemanagementsysteem voor gegevensbescherming (DSMS of Privacy Information Management System, PIMS) in een ISMS.

De volledige titel van de internationale gegevensbeschermingsnorm is:

Net als ISO 27001 houdt ook ISO 27701 rekening met de managementsysteembenadering en verwijst naar de basisstructuur van moderne managementsysteemnormen, de High Level Structure (HLS).

De nieuwe internationale norm maakt deel uit van ISO 29100, die alle gegevensbeschermingsprincipes bevat. Hij zou aanvankelijk ISO 27552 gaan heten, maar werd toen omgedoopt tot ISO 27701. De achtergrond hiervan is de beslissing van de International Organization for Standardization (ISO) om alle belangrijke certificeerbare normen te laten eindigen op 01.

Beheer van gegevensbescherming: wat staat er in ISO 27701?

In plaats van "informatiebeveiliging" spreekt de nieuwe gegevensbeschermingsnorm over "informatiebeveiliging en gegevensbescherming". Bovendien zijn er toevoegingen aan de inhoud. Zo moet bij de context van de organisatie rekening worden gehouden met relevante wetten inzake gegevensbescherming en gerechtelijke uitspraken. Zo moet bij de risicobeoordeling ook rekening worden gehouden met criteria voor de verwerking van persoonsgegevens - met de bescherming van getroffen personen en een mogelijke effectbeoordeling altijd in het achterhoofd.

Daarnaast bevat ISO 27701 aanvullingen op ISO 27002, de leidraad voor de uitvoering van de maatregelen uit bijlage A van ISO 27001.

De ISO-norm biedt ook de volgende leidraad voor het beheer van gegevensbescherming:

• Uitbreiding van de richtlijn en het beleid met aspecten van gegevensbescherming.
• Aanstelling van een verantwoordelijke persoon (functionaris voor gegevensbescherming) in het bedrijf voor het managementsysteem voor privacy-informatie.
• Opleiding inzake gegevensbescherming voor werknemers
• Registratie van toegang en wijzigingen
• Encryptie, bijvoorbeeld van speciale categorieën persoonsgegevens zoals gezondheidsgegevens
• Inachtneming van het beginsel "ingebouwde privacy
• Beoordeling van beveiligingsincidenten voor inbreuken op de privacy van gegevens

De bijlage van ISO 27701 bevat een gedetailleerde toewijzingstabel van maatregelen aan de vereisten van de GDPR. Hier wordt duidelijk welke invloed de EU General Data Protection Regulation heeft op deze internationale norm voor gegevensbescherming.

ISMS en PIMS: overeenkomsten en verschillen

Information security management systems (ISMS) en privacy information management systems (PIMS) zijn nauw met elkaar verweven.

Privacy en gegevensbeveiliging gaan over persoonsgegevens. De ISO 27000 normenreeks gaat vooral over het beschermen van informatie, waarbij persoonsgegevens een deelverzameling vormen. Dus het perspectief bepaalt of iets een datalek of een informatiebeveiligingsincident is, of zelfs beide.

"Het voordeel van ISO 27701? Het verscherpt de focus op gegevensbeschermingsaspecten in het managementsysteem voor informatiebeveiliging!"

Stephan Rehfeld, expert gegevensbescherming en auditor bij DQS

Waar in ISO 27001 of ISO 27002 de term "informatiebeveiliging" wordt gebruikt, heet het in ISO 27701 "informatiebeveiliging en gegevensbescherming". Door deze toevoeging wordt gegevensbescherming een onderdeel van het managementsysteem voor informatiebeveiliging.

Er zijn echter ook afwijkingen waarbij een PIMS anders functioneert dan een ISMS. Eén voorbeeld: het andere begrip van de context van de organisatie. In ISO 27701, in clausule 4.1, is er een aanvullende eis ten opzichte van ISO 27001 dat "de organisatie haar rol als verantwoordelijke partij of medebeheerder voor gedeelde verantwoordelijkheden en/of als contractverwerker moet definiëren."

