De jongste aanwinst in de ISO 27000-reeks: 27701 PIMS

Voor menig CISO zal de ISO 27000-reeks grotendeels bekende materie zijn. Voor anderen zal het vooral vraagtekens oproepen. Onlangs is er door de NEN een toevoeging aan deze reeks gedaan rondom privacy management; de zogenaamde ISO 27701 . In deze blog geef ik je graag een overzicht van deze norm en vertel ik je de verschillen met twee andere usual suspects uit de reeks: 27001 en 27002.

De ISO 27000-reeks

De Internationale Organisatie voor Standaardisatie (ISO) is een organisatie die normen, vooral op het vlak van beveiliging, in zijn breedste zin ontwikkelt: van volksgezondheid tot aan informatiebeveiliging. In deze blog richt ik me (uiteraard) op die laatste; de ISO 27000-reeks, die zich focust op het beveiligen van onder meer financiële informatie, werknemersgegevens en informatie die aan derden wordt toevertrouwd.

ISO 27001 versus ISO 27002

Allereerst even kort de, voor de meeste van ons, bekende ISO normen op een rij:

  • De ISO 9001: wereldwijd dé erkende norm op het gebied van kwaliteitsmanagement en daardoor een maatstaf voor transparantie en betrouwbaarheid in de markt. Met ISO 9001 kwaliteitsmanagement wordt continue verbetering van kwaliteit geborgd.
  • De ISO 27001: vertaalslag van de 9001. De 27001 is specifiek gericht op informatiebeveiliging. Maar let op, deze standaard dekt niet alle onderdelen van de AVG (persoonsgegevens, rol als verwerker of verantwoordelijke). Wel is er overlap met de AVG op het onderdeel beveiliging.
  • De ISO 27002: nadere uitwerking van de 27001. De 27002 is een implementatierichtlijn bij de 27001. De 27002 biedt dus concrete beveiligingsmaatregelen en is de basis voor o.a. de BIG en BIO. Certificering tegen 27002 is dan ook niet mogelijk, 27001 wel.
  • De NEN 7510: de NEN-7510 is net als ISO 27001 gericht op informatiebeveiliging, maar dan specifiek bedoeld voor zorginstellingen en andere beheerders van gezondheidsgegevens. Net als de 27001 kan een organisatie zich laten certificeren tegen 75010.

Nieuwe norm: de ISO 27701

Onlangs is er dus een nieuwe norm toegevoegd, namelijk de eerste internationale standaard rondom privacy management; de 27701. De 27701 is een uitbreiding op de ISO 27001. Veel verschillen zijn er niet tot dat je de aanvullende maatregelen voor het beschermen van persoonsgegevens ontdekt. Deze dragen bij aan het (makkelijker) voldoen aan de AVG, door het bieden van concrete handvatten. Iets waaraan veel organisaties, en dus ook gemeenten, een sterke behoefte hebben. Daarom dus ook deze blog.

Waarom belangrijk?

De AVG verplicht organisaties om ‘passende technische en organisatorische maatregelen te nemen’ om de privacy van alle persoonsgegevens die zij verwerken te waarborgen en zo de rechten van betrokkenen te beschermen.

Deze maatregelen kunnen voor elke organisatie verschillend zijn, maar de 27001/2 gelden hier als geaccepteerde best practice. De 27701 is gericht op zowel verwerkers als verwerkersverantwoordelijken en helpt bij het bepalen van ‘passende technische en organisatorische maatregelen’, net zoals de ISO 27001 dat doet voor informatiebeveiliging.

Integreren ISO 27001 en ISO 27701

27001 beschrijft de vereisten voor een ISMS (managementsysteem). Een ISO 27001 certificering biedt belanghebbenden de zekerheid dat gegevens op de juiste manier worden beveiligd. Wanneer je 27001 hebt geïmplementeerd kun je 27701 gebruiken om het managementsysteem uit te breiden tot privacybeheer, inclusief de verwerking van persoonlijke gegevens en persoonlijk identificeerbare informatie, ook wel PII genoemd.

De 27701 specificeert de vereisten en biedt richtlijnen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Privacy Information Management Systeem (PIMS). Net zoals we dat dus voor security hebben: 27001 ISMS. 27701 is gebaseerd op de 27001 maar omvat een reeks privacy specifieke vereisten.

Toegevoegde waarde?

Bij de controls die niet veranderd zijn in 27701 t.o.v. 27001, wordt er verwezen naar de corresponderende control uit de 27001 (neem bijvoorbeeld 5.2.4, 5.3.1, 5.3.2 etc.). Maar de toegevoegde waarde zit hem vooral in dat de norm een overzicht geeft van alle aanvullende ‘controls’ die je als gemeente kunt implementeren om te voldoen aan de vereisten van de AVG. Deze worden nu toegespitst op gevallen waar persoonsgegevens bij betrokken zijn en geven passende maatregelen die zorgen voor de juiste privacybescherming.

Neem bijvoorbeeld 6.2.1.1, waar wordt gesteld dat je verwerkersovereenkomsten afsluit als je voor de verwerking een derde partij inschakelt. Of 6.3.1.1. waar staat dat je intern een verantwoordelijke voor privacy aanstelt (bijv. Privacy officers en/of een FG) die toezicht houdt en een adviserende rol heeft richting de rest van de organisatie als het gaat om privacy. Maar ook zichtbaar iets doen op het vlak van privacy awareness en training is één van de maatregelen (6.4.2.2).

Verwerkers(verantwoordelijken)

Achterin de 27701 tref de bijlagen (Annex A en B) aan waarin de vereisten en controls worden gekoppeld aan de vereisten van de AVG, zodat 27701 ook kan worden gebruikt als AVG compliance gids door verwerkersverantwoordelijken (PII Controllers) en verwerkers (PII Processors). De verplichtingen van gegevensbeheerders om te voldoen aan de rechten van betrokkenen onder de AVG vallen bijvoorbeeld onder de controls van 27701 met betrekking tot verplichtingen aan PII-opdrachtgevers.

Er worden richtlijnen gegeven voor het implementeren van elke controle door middel van doelstellingen en beheersmaatregelen, zoals bijvoorbeeld: een persoon aanwijzen die verantwoordelijk is voor het PIMS, het aanbieden van een opleiding voor medewerkers op het gebied van gegevensbescherming, toepassing van encryptie, bijv. voor speciale categorieën van persoonlijke gegevens, en het in overweging nemen van het Privacy by Design- en ‘Privacy by default’ principe.

Verplichting?

Nee. De nieuwe 27701 norm is vanzelfsprekend geen verplichte norm(uitbreiding), maar wel aan te raden door de verbinding die de 27701 legt met de AVG. Door 27001 en 27701 te implementeren kun je aantonen dat je als gemeente zorgvuldig met gegevens omgaat en voldoet aan de privacy- en informatiebeveiligingsvereisten van de AVG

Daarnaast bevordert het de samenwerking tussen informatiebeveiliging en privacy en is uiteraard het uitgangspunt dat je als gemeente op dit vlak blijft groeien en ontwikkelen, zodat je volgend jaar op een hoger niveau zit. Een ander praktisch hulpmiddel om te voorkomen dat er te veel vanuit alleen juridisch of technisch oogpunt naar privacy wordt gekeken, is een Privacy Control Framework (PCF) waar ik eerder al eens een blog over schreef.

Contract en leveranciersmanagement; mitsen en maren bij informatiebeveiliging
Risicomanagement; dichterbij dan je denkt?

Copyright © 2014 - 2019 IB&P B.V.
Onze algemene voorwaarden & privacyverklaring. Ook handig: de sitemap