Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

Transcriptie

1 Algemene Verordening Gegevensbescherming (AVG) en de impact bij uitbesteding DATABEVEILIGING Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000? Het uitbesteden van bedrijfsprocessen of IT is tegenwoordig gemeengoed, focus op de kernactiviteiten moet zorgen voor het behalen van de organisatiedoelstellingen. Bij het uitbesteden van (delen van) bedrijfs- of IT processen behoudt de uitbestedende organisatie de verantwoordelijkheid voor privacynaleving in de gehele keten. Dus in de eigen organisatie en bij de serviceorganisatie. Steeds vaker is aantoonbare privacy-naleving dan ook een randvoorwaarde bij selectie van leveranciers. Met welk certificaat wordt privacy-naleving aangetoond? Dat leggen we in dit artikel aan u uit. Besteedt u processen uit of bent u juist leverancier? Het Hoek en Blok privacy raamwerk zorgt voor optimale integratie van privacy in uw bestaande processen en is de basis voor het verstrekken van assurance aan uw klanten. Assurance rapportages volgens ISAE 3000 of 3402 geven in tegenstelling tot ISO certificering zekerheid over de toepassing van privacy beheersmaatregelen. Bent u al ISO gecertificeerd? Dan is een assurance rapportage de laatste stap. Achtergrond Ter verantwoording van de naleving van de privacy regelgeving AVG wordt certificering volgens informatiebeveiligingstandaard ISO steeds vaker aangehaald. Ook worden assurance rapportages volgens internationale assurance standaard ISAE 3000 of 3402 hiervoor gehanteerd. Wij constateren in de markt veel onduidelijkheid over wat het juiste middel voor deze privacy verantwoording is. Om te beoordelen welke van deze standaarden gehanteerd kan worden om privacy-naleving aantoonbaar te maken, geven wij in dit artikel inzicht in de overeenkomsten en verschillen. Conclusie Informatiebeveiliging is een belangrijk onderdeel van privacy en wordt gecertificeerd volgens ISO Deze standaard is echter niet toegesneden op privacy specifieke aspecten uit de AVG, daarnaast is ISO certificering onvoldoende diepgaand om de structurele toepassing (werking) van de maatregelen vast te stellen. Deze lacune wordt opgevuld door een ISAE assurance rapportage. Een assurance rapportage volgens de ISAE 3000 of 3402 standaard kan qua reikwijdte optimaal worden afgestemd op de (privacy) assurance behoefte van zijn gebruikers. Tevens is de diepgang van de audit toereikend om de werking van maatregelen aan te tonen. De assurance rapportage is hét middel om zekerheid te verschaffen over het behalen van privacy doelstellingen. Gecombineerd met het Hoek en Blok privacy raamwerk wordt privacy optimaal geïntegreerd in uw bestaande processen en verschaft u uw klanten zekerheid.

2 Duidelijkheid in het oerwoud der certificeringen Hoe verkrijgt u privacy zekerheid bij uitbesteding? Het uitbesteden van processen is tegenwoordig gemeengoed. Focus op de kernactiviteiten moet zorgen voor het behalen van de doelstellingen, bovendien kunnen externe dienstverleners vaak tegen lagere kosten een hogere kwaliteit leveren. Uitbesteden biedt dus veel voordelen. Er is echter ook een uitdaging. Als u processen uitbesteedt blijft u verantwoordelijk voor die processen, en als er persoonsgegevens bij betrokken zijn, moet u zorgen dat de privacywetgeving in de gehele keten wordt nageleefd. Dit betekent dat u periodiek dient te verifiëren dat de privacy-naleving ook bij uitbesteding daadwerkelijk gewaarborgd is. Hoe? Dat leggen we in dit artikel aan u uit. 1. Privacy achtergrond Per 25 mei 2018 is in Nederland de Algemene Verordening Gegevensbescherming (AVG) van toepassing, de Nederlandse naam van de door de Europese Unie vastgestelde General Data Protection Regulation (GDPR). De GDPR zorgt ervoor dat persoonsgegevens in de gehele EU dezelfde bescherming krijgen. De kern van de AVG is dat bedrijven die persoonsgegevens verwerken zich steeds weer de vraag moeten stellen of de verwerking in lijn is met de regels; regels die zijn gebaseerd op een aantal solide en algemeen geaccepteerde privacy beginselen. Het is opvallend om te zien dat het privacybewustzijn in Nederland het afgelopen jaar sterk is toegenomen. Consumenten hechten steeds meer waarde aan de bescherming van hun privacygevoelige gegevens. Sterker nog, privacy-naleving wordt steeds vaker geschaard onder het maatschappelijk verantwoord ondernemen. 2. Privacy als voorwaarde van klanten Bent u als bedrijf in staat om de privacy van uw klanten aantoonbaar te waarborgen, dan onderscheidt u zich daarmee in de markt. We merken dit vooral in de business-tobusiness markt. Bedrijven selecteren leveranciers bij het uitbesteden van hun processen steeds vaker (ook) op basis van privacy-naleving. Denk bijvoorbeeld aan het uitbesteden van uw marketing of IT processen; de bescherming van de gegevens van uw klanten is hierbij van groot belang. Dit gaat inmiddels steeds verder; aantoonbare privacy-naleving bij de leverancier geldt steeds vaker als randvoorwaarde. Verwonderlijk is dit niet. Zoals gezegd, bij het uitbesteden van een deel van het proces aan een serviceorganisatie blijft de uitbestedende organisatie zelf verantwoordelijk voor privacy-naleving. Sterker nog, onder de AVG dient periodiek door de uitbestedende organisatie te worden geverifieerd of de privacy regels door de leverancier worden nageleefd.

