Wet- en regelgeving informatiebeveiliging en ISO 27001

Als organisatie ben je verplicht om te voldoen aan de (inter)nationale wet- en regelgeving van het land/de landen waarin je operationeel bent. Doe je dat niet, dan ben je nalatig. Dat geldt dus ook met betrekking tot wet- en regelgeving rondom het thema informatiebeveiliging en specifiek de ISO 27001 norm. Veel organisaties vinden het lastig om de voor hen relevante wet- en regelgeving in kaart te brengen en door te vertalen naar zaken die ze moeten inregelen om aan de wetgeving te (blijven) voldoen. Daarom in dit blogartikel aandacht voor de wet- en regelgeving rondom informatiebeveiliging en de stappen op weg naar naleving.

Voor we inzoomen op wet- en regelgeving rondom informatiebeveiliging, en specifiek ISO 27001, maken we eerst even een wat algemener rondje langs de velden. We vertrekken vanuit de ‘moedernorm’, ISO 9001, kwaliteitsmanagement.

Wanneer je met de norm voor kwaliteitsmanagement aan de slag gaat, raak je ook het onderwerp wet- en regelgeving aan. Aan welke wetten en regels moet je als organisatie dan voldoen? Algemeen geldt dat je een minimaal kwaliteitsniveau moet bieden dat de maatschappij of een klant van je mag verwachten. Dat is vanuit een norm(tekst), die jouw organisatie natuurlijk niet kent, vooraf lastig te zeggen. Daardoor is het vanuit ISO 9001 bekeken moeilijk(er) te voorspellen aan welke relevante wet- en regelgeving jouw organisatie dient te voldoen. Dit hangt namelijk sterk samen met de sector waarin je opereert en de bedrijfsactiviteiten die je uitvoert. Branche-kennis van de sector is dan nuttiger dan normkennis. Organisaties in branches met weinig expliciete wetgeving – zoals ICT dienstverlening – hoeven niet per se wetgeving te kennen en volgen (anders dan algemene wetgeving; iedere ondernemer weet dat hij de belastingdienst moet betalen).

Er zijn sectoren waarvoor wet wel grotendeels ‘vastligt’, doordat deze sectoren sterk gereguleerd zijn. Denk aan de zorgsector, de overheid, de bancaire sector, productiebedrijven die chemische productie doen etc. Los van deze sterk gereguleerde sectoren is het over het algemeen voor een gemiddelde organisatie, die aan de slag gaat met ISO 9001, vooraf lastig te zeggen aan welke geldende wet- en regelgeving voldaan moet worden. Om die reden bestaat er geen ‘standaard afvinklijstje’ dat je kunt doorlopen.

Anders is het wanneer je organisatie aan de slag gaat met milieumanagement, ISO 14001 en de bijbehorende milieuwetgeving. ISO 14001 is, in tegenstelling tot ISO 9001, veel strikter gekoppeld aan wet- en regelgeving. Sterker nog: wet- en regelgeving is een zwaarwegende factor binnen deze norm. Dat brengt met zich mee dat er rondom milieucompliance zelfs online modules als aimonline.nl beschikbaar zijn die je als organisatie periodiek moet toepassen om te zorgen dat je in lijn bent en blijft met geldende wet- en regelgeving.

Het gemak dat wordt geboden bij ISO 14001, waarbij organisaties door de overheid worden geholpen met tooling om op die manier milieuwetgeving in kaart te brengen en eraan te voldoen, bestaat helaas (nog) niet op dat niveau voor informatiebeveiliging en de daaraan gerelateerde normen, zoals ISO 27001. Toch zit er wel degelijk een eis in de 27001 norm met betrekking tot wet- en regelgeving. Hoe regel je dat als organisatie goed in?

Vooropgesteld: Elke organisatie dient te voldoen aan de wetgeving van het land waarin je operationeel bent. Voor organisaties die informatiebeveiliging serieus oppakken, kent ISO 27001 daarbovenop nog een expliciete eis omtrent naleving die terug te vinden is in de zogenaamde Annex A, hoofdstuk 18. Daarin staat dat een organisatie die een informatiebeveiligingsmanagementsysteem (ISMS) heeft ook moet weten welke wetten relevant zijn voor informatiebeveiliging. Net zoals een organisatie moet voldoen aan (beveiligings)eisen die vastliggen in contracten (belofte aan klanten moet worden gerealiseerd). Deze eisen moet de organisatie handhaven. Er moet dus een proces worden ingericht dat borgt dat de organisatie scherp blijft en blijft evalueren, met het oog op voldoen en blijven voldoen aan die wetgeving. Dat is dus geen eenmalige check, maar een periodieke activiteit.

