U bent hier

10.10.2017
| Blog
| Informatiebeveiliging, AVG
| AVG, informatiebeveiliging, ISO 27001, GDPR

Met ISO 27001 op orde bent u al een eind op weg voor de AVG

Waarschijnlijk heeft u er al eens over gelezen. Op 25 mei 2018 verloopt de transitieperiode van de nieuwe Algemene Verordening Gegevensbescherming (AVG) die de databeschermingsrichtlijn uit 1995 vervangt. Vanaf die datum mogen verschillende organisaties op naleving van de nieuwe regelgeving aangesproken worden en kunnen er ook boetes uitgedeeld worden. Om die reden is er, zowel in de media als bij bedrijven, veel over te doen. Ook de boetes op het niet naleven van de nieuwe verordening, die maximaal 20 miljoen euro bedragen of 4% van de jaarlijkse wereldwijde omzet, roepen vragen op. Geldt de AVG ook voor ons? Moeten wij er al mee aan de slag?

AVG ISO 27001

Sinds het in werking treden van de AVG, in mei 2016, is de nieuwe regelgeving onderwerp van gesprek. Overheidsinstanties, ook in de zorg, partijen die vanuit de aard van hun werkzaamheden mensen observeren (bijvoorbeeld marketingbureaus) en verantwoordelijken of verwerkers van grote hoeveelheden data of bijzondere gegevens moeten voldoen aan de AVG. Voor opsporingsinstanties en het Openbaar Ministerie geldt andere privacywetgeving. De AVG is gestoeld op de volgende principes:

  • De persoon van wie de gegevens verwerkt worden, moet hiervan op de hoogte zijn en toestemming hebben gegeven
  • De gegevens worden alleen voor een bepaald doel verzameld en mogen niet voor andere doeleinden gebruikt worden. Andere gegevens verzamelen dan hiervoor benodigd, is niet toegestaan. Ook gegevens langer bewaren dan nodig is niet toegestaan
  • De gegevens moeten correct zijn en beschermd zijn tegen toegang door derden

Daarnaast moeten eerdergenoemde organisaties, met uitzondering van opsporingsinstanties en het OM een verantwoordelijk persoon, de functionaris gegevensbescherming (FG), aanwijzen.

Het mag duidelijk zijn dat een aantal van de principes uit de nieuwe AVG invloed hebben op rollen, taken en verantwoordelijkheden. Andere principes hebben invloed op strategische processen. Sommige processen moeten opnieuw ingericht worden. Ook doet een organisatie er goed aan aandacht besteden aan awareness rondom gegevensbescherming. Maar wat is de juiste manier voor een organisatie om zich voor te bereiden? Het incorporeren van de AVG in de manier van werken en de cultuur van een organisatie lijkt een hele kluif.

De norm ISO 27001 kan dienen als een goede voorbereiding op en een stevige basis voor de AVG. Een groot aantal zaken uit ISO 27001, de internationaal erkende norm voor informatiebeveiliging, is direct toepasbaar op de AVG. Denk hierbij aan het classificeren van informatie, het melden van security incidenten en het creëren van awareness. Eens praten over hoe u zich kunt voorbereiden op de AVG? Neem dan contact op met:

edo-jan koster portret contactpersoon
Contactpersoon

Edo-Jan Koster

Lead Auditor
Henry Dwars
Contactpersoon

Henry Dwars

Sales- & Accountmanager Informatiebeveiliging
Telefoon
+31 88 96 83458

Gerelateerde berichten

alloq
30.07.2021
Informatiebeveiliging
Informatiebeveiliging
07.03.2020
Informatiebeveiliging, NEN 7510, ISO
Medmij
15.04.2019
Zorg, Informatiebeveiliging, NEN 7510
Daan Brinkhuis 's Heerenloo
25.01.2019
Case, Informatiebeveiliging, Zorg
ISO 27001 AVG
10.09.2018
AVG, Assessment, Informatiebeveiliging, ISO 27001
AVG 'millennium bug'
26.07.2018
AVG, Assessment, Informatiebeveiliging