Softwarepakketten.nl
Urios
Centralservices

Bijdrage van Bloggers (blogs)

Hoe verhoudt de door NLdigital ontwikkelde Data Pro certificering zich tot de ISO en NEN-certificering

Plaatsingsdatum 28-09-2019
Berichtdatum September 2019

Sinds de Avg van kracht is, in mei 2018, kun je op verschillende manieren laten zien dat je op een verantwoorde manier met persoonsgegevens omgaat. De vraag is echter: welke certificering is geschikt voor jouw organisatie? Is het voldoende om je aan een code te houden, of is het beter om te certificeren? Kom achter jouw antwoord aan de hand van een aantal vergelijkingen.

De vraag die we het meest krijgen van onze achterban, is hoe de door NLdigital ontwikkelde Data Pro certificering zich verhoudt tot de ISO en NEN-certificering. Om daar inzicht in te krijgen, moeten we een level terug: de vastgestelde kaders waarop wordt getoetst.

In de Avg is vastgelegd dat brancheorganisaties een bijzondere rol kunnen vervullen voor hun achterban: wij zijn, als Nederland ICT dus de aangewezen organisatie om een gedragscode te ontwikkelen. Gedragscodes hebben als doel om bij te dragen aan de juiste toepassing van de Avg, waarbij ze rekening houden met de specifieke kenmerken van de desbetreffende sector en de specifieke behoefte van kleine, middelgrote en micro-ondernemingen. Gedragscodes helpen bedrijven dus met hoe ze de Avg moeten toepassen. Aanvullend is vastgelegd dat brancheorganisaties, zoals wij, de mogelijkheid hebben om dergelijke gedragscodes ter goedkeuring voor te leggen aan de toezichthouder – de Autoriteit Persoonsgegevens (AP). Dat hebben wij ook gedaan en met succes.

ISO is een internationale organisatie voor standaardisering, die normen (meestal beveiligingsnormen) ontwikkelt. Er zijn ISO-standaarden op uiteenlopende onderwerpen: van voedselveiligheid tot gezondheidszorg. De normen van ISO zijn wereldwijd gelijk, wat zowel een kracht als zwakte is. De normen worden niet ter goedkeuring voorgelegd aan de AP.

ISO, NEN of Data Pro?
Een vervolgstap is om inhoudelijk in te zoomen op de specifieke ISO en NEN-normen in vergelijking met Data Pro. We krijgen van de meeste bedrijven de vraag of onze Data Pro Code hetzelfde is als de norm ISO27001. Nee. Deze norm zoomt namelijk niet in op je rol als verwerker (de dienst die je levert of het product dat je verkoopt) en maakt geen onderscheid tussen persoonsgegevens en andere gegevens. Bovendien focust deze norm op slechts één aspect uit de Avg: beveiliging van gegevens.

In de onderstaande tabel vind je een uitgebreide vergelijking tussen ISO 9001, 27001, 27002, 27018, NEN 7510 en Data Pro. Voor de volledigheid is daarbij ook NEN 7510 meegenomen.

