Opinie

Sinds september 2019 bestaat de NEN-ISO/IEC 27701 standaard. NEN omschrijft deze standaard als volgt:

NEN-ISO/IEC 27701 specificeert eisen en geeft richtlijnen voor het inrichten, implementeren, onderhouden en continu verbeteren van een managementsysteem voor privacy-informatie ('Privacy Information Management System', PIMS) in de vorm van een uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacymanagement binnen de context van de organisatie

De 27001 en 27002 standaarden gaan over informatiebeveiliging. Iedereen die een beetje verstand heeft van gegevensbescherming, weet dat gegevensbescherming meer is dan alleen de beveiliging van persoonsgegevens. Is het dus verstandig om een standaard die een organisatie grip moet geven op gegevensbescherming, te baseren op een standaard voor informatiebeveiliging? In dit artikel ga ik in op die vraag.

Waar bestaat 27701 precies uit? De eerste vier hoofdstukken zijn inleidende hoofdstukken. Hoofdstuk 5 is een aanvulling op 27001 en hoofdstuk 6 is een aanvulling op ISO 27002. Hoofdstuk 7 is bedoeld voor verwerkingsverantwoordelijken en bevat een opsomming van waar je als verwerkingsverantwoordelijke volgens de AVG aan moet voldoen. Hoofdstuk 8 is vergelijkbaar met hoofdstuk 7, maar dan voor verwerkers.

ISO 27001 beschrijft een ISMS. Heel kort gezegd is dat een management proces dat ervoor zorgt dat de organisatie grip krijgt op risicobeheersing rondom informatie. Als je je dat goed realiseert, dan is het opmerkelijk dat men voor 27701 ervoor gekozen heeft om 27001 als basis te hanteren. Bij informatiebeveiliging gaat het om het inzichtelijk maken van risico's en deze door middel van een goede afweging te accepteren of te mitigeren. Bij gegevensbescherming gaat het heel plat gezegd om het voldoen aan de wet. Dat is dus heel wat anders dan risicomanagement. De risico's rondom persoonsgegevens zijn namelijk niet voor jou als verwerkingsverantwoordelijke, maar voor de betrokkenen. Want hoe ga je risico's voor anderen eigenlijk inzichtelijk maken? En je gaat daarbij al helemaal geen afweging maken voor acceptatie of mitigatie. Voor goede gegevensbescherming is wel degelijk een managementproces nodig, maar het uitgangspunt is compleet anders dan bij informatiebeveiliging. De keuze voor 27001 als basis snap ik dus niet helemaal. Als je de rest van dit artikel gelezen hebt, moet je jezelf maar eens afvragen hoe een ISMS op basis van 27001 kan toezien op de punten uit hoofdstuk 7 en 8. Je kan jezelf afvragen in hoeverre 27701 in de praktijk niet verder zal gaan dan beter grip op artikel 32 van de AVG.

Hoofdstuk 6 bevat per control uit 27002 een aanvulling, daar waar nodig. De nummering in dit hoofdstuk heeft wat weg van de nummering van de controls uit 27002. Zo richt punt 6.15.1.2 zich op 13.1.2 uit ISO 27002. Dus bij het eerste getal uit het 27002 control-nummer tel je drie op en plak je er '6.' voor. Het is maar een kleinigheidje, maar ik had die nummering, los van die '6.' ervoor, gelijk getrokken. De toepassing van dit hoofdstuk is hetzelfde als 27002. Doe een risicoanalyse en neem bij de te nemen maatregelen die daar uit volgen ook de maatregelen uit dit hoofdstuk mee.

Nu hoofdstuk 7 en 8. Deze beschrijven niet meer dan waar je volgens de AVG aan moet voldoen. Het zijn met name deze hoofdstukken die deze norm voor mij een beetje vreemd maken. Iedereen die persoonsgegevens verwerkt en daarbij aan de AVG moet voldoen, moet daarmee ook aan deze hoofdstukken voldoen. Met een 27701 certificering zeg je voor wat betreft deze hoofdstukken dus eigenlijk: ik houd me aan de wet. Is het toezicht op de AVG werkelijk zo beneden de maat dat we zoiets als een 27701 certificering nodig hebben? En je kan je tevens afvragen hoe we moeten omgaan met een organisatie die niet door een 27701 certificering komt. Moet dat gemeld worden bij de Autoriteit Persoonsgegevens? Ze handelen immers aantoonbaar in strijd met de wet.

De 27001 en 27002 snap ik. Ik juich ze ook toe. 27001 geeft richting aan de organisatie van informatiebeveiliging en 27002 brengt kennis en ervaring in de vorm van een best-practice guide. Wat moet gebeuren ten aanzien van gegevensbescherming is ook duidelijk. De AVG is niet perfect, maar wat er in staat is duidelijk genoeg om ermee aan de slag te kunnen. De 27701 brengt ten opzichte van de AVG in ieder geval niks nieuws! Persoonlijk ben ik van mening dat een hoop te winnen valt met privacy by design. Ik denk dat artikel 25 het meest belangrijke maar tevens het meest genegeerde artikel is van de AVG. Ik zie eerlijk gezegd niet hoe 27701 daar een concrete bijdrage aan zal leveren.

Hoe zou ik zelf gegevensbescherming inrichten in een organisatie? Bij goede informatiebeveiliging is de risicoanalyse het uitgangspunt en dat is naar mijn idee goed. Bij gegevensbescherming zou ik er dus voor kiezen om de DPIA als uitgangspunt te kiezen. Laat voor iedere verwerking van persoonsgegevens een DPIA uitvoeren. De verantwoordelijk manager beoordeelt de uitkomst, neemt eventuele maatregelen en rapporteert hierover naar de directie. De Functionaris Gegevensbescherming ziet toe op dit proces en rapporteert daar ook over naar de directie. De directie beoordeelt dit alles en stuurt bij waar nodig. Nu zul je denken, maar dat managementproces komt redelijk overeen met 27001! Ja, dat klopt. Ik zie ook wel het nut van het gebruik van 27001 als basis, maar dan hadden ze ook het benodigde toetsingsmiddel moeten vertalen naar gegevensbescherming, dus de DPIA in plaats van de risicoanalyse. Helaas wordt de DPIA in 27701 niet noemenswaardig vermeld en al helemaal niet in hoofdstuk 5.

Voor een ISO 27701 certificering is een ISO 27001 certificering noodzakelijk. Hoewel ik ieder stimulering voor een betere informatiebeveiliging toejuich, vind ik deze eis opmerkelijk. Ja, een goede beveiliging van persoonsgevens is nodig om de gegevensbescherming in z'n geheel op orde te krijgen. Echter, het gaat hier niet om de daadwerkelijke gegevensbescherming, maar om het managementsysteem daarvoor. Als je vanuit een DPIA concludeert dat de informatiebeveiliging niet op orde is en op basis daarvan besluit dat een nieuw geplande gegevensverwerking dus (voorlopig) niet doorgaat, is je managementsysteem voor gegevensbescherming dan niet op orde? Uitereraard is voor een complete beoordeling van de effectiviteit van een managementsysteem voor gegevensbescherming meer nodig dan dit enkele voorbeeld, maar stellen dat een managementsysteem voor gegevensbescherming niet kan werken zonder een managementsysteem voor informatiebeveiliging vind ik ook niet juist. Een verwerking niet toestaan omdat de beveiliging niet op orde is, is namelijk een goede managementbeslissing, toch?