Het Nederland Normalisatie-instituut (NEN) geeft samen met de internationale organisaties voor normalisatie, ISO en IEC belangrijke beveiligingsstandaarden uit met titels zoals NEN-ISO/IEC 27001 (vanaf nu: ISO 27001). ISO 27001 en ISO 27002 zijn belangrijke beveiligingsstandaarden die beschrijven hoe organisaties hun informatiebeveiliging moeten vormgeven. De recent inwerkinggetreden ISO 27701:2019 (‘de norm’) omschrijft hoe organisaties hun privacybeschermings- en informatiebeveiligingsbeleid kunnen integreren. Wat betekent deze uitbreiding voor privacy-informatiemanagement?
De norm is in hoge mate geïnspireerd door de Algemene verordening gegevensbescherming (AVG). Waar de AVG rechten en verplichtingen formuleert, beschrijft de norm hoe je de beheersmaatregelen en implementatierichtlijnen aan die rechten en verplichtingen in de praktijk vormgeeft. Zo geeft paragraaf 7.3.4 op blz. 50 vorm aan onder andere artikel 18 AVG, waarin het recht van de betrokkene op beperking van de verwerking wordt beschreven. Volgens een voetnoot op blz. 6 kunnen de begrippen van de norm echter niet een-op-een worden uitgewisseld. De norm heeft het bijvoorbeeld over Persoonlijk Identificeerbare Informatie (PII) en gaat ervanuit dat met PII individuen worden geïdentificeerd of van elkaar worden onderscheiden. De term persoonsgegevens van de AVG heeft een bredere betekenis: alle informatie die naar een (natuurlijk en levend) persoon verwijst of aan een persoon verbonden kan worden.
De norm start met de gebruikelijke vier hoofdstukken voor normen: Toepassingsgebieden, Verwijzingen, Definities, Algemeen. Daarop volgen de hoofdstukken met de uitwerking:
Hoofstuk 5 – Pims – specifieke eisen in verband met ISO 27001
Hier wordt concreet beschreven hoe het Information Management System (ISMS) van de ISO 27001 wordt uitgebreid om te komen tot een Privacy- Informatiemanagementsysteem (PIMS). Het gaat om het bepalen van context van de organisatie (in welke juridische omgeving opereert deze?), en het bepalen van behoeften en verwachtingen van belanghebbenden. Voor deze onderdelen bevat de AVG tal van bepalingen en de kruisverwijzingstabel D.1 op blz. 80 vat deze handig samen.
Verder gaat het hoofdstuk in op het vaststellen van het toepassingsgebied van het PIMS, het inrichten van leiderschap, het beoordelen en behandelen van risico’s, het bepalen van beveiligingsdoelstellingen, het aantrekken van ondersteuning, het uitvoeren van verbeteringen, evalueren, het corrigeren van afwijkingen en voortdurend verbeteren. Dit vormt met name een uitwerking van art. 32 leden 1 en 2 AVG over beveiligen van de verwerking.
Hoofdstuk 6 – PIMS specifieke richtlijnen in verband met ISO27002
Hier wordt een relatie gelegd met de lange lijst van beveiligingsmaatregelen uit de ISO 27002 om ervoor te zorgen dat de informatievoorziening doet waarvoor het is ontworpen: gegevens beschikbaar stellen wanneer nodig, zo gespecificeerd en vertrouwelijk als vereist. Het betreft vooral een uitwerking van de volgende artikelen uit de AVG: artikel 5 lid 1.f over nemen van passende technische en organisatorische maatregelen, artikel 24 leden 1 en 2 over de verantwoordelijkheid van de verwerkingsverantwoordelijke, artikel 32 leden 1 en 2 over beveiliging van de verwerking. In paragraaf 6.3.3.1 van de norm komen de rollen en verantwoordelijkheden bij informatiebeveiliging aan de orde, een onderwerp dat ook op veel plaatsen in de AVG terugkomt. Dit is samengevat in de kruisverwijzingstabel D.1.
Hoofdstuk 7 Aanvullende ISO 27002-richtlijnen voor PII-verwerkingsverantwoordelijken
Dit hoofdstuk geeft een overzicht van de vele verplichtingen van verwerkingsverantwoordelijken met beheersmaatregelen en implementatierichtlijnen, waarin wordt beschreven hoe aan die verplichtingen kan worden voldaan. Het hoofdstuk is samengevat in tabel A.1 op blz. 68. De kruisverwijzingstabel D.1 op blz. 81 vat de artikelen uit de AVG waar naar wordt verwezen samen.
Hoofdstuk 8 – Aanvullende ISO 27002-richtlijnen voor PII verwerkers
Dit hoofdstuk doet hetzelfde als hoofdstuk 7, maar dan voor verwerkers. De samenvatting is te vinden in tabel B.1 op blz. 73, met weer een verwijzing naar de artikelen uit de AVG in tabel D.1 op blz. 83.
De norm is een lange checklist van vereisten en een goede basis voor certificering. Naar verluidt werkt het Nederlands Normalisatie-instituut momenteel ook aan een certificeringsschema voor deze norm.
Een sterk punt van deze norm is de concrete uitwerking van het combineren van informatiebeveiliging en privacybescherming, iets wat nog te vaak in tal van organisatie gescheiden werelden zijn. Voor niet-juristen biedt de norm ook een praktische start om de AVG te leren begrijpen.
De norm vat de AVG samen en het is onvermijdelijk dat daarbij iets misgaat. Als voorbeeld bevat art. 6 een limitatieve opsomming van verwerkingsgrondslagen, maar paragraaf 7.2.2 gaat ervan uit dat er meer zijn. Art. 9 legt vast dat alleen onder voorwaarden bijzondere persoonsgegevens mogen worden verwerkt. Als voorbeeld mag een supermarkt geen medische gegevens verwerken en dat verbod is niet op te lossen met strengere beheersmaatregelen, waar de norm op blz. 44 vanuit lijkt te gaan. Verder kunt u van de norm geen antwoord verwachten op begrenzing van begrippen zoals verwerkingsverantwoordelijke en verwerker. Deze begrippen worden nogal eens verward. Als bijvoorbeeld een gemeente medische keuringen laat uitvoeren door een zorginstelling, dan is die zorginstelling geen verwerker maar verwerkingsverantwoordelijk, omdat niet informatievoorziening maar de medische dienstverlening wordt uitbesteed. Dat de AVG deze begrippen op deze manier begrenst is niet een kwestie van ‘juristen die het weer eens lastig opschrijven’, maar op goede gronden verdedigbaar omdat een andere constructie al snel zou leiden tot doorbreken van het medisch beroepsgeheim, terwijl de gemeente bijvoorbeeld alleen maar hoeft te weten of iemand gelet op de gemeentelijke criteria in aanmerking komt voor een parkeervergunning. Ook voor bijvoorbeeld personeelsafdelingen en scholen kent de Nederlandse wetgeving specifieke bepalingen voor de verwerking van persoonsgegevens en die zal men tevergeefs zoeken in deze norm.
Samenvattend beschrijft de norm een handige integrale aanpak van informatiebeveiliging en privacybescherming, en door de checklistvorm is deze heel praktisch. Warm aanbevolen voor degenen die een goede basisopzet van de privacybescherming willen zoals functionarissen voor de gegevensbescherming. Denk hierbij aan scholen, webwinkels, kleinere zorgverleners en personeelsafdelingen. Voor de bijzonderheden zal de AVG of nationale wetgeving echter nodig blijven.
