ISO 27018 – Code for protection of personally identifiable information (PII) in public

ISO 27018, Code of Practice for Protection of Personally Identifiable Information (PII) in Public Clouds

Acting is PII Processors, is een relatief nieuwe ISO-standaard (2014) die is ontworpen voor cloud

service providers (CSP) die verantwoordelijk zijn voor de verwerking van persoonsgegevens. ISO 27018 maakt onderdeel uit van de ISO 27000-reeks aan gezaghebbende internationale normen voor de beveiliging van informatie. Voor een goede begripsvorming over ISO 27018 volgt eerst een nadere toelichting op ISO 27001 en ISO 27002 uit de ISO 27000-reeks. (bron: ISO, 2014)

70

ISO 27001 is de meest bekende standaard uit de 27000-reeks, gericht op het information security management system (ISMS) van een organisatie. Een ISMS is een systematische benadering die wordt gebruikt om het algehele informatiebeveiligingsprogramma te beheren om ervoor te zorgen dat het effectief blijft. Een belangrijk uitgangspunt van het ISMS is de borging van continue kwaliteitsverbetering bestaande uit een opeenvolging van vier herhalende stappen: plan, do, check en act (PDCA-cyclus) van Deming (zie hoofdstuk 4.2.4). Een van de voordelen van ISO 27001 is dat het gericht is op de volledige reikwijdte van informatiebeveiliging, inclusief de technische controles en het toezicht door het management op informatiebeveiliging. Deze allesomvattende aanpak stelt mensen, processen en technologieën veilig om risico's tot een minimum te beperken.

ISO 27002, beter bekend als de Code voor Informatiebeveiliging, is de nadere detaillering en praktische invulling van de beveiligingsmaatregelen uit ISO 27001 die zijn opgenomen als onderdeel van het ISMS van ISO 27001. ISO 27002 is daarin richtinggevend, echter organisaties kunnen daarvoor ook andere standaarden of richtlijnen gebruiken. (bron: ISO, 2013a, b)

Wereldwijd is sprake van een toenemend gebruik van cloud technologie bij het uitbesteden van de verwerking van persoonsgegevens door organisaties. De informatiebeveiligingsrisico’s die daarmee gepaard gaan veranderen en het treffen van specifieke beveiligingsmaatregelen is noodzakelijk. ISO 27018 is een internationale ISO norm voor beveiliging en compliance op het gebied van privacy en bescherming van persoonsgegevens in de cloud. ISO 27018 kan worden gebruikt in aanvulling op ISO 27001 en is een nadere uitwerking voor een cloud omgeving van de meer algemene informatiebeveiligingsnorm ISO 27002. Het doel van ISO 27018 is om in aanvulling op ISO 27002 een gemeenschappelijke set van beveiligingsonderwerpen en -maatregelen te geven die kunnen worden geïmplementeerd door een CSP als verwerker. De inhoudelijke richtlijnen en maatregelen van ISO 27018 zijn een inhoudelijke reactie op de steeds strenger wordende privacy wetgeving en behoefte aan transparantie over getroffen beveiligingsmaatregelen. ISO 27018 is echter geen vervanging van privacy wetgeving zoals de AVG, maar biedt een algemeen internationaal normenkader voor toepassing door een CSP gericht op beveiliging en compliance. (bron: BSI, 2017)

ISO 27018 als aanvulling op ISO 27002 werkt op twee manieren:

• Het uitbreiden / aanpassen van bestaande ISO 27002 beveiligingsmaatregelen specifieke geschikt

voor cloud privacy; en

• Het toevoegen van nieuwe beveiligingsmaatregelen inzake bescherming van persoonlijke

gegevens.

De mate waarin bestaande ISO 27002 maatregelen in ISO 27018 zijn uitgebreid / aangepast ten behoeve van cloud privacy is in tabel 4 (bron: Advisera, 2017) opgenomen. Uit deze analyse blijkt dat de belangrijkste aanpassingen van bestaande maatregelen in ISO 27018 betrekking hebben op sectie 12 ‘Operations security’. Dit betreft voornamelijk de beveiligingsmaatregelen gericht op het scheiden van ontwikkelings-, test- en productie omgevingen (wanneer persoonlijke gegevens worden gebruikt voor testen), back-up van informatie (meerdere kopieën van gegevens, verstrekken van gegevens aan klanten, procedures voor back-up, herstel en verwijderen/wissen van gegevens) en het loggen van events (controle van logboeken, verstrekken van gegevens aan klanten, vastleggen van wijzigingen in privacy gevoelige gegevens).

71

Naast deze aanpassingen zijn er 24 nieuwe beveiligingsmaatregelen toegevoegd in ISO 27018 die specifiek betrekking hebben op de bescherming van persoonlijke gegevens in een cloud omgeving, die door mij bij het opstellen van het Cloud Privacy Control Framework zijn meegenomen.

ISO 27001 / 27002 control section Level of additional items in ISO 27018

5 Information security policies Moderate 6 organization of information security Low

7 Human resource security Low

8 Asset management Low

9 Access control Low

10 Cryptography Low

11 Physical and environmental security Low

12 Operations security High

13 Communications security Low

14 System acquisition, development and maintenance Low

15 Supplier relationships Low

16 Information security incident management Moderate 17 Information security aspects of business continuity management Low

18 Compliance Moderate

Tabel 4: Vergelijking ISO 27002 met ISO 27018

Welke mogelijkheden bieden deze ISO standaarden in relatie tot de AVG? In de AVG is bepaald dat de CSP als verwerker passende technische en organisatorische maatregelen dient te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: [artikel 32 lid 1 - AVG]

e) de pseudonimisering en versleuteling van persoonsgegevens;

f) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht (‘resilience’) van de verwerkingssystemen en diensten te garanderen;

g) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

h) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

In ISO 27001 en ISO 27018 zijn toereikende beveiligingsmaatregelen gedefinieerd als onderdeel van het ISMS die invulling kunnen geven aan de vereisten zoals hierboven vermeld. Zo zijn er in deze ISO standaarden normen gedefinieerd voor het inrichten van beveiligingsmaatregelen voor bijvoorbeeld

72

compliance (blijvend voldoen aan de AVG), asset management (beheer van persoonsgegevens en verwerkingssystemen), systeemontwikkeling (privacy by design en privacy by default), incident respons (melden van datalekken). Daarnaast bevat ISO 27001 als uitgangspunt het ISMS als een systematische benadering om de continue effectiviteit van beveiligingsmaatregelen te waarborgen, in lijn met de AVG waarin op basis van artikel 32 lid 1d het verplicht is om een procedure in te richten voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen.

In het kader van het doen van een eerste aanzet voor een Cloud Privacy Control Framework zal ik zowel ISO 27001 als ISO 27018 als normenkaders gebruiken bij de ontwikkeling ervan, waarbij ISO 27001 de norm is voor het beheer van informatiebeveiliging (inclusief risicomanagement) en ISO 27018 een uitgebreid pakket aan cloud specifieke beveiligingsmaatregelen biedt vanuit het perspectief van de CSP als verwerker van persoonsgegevens.