Privacy in de praktijk

Privacy in de praktijk

NEN webinar, 2021-03-11

NEN Cybersecurity & Privacy

Programma

10.00 Opening webinar en welkom

10.10 De waarde van de Internationale privacy norm ISO/IEC 27701 in de Nederlandse context

10.30 Het ISO/IEC 27701 certificatieschema en certificatietraject 10.45 Q & A

10.55 Keurmerk 27701 in de praktijk: eerste ervaringen

11.40 Privacy en normen: wat kan ik nog meer verwachten?

11.50 Take-aways en afsluiting webinar NEN Webinar ‘Privacy in de praktijk’

Sprekers

NEN Webinar ‘Privacy in de praktijk’

Harmen Willemse NEN

Ying Ying Lau NEN Ronald Westerveen

KIWA Michelle Spit

Zaurus

Nico Nijenhuis TüV Nederland Gigi Rikmans

Hartis Stephan van der Ende

ISACA NL Chapter Jessica Maes

ISACA NL Chapter

Christian Oudenbroek Brand Compliance

De waarde van de

Internationale privacy norm ISO/IEC 27701 in de Nederlandse context

Stephan van der Ende en Jessica Maes ISACA NL Chapter

NEN Webinar ‘Privacy in de praktijk’

Over ISACA

Internationale beroepsvereniging voor information governance, control, security, audit en privacy professionals

Internationaal erkende opleidingen en certificeringen, waaronder CISA, CISM en CDPSE

Meer dan 200 chapters in 80 landen en ruim 140.000 leden

NL Chapter met meer dan 2300 leden, 3e Chapter in Europa

De focusgroep ISO27701

Waarom deze focusgroep?

Discussion papers over ISO27701

Drs. Ing. Jessica Maes CISA CIPP/E

ISO 27001 Lead Auditor

Stephan van der Ende MScBA B ICT CISM CISA

CRISC CISSP CIPP/E CIPM CIPT FIP

Drs. Harry van den Brink RE CISM CRISC CISSP CDPSE ISO 27001 & ISO 27701 Lead Auditor

Wat is de ISO27701?

Beheersingssysteem voor de bescherming van persoonlijk identificeerbare informatie (PII)

Privacy Information Management System (PIMS), gebaseerd op risico's

Voor wie:

• Organisaties die werken met PII

• Verwerkingsverantwoordelijke en/of verwerker

Relatie met de ISO27001

Uitbreiding (extensie) van de ISO27001

Praktisch kader waarmee het bestaande ISMS

(Information Security Management System) met een PIMS (Privacy Information Management

System) wordt uitgebreid

PDCA-cyclus en risicoanalyse conform de ISO27001

Relatie met de GDPR

De GDPR is als wet anders dan een beheerssysteem

ISO27701 ANNEX D (Informative): mapping naar de GDPR

Afgifte van een certificaat, de organisatie is aantoonbaar

‘in control’ over de verwerking van PII

Toegevoegde waarde (1)

Interne organisatie:

Op een gestructureerde manier aan de slag met privacy

Handvat bij implementatie van het privacy beheersingssysteem

Draagt bij aan verdere verbetering van privacy maatregelen als gevolg van PDCA

Toegevoegde waarde (2)

Extern:

Geeft vertrouwen

Wordt als waardevol beschouwd door stakeholders (imago)

Meer duidelijkheid voor klanten (verwachtingen)

Aandachtspunten

Bedenk ....

PIMS alleen is echter niet voldoende: werking!

Nog weinig referenties

Hulpmiddelen nog beperkt beschikbaar

De waarde zal zich in de komende tijd bewijzen

Een blik op de toekomst

Relatief kleine inspanning voor ISO27001 klanten

Meer certificeringen (en referenties)

License-to-operate

Behoefte aan één geïntegreerd management-

systeem: kwaliteit (ISO9001), informatiebeveiliging (ISO27001) en privacy (ISO27701)

Afsluiting

Tweede discussion paper: relatie van ISO27701 met bestaande normen en raamwerken op het gebied van privacy en informatiebeveiliging

Discussion paper: we staan open voor suggesties, vragen en best practises van de community

Contact: ISO27701@gdpr.isaca.nl

Het ISO/IEC 27701

certificatieschema en certificatietraject

Christian Oudenbroek Brand Compliance

NEN Webinar ‘Privacy in de praktijk’

Het ISO/IEC 27701

certificatieschema en certificatietraject

Christian Oudenbroek Managing Partner

Brand Compliance BV Certificerende Instelling

• Kwaliteit

• Informatiebeveiliging

• Privacy

Werkgroep 5

Privacy & Data Protection

Volgen de internationale ontwikkelingen.

Werken aan certificatieschema’s.

• Gedragscode AVG

• AVG certificering

• Certificatieschema ISO 27701

ISO 27000 serie

ISO 27001 – Management system Context analyse

Stakeholder analyse Scope bepalen

Implementatie op organisatieniveau

P

D C

A

Risk Likelihood Impact Controls

Risk management

ISO 27701: hoofdstuk 5

ISO 27000 serie

ISO 27001: Managementsysteem

ISO 27701: H6/H7/H8

ISO 27002: Beheersmaatregelen

P

D C

A

ISO 27701

• Managementsysteem uitbreiding (PIMS)

• Met andere aspecten en overwegingen!

• Risicomanagement

• Scopebepaling!