Norm Doel Wat doet het Verhouding tot Data Pro
ISO 9001 Kwaliteitsmanagement Brede norm die in zijn algemeenheid aantoont dat een organisatie: zorgt dat zijn producten en diensten aan de eisen van klanten en stakeholders voldoen, de geldende wet- en regelgeving toepast, rekening houdt met kansen en risico’s en dat continu verbeteren geborgd is in de organisatie. 9001 schrijft voor dát je aan nationale wetten voldoet, maar het is afhankelijk van je diensten hoé je aan nationale wetten voldoet. Data Pro kan je helpen bij de invulling van de Avg binnen je rol als verwerker en helpt je zo bij het invullen van je interne processen ten behoeve van ISO 9001.
ISO 27001 Informatiebeveiliging 
(verdieping van 9001) 
Specifieker dan 9001 op het gebied van informatiebeveiliging. Internationale standaard die niet is toegespitst op persoonsgegevens, Avg, of een rol als verwerker of verantwoordelijke. Er is overlap met de Avg op het onderdeel beveiliging, maar dekt veel andere onderdelen van de Avg niet.  Als je ISO 27001 gecertificeerd bent, dan kun je dit binnen Data Pro gebruiken om aan te tonen dat je een goed ISMS hebt ter beveiliging van persoonsgegevens. Anders dan 27001 beperkt Data Pro zich niet tot een ISMS voor beveiliging, maar gaat het ook in op je andere verplichtingen als verwerker. 
ISO 27002 Verdieping van de 27001 (geen certificering, maar hulpmiddel om tot 27001 certificering te komen) Specifieke uitwerking van 27001 en biedt tools om geïdentificeerde beveiligingsrisico’s te verkleinen. Ook binnen Data Pro bieden we je tools om je te helpen de Data Pro Code te implementeren.
ISO 27018 Informatiebeveiliging 
toegespitst op PII gegevens (verdieping van de 27002)
Norm gericht op beveiliging van persoonlijke (PII) gegevens, met extra eisen ten opzichte van ISO 9001, 27001 en 27002. Bijvoorbeeld op het punt van communicatie, back up en data overdracht. ISO 27018 is met name gericht op de grote clouddiensten, zoals Amazon web services en Microsoft Azure. De definities wijken iets af van die in de Avg, maar deze norm richt zich wel op verwerkers en komt daarmee het meest in de buurt van Data Pro. Net als Data Pro vereist ISO 27018 bijvoorbeeld dat je afspraken maakt met je klanten over de verwerking van persoonsgegevens (verwerkersovereenkomst). Groot verschil is dat ISO 27018 zich met name richt op de grote partijen, terwijl Data Pro juist is ingericht voor kleinere verwerkers.
ISO 27701 Informatiebeveiliging 
toegespitst op privacy informatiemanagement (verdieping van de 27002)
Norm gericht op beveiliging van persoonlijke (PII) gegevens, met extra eisen ten opzichte van ISO 9001, 27001 en 27002. ISO 27701 is met name gericht op het inrichten van een privacy informatiemanagement systeem (PIMS) binnen het bestaande ISMS. Aanvullende certificering bovenop de 27001 certificering. 27701 is zowel gericht op verwerkers als verantwoordelijken en echt bedoeld als aanvulling op 27001. Data Pro richt zich specifiek op de rol als verwerker, gaat breder dan uitsluitend beveiliging en is los van ISO verkrijgbaar.
NEN 7510 Informatiebeveiliging 
Geen internationale standaard, maar een NEderlandse Norm (NEN).
NEN-7510 is net als ISO 27001 gericht op informatiebeveiliging. NEN 7510 is specifiek bedoeld voor Nederlandse zorginstellingen en andere beheerders van gezondheidsgegevens, terwijl ISO 27001 internationaal en branche onafhankelijk is. Data Pro is anders dan NEN 7510 branche onafhankelijk. Data Pro gaat breder dan informatiebeveiliging en focust op de invulling van de rol als verwerker van gegevens. Ben je actief in de zorg? Dan kan je Data Pro in aanvulling op NEN 7510 gebruiken om aan te tonen dat je je als verwerker aan de branche best practices voor verwerkers houdt.

Wel of niet certificeren?
Zowel bij ISO als bij Data Pro is het mogelijk om inhoudelijk te voldoen aan de norm, zonder je daarbij ook daadwerkelijk te laten certificeren. Dat gaat bij Data Pro overigens nog net iets makkelijker dan bij ISO, omdat het toetsingskader, de Data Pro Code, openbaar is en vrij te downloaden als PDF.

Als verwerker zit je vaak op grote hoeveelheden (persoons)gegevens. Voor klanten is het belangrijk dat hun gegevens veilig zijn bij jou. Bovendien eist de Avg dat jouw klanten controleren hoe jij als leverancier met die gegevens omgaat. Voor hen is het vaak lastig inschatten of een leverancier daadwerkelijk aan de norm of code voldoet. Een certificering door een onafhankelijke auditor geeft klanten de bevestiging die ze zoeken en zo’n stempel geeft hen meer zekerheid. Bij Data Pro is het voor klanten bovendien mogelijk zelf eenvoudig te checken of hun leverancier staat opgenomen in het Data Pro register van gecertificeerde verwerkers.

