Privacy Friendly

Opinie

NEN-ISO/IEC 27701

25 maart 2021, 13:12

Sinds september 2019 bestaat de NEN-ISO/IEC 27701 standaard. NEN omschrijft deze standaard als volgt:

NEN-ISO/IEC 27701 specificeert eisen en geeft richtlijnen voor het inrichten, implementeren, onderhouden en continu verbeteren van een managementsysteem voor privacy-informatie ('Privacy Information Management System', PIMS) in de vorm van een uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacymanagement binnen de context van de organisatie

De 27001 en 27002 standaarden gaan over informatiebeveiliging. Uit bovengenoemde omschrijving zou je kunnen opmaken dat ook 27701 gaat over informatiebeveiliging gaat. Als je de 27701 norm gauw doorneemt, dan zou je ook die indruk kunnen krijgen. Echter, schijnt bedriegt.

Waar bestaat 27701 precies uit? De eerste vier hoofdstukken zijn inleidende hoofdstukken. Hoofdstuk 5 is een aanvulling op 27001 en hoofdstuk 6 is een aanvulling op ISO 27002. Hoofdstuk 7 is bedoeld voor verwerkingsverantwoordelijken en bevat een opsomming van waar je als verwerkingsverantwoordelijke volgens de AVG aan moet voldoen. Hoofdstuk 8 is vergelijkbaar met hoofdstuk 7, maar dan voor verwerkers.

ISO 27001 beschrijft een ISMS. Heel kort gezegd is dat een management proces dat ervoor zorgt dat de organisatie grip krijgt op risicobeheersing rondom informatie. Als je je dat goed realiseert, dan is het opmerkelijk dat men voor 27701 ervoor gekozen heeft om 27001 als basis te hanteren. Bij informatiebeveiliging gaat het om het inzichtelijk maken van risico's en deze door middel van een goede afweging te accepteren of te mitigeren. Bij gegevensbescherming gaat het heel plat gezegd om het voldoen aan de wet. Dat is dus heel wat anders dan risicomanagement. De risico's rondom persoonsgegevens zijn namelijk niet voor jou als verwerkingsverantwoordelijke, maar voor de betrokkenen. Want hoe ga je risico's voor anderen eigenlijk inzichtelijk maken? En je gaat daarbij al helemaal geen afweging maken voor acceptatie of mitigatie. Voor goede gegevensbescherming is wel degelijk een managementproces nodig, maar het uitgangspunt is compleet anders dan bij informatiebeveiliging. De keuze voor 27001 als basis snap ik dus niet helemaal. Als je de rest van dit artikel gelezen hebt, moet je jezelf maar eens afvragen hoe een ISMS op basis van 27001 kan toezien op de punten uit hoofdstuk 7 en 8. Je kan jezelf afvragen in hoeverre 27701 in de praktijk niet verder al gaan dan beter grip op artikel 32 van de AVG.

Hoofdstuk 6 bevat per control uit 27002 een aanvulling, daar waar nodig. De nummering in dit hoofdstuk heeft wat weg van de nummering van de controls uit 27002. Zo richt punt 6.15.1.2 zich op 13.1.2 uit ISO 27002. Dus bij het eerste getal uit het 27002 control-nummer tel je drie op en plak je er '6.' voor. Het is maar een kleinigheidje, maar ik had die nummering, los van die '6.' ervoor, gelijk getrokken. De toepassing van dit hoofdstuk is hetzelfde als 27002. Doe een risicoanalyse en neem bij de te nemen maatregelen die daar uit volgen ook de maatregelen uit dit hoofdstuk mee.

Nu hoofdstuk 7 en 8. Deze beschrijven niet meer dan waar je volgens de AVG aan moet voldoen. Het zijn met name deze hoofdstukken die deze norm voor mij een beetje vreemd maken. Iedereen die persoonsgegevens verwerkt en daarbij aan de AVG moet voldoen, moet daarmee ook aan deze hoofdstukken voldoen. Met een 27701 certificering zeg voor wat betreft deze hoofdstukken dus eigenlijk: ik houd me aan de wet. Is het toezicht op de AVG werkelijk zo beneden de maat dat we zoiets als een 27701 certificering nodig hebben? En je kan je tevens afvragen hoe we moeten omgaan met een organisatie die niet door een 27701 certificering komt. Moet dat gemeld worden bij de Autoriteit Persoonsgegevens? Ze handelen immers aantoonbaar in strijd met de wet.

De 27001 en 27002 snap ik. Ik juich ze ook toe. 27001 geeft richting aan de organisatie van informatiebeveiliging en 27002 brengt kennis en ervaring in de vorm van een best-practice guide. Wat moet gebeuren ten aanzien van gegevensbescherming is ook duidelijk. De AVG is niet perfect, maar wat er in staat is duidelijk genoeg om ermee aan de slag te kunnen. De 27701 brengt ten opzichte van de AVG in ieder geval niks nieuws! Persoonlijk ben ik van mening dat een hoop te winnen valt met privacy by design. Ik denk dat artikel 25 het meest belangrijke maar tevens het meest genegeerde artikel is van de AVG. Ik zie eerlijk gezegd niet hoe 27701 daar een concrete bijdrage aan zal leveren.