ISO27701 opgenomen in Base27

In een update aan klanten zijn zij op de hoogte gesteld over de grote stappen die we zetten rond het privacybeheer via de ISO27701 norm. Deze norm is een uitbreiding op de norm voor informatiebeveiliging (ISO27001) en maakt mogelijk om ook privacy te beheren en te controleren, op een zelfde wijze als we dat al doen voor informatiebeveiliging. De ISO27701 is in augustus 2019 gepubliceerd.

De norm is nu beschikbaar en eenvoudig in het Nederlands toegankelijk. Ik ben blij met deze stap zodat we de norm kunnen gebruiken en de ondersteuning voor dit jaar goed kunnen inrichten. Wat we hebben gedaan:

  1. We hebben de norm vertaald naar het Nederlands (als eerste in Nederland)
  2. De norm is opgenomen in Base27, het beheerssysteem dat we gebruiken voor informatiebeveiliging en privacy.

In het kort, wat is de ISO27701?

De ISO27701 norm kan een brug slaan tussen informatiebeveiliging en privacy. De norm werd in augustus 2019 gepubliceerd en is een uitbreiding op de ISO27001 (informatiebeveiliging). De uitbreiding voegt beheersmaatregelen gericht op privacycompliance toe, waarmee het een ISMS omvormt tot een PIMS (Privacy and Information Management system). In het kort zegt de ISO27701:

  • Overal waar we praten over informatiebeveiliging, praten we voortaan over privacy en informatiebeveiliging
  • Een aantal elementen uit het ISMS wordt aangepast en uitgebreid. Bijvoorbeeld: de risicoanalyse moet expliciet aandacht besteden aan privacyrisico’s
  • De beheersmaatregelen (ISO27002) zijn op 32 punten aangevuld en specifieker gemaakt voor privacy
  • Twee bijlagen (annexen) voor verwerkingsverantwoordelijken en verwerkers met respectievelijk 31 en 18 beheersmaatregelen zijn toegevoegd. Afgezien van wat nuances omvatten deze de bepalingen van de AVG.

Vertaling beschikbaar

Om de ISO27701 praktisch bruikbaar te maken is een vertaling naar het Nederlands een eerste stap. Daarbij keken we vol verwachting naar de NEN. Op haar bijeenkomst van 26 november met als titel ‘De ontbrekende schakel tussen informatiebeveiliging en AVG’ wilde de NEN een Nederlandse vertaling van de norm presenteren. Helaas kostte het vertalen van de norm hen meer tijd en wordt de vertaling nu in februari (?) 2020 verwacht. Hier wilde ik niet langer op wachten omdat verschillende auditplannen opgezet moeten worden.

Het vertalen van de norm was geen sinecure. Niet alleen omdat de GDPR en AVG specifieke termen en begrippen gebruiken, maar ook omdat het gaat om een vertaling van een ISO-norm waarbij de vertaling ook recht moet doen aan de generiekere opzet van de norm. In een technisch blog zal ik hier dieper op ingaan. Overigens zal binnen nu en enkele maanden de NEN komen met haar eigen vertaling, de norm wordt dan in Base27 aangepast.

Overigens, wist je dat…: ook het Privacy Control Framework van de Norea hadden we i.s.m. SafeHarbour flink eerder vertaald voor onze klanten dan de Norea zelf. Over service gesproken… Deze versie is opgenomen in IC Content (categorie ‘toezicht en naleving’).

ISO27701 opgenomen in Base27

Het was een klus, maar onze vertaling van de ISO27701 is eind 2019 gereed gekomen en is vanaf nu beschikbaar voor alle klanten die worden ondersteund met Base27 van Axxemble. Deze zijn al in de omgeving geactiveerd en beschikbaar. In Base27 is de norm te vinden op dezelfde plaatsen als de ISO27001, bijvoorbeeld bij de verklaring van toepasselijkheid en bij de maatregelen.

Zodra de NEN met haar vertaling komt zal de bestaande vertaling aangepast worden. Klanten die al aan de slag gaan met de norm bijvoorbeeld bij het opstellen van hun auditplannen zullen hier geen last van hebben.

Waarom de ISO27701 gebruiken naast de ISO27001?

Gegevensbescherming is meer dan informatiebeveiliging

De ISO27001 norm is een norm gericht op informatiebeveiliging. Bedrijfsprocessen waarbinnen persoonsgegevens worden verwerkt moeten daarnaast voldoen aan de AVG en eventuele aanvullende privacywetgeving. Volgens de AVG moet de verwerkingsverantwoordelijke aantoonbaar de AVG naleven. Informatiebeveiliging is daar een (erg) belangrijk onderdeel van en de ISO27001 certificering biedt een belangrijk instrument om duidelijk te maken dat dat onderdeel op orde is. Maar je informatiebeveiliging op orde hebben volgens de ISO27001 norm is niet voldoende in het licht van gegevensbescherming en de AVG. Wanneer persoonsgegevens worden verwerkt heb je als organisatie rekening te houden met andere risico’s en wettelijke bepalingen. Zo zal je expliciet rekening moeten houden met risico’s voor de ‘vrijheden en fundamentele rechten’ van betrokkenen. En heb je te maken met een meldplicht in het geval van een datalek. De ISO27001 houdt hier geen rekening mee, de ISO27701 omvat deze eisen wel.

ISO heeft beste kaarten in de markt herkend te worden

De ISO norm is niet het enige beschikbare normenkader. Er bestaan verschillende normenkaders (CIP voor overheid, Privacy Control Framework van de Norea) maar deze sluiten niet goed aan op de al gehanteerde ISO27001-methodiek. Terwijl je de twee vakgebieden graag in elkaar wilt schuiven. Omdat de ISO een bekende aanpak heeft biedt wat mij betreft deze norm de beste kansen om in de markt herkend te gaan worden als kwaliteitsstempel voor privacybeheer. Hoewel ik voldoende kritiek heb op de ISO27701 biedt het een bruikbaar kader om de kwaliteit en naleving van de AVG te beheersen en kwalitatief te verbeteren. Met de norm kan een brug worden geslagen tussen twee vakgebieden die nu van elkaar gescheiden blijven. Bovendien is de norm certificeerbaar waarmee het benut kan worden richting externe partijen als kwaliteitskeurmerk. Belangrijk dus ook voor marketing en een goed verhaal naar klanten!

Eén PIMS, wel lastenverzwaring

Geredeneerd vanuit het zakelijke belang van klanten (€€) vind ik het jammer dat de ISO27701 geen zelfstandige norm is maar een uitbreiding erop. Anders gezegd: je zal óók aan de ISO27001 moeten voldoen, zelfs als je eigenlijk alleen geïnteresseerd bent in de verklaring op de privacy-beheersmaatregelen. Het risico op dubbele auditlasten en dubbele administratie ligt op de loer. De uitbreiding leidt vanzelfsprekend tot meer werk door de groei van het aantal beheersmaatregelen, maar dat moet wel binnen de perken blijven. Ik zet me er voor in de beheerslast acceptabel te houden. Door het gebruik van Base27 heb ik er vertrouwen in dat dit gaat slagen, maar het zal geen eenvoudige opgave worden.

Meer weten over de ISO27701 of activiteiten op dit onderwerp? Neem dan contact op via martijn.vanderveen@procis.nl.