Na de introductie van de AVG in mei 2018 is er in ISO verband bekeken hoe normen een rol kunnen spelen bij het voldoen aan de eisen van de AVG. In oktober 2019 is ISO/IEC 27701 (Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines) gepubliceerd. Implementatie van ISO/IEC 27701 ondersteunt organisaties in hun streven te voldoen aan AVG.
Op het introductiecongres ISO/IEC 27701, georganiseerd door NEN in november 2019, bleken er twee wegen open te staan voor organisaties om met normen te voldoen aan de AVG. Als een organisatie al beschikt over een informatiebeveiligingsmanagementsysteem conform ISO 27001 of NEN 7510, kan ISO/IEC 27701 een belangrijke aanvulling geven op weg naar het voldoen aan AVG. De tweede manier om met normen te voldoen aan AVG, is via een AVG norm die alle relevante eisen van AVG omvat waardoor certificatie aantoonbaarheid geeft tegen de eisen van de AVG. Als een organisatie wil voldoen aan de AVG is er nog geen alomvattend normenkader wat alle eisen uit AVG afdekt en mogelijkheden geeft tot certificatie conform artikel 42 en 43 van AVG.
Naar certificering en een normenkader
Tijdens de bijeenkomst werkgroep certificatie ISO/IEC 27001 en AVG op 20 februari bij NEN zetten experts een eerste stap om certificering op het gebied van ISO 27701 mogelijk te maken. Ook willen ze onderzoeken hoe een normenkader voor AVG eruit moet zien.
Praktisch kader
Het doel van ISO/IEC 27701 is organisaties een praktisch kader bieden waarmee zij het bestaande ISMS (Information Security Management System) kunnen uitbreiden naar een PIMS (Privacy Information Management System). Implementatie van ISO/IEC 27701 ondersteunt organisaties in hun streven te voldoen aan AVG.
ISO 27701 is voor organisaties die al beschikken over ISO 27001 of NEN 7510 en sluit aan op het raamwerk van deze norm, met daarin ook de PDCA-cyclus en risicoanalyse zoals deze vereist wordt in de ISO 27001. Met de uitbreiding van het ISMS met ISO/IEC 27701 wordt de PDCA-cyclus ook toegepast op privacy-aspecten.
‘ISO 27701 richt zich op het beheersen van privacy-aspecten via een managementsysteem, maar dat is niet hetzelfde als AVG’, zegt Ying Ying Lau, die zich bij NEN bezig houdt met normen voor informatiebeveiliging. ‘Bij de AVG gaat het om de verwerking van persoonsgegevens, dus om de processen binnen een organisatie waarin persoonsgegevens een rol spelen. Deze processen vallen onder het managementsysteem van de organisatie, maar de AVG stelt eisen aan de borging van specifieke processen, niet aan het managementsysteem als geheel. En daarnaast: informatiebeveiliging gaat over alle informatie binnen een organisatie en raakt dus meer dan alleen persoonsgegevens. De eisen om AVG certificatie mogelijk te maken zullen dus anders opgesteld moeten worden.’
Werkgroep certificatie ISO 27701 en AVG
Het is al mogelijk je te laten certificeren voor ISO 27001 en voor NEN 7510. Voor NEN 7510 bestaat er al een centraal certificatieschema, maar voor ISO 27701 nog niet. Op korte termijn zullen we met de werkgroep ‘Certificatie ISO/IEC 27701 en AVG’ het certificatieschema opstellen, zegt Lau. ‘Daarmee kunnen bedrijven straks laten zien dat ze aan de eisen van ISO/IEC 27701 voldoen. Internationaal loopt hiervoor ook een traject, maar de verwachting is dat gezien de internationale context dit langer zal duren. We streven ernaar dat het NEN certificatieschema (NCS) in april klaar is om in Nederland te gebruiken.’ Daarnaast zal de werkgroep zich voor de langere termijn buigen over het opstellen van een normenkader en certificatieschema in overeenstemming met artikel 42 en 43 uit AVG.
