De jongste aanwinst in de ISO 27000-reeks: 27701 PIMS

| Renco Schoemaker | ,

Voor menig CISO zal de ISO 27000-reeks grotendeels bekende materie zijn. Voor anderen zal het vooral vraagtekens oproepen. Onlangs is er door de NEN een toevoeging aan deze reeks gedaan rondom privacy management; de zogenaamde ISO 27701 . In deze blog geef ik je graag een overzicht van deze norm en vertel ik je de verschillen met twee andere usual suspects uit de reeks: 27001 en 27002.

De ISO 27000-reeks

De Internationale Organisatie voor Standaardisatie (ISO) is een organisatie die normen, vooral op het vlak van beveiliging, in zijn breedste zin ontwikkelt: van volksgezondheid tot aan informatiebeveiliging. In deze blog richt ik me (uiteraard) op die laatste; de ISO 27000-reeks, die zich focust op het beveiligen van onder meer financiële informatie, werknemersgegevens en informatie die aan derden wordt toevertrouwd.

ISO 27001 versus ISO 27002

Allereerst even kort de, voor de meeste van ons, bekende ISO normen op een rij:

  • De ISO 9001: wereldwijd dé erkende norm op het gebied van kwaliteitsmanagement en daardoor een maatstaf voor transparantie en betrouwbaarheid in de markt. Met ISO 9001 kwaliteitsmanagement wordt continue verbetering van kwaliteit geborgd.
  • De ISO 27001: vertaalslag van de 9001. De 27001 is specifiek gericht op informatiebeveiliging. Maar let op, deze standaard dekt niet alle onderdelen van de AVG (persoonsgegevens, rol als verwerker of verantwoordelijke). Wel is er overlap met de AVG op het onderdeel beveiliging.
  • De ISO 27002: nadere uitwerking van de 27001. De 27002 is een implementatierichtlijn bij de 27001. De 27002 biedt dus concrete beveiligingsmaatregelen en is de basis voor o.a. de BIG en BIO. Certificering tegen 27002 is dan ook niet mogelijk, 27001 wel.
  • De NEN 7510: de NEN-7510 is net als ISO 27001 gericht op informatiebeveiliging, maar dan specifiek bedoeld voor zorginstellingen en andere beheerders van gezondheidsgegevens. Net als de 27001 kan een organisatie zich laten certificeren tegen 75010.

Nieuwe norm: de ISO 27701

Onlangs is er dus een nieuwe norm toegevoegd, namelijk de eerste internationale standaard rondom privacy management; de 27701. De 27701 is een uitbreiding op de ISO 27001. Veel verschillen zijn er niet tot dat je de aanvullende maatregelen voor het beschermen van persoonsgegevens ontdekt. Deze dragen bij aan het (makkelijker) voldoen aan de AVG, door het bieden van concrete handvatten. Iets waaraan veel organisaties, en dus ook gemeenten, een sterke behoefte hebben. Daarom dus ook deze blog.

Waarom belangrijk?

De AVG verplicht organisaties om ‘passende technische en organisatorische maatregelen te nemen’ om de privacy van alle persoonsgegevens die zij verwerken te waarborgen en zo de rechten van betrokkenen te beschermen.

Deze maatregelen kunnen voor elke organisatie verschillend zijn, maar de 27001/2 gelden hier als geaccepteerde best practice. De 27701 is gericht op zowel verwerkers als verwerkersverantwoordelijken en helpt bij het bepalen van ‘passende technische en organisatorische maatregelen’, net zoals de ISO 27001 dat doet voor informatiebeveiliging.

Integreren ISO 27001 en ISO 27701

27001 beschrijft de vereisten voor een ISMS (managementsysteem). Een ISO 27001 certificering biedt belanghebbenden de zekerheid dat gegevens op de juiste manier worden beveiligd. Wanneer je 27001 hebt geïmplementeerd kun je 27701 gebruiken om het managementsysteem uit te breiden tot privacybeheer, inclusief de verwerking van persoonlijke gegevens en persoonlijk identificeerbare informatie, ook wel PII genoemd.

De 27701 specificeert de vereisten en biedt richtlijnen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Privacy Information Management Systeem (PIMS). Net zoals we dat dus voor security hebben: 27001 ISMS. 27701 is gebaseerd op de 27001 maar omvat een reeks privacy specifieke vereisten.

Toegevoegde waarde?

