Laatste Verhalen

Blijf op de hoogte van alles bij Approach

Publication

ISO 27701 standaard, een geweldig hulpmiddel om uw privacy compliance te verbeteren

Publicatiedatum

08.04.2021

image
Krijg tips over hoe je een duurzaam privacy compliance programma kunt opzetten binnen je organisatie.
“Je kunt beveiliging doen zonder privacy, maar je kunt geen privacy doen zonder beveiliging”

Sinds de handhaving van de privacywetgeving, en in Europa meer specifiek de GDPR, zien we een toename van het aantal ISO 27001-certificeringen en een verschuiving in het type bedrijven dat zich laat certificeren. Waarom? Omdat privacy compliance niet efficiënt kan worden bereikt zonder een bewezen beveiligingsbeleid.

Maar hoewel de ISO 27001-certificering de beveiliging van organisaties kan verbeteren en hen beter kan voorbereiden op wettelijke verplichtingen op het gebied van privacy, biedt het wereldwijde beheersysteem voor informatiebeveiliging (ISMS) geen kaders en specifieke maatregelen voor privacycontrole. Daarom is de nieuwe ISO 27701 norm er gekomen.

Tijdens de Swiss Cybersecurity Days 2021 werden we uitgenodigd om te spreken over de ISO 27701-norm: Wat zijn de voordelen ervan in het huidige zakelijke landschap? Hoe zet je een succesvol en duurzaam privacy compliance-programma op en hoe vermijd je veelvoorkomende wegversperringen en valkuilen?

Laurent Deheyer, Approach Director die al vele succesvolle ISMS- en ISO 27001-certificeringsprojecten bij klanten heeft uitgevoerd, deelde tips en trucs.

Wat is de ISO 27701 norm?

ISO 27701 is een uitbreiding op de norm ISO/IEC 27001 (die de vereisten voor informatiebeveiliging specificeert) en ISO/IEC 27002 (die richtlijnen geeft voor de implementatie van informatiebeveiliging) voor privacybeheer.

Het specificeert PIMS (Privacy Information Management System)-gerelateerde vereisten en biedt richtlijnen voor verantwoordelijken en verwerkers die verantwoordelijk en aansprakelijk zijn voor de verwerking van persoonsgegevens.

Het bevat ook kaarten naar:

  • ISO/IEC 27018 die nadere informatie geeft voor organisaties die als verwerker optreden en publieke clouddiensten aanbieden.
  • ISO/IEC 29151 die aanvullende controles en richtlijnen geeft voor de verwerking van persoonlijke gegevens door voor de verwerking verantwoordelijken.
  • De algemene verordening gegevensbescherming van de EU.

Het gebruik van deze norm in combinatie met ISO/IEC 27001 kan, indien gewenst, zorgen voor onafhankelijke verificatie van dit bewijs.

Hoe kan ISO 27701 uw organisatie helpen bij uw privacy-uitdagingen?

Uw organisatie heeft te maken met meerdere en/of veranderende privacywetgeving(en), die aanzienlijke operationele overheadkosten met zich meebrengen om privacy compliance te bereiken, te behouden en aan te tonen? Het aannemen van een internationale en erkende standaard geeft u de mogelijkheid om eerst één managementraamwerk op te bouwen en daar vervolgens lokale bijzonderheden aan toe te voegen. Dit leidt tot meer efficiëntie en lagere operationele kosten.

Gebruikt u cloudtechnologieën als consument of als leverancier? In dat geval is het belang van privacy en gegevensbescherming een cruciaal onderdeel van uw strategie voor cloudimplementatie. Standaarden zoals ISO 27018 en ISO 27701 bieden geïnteresseerde partijen voldoende zekerheid.

De ISO 27701-norm voegt vereisten toe zoals het definiëren van duidelijke rollen en verantwoordelijkheden tussen gegevensbeheerders en gegevensverwerkers en het verenigen van privacyrisico’s met risico’s voor informatiebeveiliging. Het bevat richtlijnen voor controles zoals bewustwording, classificatie van informatie, toegangscontrole en encryptie. En geeft richtlijnen voor de implementatie van leveranciersbeheer en andere specifieke maatregelen zoals ‘privacy by design’.

Hoe zorg je voor een succesvolle implementatie?

Eerst en vooral moet u uw doelstellingen definiëren voor het implementeren van ISO 27701. Dit hangt af van het volwassenheidsniveau dat u wilt of moet bereiken in een bepaald tijdsbestek.