Certificatieschema

• Hoe wordt de ISO 27701 getoetst?

• Samenhang met ISO 27006

Certificatieschema

• Kennis en kunde van de auditoren

• Tijdsbesteding en factoren

• Wel of niet ISO 27701 combineren met de ISO 27001 audit?

• Looptijd certificaat

NEN register

• 3 officiële certificerende instellingen:

• TüV Nederland

• Kiwa

• Brand Compliance

• De eerste certificaathouders zijn opgenomen in het register.

Wat is nodig voor certificering?

• ISO 27001 is verplicht

• Analyse en uitbreiding van het managementsysteem

• Scope van certificering eventueel aanpassen

• Interne audits

Klaar voor certificering?

Neem contact op met één van de 3 certificerende instellingen.

• Keuze voor invoeging of gecombineerde audit.

• Timing: looptijd maximale duur van het onderliggende certificaat.

Gecertificeerd en nu?

De certificerende instelling zorgt dat uw organisatie opgenomen wordt in het Nationaal NEN register.

Hoe staat het met de accreditatie van ISO 27701?

Keurmerk 27701 in de

praktijk: eerste ervaringen Panelsessie

Panelleden:

• Nico Nijenhuis - TÜV Nederland

• Gigi Rikmans - Hartis Telezorg

• Michelle Spit - Zaurus

• Ronald Westerveen - Kiwa Nederland Moderator: Harmen Willemse - NEN

NEN Webinar ‘Privacy in de praktijk’

Privacy en normen:

wat kan ik nog meer verwachten?

Ying Ying Lau

NEN - Cluster ICT Standaardisatie

Secretaris van

NEN werkgroep ‘Privacy en gegevensbescherming’

NEN Webinar ‘Privacy in de praktijk’

De wereld van normalisatie

Privacy en normen

Europese werkgroep

‘Data protection, Privacy and Identity Management’

(CEN-CLC/JTC 13/WG 5)

Mondiale werkgroep

‘Identity management and privacy technologies’

(ISO-IEC/JTC 1/SC 27/WG 5)

NEN Werkgroep

‘Privacy en gegevensbescherming’

(Onderdeel van normcommissie ‘Cybersecurity & Privacy’)

NEN-EN-ISO/IEC 27006 Information technology

- Security Techniques - Information security management systems

ISO/IEC 27001 ISO/IEC 27002

NEN-EN-ISO/IEC 27001 NEN-EN-ISO/IEC 27002

Extension to ISO/IEC 27001 and ISO/IEC 27002

for privacy information management

ISO/IEC 27701

Requirements for bodies providing audit

and certification of information security management systems

ISO/IEC 27006

Part 2: PIMS

Gepubliceerd:

ISO/IEC TS 27006-2 ISO/IEC 27006-2 in ontwikkeling

Eisen aan instellingen die audits ten behoeve

van certificatie van PIMS uitvoeren conform ISO/IEC 27701

NCS 27701

NEN-ISO/IEC 27701

(eisen in norm) (eisen in norm) (certificatieschema) (certificatieschema)

Information technology - Security Techniques - Information security management systems

ISO/IEC 27001 ISO/IEC 27002

Part 2: PIMS

Gepubliceerd:

ISO/IEC TS 27006-2 ISO/IEC 27006-2 in ontwikkeling Requirements for

bodies providing audit and certification of information security management systems

ISO/IEC 27006

Extension to ISO/IEC 27001 and ISO/IEC 27002

for privacy information management

ISO/IEC 27701

(draft) Personal data protection

requirements for processing operations

EN xxxxx

in ontwikkeling

(proposal) Refinement of ISO/IEC 27701 in European context

EN xxxxx

start binnenkort

(voorstel) AVG gedragscodes

verkenning door taakgroep

(voorstel) AVG norm en certificatieschema

verkenning door taakgroep

Aansluiting van NEN experts op Europees

werk

Eisen aan instellingen die audits ten behoeve

van certificatie van PIMS uitvoeren conform ISO/IEC 27701

NCS 27701 (final draft) Data

protection and privacy by design and by

default prEN 17529 in afronding

(final draft) Data protection and privacy

by design and by default

prEN 17529 in afronding

Information technology - Security Techniques - Information security management systems

ISO/IEC 27001 ISO/IEC 27002

Part 2: PIMS

Gepubliceerd:

ISO/IEC TS 27006-2 ISO/IEC 27006-2 in ontwikkeling Requirements for

bodies providing audit and certification of information security management systems

ISO/IEC 27006

Extension to ISO/IEC 27001 and ISO/IEC 27002

for privacy information management

ISO/IEC 27701

(draft) Personal data protection

requirements for processing operations

EN xxxxx

in ontwikkeling

(proposal) Refinement of ISO/IEC 27701 in European context

EN xxxxx

start binnenkort

Eisen aan instellingen die audits ten behoeve

van certificatie van PIMS uitvoeren conform ISO/IEC 27701

NCS 27701

(voorstel) AVG gedragscodes

verkenning door taakgroep

(voorstel) AVG norm en certificatieschema

verkenning door taakgroep

Aansluiting van NEN experts op Europees

werk

NEN WERKGROEP

‘PRIVACY EN GEGEVENS- BESCHERMING’

Meepraten?

yingying.lau@nen.nl

Meepraten?

NEN werkgroep ‘Privacy & gegevensbescherming’

Stuur een mail naar yingying.lau@nen.nl Privacy en normen