Gegevensbescherming en informatiebeveiliging - met ISO 27001 en ISO 27701

INHOUD

• Gegevensbescherming en informatiebeveiliging
• Wat is een managementsysteem eigenlijk?
• De High Level Structure als blauwdruk voor managementsystemen
• Integratie van de GDPR in een managementsysteem
• Vijf voordelen van gegevensbeschermingsmanagement
• Gegevensbescherming en informatiebeveiliging - conclusie
• DQS: eenvoudig gebruik maken van kwaliteit.

Gegevensbescherming en informatiebeveiliging

Ook in de context van informatiebeveiliging is gegevensbescherming geen eenmalig project dat wordt gestart, doorlopen en afgerond. Precies het tegenovergestelde is het geval. Operationele gegevensbescherming is een aantal gegevensbeschermingsprocessen die permanent beschikbaar en implementeerbaar moeten zijn in organisaties, of door een trigger moeten kunnen worden getriggerd. Belangrijke voorbeelden hiervan zijn de twee gegevensbeschermingsprocessen "de rechten van de betrokkenen waarborgen" en "reageren op gegevensbeschermingsincidenten".

In de gegevensbeschermingswereld wordt het gebruik van een gegevensbeschermingsmanagementsysteem (DSMS) gezien als het grote goed voor het oplossen van de gegevensbeschermingsproblemen van organisaties. Waarom is dat zo? Het antwoord is betrekkelijk eenvoudig:

Sinds 25 mei 2018 biedt de Europese General Data Protection Regulation (GDPR) simpelweg de regels voor het DSMS. Het formuleert strenge wettelijke eisen over wat mag of verboden is (Business Rules). De Duitse DS-GVO (Duitse basiswet gegevensbescherming) sancties zijn hiervan afgeleid. Er wordt echter niet aangegeven hoe de wettelijke voorschriften inzake gegevensbescherming ten uitvoer moeten worden gelegd.

Gegevensbescherming en informatiebeveiliging - wat is een managementsysteem eigenlijk?

De definitie van een managementsysteem is abstract en kan niet ad hoc worden geoperationaliseerd. De norm ISO/IEC 27000:2020 definieert een managementsysteem als een ...

Pas wanneer de elementen van een managementsysteem nader zijn gedefinieerd, kan een uitspraak worden gedaan over de vraag of met het specifiek ingevoerde managementsysteem aan de strenge wettelijke en operationele gegevensbeschermingsvereisten van de GDPR wordt voldaan. De verklaring dat een beheersysteem voor gegevensbescherming wordt gehanteerd, geeft geen indicatie van de kwaliteit van het DSMS of van de implementatiestatus.

De High Level Structure als blauwdruk voor managementsystemen

De Internationale Organisatie voor Normalisatie (ISO) heeft een blauwdruk voor managementsystemen opgesteld die de High Level Structure (HLS) wordt genoemd. Deze basisstructuur bevat alle elementen die ISO relevant acht voor een managementsysteem (aanhangsel 2 bij bijlage SL van de ISO/IEC-richtlijnen, deel 1). Daarom lijken de basismechanismen van de managementsysteemnormen sterk op elkaar.

Het specifieke DSMS van ISO, het Personal Information Management System(PIMS), heeft dan ook dezelfde basis als een kwaliteitsmanagementsysteem volgens ISO 9001, een milieumanagementsysteem volgens ISO 14001 of een managementsysteem voor informatiebeveiliging volgens ISO 27001.

Gegevensbescherming en informatiebeveiliging - de GDPR integreren in een managementsysteem

Een PIMS volgens de internationale norm ISO/IEC 27701 is universeel en niet alleen toegesneden op de Europese Algemene Verordening Gegevensbescherming. De norm beschrijft een managementsysteem voor gegevensbescherming dat is gebaseerd op een managementsysteem voor informatiebeveiliging in overeenstemming met ISO 27001, waardoor ISO 27701 geschikt is voor de implementatie van elke operationele bescherming van persoonsgegevens, inclusief de Californische of Japanse wetgeving inzake gegevensbescherming.

MAAR: degenen die een PIMS hebben ontwikkeld en geïmplementeerd in overeenstemming met de gegevensbeschermingsnorm - met andere woorden, degenen die hun persoonsgegevens systematisch beschermen en beheren - vinden het gemakkelijk om de naleving van de wettelijke gegevensbeschermingsvereisten te verzekeren en aan te tonen. Dit gebeurt via het managementsysteemmechanisme van behoeftenbeheer. Requirementsmanagement is het proces van het identificeren en beoordelen van interne en externe vereisten en het implementeren van maatregelen om risico's aan te pakken.

Wat is het verschil tussen gegevensbescherming en informatiebeveiliging?

