Implementatie AVG binnen uw organisatie

Organisaties zijn tegenwoordig sterk afhankelijk van ICT en telecom voorzieningen. Het delen van data via bijvoorbeeld systemen is in veel sectoren noodzakelijk geworden, maar hoe wordt de vertrouwelijkheid, integriteit en toegankelijkheid van deze bedrijfsinformatie gewaarborgd? Hoe richt u een managementsysteem bestaande uit beleid, procedures en processen zo in dat u voorkomt dat u gehackt wordt? En hoe voorkomt u een datalek binnen uw organisatie? Vanuit de samenleving, overheden en het bedrijfsleven worden hieraan steeds strengere eisen gesteld. 

Hebt u bijvoorbeeld al rekening gehouden met de veranderingen in de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie? In mei 2018 zal deze wetgeving in werking treden, in het Engels aangeduid met General Data Protection Regulation. Dit is Europese wetgeving die uitgebreide eisen stelt aan maatregelen die organisaties in de lidstaten moeten treffen om persoonsgegevens zodanig te verwerken dat privacy-eisen worden gewaarborgd. Dus ook Nederlandse bedrijven. Hoe implementeert u deze verordening effectief in uw organisatie?

Hoe een goede Information Security Management Systeem (ISMS) helpt om aan AVG te voldoen

ISO 27001 gaat over het inrichten en beheersen van adequate informatiebeveiligingsprocessen. Daarmee zorgt u voor de noodzakelijke bescherming van uw bedrijfskritische informatie. Sommige soorten bedrijfsgegevens hebben een bijzonder karakter. Denk aan persoonsgegevens zoals klant- en werknemersgegevens. Aan de bescherming daarvan worden specifiekere eisen gesteld vanwege hun privacygevoeligheid. Privacybescherming kan worden gezien als een bijzondere vorm van informatiebeveiliging. In een goed werkend ISMS op basis van ISO 27001 zal dan ook specifiek aandacht uitgaan naar privacymaatregelen die volgens de AVG nodig zijn.

  • Word bewust van uw informatiebeveligingsrisico's
  • Wat een Information Security Management System (ISMS) is en hoe u deze opzet
  • Hoe u uw ISMS op basis van ISO 27001 laat certificeren en in welk stadium

Drie ‘koppelingen’ tussen ISO 27001 en AVG

1. Risicobeheersing & AVG

Een periodieke risicobeoordeling is een essentieel onderdeel van een op ISO 27001 gebaseerd managementsysteem. Tijdens dit assessment worden risico’s voor de beveiliging van informatie gewogen en worden maatregelen gedefinieerd voor de bescherming van die informatie. Hoe belangrijker of gevoeliger de gegevens, hoe krachtiger de maatregelen die getroffen moeten worden. In deze analyse zullen persoonsgegevens en hun beschermingsmaatregelen zeker aan de orde moeten komen.

2. AVG & stakeholder analyse

Een goed ISMS zal tevens zorgen voor een stakeholderanalyse. Daarin komen relevante belanghebbenden voor de organisatie aan de orde, zodat rekening wordt gehouden met hun wensen en eisen. Een onderdeel daarvan is het wettelijk kader; organisaties zullen in kaart moeten brengen welke wet—en regelgeving op hun bedrijfsvoering van toepassing is. De AVG zal hierin niet mogen ontbreken. Zelfs als de AVG niet van toepassing zou zijn, dan moet het ISMS aantoonbaar maken dat dit zo is.

3. Implementatie AVG in uw organisatie

Tot slot stimuleert de AVG expliciet de invoering van certificatiemechanismen voor gegevensbescherming van persoonsgegevens, en moedigt ze de totstandbrenging van gegevensbeschermingszegels en –merktekens aan. Alhoewel het geen specifiek certificeringsschema is voor privacy, wordt met ISO 27001 en het daaruit voortvloeiende ISMS wel een basis gelegd om adequaat met informatiebeveiliging om te gaan.