Bij de controls die niet veranderd zijn in 27701 t.o.v. 27001, wordt er verwezen naar de corresponderende control uit de 27001 (neem bijvoorbeeld 5.2.4, 5.3.1, 5.3.2 etc.). Maar de toegevoegde waarde zit hem vooral in dat de norm een overzicht geeft van alle aanvullende ‘controls’ die je als gemeente kunt implementeren om te voldoen aan de vereisten van de AVG. Deze worden nu toegespitst op gevallen waar persoonsgegevens bij betrokken zijn en geven passende maatregelen die zorgen voor de juiste privacybescherming.

Neem bijvoorbeeld 6.2.1.1, waar wordt gesteld dat je verwerkersovereenkomsten afsluit als je voor de verwerking een derde partij inschakelt. Of 6.3.1.1. waar staat dat je intern een verantwoordelijke voor privacy aanstelt (bijv. Privacy officers en/of een FG) die toezicht houdt en een adviserende rol heeft richting de rest van de organisatie als het gaat om privacy. Maar ook zichtbaar iets doen op het vlak van privacy awareness en training is één van de maatregelen (6.4.2.2).

Verwerkers(verantwoordelijken)

Achterin de 27701 tref de bijlagen (Annex A en B) aan waarin de vereisten en controls worden gekoppeld aan de vereisten van de AVG, zodat 27701 ook kan worden gebruikt als AVG compliance gids door verwerkersverantwoordelijken (PII Controllers) en verwerkers (PII Processors). De verplichtingen van gegevensbeheerders om te voldoen aan de rechten van betrokkenen onder de AVG vallen bijvoorbeeld onder de controls van 27701 met betrekking tot verplichtingen aan PII-opdrachtgevers.

Er worden richtlijnen gegeven voor het implementeren van elke controle door middel van doelstellingen en beheersmaatregelen, zoals bijvoorbeeld: een persoon aanwijzen die verantwoordelijk is voor het PIMS, het aanbieden van een opleiding voor medewerkers op het gebied van gegevensbescherming, toepassing van encryptie, bijv. voor speciale categorieën van persoonlijke gegevens, en het in overweging nemen van het Privacy by Design- en ‘Privacy by default’ principe.

Verplichting?

Nee. De nieuwe 27701 norm is vanzelfsprekend geen verplichte norm(uitbreiding), maar wel aan te raden door de verbinding die de 27701 legt met de AVG. Door 27001 en 27701 te implementeren kun je aantonen dat je als gemeente zorgvuldig met gegevens omgaat en voldoet aan de privacy- en informatiebeveiligingsvereisten van de AVG

Daarnaast bevordert het de samenwerking tussen informatiebeveiliging en privacy en is uiteraard het uitgangspunt dat je als gemeente op dit vlak blijft groeien en ontwikkelen, zodat je volgend jaar op een hoger niveau zit. Een ander praktisch hulpmiddel om te voorkomen dat er te veel vanuit alleen juridisch of technisch oogpunt naar privacy wordt gekeken, is een Privacy Control Framework (PCF) waar ik eerder al eens een blog over schreef.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Tien stappenplan voor het opstellen van een autorisatiematrix

Een handig hulpmiddel bij het goed inrichten van autorisaties, is een autorisatiematrix. Maar hoe stel je een autorisatiematrix op? IB&P heeft een tien stappenplan gemaakt om je hierbij te helpen. In deze blog lees je hoe je een autorisatiematrix …

Kennisproducten ter ondersteuning implementatie BIO; wanneer gebruik je wat?

Om gemeenten bij de implementatie van de BIO te ondersteunen heeft de IBD handige kennisproducten ontwikkeld die je op weg kunnen helpen. Maar welke producten zijn er nu allemaal precies, waar dienen ze voor en wat is de onderlinge samenhang? In d…

Weet jij wie je binnenlaat? Het managen van toegangsbeveiliging.

Als gemeente wil je voorkomen dat onbevoegden toegang hebben tot informatie, zowel digitaal als fysiek. Maar hoe kun je logische en fysieke toegangsbeveiliging inzetten binnen je organisatie? En wat is eigenlijk het verschil tussen deze twee? In d…

Een erbarmelijke evaluatie

Het rapport ‘Evaluatie en versterking ENSIA-stelsel’ is vrij geruisloos gepubliceerd op de website Digitale Overheid. Renco Schoemaker vindt de kwaliteit van het evaluatierapport onder de maat. In deze blog lees waarom!

Je medewerkers ‘beveiligen’; hoe doe je dat?

In de Baseline Informatiebeveiliging Overheid (BIO) worden eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarl…