Bescherming van persoonsgegevens, wat zijn de toetsingsmogelijkheden?

Door Marjolein Veenstra (expert informatiebeveiliging bij Kiwa) en Jouke Albeda (partner bij audit, risk en compliance-specialist 3angles).

Niet alleen grote multinationals en ‘big tech’-bedrijven laten steken vallen als het gaat om de bescherming van persoonsgegevens. Onlangs kreeg een orthodontiepraktijk met elf medewerkers een boete van maar liefst twaalfduizend euro omdat niet werd voldaan aan de AVG. Veel organisaties worstelen nog altijd met het op een juiste manier invulling geven aan data- en privacybescherming. In dit artikel kijken we naar de ISO 27701 en het keurmerk Privacy Audit Proof.

De wereldwijd toegepaste norm ISO/IEC 27701 is een uitbreiding op de bekende ISO 27001 voor informatiebeveiliging. De ISO 27701 bevat specifieke beheersmaatregelen voor de bescherming van privacygevoelige informatie. Het keurmerk Privacy Audit Proof, ontwikkeld door de Nederlandse IT-auditorganisatie NOREA wordt toegekend als de beheersingsdoelstellingen uit NOREA’s Privacy Control Framework (PCF) wordt behaald. Het keurmerk Privacy Audit Proof kan het resultaat zijn van een uitbreiding van een assurancerapport waarbij de beheersingsdoelstellingen uit het Privacy Control Framework worden meegenomen.

Waarom ISO 27701 certificaat of Privacy Audit Proof keurmerk?

Geen enkele organisatie wil op de website van de Autoriteit Persoonsgegevens belanden of in het nieuws komen in verband met een datalek. Toch blijft het lastig om dit te voorkomen, omdat wet- en regelgeving weinig handvatten bieden die helpen om aan de wet- en regelgeving te voldoen. We zien veel organisaties die, ruim vijf jaar na de introductie van de AVG, nog altijd moeite hebben om het proces rondom de verwerking van persoonsgegevens goed te managen. Het implementeren van bestaande raamwerken, zoals de ISO 27701 of het Privacy Control Framework kan hierbij uitkomst bieden. Hierdoor kan een organisatie gebruik maken van de expertise van (externe) auditoren om te toetsen of een raamwerk goed is geïmplementeerd. Dit geeft in- én externe stakeholders de zekerheid dat persoonsgegevens adequaat worden beveiligd.

Best practice

De ISO 27701 is als framework een internationaal herkenbare best practice waar het gaat om de bescherming van persoonsgegevens. De ISO 27701 kijkt niet alleen naar de AVG, maar is ook toepasbaar op internationale wetgeving, ook buiten Europa. Omdat een ISO-framework zijn oorsprong vindt in het bedrijfsleven, gaat de ISO 27701 meer uit van de best practices vanuit het bedrijfsleven dan alleen vanuit het oogpunt vanuit de AVG. Ook is het ISO-raamwerk een toevoeging op de bestaande ISO 27001 en sluit daardoor goed aan bij andere certificeerbare managementsystemen als de ISO 27001 en de ISO 9001.

Link met wet- en regelgeving

Om NOREA’s keurmerk Privacy Audit Proof te verkrijgen, wordt onder andere beoordeeld of de wijze van dataopslag voldoet aan de wettelijke uitgangspunten, zodat de rechten van betrokkenen voldoende zijn gewaarborgd. De NOREA heeft bij de totstandkoming van het Privacy Control Framework (wat de basis vormt voor het keurmerk Privacy Audit Proof) op verschillende momenten overleg gevoerd met de Autoriteit Persoonsgegevens. Hierdoor - én door de link met de wet- en regelgeving - vindt het raamwerk een sterke aansluiting met de AVG. De beheersingsdoelstellingen van het Privacy Control Framework (waaraan wordt getoetst voor het keurmerk Privacy Audit Proof) sluiten nauw aan bij de dertien kernelementen van de AVG. Hiermee geeft dit certificaat een goed beeld over het voldoen aan de AVG.

