Laatste nieuws
 
 
  Achtergrondartikelen  

Nagenoeg elke zichzelf serieus nemende organisatie die bezig is met of business haalt uit persoonsgebonden gegevens is druk doende met de Algemene Verordening Gegevensverwerking en de wet Meldplicht Datalekken. Dat is ze te prijzen, maar welke garanties heeft u als afnemer van diensten m.b.t. gegevensverwerking als u bij ze voor de deur staat? Met andere woorden, waaraan herkent u een betrouwbaar bedrijf?

Door de redactie

Certificering is een van de handvatten waaraan een afnemer van diensten of producten in dit specifieke vakgebied zich kan optrekken: dan is ieder geval helder dat er controle (mogelijk) is op het handelen van de gegevensverwerker. Maar er zijn veel certificeringen en wat betekenen ze eigenlijk allemaal? In dit artikel wordt een aantal daarvan doorgenomen. Het heeft zeker niet de pretentie volledig te zijn, want er zijn er wel erg veel, maar van deze certificeringen zult u waarschijnlijk het meest horen en lezen, omdat ze het meest direct te maken hebben met gegevensverwerking.

Wist u dat in jaar 2016 maar liefst 5500 datalekken zijn gemeld aan de Autoriteit Persoonsgegevens (AP)? En dat was volgens die AP waarschijnlijk nog maar het topje van de ijsberg. Het werkelijke aantal datalekken, de een ernstiger dan de ander uiteraard, ligt waarschijnlijk veel hoger.
Een adequate informatiebeveiliging is van het grootste belang is voor elke organisatie. Goed doordachte oplossingen en diensten rondom digitaal beheer van documenten en persoonsgebonden gegevens moeten voorkomen dat klanten slachtoffer worden van malafide praktijken of van bewuste of onbewuste onachtzaamheid met dezelfde vervelende gevolgen. Daarvoor is de Algemene Verordening Gegevensverwerking (AVG) in het leven geroepen, met daarop aansluitend die wet Meldplicht Datalekken. Alle bedrijven en organisaties moeten daaraan voldoen. Maar dan nog is er waarschijnlijk kaf onder het koren, want veel hangt ook af van de pakkans en de handhaving (of rijdt u nooit te hard?). U wilt echter niet als afnemer van dergelijke diensten achteraf worden geconfronteerd met het feit dat ze het bij deze dienstverlener toch niet helemaal voor elkaar hadden. U houdt immers (deels) uw eigen verantwoordelijkheid over de persoonsgebonden gegevens van uw medewerkers of uw klanten bijvoorbeeld.

Tot personen herleidbare informatie (PHI)
Persoonsgebonden gegevens zijn overigens gegevens die tot een persoon herleidbaar zijn. Deze tot Personen Herleidbare Informatie (PHI) kan dus van alles zijn: van adresgegevens tot een BSN-nummer en van IP-adres tot de gegevens van een verzekeringspolis. In de regel heeft iedere organisatie te maken met dergelijke gegevens. Al was het maar vanwege de gegevens die in het personeelsdossier van de medewerker moeten worden bewaard. Dat is ook weer wettelijk verplicht, maar de manier waarop een organisatie daarmee omgaat, kan nog wel eens verschillen in de praktijk.
Certificering van dienstverleners op het gebied van gegevensverwering moet daarin wat meer duidelijkheid
scheppen. Die certificaten reduceren in ieder geval een deel van de bedrijfsrisico’s die zijn gekoppeld aan het werken met persoonsgebonden gegevens. Risicobeheersing met betrekking tot informatiebeheer staat hoog op de agenda’s in alle boardrooms, want wet- en regelgeving wordt strenger en ook strikter gehandhaafd. Boetes kunnen oplopen tot maar liefst 4% van de wereldwijde omzet.
Er is een aantal belangrijke certificeringen die ertoe doen in de wereld van informatiebeveiliging. En dus ook in het kader van de AVG.

ISO 27001
De ISO 27001 certificering is een internationale norm die iets zegt over informatiebeveiliging en hoe je daar als organisatie mee omgaat. Aan de hand van deze certificering krijgen klanten de garantie dat hun informatie in veilige handen is. Veiligheid die bovendien controleerbaar is, want dat is wat een ISO 27001 certificering inhoudt! Het is een uitgebreide set van afspraken en protocollen die inzichtelijk maakt wat de leverancier of gegevensverwerker doet en hoe hij het doet om uw informatie te beveiligen. Informatie is immers cruciaal voor het voortbestaan van een organisatie.
De ISO 27001 standaard bevat eisen waaraan het managementsysteem voor informatiebeveiliging dient te voldoen. Deze standaard specificeert namelijk eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd informatiebeveiligingssysteem in het kader van de algemene bedrijfsrisico’s van een organisatie. Samengevat: deze standaard beschrijft en legt precies vast welke stappen zijn genomen en welke protocollen worden gevolgd om informatie (blijvend) te beschermen tegen onbevoegde ogen en oneigenlijk gebruik.
Dat schept vooral eenduidigheid en helderheid ten aanzien van het beleid voor informatiebeveiliging: duidelijkheid over wat je kunt verwachten van elkaar en dat ook vastleggen. Iedereen weet en begrijpt aan  de hand van deze ISO 27001 certificering wat het doel is en wat ervoor nodig is om het doel met betrekking tot informatiebeveiliging te halen. Dit creëert helderheid in de verhoudingen en verantwoordelijkheden tussen de dienstverlener of gegevensverwerker en haar klanten.
Met deze ISO 27001 standaard voldoet de leverancier aan alle vereiste (internationale) normen voor informatiebeveiliging. Klanten hebben hiermee een concreet houvast om hun strategie voor informatiebeveiliging te bepalen. De certificering wordt daarbij regelmatig en onaangekondigd gecontroleerd door externe, gespecialiseerde auditbureaus. Die onverwachte controles zijn belangrijk, alleen dan geeft een ISO 27001 certificaat op elk moment de garantie dat het informatiebeveiligingssysteem voldoet aan alle actuele eisen, zowel technisch als organisatorisch.

ISO 7510
In sommige branches krijgt de certificering een ‘eigen karakter’, zoals in de zorgsector. De ISO 7510 is eigenlijk gelijk aan de ISO 27001, maar dan toegespitst op de zorgsector vanwege het specifieke karakter van de gegevens en de gevoeligheid ervan. De nieuwe editie van NEN 7510 bestaat uit twee delen. Deel 1 bevat de normatieve voorschriften voor het management systeem volgens ISO 27001. Deel 2 vormt de Nederlandse weergave van ISO 27002 én de Europese en mondiale norm EN-ISO 27799 ‘Medische informatica – Informatiebeveiligingsmanagement in de gezondheidszorg volgens ISO/IEC 27002’ waarin de beheersmaatregelen zijn opgenomen, bezien vanuit ‘best practices’. Specifiek voor de zorg zijn aanvullende beheersmaatregelen beschreven in EN-ISO 27799. Deze zijn vertaald en integraal in de nieuwe NEN 7510 opgenomen.
De nieuwe norm biedt daarmee een integraal Nederlandstalig kader voor informatiebeveiliging, toegespitst op de Nederlandse situatie in de zorg. Door het overnemen van de ISO 27001 als basis voor het informatiebeveiligingsmanagementsysteem ISMS), is daarmee ook de High Level Structure (HLS) onderdeel van NEN 7510. NEN 7510 is hierdoor compatibel met andere managementsysteemnormen die de HLS volgen. Er wordt regelmatig melding gemaakt van adviseurs die aangeven dat het wellicht net zo slim is om de stap naar ISO 27001/ISO 27002 te zetten voor de eenduidigheid. ISO 27001 en ISO 27002 zijn onveranderd overgenomen door CEN en er is alleen een Europees voorwoord toegevoegd aan beide normen, waarin de status van de Europese norm is toegelicht. Het Europees overnemen van ISO 27001 en ISO 27002 heeft geen consequenties voor het normontwerp NEN 7510:2017. NEN 7510 is en blijft de sectorspecifieke uitwerking van de huidige Europese en mondiale normen 27001, 27002 en 27799 voor de Nederlandse gezondheidszorg. In de nieuwe wet ‘Cliëntrechten bij elektronische verwerking van gegevens’ wordt verwezen naar NEN 7510 voor de invulling van adequate informatiebeveiliging (Bron: NEN.nl).