3 3. De verplichting om periodieke toepassing van Privacy te toetsen Bij het uitbesteden van (delen van) bedrijfsof IT processen behoudt de uitbestedende organisatie (de verwerkingsverantwoordelijke) de verantwoordelijkheid voor privacy-naleving in de gehele keten. Dus in de eigen organisatie en bij de serviceorganisatie. In artikel 24 van de AVG wordt de verantwoordelijkheid helder omschreven: Evaluatie van de toepassing van maatregelen bij uitbesteding de verwerkings-verantwoordelijke doet uitsluitend een beroep op verwerkers die afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen, opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. Verantwoordelijkheid voor periodieke evaluatie de verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. Het nakomen van deze verantwoordelijkheid is relatief eenvoudig uit te voeren in de eigen organisatie, waar deze processen in eigen beheer en onder eigen toezicht worden uitgevoerd. Maar hoe kan een verwerkingsverantwoordelijke periodiek evalueren of de maatregelen bij een serviceorganisatie passend zijn en goed worden uitgevoerd? Kortom, hoe kan een organisatie vaststellen of een dienstenleverancier (in AVG termen: de verwerker) de juiste maatregelen heeft ontworpen (opzet) en structureel toepast (bestaan en werking)? In artikel 28 van de AVG wordt de serviceorganisatie verplicht om de klant hier garanties in te verschaffen: De AVG verplicht de verwerkingsverantwoordelijke dus om periodiek het ontwerp en de structurele toepassing van de maatregelen te beoordelen en hierbij enkel te werken met serviceorganisaties die de werkelijke toepassing van maatregelen aantonen. Dit stelt de verwerkingsverantwoordelijke in staat om de maatregelen waar nodig te actualiseren. 4. Informatiebeveiliging ISO Hoe kan een serviceorganisatie aan de verwerkingsverantwoordelijke aantonen dat passende maatregelen zijn getroffen en in de praktijk ook werken, waardoor de privacy doelstellingen zijn behaald? Certificering informatiebeveiliging Standaardisatie voor informatiebeveiliging heeft vorm gekregen in de code voor informatiebeveiliging ISO-norm Deze norm wordt actief onderhouden en dekt de benodigde aspecten voor het beschermen van informatie. Certificering tegen deze norm is ontwikkeld, aangeduid als ISO certificering.