Certificering en de AVG

In artikel 42 van de AVG is bepaald dat ‘certificeringsmechanismen voor gegevensbescherming worden aangemoedigd’. Ondanks verschillende initiatieven, zoals de ISO 27701 en het keurmerk Privacy Audit Proof, is er nog geen certificatiemechanisme goedgekeurd. Een ISO 27701-certificaat of het keurmerk Privacy Audit Proof betekent daarom niet automatisch dat voldaan wordt aan de AVG. Beide raamwerken bieden echter handvatten voor het voldoen aan de AVG. Het ISO 27701-normenkader kent in Annex D verwijzingen naar relevante AVG-artikelen, waarmee het voldoen aan de AVG beoordeeld kan worden. Ditzelfde geldt voor het Privacy Control Framework, waarbij verwijzingen zijn gemaakt naar de invulling aan de AVG. Omdat het keurmerk Privacy Audit Proof werkt met doelstellingen en ook afgedekt kan worden met de controls uit de ISO 27701-norm, kan na een ISO 27701-implementatie zowel het Privacy Audit Proof keurmerk als het ISO 27701-certificaat behaald worden.

Verschillen tussen ISO 27701 en Privacy Audit Proof

• Certificaat vs. keurmerk
  De ISO 27701 is een uitbreiding van een normenkader waartegen wordt gecertificeerd. Het keurmerk Privacy Audit Proof is een keurmerk dat de beheersingsdoelstellingen van het Privacy Control Framework gebruikt als beoordelingskader.
• Doel
  De ISO 27701-norm is een internationale norm die wereldwijd gebruikt wordt en zich in zijn algemeenheid richt op de bescherming van privacygevoelige informatie. De nadruk ligt op het hebben van een effectief managementsysteem. Het keurmerk Privacy Audit Proof is gericht op het beoordelen van maatregelen ter beveiliging van persoonsgegevens en het waarborgen van de rechten van betrokkenen en heeft een directe link met de AVG.
• Te gebruiken normenkader/raamwerk
  Net als andere ISO-normenkaders ontstond de ISO 27701 uit een samenspel van gerenommeerde organisaties die samen tot een best practice zijn gekomen. Het Privacy Control Framework is een raamwerk gebaseerd op verschillende best practices waaronder GAPP, NIST SP800-R53, NOREA Raamwerk Privacy Audit en EuroPriSe.
• Vereisten
  De ISO 27701 is een toevoeging op de ISO 27001. Naast een toevoeging op, en verfijning van, de ISO 27001-controls (zoals omschreven in ISO 27701 Annex A) is het ook een toevoeging op het informatiebeveiligingsmanagementsysteem. Het keurmerk Privacy Audit Proof schrijft niet stringent voor welke controls specifiek moeten zijn geïmplementeerd, maar focust op welke doelstellingen moeten worden behaald. Wel geeft het Privacy Control Framework (waar het keurmerk naar verwijst) handvatten voor de controls die gebruikt kunnen worden.
• Auditerende organisaties
  Naast de verschillen in oorsprong, opzet en vorm verschilt de instantie die het keurmerk of certificaat mag uitgeven. Een ISO 27701 als uitbreiding van het ISO 27001-certificaat mag alleen worden uitgegeven door voor ISO 27001 geaccrediteerde certificerende instanties, zoals Kiwa. Het keurmerk Privacy Audit Proof wordt alleen uitgegeven door de NOREA nadat een goedkeurende verklaring (middels een assurancerapport) is gegeven door een geregistreerde IT-auditor. De overeenkomsten en verschillen tussen een ISO-audit en een assurancerapport hebben we eerder al besproken in dit artikel.

Meer informatie

Ofschoon ISO 27701-certificering en het keurmerk Privacy Audit Proof verschillende achtergronden kennen, zijn er dusdanig veel overeenkomsten dat Kiwa samen met partner 3angles kan meedenken over het behalen van efficiëntievoordelen bij het uitvoeren  van beide audits. Wilt u hierover meer weten, neem dan contact met ons op via nl.cybersecurity@kiwa.com.