Zal de nieuwe ISO standaard eindelijk duidelijkheid geven over het voldoen aan de AVG?

De International Standardization Organization (ISO) heeft een nieuwe standaard uitgebracht. ISO27701. Deze is gericht op de nieuwe europese wetgeving GDPR of in het Nederlands de AVG (Algemene Verordening Gegevensbescherming). Maar is het dan ook zo dat als je aan dit certificaat voldoet, je ook automatisch volgens de wet handelt? Dat is de moeite waard om eens te onderzoeken.

Hoe toon je aan dat je daadwerkelijk voldoet?

In de wereld van informatiebeveiliging zijn certificeringen veelal de manier om aan te tonen dat je een goed beleid hebt en de passende technische en organisatorische maatregelen hebt getroffen (en deze naleeft). Een onafhankelijke auditor controleert het ingevoerde beleid en de genomen maatregelen en en de organisatie ontvangt na de akkoordbevinding een certificaat. Voor de AVG bestaat een dergelijke certificering (nog) niet. De internationale ISO-organisatie heeft hiervoor een nieuwe standaard in het leven geroepen, de ISO27701 norm.

Zoals je wellicht herkent is de nummering gebaseerd op de ISO27000-reeks die gericht is op informatiebeveiliging. De ISO27701-norm bouwt dan ook verder op de ISO27001-certificering. Best logisch, want zonder informatiebeveiliging kun je geen privacy bieden. Het behalen van het ISO27001 certificaat is noodzakelijk voor kan worden begonnen met de ISO27701-norm.

Certificeren volgens ISO-norm gaat over het ‘managementsysteem’, niet over de processen

En dan niet qua inhoud, maar qua management van het proces rondom informatiebeveiliging. Vanuit dat oogpunt dient ook de nieuwe standaard te worden bezien. De ISO27701 norm is een management systeem, of ook wel bekend als Privacy Information Management Systeem (PIMS) en heeft als doel om het proces rondom het naleven van de AVG te beschrijven. De daadwerkelijke beschrijving van de maatregelen om te voldoen aan de AVG is geen onderdeel van de certificering.

Omdat deze norm alleen het management proces gecertificeerd en niet de daadwerkelijke uitvoering is de kans alsnog aanwezig dat een organisatie die het ISO27701 certificaat heeft behaald niet voldoet aan de eisen vanuit de AVG. Dat maakt de waarde van de norm twijfelachtig. In ieder geval als het gebruikt wordt in de markt om aan te tonen dat de organisatie zich aan de AVG houdt. Dat kan namelijk niet uit het certificaat worden afgeleidt. Het is daarom te adviseren om organisaties met wie afspraken worden gemaakt rondom verwerking van persoonsgegevens (bijvoorbeeld verwerkers) alsnog te onderwerpen aan eigen audits om zo zeker te kunnen zijn dat de afspraken uit bijvoorbeeld verwerkersovereenkomsten worden nageleefd.