De relatie tussen General Data Protection Regulation en ISO 27001 (interview)

Wat is met betrekking tot ISO-27001 certificering de impact van de nieuwe privacywet General Data Protection Regulation (GDPR) en in Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG)? Mijnzakengids.nl in een interview met Lloyd's Register Nederland.

Wat is het belang van de ISO 27001 standaard?

Van Es: “Dit is een internationale managementstandaard. Bij het opzetten van een managementsysteem helpt deze goed om te gaan met informatiebeveiliging. Organisaties tonen hiermee aan, vanuit een bedrijfsstrategie en stakeholdersoptiek gevoelige informatie serieus te behandelen, door kwalitatieve risicoanalyses uit te voeren waaruit passende controle maatregelen volgen.

In Nederland bestaat een afgeleide hiervan, de NEN 7510, die aanwijzingen geeft voor het toepassen van informatiebeveiliging ISO/IEC 27002:2005 in de gezondheidszorg. Dit betreft met name patiënt-gerelateerde data.”

Wanneer dient gestart te worden met certificeren om de deadline van 25 mei 2018 te halen?

Van Es: “Compliant zijn met de privacywet- en regelgeving is allereerst belangrijk. Grote en middelgrote organisaties zullen dit beter voor elkaar hebben dan de kleinere, omdat die vaak expertise en capaciteit missen.”

Chanchal: “Ontwikkelingen als inwerkingtreding van de AVG is een enorme drive voor organisaties om een managementsysteem op te zetten . De deadline en de tijd die nodig is om de compliance van een organisatie aantoonbaar te maken in ogenschouw genomen, is het advies om nu te beginnen. Factoren als bedrijfsomvang, processen, deskundigheid, type persoonsgegevens zijn hierop van invloed.”

Informatiebeveiliging inspiratiefoto

Wat is de rol van Lloyd’s Register bij het implementeren van het ISO-certificaat?

Chanchal: “De nieuwe privacywet is een trigger om met het ISO 27001 certificaat in te haken op informatiebeveiliging. Denk hierbij aan auditing en certificatie van informatiebeveiliging in de breedste zin.

Organisaties zullen in de toekomst hun bedrijfsrisico’s steeds meer moeten afdekken op verschillende aspecten. Hierbij kan een Information Security Management System (ISMS) van toegevoegde waarde zijn. En zorgt in het geval van ISO 27001 dat een organisatie de informatiebeveiliging en privacy doelstellingen kan besturen en verbeteren.

De stappen die een organisatie dient te nemen zijn:

  • Beleid kunnen vormgeven in een ISMS
  • Inrichting kenbaar maken aan de buitenwereld
  • Strikte naleving van wet- en regelgeving (Bijv. d.m.v. één van de 5 richtlijnen)
  • Uitvoeren van interne audits en externe audits door een onafhankelijke partij

Lloyd’s Register kan organisaties bij elke stap ondersteunen.

Welke ontwikkelingen zijn er op het gebied van ISO-certificatie?

Chanchal: “Dat informatiebeveiliging van onderwerpen als cybersecurity, Internet of Things (IoT), Cloud Software diensten en privacy steeds belangrijker worden is ook te zien in de groei van ISO 27001 certificaten.

Er is een enorme beweging in de markt die leidt tot meer aanvragen. Mede door samenwerkingsverbanden die steeds meer zichtbaar zijn in de keten. Internationale cijfers laten zien dat er in 2015 een groei was van 20% in de uitgifte van ISO 27001 certificaten. Afgaande op onze cijfers is de groei in de laatste twee jaar:

  • 2015 t.o.v. 2014 = 7 %
  • 2016 t.o.v. 2015 = 15 % ”
Lees voor het volledige artikel de website van mijnzakengids.nl
ISO 27001 Brochure Preview

Download de ISO 27001 brochure

  • Wordt bewust van uw informatiebeveligingsrisico's
  • Wat een Information Security Management System (ISMS) is en hoe u deze opzet
  • Hoe u uw ISMS op basis van ISO 27001 laat certificeren en in welk stadium