4 Certificering volgens ISO is al geruime tijd gemeengoed. Veel organisaties hanteren deze certificering om aan te tonen dat de beveiliging van informatie in hun organisatie geborgd is. Ook ter verantwoor-ding van naleving van privacy wordt ISO steeds vaker aangehaald. Geeft het ISO certificaat echter wel voldoende zekerheid dat privacy-maatregelen passend zijn en structureel worden toegepast? Om deze vraag te beantwoorden gaan we onderstaand in op twee aspecten: reikwijdte en diepgang. Reikwijdte Dekt ISO de privacy vereisten vanuit de AVG af? Om direct een einde te maken aan veel onduidelijkheid: nee. De doelstellingen van informatiebeveiliging richten zich primair op de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Privacy specifieke vraagstukken gebaseerd op de rechten van personen en de verantwoordelijkheid van organisaties maken hier geen onderdeel vanuit. Zo zijn in de ISO standaard geen beheersdoelstellingen opgenomen die ingaan op de rechten van betrokkenen en de verplichtingen van organisaties in de context van privacy. Het zijn juist deze verplichtingen die het onderscheid tussen informatiebeveiliging en privacy bepalen. Zo bevat informatiebeveiliging bijvoorbeeld geen beheersdoelstellingen gericht op inzage, portabiliteit, verwerkersovereenkomsten, register van verwerkingen, anonimisering, bewaartermijnen en datalekken. Informatiebeveiliging biedt belangrijke waarborgen voor privacy (en is een belangrijk thema in de AVG), maar privacy vraagt meer dan informatiebeveiliging alleen. Diepgang Bij certificering ISO wordt beoordeeld of een organisatie een adequaat Information Security Management System (ISMS) heeft geïmplementeerd, met als doel de juiste maatregelen te treffen om beveiliging van informatie te borgen. De certificering beoordeelt echter niet of de beveiliging van informatie ook is toegepast; of de maatregelen gedurende een periode (bijvoorbeeld een kalenderjaar) daadwerkelijk zijn uitgevoerd en dus goed hebben gewerkt. Certificering is beperkt tot het beoordelen van het ontwerp van de maatregelen (de opzet) en of de uitvoering kan worden aangetoond (bestaan). In het kader van de AVG betekent dit dat de verwerkingsverantwoordelijke op basis van een ISO certificaat van de verwerker niet kan vaststellen dat de maatregelen daadwerkelijk zijn toegepast en gedurende een langere periode hebben gewerkt. Of privacy dus is gewaarborgd of verbetering behoeft is niet bekend. Concluderend: ISO certificering is niet het juiste antwoord op de vraag of privacy doelstellingen in een organisatie worden behaald: 1 ISO is niet toegesneden op alle relevante aspecten van privacy, 2 de certificering is onvoldoende diepgaand om de werking van de maatregelen vast te stellen. Deze lacune kan worden opgevuld door een ISAE assurance rapportage. In de volgende paragraaf gaan we hier nader op in.

5 5. Assurance rapportage: zekerheid Het verstrekken van zekerheid (assurance) door service organisaties aan gebruikersorganisaties vindt internationaal plaats onder standaarden ontwikkeld door the American Institute of Certified Public Accountants (AICPA) en de International Auditing en Assurance Board (IAASB). Algemeen geaccepteerde en bekende assurance standaarden van deze organisaties zijn respectievelijk de Service Organisation Control 1 (SOC 1) standaard en de International Standard on Assurance Engagements 3000 en 3402 (ISAE) standaarden. In dit artikel gaan we niet in op de overeenkomsten en verschillen van deze standaarden. Deze standaarden worden door service organisaties wereldwijd gehanteerd om zekerheid te verstrekken over het behalen van specifieke doelstellingen. Inmiddels wordt de ISAE standaard steeds vaker gehanteerd om assurance te verlenen over het behalen van informatiebeveiligingsdoelstellingen door de effectieve toepassing van informatiebeveiligingsmaatregelen. Het resultaat van een audit uitgevoerd volgens de ISAE standaard leidt tot het uiteindelijke product wat zekerheid verschaft aan de gebruikersorganisatie: de assurance rapportage. In Nederland wordt de ISAE standaard gehanteerd door register-accountants (RA) en register-it-auditors (RE), die werken volgens gedefinieerde kwaliteitsstandaarden en beroepsregels. Dit is van wezenlijk belang; de gebruiker van het assurance rapport weet dat de auditor heeft gewerkt volgens bewaakte kwaliteitsnormen betreffende opleiding, werkervaring en toezicht. De accountant en de IT-auditor volgen standaarden die door hun beroeps-organisaties zijn vastgesteld. Dat zijn respectievelijk de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) en de Nederlandse Orde van Register EDP-Auditors (NOREA). Register IT-Auditors zijn door de NBA erkend als professional gelijk aan de accountant, op wiens werkzaamheden kan worden gesteund bij de uitvoering van de jaarrekening controle. De diepgang van een audit uitgevoerd volgens de ISAE standaard is toereikend om de feitelijke toepassing van specifieke beheersmaatregelen over een specifieke periode vast te stellen. In de assurance rapportage wordt daarmee een uitspraak gedaan over het ontwerp (opzet) en de structurele uitvoering gedurende een bepaalde periode(werking) van die maatregelen. Welke maatregelen dit precies zijn en welke aspecten (van privacy of informatiebeveiliging) ze omvatten kan in overleg worden bepaald. Dit maakt de standaard, in tegenstelling tot het ISO certificaat, flexibel én toepasbaar om aan te tonen dat een verwerking in overeenstemming met de privacy verordening is uitgevoerd, zoals gesteld in artikel 24 van de AVG. Bij de toepassing van de ISAE standaard is het expliciteren van de beheersdoelstellingen randvoorwaardelijk, dit stelt de gebruiker van het assurance rapport in staat om te beoordelen of de beheersdoelstellingen waarover wordt gerapporteerd aansluiten bij de assurance vraag die de gebruiker heeft. Door de beheersdoelstellingen specifiek toe te snijden op privacy kan een assurancerapport worden opgesteld dat naadloos aansluit bij de behoefte aan zekerheid die de gebruiker van het rapport heeft.