Het fundamentele verschil tussen de twee onderwerpen is eenvoudig: informatiebeveiliging omvat alle bedrijfsmiddelen die moeten worden beschermd en dient om vertrouwelijke bedrijfsinformatie te beschermen tegen misbruik door derden. Daarbij gaat het om veel meer dan alleen IT-systemen. Als het gaat om gegevensbescherming, zijn de maatregelen gericht op de bescherming van persoonsgegevens. Sinds mei 2018 moet de Algemene Verordening Gegevensbescherming van de EU in heel Europa op bindende basis worden geïmplementeerd - door alle bedrijven en overheidsinstanties die persoonsgegevens verwerken.

Vijf voordelen van gegevensbeschermingsmanagement

In het samenspel tussen informatiebeveiliging en gegevensbescherming moet een norm altijd worden opgevat als een best practice. De concrete toepassing van de eisen en maatregelen inzake gegevensbeveiliging moet door de gebruiker worden uitgevoerd.

Het algemene voordeel van het PIMS is de wereldwijde standaardisering door middel van de gegevensbeschermingsnorm en de uitgebreide literatuur over de toepassing van de norm. Toegegeven, de normtaal "vergt enige gewenning".

Voordeel nr. 1: Toewijzing van verantwoordelijkheden

Het lijkt wel een bedrijfscultuur in het midden- en kleinbedrijf (MKB) om verantwoordelijkheden onduidelijk of helemaal niet toe te wijzen. In veel bedrijfsbeleid wordt de verantwoordelijkheid voor bepaalde activiteiten of activa niet duidelijk gedefinieerd en behandeld. Dit is een grote tekortkoming en leidt tot lacunes en fouten in de bedrijfsvoering.

MAAR: gegevens beschermen is een "teamsport". Alleen als alle taken zijn geïdentificeerd en toegewezen aan verantwoordelijke partijen, en alleen als deze personen ook hun taken vervullen, kan uw bedrijf werken op een gegevensbeschermingsconforme manier.

Door de invoering van een PIMS moet voor het toepassingsgebied van de norm het eigendomsbeginsel in de organisatie worden ingevoerd. De term eigenaar moet hier echter niet in zijn civielrechtelijke betekenis worden opgevat. In de Duitse taal van de norm verwijst eigenaar veeleer naar de verantwoordelijkheid van een persoon voor een actief of de implementatie van een vereiste of maatregel.

Bijvoorbeeld: het bijhouden van het "Repertorium van Verwerkingsactiviteiten (VVT)" wordt vaak gedelegeerd aan de functionaris voor gegevensbescherming (DPO). Dit is natuurlijk complete onzin en kan niet werken omdat de DPO vaak helemaal niet betrokken is bij veel verwerkingsactiviteiten. In kwaliteitsmanagement voeren de proceseigenaars de procesdocumentatie uit. Ook bij gegevensbescherming moet het topmanagement dit dienovereenkomstig delegeren.

Certificaat volgens ISO 27701

Op het gebied van certificering is ISO 27701 een aanvulling op de bekende ISO 27001-norm - het wordt de eerste norm die gegevensbescherming door middel van een certificaat bevestigt. DQS bevindt zich momenteel in het accreditatieproces bij de Duitse accreditatie-instantie (DAkkS).

Voordeel #2: Operationele gegevensbescherming is risicogericht

In de Duitse DS-GVO eist de Europese wetgever een risicogerichte implementatie van gegevensbeveiliging, bijvoorbeeld in artikel 32 (1) DS-GVO. Deze risicogerichtheid werkt vaak niet in bedrijven waar geen beheersysteem officieel is geïnstalleerd. De toepassing van de ISO 27701-norm voor gegevensbescherming introduceert onvermijdelijk een risicogerichtheid. De methode voor de risicobeoordeling van gegevensbeveiliging is hier niet voorgeschreven en kan - binnen grenzen - door de gebruiker worden bepaald.

Voordeel #3: Wijzigingsbeheer als succescomponent

Databeveiligingsprocessen kunnen in gang worden gezet door een verandering in de organisatie. Bijvoorbeeld de implementatie of aanpassing van een bedrijfsproces, een dienst of een product. Bedrijven zonder change management hebben grote problemen om te voldoen aan de eisen voor gegevensbescherming, omdat veranderingen regelmatig op een willekeurige en ongecontroleerde manier worden afgehandeld. Dit resulteert in een zogenaamde "regulatory gap".

Een PIMS registreert en controleert deze veranderingen met behulp van wijzigingsbeheer en voert ze door. Een wijziging in een bedrijfsproces vereist bijvoorbeeld een controle op toelaatbaarheid (rechtmatigheid, gegevenseconomie, rechten van de betrokkenen, documentatie in de VVT, enz.)

Bijvoorbeeld: De eis van vroegtijdige betrokkenheid van de functionaris voor gegevensbescherming bij het ontwerp van wijzigingen kan heel eenvoudig worden gerealiseerd door hem te benoemen in het veranderteam.

