De jongste aanwinst in de ISO 27000-reeks: 27701 PIMS

| Renco Schoemaker | ,

Voor menig CISO zal de ISO 27000-reeks grotendeels bekende materie zijn. Voor anderen zal het vooral vraagtekens oproepen. Onlangs is er door de NEN een toevoeging aan deze reeks gedaan rondom privacy management; de zogenaamde ISO 27701 . In deze blog geef ik je graag een overzicht van deze norm en vertel ik je de verschillen met twee andere usual suspects uit de reeks: 27001 en 27002.

De ISO 27000-reeks

De Internationale Organisatie voor Standaardisatie (ISO) is een organisatie die normen, vooral op het vlak van beveiliging, in zijn breedste zin ontwikkelt: van volksgezondheid tot aan informatiebeveiliging. In deze blog richt ik me (uiteraard) op die laatste; de ISO 27000-reeks, die zich focust op het beveiligen van onder meer financiële informatie, werknemersgegevens en informatie die aan derden wordt toevertrouwd.

ISO 27001 versus ISO 27002

Allereerst even kort de, voor de meeste van ons, bekende ISO normen op een rij:

  • De ISO 9001: wereldwijd dé erkende norm op het gebied van kwaliteitsmanagement en daardoor een maatstaf voor transparantie en betrouwbaarheid in de markt. Met ISO 9001 kwaliteitsmanagement wordt continue verbetering van kwaliteit geborgd.
  • De ISO 27001: vertaalslag van de 9001. De 27001 is specifiek gericht op informatiebeveiliging. Maar let op, deze standaard dekt niet alle onderdelen van de AVG (persoonsgegevens, rol als verwerker of verantwoordelijke). Wel is er overlap met de AVG op het onderdeel beveiliging.
  • De ISO 27002: nadere uitwerking van de 27001. De 27002 is een implementatierichtlijn bij de 27001. De 27002 biedt dus concrete beveiligingsmaatregelen en is de basis voor o.a. de BIG en BIO. Certificering tegen 27002 is dan ook niet mogelijk, 27001 wel.
  • De NEN 7510: de NEN-7510 is net als ISO 27001 gericht op informatiebeveiliging, maar dan specifiek bedoeld voor zorginstellingen en andere beheerders van gezondheidsgegevens. Net als de 27001 kan een organisatie zich laten certificeren tegen 75010.

Nieuwe norm: de ISO 27701

Onlangs is er dus een nieuwe norm toegevoegd, namelijk de eerste internationale standaard rondom privacy management; de 27701. De 27701 is een uitbreiding op de ISO 27001. Veel verschillen zijn er niet tot dat je de aanvullende maatregelen voor het beschermen van persoonsgegevens ontdekt. Deze dragen bij aan het (makkelijker) voldoen aan de AVG, door het bieden van concrete handvatten. Iets waaraan veel organisaties, en dus ook gemeenten, een sterke behoefte hebben. Daarom dus ook deze blog.

Waarom belangrijk?

De AVG verplicht organisaties om ‘passende technische en organisatorische maatregelen te nemen’ om de privacy van alle persoonsgegevens die zij verwerken te waarborgen en zo de rechten van betrokkenen te beschermen.

Deze maatregelen kunnen voor elke organisatie verschillend zijn, maar de 27001/2 gelden hier als geaccepteerde best practice. De 27701 is gericht op zowel verwerkers als verwerkersverantwoordelijken en helpt bij het bepalen van ‘passende technische en organisatorische maatregelen’, net zoals de ISO 27001 dat doet voor informatiebeveiliging.

Integreren ISO 27001 en ISO 27701

27001 beschrijft de vereisten voor een ISMS (managementsysteem). Een ISO 27001 certificering biedt belanghebbenden de zekerheid dat gegevens op de juiste manier worden beveiligd. Wanneer je 27001 hebt geïmplementeerd kun je 27701 gebruiken om het managementsysteem uit te breiden tot privacybeheer, inclusief de verwerking van persoonlijke gegevens en persoonlijk identificeerbare informatie, ook wel PII genoemd.

De 27701 specificeert de vereisten en biedt richtlijnen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Privacy Information Management Systeem (PIMS). Net zoals we dat dus voor security hebben: 27001 ISMS. 27701 is gebaseerd op de 27001 maar omvat een reeks privacy specifieke vereisten.

Toegevoegde waarde?

Bij de controls die niet veranderd zijn in 27701 t.o.v. 27001, wordt er verwezen naar de corresponderende control uit de 27001 (neem bijvoorbeeld 5.2.4, 5.3.1, 5.3.2 etc.). Maar de toegevoegde waarde zit hem vooral in dat de norm een overzicht geeft van alle aanvullende ‘controls’ die je als gemeente kunt implementeren om te voldoen aan de vereisten van de AVG. Deze worden nu toegespitst op gevallen waar persoonsgegevens bij betrokken zijn en geven passende maatregelen die zorgen voor de juiste privacybescherming.

Neem bijvoorbeeld 6.2.1.1, waar wordt gesteld dat je verwerkersovereenkomsten afsluit als je voor de verwerking een derde partij inschakelt. Of 6.3.1.1. waar staat dat je intern een verantwoordelijke voor privacy aanstelt (bijv. Privacy officers en/of een FG) die toezicht houdt en een adviserende rol heeft richting de rest van de organisatie als het gaat om privacy. Maar ook zichtbaar iets doen op het vlak van privacy awareness en training is één van de maatregelen (6.4.2.2).

Verwerkers(verantwoordelijken)

Achterin de 27701 tref de bijlagen (Annex A en B) aan waarin de vereisten en controls worden gekoppeld aan de vereisten van de AVG, zodat 27701 ook kan worden gebruikt als AVG compliance gids door verwerkersverantwoordelijken (PII Controllers) en verwerkers (PII Processors). De verplichtingen van gegevensbeheerders om te voldoen aan de rechten van betrokkenen onder de AVG vallen bijvoorbeeld onder de controls van 27701 met betrekking tot verplichtingen aan PII-opdrachtgevers.

Er worden richtlijnen gegeven voor het implementeren van elke controle door middel van doelstellingen en beheersmaatregelen, zoals bijvoorbeeld: een persoon aanwijzen die verantwoordelijk is voor het PIMS, het aanbieden van een opleiding voor medewerkers op het gebied van gegevensbescherming, toepassing van encryptie, bijv. voor speciale categorieën van persoonlijke gegevens, en het in overweging nemen van het Privacy by Design- en ‘Privacy by default’ principe.

Verplichting?

Nee. De nieuwe 27701 norm is vanzelfsprekend geen verplichte norm(uitbreiding), maar wel aan te raden door de verbinding die de 27701 legt met de AVG. Door 27001 en 27701 te implementeren kun je aantonen dat je als gemeente zorgvuldig met gegevens omgaat en voldoet aan de privacy- en informatiebeveiligingsvereisten van de AVG

Daarnaast bevordert het de samenwerking tussen informatiebeveiliging en privacy en is uiteraard het uitgangspunt dat je als gemeente op dit vlak blijft groeien en ontwikkelen, zodat je volgend jaar op een hoger niveau zit. Een ander praktisch hulpmiddel om te voorkomen dat er te veel vanuit alleen juridisch of technisch oogpunt naar privacy wordt gekeken, is een Privacy Control Framework (PCF) waar ik eerder al eens een blog over schreef.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…