Hoe breng je dat in kaart? Binnen informatiebeveiliging en de daaraan gerelateerde normen heb je, net als bij ieder ander managementsysteem, het algemeen geldende principe dat je eisen en wensen van de voor jou relevante stakeholders inzichtelijk dient te maken. De wetgever is ook een stakeholder. Daar kun je dus niet omheen. Zie de eerder genoemde belastingdienst. Je organisatie staat nu eenmaal in de maatschappij en dient zich aan de daarin geldende wetten en regels te houden. Vanuit de stakeholdersanalyse is het ook goed om stil te staan bij eisen van klanten, leveranciers en aandeelhouders: wat verwachten zij van jouw organisatie met betrekking tot het voldoen aan wet- en regelgeving?

Welke wet- en regelgeving speelt er dan zoal rondom informatiebeveiliging? De meest bekende wet van de laatste tijd is de Algemene Verordening Gegevensbescherming (AVG). Deze Europese wet komt er uiteindelijk op neer dat je jouw informatiebeveiliging op orde moet hebben. Er zitten een aantal eisen in die wet met betrekking tot persoonsgegevens. Het is bijzonder onwaarschijnlijk dat jouw organisatie geen persoonsgegevens kent. Het zou dan dus raar zijn als je in je bedrijfsvoering of ISMS nergens laat merken dat je de AVG wet kent en eraan voldoet.

Naast de AVG zijn er nog tal van andere wetten en regels die relevant zijn voor je organisatie. In de praktijk blijkt dat veel organisaties het lastig vinden om een goede, uitputtende lijst, waarin tevens de doorvertaling is gemaakt naar zaken die je als organisatie in moet regelen, op te stellen met betrekking tot wet- en regelgeving. Bij CertificeringsAdvies Nederland hebben we voor de meest gangbare klantgroepen een dergelijk register van wet- en regelgeving samengesteld dat bij wijzigingen of aanvullingen in wet- en regelgeving wordt geüpdatet. In dat register staan bijvoorbeeld:

Concreet voorbeeld van 1 hierboven: wanneer je organisatie uit meer dan 50 medewerkers bestaat, dan dien je een klokkenluiders reglement te hebben. Klokkenluiders informatie is een vorm van informatie die je natuurlijk goed wilt beschermen binnen je organisatie. Deze ga je niet zomaar even delen met alle collega’s. Je moet daarvoor dus zaken inregelen.

Ons register bevat verder belangrijke wetten voor zorg en overheid (omdat dit gereguleerde branches zijn met hun eigen beveiligingsnormen, NEN 7510 en de Baseline Informatiebeveiliging Overheid).

Denk bij zorg aan bijvoorbeeld het Besluit elektronische gegevensverwerking door zorgaanbieders of de Europese Verordening medische hulpmiddelen (MDR).

Denk bij overheden aan eIDAS, WOB of het (tijdelijk) besluit digitale toegankelijkheid overheid.

Ons register van wet- en regelgeving is een goede start voor inzicht in relevante wetten en hoe je aan kan geven hoe je hier aan voldoet.

Er is dus een hele set aan wettelijke eisen, maar de gemiddelde onderneming heeft die nooit vertaald naar wat dat betekent voor die onderneming. Je kunt bijvoorbeeld zeggen ‘er is een AVG-wet’, maar heb je binnen je organisatie dan ook bepaald of dat moet leiden tot een Data Protection Impact Assessment (DPIA)? Of gezien de huidige AVG-ontwikkelingen tot een Data Transfer Impact Assessment (DTIA)? Het punt dat we willen maken: je moet als organisatie niet enkel weten dat een wet bestaat en dat die voor jouw bedrijf geldt, maar je moet ook weten wat je organisatie moet doen en inrichten om die wet na te leven.

Om dat alles in kaart te kunnen brengen hebben we bij CertificeringsAdvies Nederland dus een register van wet- en regelgeving samengesteld. Wij monitoren periodiek veranderingen in wet- en regelgeving om van daaruit ons eigen register te actualiseren. Organisaties die bij ons als klant zijn aangesloten en structurele dienstverlening hebben lopen worden vervolgens door ons proactief geïnformeerd over (aangekondigde) wijzigingen en de manier waarop je daar als organisatie mee omgaat en aan voldoet.

Wil je eens met ons sparren over de voor jouw organisatie geldende wet- en regelgeving? Of kun je ondersteuning gebruiken bij opzet en onderhoud van je ISMS? Neem dan gerust contact met ons op. Wij helpen je graag op weg!