Een organisatie kan wel voor ISO 27001 worden gecertificeerd, maar niet voor ISO 27002. Die laatste geeft dus alleen praktische handvatten, maar wel nuttige. ISO 27001 schrijft de minimale benodigdheden voor die nodig zijn om een ISMS (Information Security Management System) op te zetten en te behouden. Het ISMS is het proces in de organisatie dat moet waarborgen dat informatiebeveiliging constant wordt verbeterd en dat je als organisatie ‘in control’ bent van bedrijfsrisico’s en informatiebeveiligingsmaatregelen. ISO 27001 geeft organisaties verder de mogelijkheid om zelf invulling te geven in hoe informatiebeveiligingsmaatregelen geïmplementeerd kunnen worden.
ISO 27002 is een ‘best practice’, of anders gezegd, een lijst met aandachtsgebieden en maatregelen die je moet en kan nemen voor een goede informatiebeveiliging in de organisatie. ISO 27002 kent aldus geen verbeteringsproces zoals ISO 27001 die wel kent. Beide normen sluiten daarom naadloos op elkaar aan, maar kennen beide een aparte insteek en voorwaarden in gebruik.

ISAE 3402
ISAE 3402 is wellicht niet zo bekend als de ISO 27001 certificering, maar is desalniettemin zeker zo belangrijk. ISO 27001 geeft u als klant al de garantie dat de leverancier of dienstverlener controleerbaar voldoet aan alle eisen en kwalificaties om op de juiste manier met uw informatie om te gaan. Deze ISAE 3402 certificering stelt u in staat dit te (laten) controleren. Daarmee heeft u als klant de zekerheid dat achteraf ook is gebeurd wat is afgesproken. De ISAE 3402 certificering komt voort uit de steeds strengere regelgeving in de financiële markten. Deze certificering is inmiddels uitgegroeid tot dé standaard voor outsourcing in het algemeen. De standaard biedt uitgebreide mogelijkheden om over aspecten als risicobeheersing, informatiebeveiliging, privacy, anti-fraude maatregelen en continuïteit te rapporteren én deze rapportage (ook achteraf nog) te laten controleren door een externe partij. ISAE 3402 certificering kent twee verschillende types: Type I en Type II. Bij ISAE 3402 Type I worden alle maatregelen en procedures beschreven en vastgelegd; bij ISAE 3402 type II wordt de controle op naleving daarvan door een externe audit partij uitgevoerd en gecertificeerd. Zonder dat u daarom hoeft te vragen; het is al gedaan en voor u op verzoek inzichtelijk. Door de toegenomen internationale concurrentie, druk op kostenbesparingen en de hoge snelheid van technologische ontwikkelingen besteden meer organisaties processen uit. Applicaties worden voornamelijk aangeboden als SaaS-oplossing die worden gehost in datacenters. Deze SaaS-oplossingen worden in de meeste gevallen aangeboden vanuit een virtuele omgeving.
De organisaties die uitbesteden – de klanten dus - hebben hierbij vaak beperkt inzicht in de (processen rondom) informatiebeveiliging van serviceorganisaties. Daarnaast eisen accountants bij outsourcing van processen die betrekking hebben op de jaarrekening zekerheid bij de juiste uitvoering van deze processen. Alle accountants in Nederland erkennen de ISAE 3402 standaard en kunnen hierop steunen voor hun jaarrekeningcontrole. Dit zijn zeker niet de enige certificeringen en normen rondom informatiebeheer en -beveiliging. Sterker nog, er zijn er talloze. Om er nog in ieder geval een aantal te noemen (met soms een verwijzing naar de website waar meer informatie is te vinden):

Overzicht Baseline Informatiebeveiliging Rijksdienst (BIR 2012)
Er bestaat een aantal voor de Rijksdienst (ministeries met de daaronder ressorterende diensten, bedrijven en instellingen) geldende regelingen die het proces van informatiebeveiliging bepalen en ondersteunen.

