Informatiesessie ISO/IEC 'Certificatieschema van IB naar AVG'
|
|
|
- Fanny Aalderink
- 4 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Informatiesessie ISO/IEC 'Certificatieschema van IB naar AVG' WELKOM 1
2 Programma Informatiesessie Wat is certificatie? Harmen Willemse, NEN Toegevoegde waarde van certificatie Christian Oudenbroek, Brand Compliance bv Planning en inhoudelijke agenda Kars Jansen, NEN Einde ochtendprogramma / inloop symposium 2
3 Wat is certificatie? - het hoe en wat van schemabeheer Harmen Willemse 3
4 Wat is Schemabeheer? Aantonen dat een product, dienst, systeem, proces of persoon voldoet aan de eisen uit een normatief document. 4
5 Een greep uit wat we al doen 5
6 Zonder centralisatie Accreditatie Certificerende instelling Certificerende instelling Certificerende instelling Certificerende instelling Norm Schema Schema Schema Schema Markt
7 Centraal schemabeheer Accreditatie Schema beheerder Schema Certificerende instelling Certificerende instelling Certificerende instelling Norm Markt
8 Basis inhoudsopgave NCS 1. Onderwerp en toepassingsgebied 2. Normatieve verwijzingen 3. Termen en definities 4. Organisatie van de certificatie-instelling 1. Eisen aan organisatie 2. Eisen aan auditoren / auditteams 5. Onderzoeksmethode en beoordelingsfrequentie 6. Certificatiecriteria 7. Certificaat en rapportage certificatie-instelling 8. Logogebruik 8
9 Mogelijke bijlagen NCS A. Specificaties logo B. Voorbeelden toepassingsgebied C. Voorbeeld certificaat D....etc 9
10 Accreditatienormen certificatieschema s ISO/IEC :2015 Conformiteitsbeoordeling - Eisen voor instellingen die audits en certificatie van managementsystemen leveren - Deel 1: Eisen principes en eisen in verband met de competentie, consistentie en onpartijdigheid van instellingen die audits en certificatie van managementsystemen leveren. ISO/IEC 17065:2012 Conformiteitsbeoordeling - Eisen voor certificatie-instellingen die certificaten toekennen aan producten, processen en diensten eisen in verband met de competentie, consistentie en onpartijdigheid van instellingen die certificatie van producten, processen en diensten leveren. 11
11 Organisatie Schemabeheer 12
12 Norm Harmonisatieoverleg Normcommissie Certificerende instelling Certificatie schema Certificerende instelling Website - College van Deskundigen Certificatenregister Certificerende instelling - - Toezicht / Raad voor Accreditatie (RvA) Certificaat + + Markt Certificaat 13
13 Drivers voor certificatie Is er behoefte om te onderscheiden? Is of gaat er iets mis? Kan een certificaat of keurmerk garantie bieden dat het goed is geregeld? Wordt het certificaat/keurmerk voor het aantoonbaar voldoen aan een norm verplicht gesteld door: Subsidieverstrekker Wet- en regelgeving Grote opdrachtgevers Branche-initiatief 14
14 Toegevoegde waarde van certificering Christian Oudenbroek, directeur Brand Compliance BV 15
15 ISO reeks ISO Managementsysteem A P C D Risicomanagement Context analyse Stakeholder analyse Bepaling Scope Organisatie niveau ingeregeld Risico Kans Impact beheersmaatregelen 16
16 ISO reeks eisen ISO Managementsysteem richtlijnen ISO Beheersmaatregelen A P C D ISO 27701: H5 ISO 27701: H6/H7/H8 17
17 ISO ISO PIMS-specific requirements related to ISO/IEC General The requirements of ISO/IEC 27001:2013 mentioning "information security" shall be extended to the protection of privacy as potentially affected by the processing of PII. NOTE In practice, where "information security" is used in ISO/IEC 27001:2013, "information security and privacy applies instead (see Annex F). 6 PIMS-specific guidance related to ISO/IEC General The guidelines in ISO/IEC 27002:2013 mentioning "information security" should be extended to the protection of privacy as potentially affected by the processing of PII. NOTE 1 In practice, where "information security" is used in ISO/IEC 27002:2013, "information security and privacy applies instead (see Annex F). All control objectives and controls should be considered in the context of both risks to information security as well as risks to privacy related to the processing of PII. 18
