Wel eens aan gedacht om ISO 27001 te implementeren om aan de AVG/GDPR te voldoen? ISO 27001 is de leidende internationale norm om fysieke documenten en digitale informatie te beveiligen. Een zeer actueel thema. Daarmee lijkt deze certificering ideaal om aan de AVG/GDPR te voldoen. Maar in hoeverre is dat toereikend?
ISO 27001 en de AVG/GDPR overlappen elkaar, ze gaan allebei over privacy- en persoonsbescherming. Er zijn veel gelijkenissen. De AVG/GDPR richt zich specifiek op de bescherming en het beheer van persoonsgegevens. Bij ISO 27001 ligt de focus op het in stand houden van een managementsysteem om informatie te beveiligen en verlies van gegevens te voorkomen.
Raakvlakken tussen ISO 27001 en AVG/GDPR
We vonden zeven specifieke gebieden waar ISO 27001 de naleving van AVG/GDPR rechtstreeks ondersteunt:
1) Beheer van persoonlijke gegevens is de kernfocus van de AVG/GDPR. ISO 27001 ondersteunt dit met richtlijnen om persoonlijke gegevens te identificeren en te beheren. Zowel binnen ISO 27001 als de AVG/GDPR classificeer je hoe, waar en hoelang de data wordt opgeslagen en wie er toegang heeft.
2) ISO 27001 en de AVG/GDPR gaan beiden over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Het zijn belangrijke bouwstenen van een informatiemanagementsysteem, het moet kloppen en correct zijn.
3) De AVG/GDPR schrijft voor dat bedrijven risicobeoordelingen uitvoeren alvorens persoonsgegevens te verzamelen, de zogeheten “impact-analyse”. Evenzo vereist ISO 27001 dat er altijd risico-analyses worden uitgevoerd om kwetsbaarheden in kaart te brengen, niet alleen over het verzamelen van persoonsgegevens maar ook op andere onderdelen.
4) Bijzondere persoonsgegevens (godsdienst, politieke voorkeur of geaardheid) moeten extra goed worden beschermd. Deze data kent een verhoogd risico bij openbaring. Dit soort gevoeligheden beschermen is inherent onderdeel van zowel ISO 27001 als de AVG/GDPR.
5) De AVG/GDPR stelt als voorwaarde dat er bij een ‘fysiek of technisch incident’ snel toegang moet zijn tot persoonlijke gegevens. ISO 27001 kent een hele reeks aan beheersmaatregelen (controls) om de snelle beschikbaarheid van deze kritieke gegevens te waarborgen.
6) De AVG/GDPR schrijft voor dat bedrijven binnen 72 uur een privacy inbreuk moeten melden aan de autoriteiten. ISO 27001 schrijft “een consistente en effectieve aanpak” voor, organisaties met een ISO 27001 certificering zijn doorgaans ingericht op een snelle reactie bij inbreuk op data.
7) Wordt de verwerking of opslag van persoonlijke gegevens uitgevoerd bij een verwerker (salarisadministratie, pensioenfonds, verzekeraar)? De AVG/GDPR kent als voorschrift dat er een contractuele overeenkomst wordt gesloten, de zogeheten verwerkersovereenkomst. Hierin staat zwart-op-wit dat ook verwerkers de AVG/GDPR moeten naleven. ISO 27001 verplicht ook tot adequate bescherming van gegevens waar uitbestedingspartijen toegang toe hebben, het moet aantoonbaar goed geregeld zijn.
Met zoveel overeenkomsten is ISO 27001 momenteel de beste routekaart om aan de AVG/GDPR te gaan voldoen. Toch roept dat nog een belangrijk vraag op:
Als uw organisatie reeds ISO 27001 gecertificeerd is, voldoet u dan al aan de AVG/GDPR?
Waarschijnlijk niet, de AVG/GDPR stelt specifieke eisen op naleving van de privacy-rechten van burgers, we noemen enkele essentiële verschillen:
1) In de AVG/GDPR is opgenomen dat burgers kunnen verzoeken dat hun persoonsgegevens worden verwijderd, ” the right to be forgotten”. ISO 27001 kent dit niet.
2) AVG/GDPR vermeldt specifiek dat het gebruik van persoonsgegevens moet worden geminimaliseerd. In de ISO 27001 komt dit niet specifiek aan de orde.
3) ISO 27001 spreekt zich niet uit over het aanwijzen van een Functionaris voor de Gegevensbescherming. Binnen de AVG/GDPR zijn alle overheidsorganisaties verplicht om deze functionaris te benoemen.
Als u voldoet of besluit te gaan voldoen aan de ISO 27001 norm, dan bent u uitstekend op weg om aan de AVG/GDPR te voldoen en tackelt u tegelijkertijd meerdere issues ten aanzien van informatiebeveiliging.
Weet u al hoe u er voor staat? We helpen u graag met de AVG/GDPR inventarisatie of een ISO 27001 certificeringstraject. Neem contact op met Safesecur Group BV – World Trade Center Rotterdam – , via office@safesecur.nl