Informatiebeveiliging en privacy zijn sinds de invoering van de AVG alleen nog maar belangrijker geworden. Met een ISO 27001 certificering laat u zien dat uw organisatie voldoet aan alle eisen rondom informatiebeveiliging. ISO 27001 is namelijk een wereldwijd erkende norm op het gebied van informatiebeveiliging.

Met een ISO 27001 certificaat toont u aan dat u voldoet aan de huidige wet- en regelgeving. En voor uw organisatie zelf betekent het dat u de informatiebeveiliging goed op orde heeft. En dit certificaat levert u ook commercieel voordeel! U kunt namelijk bij uw klanten aantonen dat hun gegevens bij uw organisatie veilig zijn. Iets waar veel klanten zich tegenwoordig ­– terecht – zorgen om maken.

Bij inTECHrity helpen we u om de benodigde maatregelen om te voldoen aan alle eisen van de ISO-norm, binnen uw organisatie te implementeren. Dit doen we aan de hand van onze best practice aanpak. Wij begeleiden u zowel in de fase voorafgaand aan de certificering als in de fase daarna. Want ook dan blijft het belangrijk dat u kunt aantonen dat uw organisatie daadwerkelijk handelt naar wat er staat beschreven. Zo weet u zeker dat de processen rondom informatiebeveiliging bij uw organisatie goed zijn geborgd.

Waarom heb ik daar een consultant voor nodig?

U vraagt zich nu waarschijnlijk af waarom u een consultancybedrijf nodig zou hebben om een ISO-certificaat te behalen. U heeft de AVG-maatregelen al lang op orde, dus dat ISO 27001 moet dan toch eenvoudig te implementeren zijn? De praktijk leert ons helaas anders. Om dit te illustreren zoomen we in op een belangrijk onderdeel van de implementatie, namelijk de risicoanalyse.

Wij merken helaas te vaak dat een risicoanalyse minder grondig is uitgevoerd dan zou kunnen én moeten. Dat is natuurlijk een gemiste kans om eens goed naar uw organisatie te kijken. Met een Business Impact Assessment maken we een inschatting van de pijn en de gevolgen indien de vertrouwelijkheid, integriteit en/of beschikbaarheid van informatie wordt geschaad. Dat is een hele volzin, maar deze risicoanalyse vormt wel de basis voor het uitwerken en implementeren van de ISO 27001 beheersmaatregelen.

Informatiebeveiliging en privacy zijn niet hetzelfde

Een belangrijke oorzaak voor het niet goed uitvoeren van de risicoanalyses is dat privacy en informatiebeveiliging regelmatig met elkaar worden verward. Privacy en informatiebeveiliging liggen heel dicht bij elkaar. Maar toch is de aanpak van de risicoanalyse voor privacy anders dan die voor informatiebeveiliging. Bij privacy wordt gekeken naar de risico’s van het schenden van de privacy van een individu. Dit gaat veel verder dan de voor de hand liggende privacyrisico’s die ook deel uitmaken van de risicoanalyse voor informatiebeveiliging, zoals de risico’s als privacygegevens op straat komen te liggen en bij het openbaar maken van ID-gegevens. Bij privacy moet je ook andere bedreigingen in kaart brengen. Denk bijvoorbeeld aan de risico’s bij een verzoek om persoonlijke informatie te verwijderen of als de gegevens worden gebruikt voor profilering.

Neem geen risico!

Het is dus belangrijk dat u als organisatie goed weet wat u met Persoonlijk Identificeerbare Informatie (PII) doet. En vooral ook welke risico’s daarmee gepaard gaan. inTECHrity heeft verstand van informatiebeveiliging én privacy (AVG). inTECHrity begeleidt niet alleen de implementatie van het Information Security Management System (ISMS) en bijbehorende controls, maar geeft ook gericht advies over de verdere invulling van ISO 27001, ISO 27701  en/of andere normeringsprojecten en privacy vraagstukken.

Heeft u vragen over de privacy-risicoanalyse of hoe onze GRC tooling daarbij kan helpen? Of wilt u meer weten over de impact of de invulling van ISO 27001? Wij helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.