Privacy in de praktijk
NEN webinar, 2021-03-11
NEN Cybersecurity & Privacy
Programma
10.00 Opening webinar en welkom
10.10 De waarde van de Internationale privacy norm ISO/IEC 27701 in de Nederlandse context
10.30 Het ISO/IEC 27701 certificatieschema en certificatietraject 10.45 Q & A
10.55 Keurmerk 27701 in de praktijk: eerste ervaringen
11.40 Privacy en normen: wat kan ik nog meer verwachten?
11.50 Take-aways en afsluiting webinar NEN Webinar ‘Privacy in de praktijk’
Sprekers
NEN Webinar ‘Privacy in de praktijk’
Harmen Willemse NEN
Ying Ying Lau NEN Ronald Westerveen
KIWA Michelle Spit
Zaurus
Nico Nijenhuis TüV Nederland Gigi Rikmans
Hartis Stephan van der Ende
ISACA NL Chapter Jessica Maes
ISACA NL Chapter
Christian Oudenbroek Brand Compliance
De waarde van de
Internationale privacy norm ISO/IEC 27701 in de Nederlandse context
Stephan van der Ende en Jessica Maes ISACA NL Chapter
NEN Webinar ‘Privacy in de praktijk’
Over ISACA
Internationale beroepsvereniging voor information governance, control, security, audit en privacy professionals
Internationaal erkende opleidingen en certificeringen, waaronder CISA, CISM en CDPSE
Meer dan 200 chapters in 80 landen en ruim 140.000 leden
NL Chapter met meer dan 2300 leden, 3e Chapter in Europa
De focusgroep ISO27701
Waarom deze focusgroep?
Discussion papers over ISO27701
Drs. Ing. Jessica Maes CISA CIPP/E
ISO 27001 Lead Auditor
Stephan van der Ende MScBA B ICT CISM CISA
CRISC CISSP CIPP/E CIPM CIPT FIP
Drs. Harry van den Brink RE CISM CRISC CISSP CDPSE ISO 27001 & ISO 27701 Lead Auditor
Wat is de ISO27701?
Beheersingssysteem voor de bescherming van persoonlijk identificeerbare informatie (PII)
Privacy Information Management System (PIMS), gebaseerd op risico's
Voor wie:
• Organisaties die werken met PII
• Verwerkingsverantwoordelijke en/of verwerker
Relatie met de ISO27001
Uitbreiding (extensie) van de ISO27001
Praktisch kader waarmee het bestaande ISMS
(Information Security Management System) met een PIMS (Privacy Information Management
System) wordt uitgebreid
PDCA-cyclus en risicoanalyse conform de ISO27001
Relatie met de GDPR
De GDPR is als wet anders dan een beheerssysteem
ISO27701 ANNEX D (Informative): mapping naar de GDPR
Afgifte van een certificaat, de organisatie is aantoonbaar
‘in control’ over de verwerking van PII
Toegevoegde waarde (1)
Interne organisatie:
Op een gestructureerde manier aan de slag met privacy
Handvat bij implementatie van het privacy beheersingssysteem
Draagt bij aan verdere verbetering van privacy maatregelen als gevolg van PDCA
Toegevoegde waarde (2)
Extern:
Geeft vertrouwen
Wordt als waardevol beschouwd door stakeholders (imago)
Meer duidelijkheid voor klanten (verwachtingen)
Aandachtspunten
Bedenk ....
PIMS alleen is echter niet voldoende: werking!
Nog weinig referenties
Hulpmiddelen nog beperkt beschikbaar
De waarde zal zich in de komende tijd bewijzen
Een blik op de toekomst
Relatief kleine inspanning voor ISO27001 klanten
Meer certificeringen (en referenties)
License-to-operate
Behoefte aan één geïntegreerd management-
systeem: kwaliteit (ISO9001), informatiebeveiliging (ISO27001) en privacy (ISO27701)
Afsluiting
Tweede discussion paper: relatie van ISO27701 met bestaande normen en raamwerken op het gebied van privacy en informatiebeveiliging
Discussion paper: we staan open voor suggesties, vragen en best practises van de community
Contact: ISO27701@gdpr.isaca.nl
Het ISO/IEC 27701
certificatieschema en certificatietraject
Christian Oudenbroek Brand Compliance
NEN Webinar ‘Privacy in de praktijk’
Het ISO/IEC 27701
certificatieschema en certificatietraject
Christian Oudenbroek Managing Partner
Brand Compliance BV Certificerende Instelling
• Kwaliteit
• Informatiebeveiliging
• Privacy
Werkgroep 5
Privacy & Data Protection
Volgen de internationale ontwikkelingen.
Werken aan certificatieschema’s.
• Gedragscode AVG
• AVG certificering
• Certificatieschema ISO 27701
ISO 27000 serie
ISO 27001 – Management system Context analyse
Stakeholder analyse Scope bepalen
Implementatie op organisatieniveau
P
D C
A
Risk Likelihood Impact Controls
Risk management
ISO 27701: hoofdstuk 5
ISO 27000 serie
ISO 27001: Managementsysteem
ISO 27701: H6/H7/H8
ISO 27002: Beheersmaatregelen
P
D C
A
ISO 27701
• Managementsysteem uitbreiding (PIMS)
• Met andere aspecten en overwegingen!
• Risicomanagement
• Scopebepaling!
Certificatieschema
• Hoe wordt de ISO 27701 getoetst?
