AVG en certificeringen van leveranciers

21 mei 2019 | IB&P | nieuwsberichten, opinie, informatiebeveiliging (nieuws)

In een verwerkersovereenkomst wordt o.a. de wijze waarop een leverancier zijn beveiligingsmaatregelen aantoont geregeld. Daarbij kan een certificering als ISO 27001 en NEN7510 handig zijn. Maar wat is eigenlijk de waarde van die certificeringen en welke zijn er nog meer?

De verwerkersovereenkomsten die klanten en leveranciers afsluiten, voorzien vaak in auditmogelijkheden. Maar als je als klant elke leverancier moet auditen of als leverancier door elke klant wordt geaudit, kom je niet meer aan je eigenlijke werk toe. Dan is het handig als een onafhankelijke partij een audit uitvoert en een verklaring kan afgeven over de werkwijze van een leverancier. Minder werk voor zowel klant als leverancier. Maar welke certificeringen zijn er, wat is de waarde daarvan en wie kan er voor zorgen? In dit artikel ga ik in op zowel certificering van informatiebeveiliging als certificering van privacy. Ook ga ik in op wat je van een gecertificeerde leverancier kunt verwachten.

Certificering van informatiebeveiliging

Als we het hebben over informatiebeveiliging wordt al snel aan ISO27001 gedacht. Dit is een norm waarin eisen aan een managementsysteem voor informatiebeveiliging staan. Wil je daaraan voldoen, dan moet iedereen – van de top van de organisatie tot en met de werkvloer – bijdragen aan informatiebeveiliging en die voortdurend verbeteren. Belangrijke aspecten zijn een risicoanalyse en een verbetercyclus volgens het Plan-Do-Check-Act-principe, zoals dat vooral bekend is uit het kwaliteitsmanagement. Uiteraard moet je ook kunnen aantonen dat je deze cyclus periodiek doorloopt.

De beheersingsmaatregelen, de controls, kies je op basis van een risicoanalyse. Daarbij moet je de meer dan honderd beveiligingsmaatregelen die in de norm zijn vastgelegd overwegen om te voorkomen dat je ze mist. Voorbeelden van zulke maatregelen zijn virusscanners, een slot op de deur en geheimhoudingsafspraken met medewerkers. De meeste maatregelen zijn vrij logisch en ook noodzakelijk voor veruit de meeste organisaties. Toch is invoering van deze maatregelen op een manier waarop ze ook aangetoond kunnen worden voor veel organisaties een hele kluif. De maatregelen variëren van de inrichting van gebouwen tot een geheimhoudingsverklaring in de arbeidscontracten en eisen aan de inrichting van ICT. Welke maatregelen van toepassing zijn wordt vastgelegd in een ‘Verklaring van toepasselijkheid’ of een ‘Statement of applicability’.

Verder lezen bij de bron

Over
Laatste berichten

IB&P

Kennisdeler bij IB&P

Vanuit IB&P houden we je graag op de hoogte van het laatste nieuws op het gebied van informatiebeveiliging en privacy. We plaatsen iedere werkdag gemiddeld twee nieuwsberichten en bundelen deze elke week in een mooi overzicht.

Laatste berichten van IB&P (alles zien)

BoF: Gemeenten hebben AVG basis nog steeds niet op orde - 15 juli 2022
Incidentresponsplan Ransomware - 15 juli 2022
Nederlandse datacenters en DNS providers krijgen zorg en meldplicht - 14 juli 2022

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Meer info

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De rol van de OR bij privacy op de werkvloer

De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Verder lezen

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lees je hoe je hier zelf mee aan de slag kan.

Verder lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wpg van toepassing zijn op het werk van Boa’s en waar je als gemeente aan moet voldoen bij het verwerken van gegevens.

Verder lezen

Iedere maandag het nieuwsoverzicht om 09:00 in je mailbox? Abonneer je hier

Meer recente berichten

BoF: Gemeenten hebben AVG basis nog steeds niet op orde	15 juli 2022 \| IB&P \| nieuwsberichten, opinie, privacy (nieuws)	Verder lezen
Incidentresponsplan Ransomware	15 juli 2022 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Nederlandse datacenters en DNS providers krijgen zorg en meldplicht	14 juli 2022 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Nederlandse gemeenten sturen onbewust data naar VS	14 juli 2022 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Overheden kunnen elkaar straks waarschuwen over criminele praktijken	13 juli 2022 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Wat hebben we geleerd van cyberaanvallen op kritieke infrastructuur?	13 juli 2022 \| IB&P \| nieuwsberichten, opinie, informatiebeveiliging (nieuws)	Verder lezen
NCTV: Risico op ontwrichting groter door scheefgroei dreiging en weerbaarheid	12 juli 2022 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Een op de vijf IT beslissers heeft weinig vertrouwen in databescherming en privacy van de cloud	12 juli 2022 \| IB&P \| privacy (nieuws), nieuwsberichten, informatie	Verder lezen
Beschermt de Autoriteit Persoonsgegevens privacy, of verstoort ze de vrije markt?	11 juli 2022 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Het is geen keuze, beveilig die digitale ramen	11 juli 2022 \| IB&P \| nieuwsberichten, opinie, informatiebeveiliging (nieuws)	Verder lezen

AVG en certificeringen van leveranciers

Certificering van informatiebeveiliging

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Nieuwsbrief

Recente blogs

Meer recente berichten

Biblio

Diensten

Over IB&P

Contact