Als uitbreiding op ISO 27001 heb je verschillende trajecten:

  • U hebt al een ISMS dat is afgestemd op ISO 27001: sluit de privacycomponenten aan op uw bestaande managementraamwerk.
  • Je hebt geen ISMS. Je zou kunnen beginnen met het ISMS en dan het PIMS of ze parallel uitvoeren. Beide parallel uitvoeren is de meest efficiënte optie, maar dat hangt af van het vermogen van uw bedrijf om veranderingen te verwerken.

In beide scenario’s impliceert het implementeren van een managementsysteem een levenscyclus van continue verbetering.

Ten tweede is het vinden van de belangrijkste factoren essentieel voor succes. Deze kunnen variëren afhankelijk van de grootte en complexiteit van uw organisatie:

  • Mensen: Zoek bondgenoten binnen je organisatie, want dit gaat allemaal over verandermanagement.
  • Methodologieën: Gebruik projectmanagementmethoden die in lijn zijn met de cultuur van uw bedrijf. Creëer zichtbaarheid door middel van een goed gedefinieerd communicatieplan en focus op quick wins.
  • Tools: Afhankelijk van de grootte en complexiteit van je bedrijf, selecteer je tools die op jou van toepassing zijn.

Hoe pak je wegversperringen en valkuilen aan?

Typische obstakels die je kunt tegenkomen bij het opstarten van zo’n project zijn onder andere:

  • Organisatorische prioriteiten: ISMS- of PIMS-projecten kunnen secundair worden omdat ze geen tastbare directe inkomstenstroom genereren, totdat uw klanten het opleggen.
  • Veranderingsbeheer: Een ISMS en PIMS implementeren betekent ons gedrag veranderen. Je zult altijd merken dat mensen terughoudend zijn om te veranderen.
  • Gebrek aan begrip: Een probleem wanneer je de waarde van dergelijke initiatieven probeert uit te leggen.
  • Budget: Schatting is geen triviale oefening voor dergelijke initiatieven.

Wat valkuilen betreft, zien we meestal problemen wanneer rollen en verantwoordelijkheden niet duidelijk zijn vastgelegd, in welk geval belangenconflicten kunnen ontstaan tijdens de implementatie.

Ten tweede is het cruciaal om de juiste reikwijdte te kiezen: proberen om voor de grootste reikwijdte te gaan kan hindernissen opwerpen, vooral voor een organisatie met een lage maturiteit. Het is beter om een kleinere scope te kiezen en deze na verloop van tijd uit te breiden.

Bij het kiezen van een richtkijker moet je om twee belangrijke redenen voorzichtig zijn:

  • Zorg ervoor dat het gekozen toepassingsgebied waarde toevoegt voor je geïnteresseerde partijen.
  • Zorg ervoor dat je geen onderdelen van je systeem uitsluit die verplicht zijn voor een goed beheer van je beveiliging en privacy.

Tot slot, zoals bij elk project, zal een slechte planning invloed hebben op je vermogen om op tijd, met de juiste kwaliteit en binnen het budget te leveren. Zorg ervoor dat er iemand met projectmanagementvaardigheden bij betrokken is om alles op schema te houden.

Wil je meer inzichten van onze klant Sofico? Lees hun verhaal

Klaar om uw reis naar ISO 27701 te beginnen? Neem contact met ons op

ANDERE VERHALEN

De Cyber Resilience Act: Wat Belgische bedrijven moeten weten

De Cyber Resilience Act (CRA) van de Europese Unie is op 10 december 2024 in werking getreden en zal de manier waarop bedrijven cyberbeveiliging voor producten met digitale elementen benaderen fundamenteel veranderen. In tegenstelling tot NIS2, dat zich richt op organisatorische beveiligingsmaatregelen, richt de CRA zich op de producten zelf.

Van compliance naar vertrouwen: Dorian Pacquet praat over cyberbeveiliging voor FinTechs

Dorian Pacquet deelt hoe FinTechs verder kunnen gaan dan compliance en echt cybervertrouwen kunnen opbouwen door proactief risicobeheer en veerkracht.

Cyberveiligheid in Wallonië: belangrijkste inzichten

In een interview voor Dynam!sme, het digitale magazine van Union Wallonne des Entreprises (UWE), bespreekt David Vanderoost, CEO bij Approach Cyber, het Waalse cyberbeveiligingslandschap.

Neem contact met ons op voor meer informatie over onze diensten en oplossingen

Ons team helpt je op weg naar cybersereniteit

Stuur je ons liever een e-mail?

info@approach-cyber.com

Facebook-f Linkedin-in Youtube

Onze certificeringen en labels

Facebook-f Linkedin-in Youtube
Facebook-f Linkedin-in Youtube