6 In optima forma wordt de assurance rapportage voorzien van zowel privacy- als informatiebeveiligingsdoelstellingen, waarmee een volledige set ontstaat die de vraag van een grote groep gebruikers beantwoordt. Voor het bereiken van de informatiebeveiligingsdoelstellingen kan zo nodig worden geput uit de doelstellingen en maatregelen zoals opgenomen in ISO27002; dit zorgt ervoor dat de inhoud van de assurance rapportage door een breed publiek herkend wordt. Concluderend: in tegenstelling tot een ISO certificering kan een assurancerapportage volgens de ISAE 3000 of 3402 standaard qua reikwijdte optimaal worden afgestemd op de (privacy) assurance-behoefte van zijn gebruikers. Tevens is de diepgang van de audit zodanig dat de werking van beheersmaatregelen kan worden aangetoond. De assurance-rapportage is hiermee hét middel voor een serviceorganisatie om aan haar gebruikers zekerheid te verschaffen over het daadwerkelijk behalen van privacydoelstellingen. Door het aanvullend hanteren van informatiebeveiligings-doelstellingen ontstaat een samenhangend geheel dat de vraag van een breed publiek beantwoordt. 6. Hoek en Blok privacy raamwerk Hoek en Blok heeft een raamwerk ontwikkeld waarin de vereiste privacy maatregelen zijn vertaald naar algemeen gangbare bestaande bedrijfsprocessen. Hiermee wordt privacy optimaal geïntegreerd in bestaande processen, waardoor slechts een beperkt aantal aanvullende processen dienen te worden ingeregeld. Het Hoek en Blok privacy raamwerk is gebaseerd op actuele privacy raamwerken en zal worden aangesloten op het door de Nederlandse Orde van Register EDP-Auditors (NOREA) te publiceren Privacy Control Framework. Hiermee vormt het Hoek en Blok privacy raamwerk een solide basis voor het verstrekken van zekerheid over privacy volgens de internationale assurance standaarden ISAE 3000 of Bent u als organisatie op zoek naar optimale integratie van privacy in uw bestaande processen of aantoonbare naleving van privacy & informatiebeveiliging? Neem contact met ons op via +31 (0) of s.verkaart@hoekenblok.nl. Over de auteur Steven Verkaart - Steven is zijn carrière in 2004 begonnen bij een Big Four-kantoor en heeft zich hier in een periode van bijna tien jaar ontwikkeld tot IT-adviseur en Register IT Auditor (RE). Na deze periode heeft hij vier jaar gewerkt bij luchthaven Schiphol om hier optimaal grip te krijgen op IT-risico s en de organisatie te adviseren bij de inrichting van haar business- en IT-processen. Bij Hoek en Blok is Steven verantwoordelijk voor de IT cyber, risk en privacy dienstverlening. Steven Verkaart: In mijn vorige functies was ik voornamelijk actief op het scheidsvlak tussen audit en advies. Mijn ervaring als ITauditor stelt mij in staat om te beoordelen of IT doelen worden bereikt en of risico s in voldoende mate worden beheerst. Van hieruit kunnen de juiste adviezen worden gegeven om de stap voorwaarts te maken.