Kortom: certificeren heeft dus zeker meerwaarde.

ISO-certificering of Data Pro certificering?

Als je dan kiest voor certificeren: welke certificering kies je?

Het Data Pro Certificate is een zelfstandig laagdrempelig alternatief voor een ISO-certificering, maar is ook heel goed te gebruiken naast een ISO of NEN-certificering. Beiden kun je gebruiken om aan klanten te laten zien dat je zorgvuldig met gegevens omgaat. Beide certificeringen hebben als uitgangspunt dat je in je organisatie blijft groeien en ontwikkelen, zodat je in het volgende jaar op een hoger niveau zit dan het voorafgaande jaar. Beiden bieden diverse tools om daarbij te helpen, toetsen aan een vooraf vastgesteld kader en hebben onafhankelijk toezicht door een externe auditor.

Natuurlijk zijn er ook in de certificering verschillen. Het Data Pro Certificate is uniek door:

  • De positie van Nederland ICT als brancheorganisatie.
  • Uitgangspunt is de door de AP voorlopig goedgekeurde Data Pro Code.
  • Data Pro laat zien hoe je aan je verplichtingen als verwerker voldoet.
  • Data Pro stelt een functionaris voor gegevensbescherming (FG) verplicht in gevallen waarin de Avg die verplicht stelt (Data Pro sluit immers aan bij de Avg) en biedt tevens de mogelijkheid om een FG via Data Pro af te nemen.
  • Data Pro maakt de Avg voor kleine verwerkers praktisch toepasbaar door de Standaard verwerkersovereenkomst en andere tools.
  • Data Pro onderscheidt zich door de laagdrempeligheid van het certificaat, zowel qua certificeringsproces als qua kosten.

    Als je al gebruik maakt van onze Standaard verwerkersovereenkomst kan het certificeren snel gaan en hoeft het aanvragen ervan niet meer dan een paar uur te kosten. Je kunt certificering helemaal zelf doen, met hulp van onze gratis tools en workshops, maar het is ook mogelijk om begeleiding te vragen aan onze juristen.

    Daar komt bij dat de kosten van een Data Pro-certificaat voor leden slechts EUR 699 zijn, terwijl aan een ISO-certificaat al snel een kostenplaatje verbonden is van enkele duizenden euro’s. Dat maakt Data Pro uitermate geschikt voor de kleinere ICT-leverancier.

Hoe beslis je welk middel passend is voor jouw organisatie?
Op basis van bovenstaande vergelijkingen hebben we je inzicht gegeven in de wereld van Avg-normen, Avg-codes en Avg-certificeringen. Uiteindelijk is het aan jou om de afweging te maken welke certificering het beste past bij jouw organisatie. Vraag je bij het maken van de afweging bijvoorbeeld af: Vind ik het belangrijk om aan te sluiten bij een branchenorm? Werk ik nationaal, Europees of internationaal? Wil ik vooral laten zien dat mijn beveiliging op orde is of breder? Binnen welke branche ben ik actief? Wat is mijn budget? Wil ik voorop lopen?

Onze juristen helpen je graag verder bij je beslissing. Ook kun je via onze website meer lezen over, of direct inschrijven voor de Data Pro certificering.

Categorie(n) SAAS, Cloud Computing, Assuring (incl. certificeren en compliance), Branche > Juridisch, Standaardisatie, (open)standaarden, Branche > Accountantskantoren, ICT & Recht, Branche > Financials, Kennisplatform Administratieve software, Branche > ICT bedrijven
Bronvermelding NLdigital
Internet URL http://www.nldigital.nl

Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis periodieke nieuwsbrief.

Terug


Onerzoeksbureau GBNED