• Samenhang met ISO 27006
Certificatieschema
• Kennis en kunde van de auditoren
• Tijdsbesteding en factoren
• Wel of niet ISO 27701 combineren met de ISO 27001 audit?
• Looptijd certificaat
NEN register
• 3 officiële certificerende instellingen:
• TüV Nederland
• Kiwa
• Brand Compliance
• De eerste certificaathouders zijn opgenomen in het register.
Wat is nodig voor certificering?
• ISO 27001 is verplicht
• Analyse en uitbreiding van het managementsysteem
• Scope van certificering eventueel aanpassen
• Interne audits
Klaar voor certificering?
Neem contact op met één van de 3 certificerende instellingen.
• Keuze voor invoeging of gecombineerde audit.
• Timing: looptijd maximale duur van het onderliggende certificaat.
Gecertificeerd en nu?
De certificerende instelling zorgt dat uw organisatie opgenomen wordt in het Nationaal NEN register.
Hoe staat het met de accreditatie van ISO 27701?
Keurmerk 27701 in de
praktijk: eerste ervaringen Panelsessie
Panelleden:
• Nico Nijenhuis - TÜV Nederland
• Gigi Rikmans - Hartis Telezorg
• Michelle Spit - Zaurus
• Ronald Westerveen - Kiwa Nederland Moderator: Harmen Willemse - NEN
NEN Webinar ‘Privacy in de praktijk’
Privacy en normen:
wat kan ik nog meer verwachten?
Ying Ying Lau
NEN - Cluster ICT Standaardisatie
Secretaris van
NEN werkgroep ‘Privacy en gegevensbescherming’
NEN Webinar ‘Privacy in de praktijk’
De wereld van normalisatie
Privacy en normen
Europese werkgroep
‘Data protection, Privacy and Identity Management’
(CEN-CLC/JTC 13/WG 5)
Mondiale werkgroep
‘Identity management and privacy technologies’
(ISO-IEC/JTC 1/SC 27/WG 5)
NEN Werkgroep
‘Privacy en gegevensbescherming’
(Onderdeel van normcommissie ‘Cybersecurity & Privacy’)
NEN-EN-ISO/IEC 27006 Information technology
- Security Techniques - Information security management systems
ISO/IEC 27001 ISO/IEC 27002
NEN-EN-ISO/IEC 27001 NEN-EN-ISO/IEC 27002
Extension to ISO/IEC 27001 and ISO/IEC 27002
for privacy information management
ISO/IEC 27701
Requirements for bodies providing audit
and certification of information security management systems
ISO/IEC 27006
Part 2: PIMS
Gepubliceerd:
ISO/IEC TS 27006-2 ISO/IEC 27006-2 in ontwikkeling
Eisen aan instellingen die audits ten behoeve
van certificatie van PIMS uitvoeren conform ISO/IEC 27701
NCS 27701
NEN-ISO/IEC 27701
(eisen in norm) (eisen in norm) (certificatieschema) (certificatieschema)
Information technology - Security Techniques - Information security management systems
ISO/IEC 27001 ISO/IEC 27002
Part 2: PIMS
Gepubliceerd:
ISO/IEC TS 27006-2 ISO/IEC 27006-2 in ontwikkeling Requirements for
bodies providing audit and certification of information security management systems
ISO/IEC 27006
Extension to ISO/IEC 27001 and ISO/IEC 27002
for privacy information management
ISO/IEC 27701
(draft) Personal data protection
requirements for processing operations
EN xxxxx
in ontwikkeling
(proposal) Refinement of ISO/IEC 27701 in European context
EN xxxxx
start binnenkort
(voorstel) AVG gedragscodes
verkenning door taakgroep
(voorstel) AVG norm en certificatieschema
verkenning door taakgroep
Aansluiting van NEN experts op Europees
werk
Eisen aan instellingen die audits ten behoeve
van certificatie van PIMS uitvoeren conform ISO/IEC 27701
NCS 27701 (final draft) Data
protection and privacy by design and by
default prEN 17529 in afronding
(final draft) Data protection and privacy
by design and by default
prEN 17529 in afronding
Information technology - Security Techniques - Information security management systems
ISO/IEC 27001 ISO/IEC 27002
Part 2: PIMS
Gepubliceerd:
ISO/IEC TS 27006-2 ISO/IEC 27006-2 in ontwikkeling Requirements for
bodies providing audit and certification of information security management systems
ISO/IEC 27006
Extension to ISO/IEC 27001 and ISO/IEC 27002
for privacy information management
ISO/IEC 27701
(draft) Personal data protection
requirements for processing operations
EN xxxxx
in ontwikkeling
(proposal) Refinement of ISO/IEC 27701 in European context
EN xxxxx
start binnenkort
Eisen aan instellingen die audits ten behoeve
van certificatie van PIMS uitvoeren conform ISO/IEC 27701
NCS 27701
(voorstel) AVG gedragscodes
verkenning door taakgroep
(voorstel) AVG norm en certificatieschema
verkenning door taakgroep
Aansluiting van NEN experts op Europees
werk
NEN WERKGROEP
‘PRIVACY EN GEGEVENS- BESCHERMING’
Meepraten?
yingying.lau@nen.nl
Meepraten?
NEN werkgroep ‘Privacy & gegevensbescherming’
Stuur een mail naar yingying.lau@nen.nl Privacy en normen