Deze eis ontbreekt in het managementsysteem voor informatiebeveiliging omdat het ISMS het onderscheid tussen "verantwoordelijke" en "bewerker" niet erkent. Derhalve bevat ISO 27701 twee aanvullende bijlagen met gegevensbeschermingsspecifieke maatregelen voor "voor de verwerking verantwoordelijken" en "verwerkers".

Gegevensbeschermingsdoelstellingen en informatiebeveiligingsdoelstellingen: overeenkomsten en verschillen

ISO 29100 definieert de gegevensbeschermingsbeginselen waaraan het eigen managementsysteem van het bedrijf moet voldoen. Artikel 5 van de algemene verordening gegevensbescherming (GDPR) laat zien welke gegevensbeschermingsdoelstellingen moeten worden bereikt met de operationele artikelen van de GDPR. De beginselen en doelstellingen komen grotendeels overeen. Dit komt doordat de OESO in 1980 doelstellingen voor gegevensbescherming heeft gedefinieerd. Deze dienden als basis voor zowel ISO 29100 als de GDPR.

In het Information Security Management System (ISMS) staan de informatiebeveiligingsdoelstellingen vertrouwelijkheid, integriteit, beschikbaarheid. Dit is ook terug te vinden in respectievelijk artikel 5 en artikel 32 DS-GVO. Een belangrijk verschil is echter de definitie van "belanghebbenden" in het ISMS. Hieronder vallen bijvoorbeeld de eigen werknemers van de onderneming, klanten, leveranciers, investeerders of autoriteiten. Bij gegevensbescherming daarentegen is de belanghebbende alleen de betrokkene.

Risicobeheer inzake gegevensbescherming verschilt dus ook van risicobeheer inzake informatiebeveiliging. Bijgevolg kan het ISMS niet één op één worden gebruikt als PIMS met zijn gegevensbeschermingsspecifieke processen. Niettemin zijn er mogelijkheden voor integratie, zodat bijvoorbeeld gezamenlijke interne audits kunnen plaatsvinden.

Beheer van gegevensbescherming: ISO 27701-certificering binnen handbereik

Op het gebied van certificering zal de nieuwe ISO 27701-norm in de toekomst een aanvulling vormen op ISO 27001 - en het zal de eerste norm zijn die gegevensbescherming bevestigt door middel van een certificaat. DQS zit daartoe momenteel in het accreditatieproces bij de Duitse accreditatie-instantie (DAkkS) en verwacht binnenkort goedkeuring te krijgen. Aangezien ISO 27701 is ontworpen als een uitbreiding van ISO 27001, kan het managementsysteem voor gegevensbescherming volgens ISO 27701 niet worden gecertificeerd zonder een managementsysteem voor informatiebeveiliging volgens ISO 27001.

ISO 27701: een grote stap naar het beheer van gegevensbescherming

Iedereen die een systematisch managementsysteem voor gegevensbescherming (PIMS) in overeenstemming met ISO 27701 heeft ontwikkeld en geïmplementeerd - met andere woorden, iedereen die zijn persoonsgegevens systematisch beschermt en beheert - zal het gemakkelijk vinden om de naleving van de wettelijke vereisten te waarborgen en aan te tonen. Bedrijven kunnen de nieuwe norm gebruiken om de informatiebeveiliging en de bijbehorende gegevensbescherming grotendeels in overeenstemming te brengen met de gegevensbescherming.

Duidelijke verantwoordelijkheden creëren met ISO 27701

Bij de implementatie van de nieuwe ISO-norm ontkomen bedrijven er niet aan om duidelijke verantwoordelijkheden op het gebied van gegevensbescherming te definiëren. Dit voordeel mag niet onderschat worden. In de meeste bedrijven zonder een systematisch managementsysteem voor gegevensbescherming worden verantwoordelijkheden te vaak op een zachte manier geformuleerd uit onbegrepen beleefdheid ("Zou je dit in de toekomst kunnen overnemen?"). Of verantwoordelijkheden worden gedeeld, onder het motto "We doen het samen!". Beide leiden er onvermijdelijk toe dat uiteindelijk niemand zijn verantwoordelijkheid neemt. Met een goed gestructureerd managementsysteem voor gegevensbescherming zijn er duidelijke richtlijnen, en dat is onbetaalbaar.