18 ISO reeks Certificering ISO Managementsysteem + ISO A P D Certificering van een managementsysteem met betrekking tot: informatiebeveiliging en privacy C Per direct mogelijk Op korte termijn centraal schemabeheer door NEN mogelijk 19
19 Wordt dit de officiële AVG certificering? Nee, niet helemaal 20
20 Perspectief vanuit AVG: procesbenadering Brand Compliance Administratiekantoor AK Salarisverwerkingsproces verwerker medewerkers verwerkingsverantwoordelijke 21
21 17065 Administratiekantoor AK Management systeem en Salarisverwerkingsproces verwerker Aanvullende controles Alleen op het te certificeren proces 22
22 gecertificeerd Administratiekantoor AK Management systeem en Aanvullende controles V Salarisverwerkingsproces verwerker Alleen op het te certificeren proces 23
23 Samengevat Managementsysteem o.b.v. ISO27001 aanwezig Geen Managementsysteem o.b.v. ISO27001 aanwezig Officiële AVG Certificering op proces Als organisatie in control Zijn m.b.t. privacy implementeren en laten certificeren + AVG certificering op proces implementeren en laten certificeren AVG certificering op proces ISO27001 en ISO27701 implementeren en laten certificeren 24
24 Planning en inhoudelijke agenda - Wat gaan we doen? Kars Jansen, consultant NEN 25
25 Twee scenario s Scenario 1: Gewoon NL Werkgroep ontwikkelt een Certificeringsschema voor ISO Nadeel: Geen officiële AVG-certificering, (wel heel eind op weg!) Voordeel: Snelheid: Q2/Q3 eerste certificeringen 2020 gereed. Voordeel: Eenvoudig voor partijen die ISO of NEN 7510 al draaien Scenario 2: Compleet AVG NL werkgroep ontwikkelt AVG-schema o.b.v. ISO Voordeel: = Officieel Nadeel: AVG-Procesnormen ontbreken nog, dus ontwikkeling duurt langer 26
26 Variant op scenario 1 (1B) Nu ook ISO-voorstel voor ontwikkeling ISO (vgl ) ISO, dus Internationaal ISO, dus duurt wat langer (2 jaar?) ISO, dus minder invloed NL partijen Geen centraal beheer als in: Geen centrale afstemming over interpretatie en toepassing Geen centraal register voor certificaten Eerst scenario 1 dan 1B prima mogelijk! 27
27 Drie Twee scenario s keuzes Scenario 1: Gewoon NL Werkgroep ontwikkelt certificeringsschema voor ISO Nadeel: Geen officiële AVG-certificering, (wel heel eind op weg!) Voordeel: Snelheid: Q2/Q3 eerste certificeringen 2020 gereed. Voordeel: Eenvoudig voor partijen die ISO of NEN 7510 al draaien Scenario 1B: Gewoon in ISO verband ISO Werkgroep ontwikkelt certificeringsschema voor ISO 27701; NL Werkgroep sluit aan Scenario 2: Compleet AVG NL werkgroep ontwikkelt AVG-schema o.b.v. ISO Voordeel: = Officieel Nadeel: AVG-Procesnormen ontbreken nog, dus ontwikkeling duurt langer 28
28 Planning Scenario 1 Ontwikkeling: t/m maart 20 Publicatie: maart 20 Validatie: april-mei 20 Certificatie: juni juli 20 Scenario 2 Ontwikkeling: t/m sept 20 Publicatie: okt 20 Validatie: okt-dec 20 Certificatie: jan feb 21 Scenario 1 B Ontwikkeling: t/m maart 21 Certificatie: juni juli 21 29
29 Samengevat Managementsysteem o.b.v. ISO27001 aanwezig Geen Managementsysteem o.b.v. ISO27001 aanwezig Officiële AVG Certificering op proces A implementeren en laten certificeren Scenario 1 + AVG certificering op proces B AVG certificering op proces Scenario 2 Scenario 2 B Als organisatie in control Zijn m.b.t. privacy D implementeren en laten certificeren Scenario 1 B ISO27001 en ISO27701 implementeren +ISO en laten certificeren Scenario 1 B C 30
30 Stellingen 1. Direct starten met Scenario 1(B): Gewoon Direct starten met Scenario 2: Compleet AVG 3. Direct starten met beide scenario s. Standards and Regulations 31
31 Rondvraag wie doet er mee? Standards and Regulations 32
32 Dank voor uw komst! Christian Oudenbroek Standards and Regulations 33
33 Welke inzet wordt verwacht voor ontwikkeling schema Belangrijkste input: expertise en tijd Financiering ondersteuning van NEN Kosten voor inzet van NEN moeten gedekt zijn; Variabelen: complexiteit en #deelnemers Informatiebijeenkomst revisie NEN 7510 en NEN