Als je bezig bent met AVG, waarom pak je dan niet gelijk ISO 27001 op?

door | 7 november 2018

Sommige consultants zeggen, implementeer ISO 27001 en/of NEN 7510 en je voldoet aan de AVG. Deze mening delen wij niet en is te kort door de bocht. In eerste instantie klinkt het wel logisch omdat informatiebeveiliging ook gaat over Vertrouwelijkheid, Integriteit en Beschikbaarheid. Wij vinden dan ook dat beide projecten tegelijk gedaan moeten worden en dat voor zowel AVG alsook security ISO 27001 een managementsysteem moet worden geïmplementeerd. De reden is ook dat eenvoudig wordt voldaan aan de AVG en je verder op kan schakelen voor de ISO 27001. ISO 27001 wordt steeds vaker door uw cliënten verlangd en is commercieel gezien handig om te hebben.

De AVG nader bekeken

Even iets meer diepgang. Laten we eens beginnen met het doel van de AVG en informatiebeveiliging ISO 27001. De AVG vereist een privacy programma welke vorm geeft, om te voldoen, aan het fundamentele recht van een individu op privacy en hun recht om eigenaar te zijn van hun persoonlijke data en deze te beheersen. Het doel hierbij is dus voldoen aan het fundamentele recht van een individu op privacy. Voor informatiebeveiliging ISO 27001 geldt: Informatiebeveiliging is het geheel van preventieve, repressieve en herstelmaatregelen alsmede procedures welke de beschikbaarheid, vertrouwelijkheid en integriteit van alle vormen van informatie garanderen met als doel de continuïteit van de organisatie te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken. Het doel is dus hier de continuïteit van de organisatie te waarborgen. Kortom geen tegenstrijdig doelen maar wel verschillende doelen. Als we verder gaan kijken dan schrijven beide een set van maatregelen voor om invulling te geven aan de doelstelling. AVG schrijft voor: toegangscontrole, recht op portabiliteit, recht op vergeten te worden, toestemming, meldplicht, etc. De normen voor informatiebeveiliging (ISO 27001 en/of NEN 5710) geven aan: toegangscontrole, beleid, fysieke maatregelen, human resource maatregelen, meldplicht (security incidenten), etc. Kortom enige overlap in de set van maatregelen. Maar dat is natuurlijk logisch, beide gaan over hetzelfde onderwerp.

Wij adviseren om beide trajecten gezamenlijk op te pakken. Maar het is dus niet vanzelfsprekend dat als je ISO 27001 doet, je ook gelijk voldoet aan de AVG. Als u nog meer informatie wilt kunt u ook onze andere blogs lezen over dit onderwerp.