"Het komt erop neer dat elk bedrijf echt baat heeft bij het systematiseren van zijn gegevensbescherming - in alle sectoren en bedrijfsgrootten."

Stephan Rehfeld, dataprotectie-expert en auditor bij DQS

De nieuwe ISO-norm is zeker niet alleen gebaseerd op de principes van de Algemene Verordening Gegevensbescherming, maar is ook bedoeld om bedrijven te ondersteunen bij de naleving van wereldwijde gegevensbeschermingsnormen. Het doel is om een PIMS op te zetten, te implementeren, te onderhouden en continu te verbeteren.

Een ander voordeel: risicogerichtheid

Er is nog een ander pluspunt ten gunste van de integratie van ISO 27701 met ISO 27001. Met de invoering van ISO 27701 worden bedrijven vrijwel "gedwongen" tot een risicogerichte aanpak van de bescherming van persoonsgegevens. Dit omvat bijvoorbeeld het volledig definiëren en beoordelen van risico's en het inschatten van de waarschijnlijkheid waarmee deze zich zullen voordoen.

Deze risicobeoordeling vormt vervolgens het uitgangspunt om het concrete schadepotentieel tot een aanvaardbaar niveau terug te brengen. Overigens vinden we deze heerlijk pragmatische aanpak in vergelijkbare vorm ook terug bij de GDPR, zodat de cirkel qua praktische relevantie ook rond is.

In één oogopslag: de voordelen van ISO 27701

• ISO 27701 formuleert eisen voor een privacy- informatiemanagementsysteem.
• Met ISO 27701 kunt u beveiligingsrisico's op het gebied van gegevensbescherming identificeren, beoordelen en minimaliseren in de algemene context van uw informatiebeveiligingsmanagement.
• Naast ISO 27001 is ISO 27701 de eerste certificeerbare internationale norm die gegevensbescherming bevestigt met een certificaat (binnenkort: DAkkS-geaccrediteerd certificaat van DQS).
• ISO 27701 is een belangrijke ontwikkeling voor gegevensbescherming in Europa en internationaal.

Conclusie: een systematische en gestructureerde aanpak van gegevensbeschermingsmanagement

Wie veilig door de klippen van de nationale en internationale regelgeving inzake gegevensbescherming wil navigeren, ontkomt er niet aan het onderwerp gestructureerd en systematisch te benaderen. In deze context biedt ISO 27701 een grote toegevoegde waarde.

Gegevensbescherming en -beveiliging kunnen zo ook door middelgrote bedrijven worden beheerst en bieden een uitstekende blauwdruk voor compliance-compliance gegevensbescherming. Dit omvat een uitgebreide verzameling van best practices die bedrijven kunnen gebruiken om met vertrouwen te documenteren dat ze de nodige zorgvuldigheid betrachten bij het omgaan met kritieke gegevens.

DQS: Simply leveraging Quality.

In het samenspel van dynamiek en stabiliteit worden gecertificeerde managementsystemen steeds belangrijker - een ontwikkeling die DQS positief aanvoelt. Want succesvolle bedrijven en organisaties gebruiken de bevindingen van onze audits om hun resultaten voortdurend te verbeteren. Ook gebruiken zij onze wereldwijd erkende certificaten als objectief bewijs van hun kwaliteitscapaciteit. Dit schept vertrouwen - zowel intern als extern aan uw bedrijf.

Expertise en vertrouwen

Onze teksten en brochures worden uitsluitend geschreven door onze normdeskundigen of auditors met een lange staat van dienst. Als u vragen hebt over de tekstinhoud of onze diensten aan onze auteur, neem dan contact met ons op.