De regelingen zijn:

Beveiligingsvoorschrift Rijksdienst 2013 (BVR2013)
Van toepassing op de integrale beveiliging van de Rijksdienst en geeft weer op welke wijze de verantwoordelijkheden voor de integrale beveiliging zijn verdeeld.

Voorschrift Informatiebeveiliging Rijksdienst 2007 (afgekort VIR2007)
Dit voorschrift geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie.

Rijksdienst – Bijzondere Informatie 2013 (VIR-BI 2013)
Geeft in aanvulling op het VIR regels voor de beveiliging van bijzondere informatie - meer vertrouwelijke informatie en staatsgeheimen - bij de rijksdienst.

Baseline Informatiebeveiliging Rijksdienst TNK
Biedt één normenkader voor de beveiliging van de informatiehuishouding van de Rijksdienst. Om informatie-uitwisseling tussen organisaties binnen de Rijksdienst te vereenvoudigen, is er deze set rijksbrede beveiligingsnormen. Deze is in de plaats getreden van vijf interdepartementale normenkaders (voor DWR, Haagse Ring, Mobiele informatiedragers, Rijksweb en Departementaal vertrouwelijke webdiensten) en een groot aantal bestaande normenkaders bij ministeries en uitvoeringsorganisaties.

NEN 2082 (beschrijft eisen voor recordsmanagementfunctionaliteit in informatiesystemen)
Moreq2010 (Modular requirements for records systems) http://www.moreq.info
ISO-14641-1:2012 (electronisch archiveren)
ISO-16175-2 (record management
functional requirements)

Om de BIR te kunnen uitvoeren zijn diverse handreikingen beschikbaar gekomen, waaronder het Operationele Handreiking Informatiebeveiliging. Deze handreiking bevat een operationalisering van maatregelen die in de BIR TNK worden genoemd. De handreiking is een levend document en zal gelijk met de BIR worden onderhouden en aangepast. Naast de Operationele handreiking zijn er ook nog een QuickScan BIR en een comply or explain procedure als handreiking beschikbaar. Van belang in het kader van
privacy is dat sinds 1 september 2013 binnen de Rijksdienst standaard een Privacy Impact Assessment (PIA) moet worden uitgevoerd bij de ontwikkeling van nieuwe wetgeving en van nieuw beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien.

Strategische en Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) het Voorschrift Informatiebeveiliging rijksoverheid (VIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging.
Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau. En dan zijn er (uiteraard) nog de nodige normen die in ieder geval beogen meer zekerheid te geven aan gebruikers van diverse toepassingen en systemen rondom informatiebeheer en -beveiliging. Zoals daar zijn: Ongetwijfeld vergeten we nog een aantal normen, maar de strekking moge duidelijk zijn: er is veel gaande op het gebied van informatiebeheer en -beveiliging en dat gaat veel verder dan ‘slechts’ de introductie van een wet als de Algemene Verordening Gegevensverwerking (AVG). Informatie is het nieuwe goud, informatiebeveiliging de nieuwe norm.

Beeld: Danto Creatieve Communicatie



Kijk hier voor het hele magazine EIM in Business, thema Access & Control

Plaats op:
Datum: 22 november 2017
Bron: DocumentWereld / Magazine Eim in Business
Gerelateerde artikelen  
15-06-2015 Opleidingen ISO 27001 Certificering
15-06-2015 Opleidingen ISO 27001 Lead Implementer
15-06-2015 Opleidingen Informatiebeveiliging
15-06-2015 Opleidingen ISO 27001 Lead Auditor
20-03-2017 Nieuws Nieuwe normen voor informatiebeveiliging
 
 

- partners -

 
 
 
 
 
� 2007 - 2017 Vakwereld. All rights reserved Pagina geladen in 0,25 seconden.