Voordeel #4: Optimalisatie door een continu verbeteringsproces

Bedrijven zijn voortdurend in beweging. Een systeem voor het beheer van persoonsgegevens wordt in eerste instantie gepland, geïmplementeerd en geëxploiteerd. Het is zeer waarschijnlijk dat de eerste poging om het systeem in te voeren, te implementeren en te exploiteren suboptimaal zal zijn door een gebrek aan ervaring. Zelfs wanneer tijdens de implementatie een ervaren consultant wordt geraadpleegd, zijn struikelblokken te verwachten.

Hoewel alle PIMS in principe dezelfde mechanismen hebben, zijn ze verschillend ontworpen. De implementatie van de mechanismen kan worden beïnvloed door de omvang van de organisatie, de organisatiecultuur of zelfs de branche.

Een goed submechanisme om het PIMS permanent aan te passen aan de veranderende behoeften van de organisatie en de betrokken partijen is het continue verbeteringsproces (CIP).

Bijvoorbeeld: de Algemene Verordening Gegevensbescherming vereist een informatieblad dat klanten of bijvoorbeeld burgers op het ogenblik van de gegevensverzameling informeert over de aard en de omvang van de verwerking van persoonsgegevens en de daarmee samenhangende rechten. Deze informatiebladen overeenkomstig de artikelen 13 en 14 DS-GVO worden conform de wet gepubliceerd, maar er zijn veel verzoeken om deze informatie van betrokkenen. Door deze suggesties voor verbetering op te nemen, erkent de onderneming dat zij middelen kan besparen en de klanttevredenheid kan verhogen door de publicatie van de informatie te optimaliseren.

Voordeel #5: Gedetailleerde catalogus van maatregelen

Zoals eerder beschreven, is ISO 27701 niet toegespitst op de GDPR. De gebruiker van de norm is verantwoordelijk voor het toevoegen van de specifieke vereisten van de GDPR aan het PIMS.

De internationale norm brengt echter drie uitgebreide catalogi van maatregelen voor de algemene implementatie van operationele gegevensbescherming:

• Technische en organisatorische maatregelen,
• organisatie van gegevensbescherming bij de verwerkingsverantwoordelijke, en
• Gegevensbeschermingsorganisatie bij de verwerker.

Het goede nieuws voor de Europese gebruiker is dat de auteurs van de nieuwe norm zich bij het ontwerpen van de maatregelencatalogi sterk hebben gericht op de Algemene verordening gegevensbescherming. Dit betekent dat de toepassing van de generieke maatregelencatalogi al veel van de vereisten van de GDPR in kaart brengt. Ontbrekende eisen worden vervolgens opgevolgd door eisenbeheer.

De maatregelen zijn best practices voor implementatie en geschreven in de stijl van een handleiding. In tegenstelling tot de GDPR (Business Rules) leggen de maatregelen aan de gebruiker van de norm uit hoe de implementatie moet plaatsvinden. Vanuit het oogpunt van de auteur is dit een zeer groot voordeel.

Conclusie: gegevensbescherming en informatiebeveiliging

Iedereen die een managementsysteem voor gegevensbescherming (DSMS) heeft ontwikkeld en geïmplementeerd in overeenstemming met ISO 27701 - met andere woorden, iedereen die zijn persoonsgegevens systematisch beschermt en beheert - zal het gemakkelijk vinden om de naleving van wettelijke vereisten te verzekeren en te bewijzen. Als de norm op de juiste manier wordt toegepast, kunnen veel fouten bij de invoering en werking van een DSMS worden voorkomen.

Certificering van het PIMS is echter alleen mogelijk als er ook een gecertificeerd managementsysteem voor informatiebeveiliging volgens ISO 27001 door het bedrijf wordt gehanteerd.

DQS: Simply leveraging Quality.

Normen voor managementsystemen bieden een systematisch en gestructureerd kader om rekening te houden met wettelijke verplichtingen en deze te integreren in bedrijfsprocessen. Bedrijven die op zeker willen spelen, kunnen de status van hun informatiebeveiliging of DS-GVO-conforme implementatie laten auditen door een onafhankelijke instantie als DQS.

Onze kerncompetenties liggen in het uitvoeren van certificeringsaudits en assessments. Dit maakt ons wereldwijd tot een van de toonaangevende aanbieders met de pretentie steeds nieuwe maatstaven te stellen op het gebied van betrouwbaarheid, kwaliteit en klantgerichtheid. Tegelijkertijd is een gecertificeerd managementsysteem voor informatiebeveiliging en gegevensbescherming een bewijs van de zorgvuldigheid en vooruitziendheid van uw onderneming in het geval van aanvallen op gegevens van buitenaf.

Vertrouwen en deskundigheid

Onze teksten en brochures worden uitsluitend geschreven door onze normexperts of jarenlange auditors. Als u vragen hebt over de inhoud of onze diensten aan onze auteur, neem dan contact met ons op. We kijken ernaar uit met u in gesprek te gaan.