Als gevolg van de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties die werken met privacygevoelige informatie sinds 25 mei 2018 voldoen aan verzwaarde regels voor informatiebeveiliging en privacybescherming. Een grondige manier om hieraan te voldoen is het toepassen van een managementsysteem voor informatiebeveiliging, zoals beschreven in de internationale norm ISO 27001, Managementsystemen voor informatiebeveiliging. De Nederlandse norm voor informatiebeveiliging in de zorg (NEN 7510) is hiervan een uitwerking. De overheid vindt het zo belangrijk dat zorginstellingen voldoen aan NEN 7510 dat zij gezorgd heeft dat deze norm gratis beschikbaar is (zie www.nen.nl).
Waar gaat het om?
Het gaat bij informatiebeveiliging en de AVG niet alleen om het beheer van elektronische bestanden en dossiers, maar ook om de opslag en verspreiding van papieren verslagen en dossiers, de toegang tot computers met vertrouwelijke informatie, het informeren van degenen waarover de gevoelige informatie gaat, etc. Organisaties kunnen de informatiebeveiliging niet overlaten aan hun ICT-afdeling, maar moeten er ook op toezien dat hun medewerkers zorgvuldig omgaan met de privacy van medewerkers en klanten/cliënten, en organisatorische maatregelen nemen om de risico’s van datalekken te beperken. De AVG stelt bovendien voor bepaalde organisaties het aanstellen van een functionaris voor gegevensbescherming (FG) verplicht.
Wat te doen?
Kleine organisaties kunnen in de meeste gevallen volstaan met een eenmalige of periodieke doorlichting van hun bedrijfsvoering (quick scan, nulmeting). Grotere organisaties doen er goed aan hun managementsysteem uit te breiden naar informatiebeveiliging, en daarbij uit te gaan van een van de normen ISO 27001 of NEN 7510. Beide zijn op dezelfde leest geschoeid als ISO 9001, wat betekent dat u doelen moet stellen en risico’s beperken. Het management moet het voortouw nemen, middelen beschikbaar stellen, de resultaten op de voet volgen, analyseren en waar nodig bijsturen (pdca-cirkel). ISO 27001 en NEN 7510 gaan niet over kwaliteit in het algemeen, zoals ISO 9001, maar over informatiestromen, hoe deze door uw organisatie gaan, welke (privacy)risico’s ermee gemoeid zijn, en welke maatregelen moeten worden genomen om de risico’s te beperken. Beide normen stellen het voldoen aan de van toepassing zijnde wet- en regelgeving (waar onder de AVG) verplicht.
Op internet is veel informatie beschikbaar als ondersteuning voor het voldoen aan de AVG, met name bij de Autoriteit Persoonsgegevens. Voor de implementatie van ISO 27001 of NEN 7510 zijn minder openbare hulpmiddelen beschikbaar.
Externe ondersteuning
Overweegt u externe ondersteuning om de informatiebeveiliging en/of de bescherming van persoonsgegevens op niveau brengen, neem dan contact op voor een vrijblijvende kennismaking of offerte. In 2017 heb ik bij het Keurmerkinstituut de implementatie van de AVG opgezet, en enkele jaren daarvoor het dienstenaanbod uitgebreid met certificatie op basis van NEN 7510. Eerder (2003) was ik adviseur van Stichting ICT op School bij het ontwikkelen van keurmerken voor ICT-leveranciers en internetproviders. ICT op School was door een de overheid gesubsidieerde projectorganisatie, die later is opgegaan in Kennisnet.
Enkele mogelijkheden voor advies en ondersteuning zijn:
- opstellen implementatieplan AVG / ISO 27001 / NEN 7510
- projectleiding uitvoering implementatieplan
- uitvoering quick scan informatiebeveiliging, incl. AVG (i.s.m. Keurmerkinstituut)
- optreden als functionaris gegevensbescherming (FG)
- opstellen overeenkomsten met derden die uw persoonsgegevens be-/verwerken
Ook andere ondersteuning is mogelijk, zoals ad hoc advisering op uurbasis.
Willem van Weperen 