Leestijd: 8 minuten

Wet- en regelgeving informatiebeveiliging en ISO 27001

Wet- en regelgeving informatiebeveiliging en ISO 27001: hoe zit dat precies voor jouw organisatie. In dit blog zetten we dat uiteen.

Wet- en regelgeving informatiebeveiliging
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Als organisatie ben je verplicht om te voldoen aan de (inter)nationale wet- en regelgeving van het land/de landen waarin je operationeel bent. Doe je dat niet, dan ben je nalatig. Dat geldt dus ook met betrekking tot wet- en regelgeving rondom het thema informatiebeveiliging en specifiek de ISO 27001 norm. Veel organisaties vinden het lastig om de voor hen relevante wet- en regelgeving in kaart te brengen en door te vertalen naar zaken die ze moeten inregelen om aan de wetgeving te (blijven) voldoen. Daarom in dit blogartikel aandacht voor de wet- en regelgeving rondom informatiebeveiliging en de stappen op weg naar naleving.

Actueel overzicht wet- en regelgeving ISO 27001 voor jouw organisatie?

Bij CertificeringsAdvies Nederland hebben we een actueel overzicht wet- en regelgeving ISO 27001 beschikbaar. Wil je dit aanschaffen, zodat je direct up to date bent? De aanschafprijs voor het register bedraagt € 300.- excl. BTW.

Het is ook mogelijk om het overzicht aan te schaffen inclusief 2 uur advies/begeleiding. Het daarvoor geldende tarief is € 600,- excl. BTW.

Interesse? Neem dan contact met ons op.

Wet- en regelgeving rondom ISO-normen

Voor we inzoomen op wet- en regelgeving rondom informatiebeveiliging, en specifiek ISO 27001, maken we eerst even een wat algemener rondje langs de velden. We vertrekken vanuit de ‘moedernorm’, ISO 9001, kwaliteitsmanagement.

Wanneer je met de norm voor kwaliteitsmanagement aan de slag gaat, raak je ook het onderwerp wet- en regelgeving aan. Aan welke wetten en regels moet je als organisatie dan voldoen? Algemeen geldt dat je een minimaal kwaliteitsniveau moet bieden dat de maatschappij of een klant van je mag verwachten. Dat is vanuit een norm(tekst), die jouw organisatie natuurlijk niet kent, vooraf lastig te zeggen. Daardoor is het vanuit ISO 9001 bekeken moeilijk(er) te voorspellen aan welke relevante wet- en regelgeving jouw organisatie dient te voldoen. Dit hangt namelijk sterk samen met de sector waarin je opereert en de bedrijfsactiviteiten die je uitvoert. Branche-kennis van de sector is dan nuttiger dan normkennis. Organisaties in branches met weinig expliciete wetgeving – zoals ICT dienstverlening – hoeven niet per se wetgeving te kennen en volgen (anders dan algemene wetgeving; iedere ondernemer weet dat hij de belastingdienst moet betalen).

Er zijn sectoren waarvoor wet wel grotendeels ‘vastligt’, doordat deze sectoren sterk gereguleerd zijn. Denk aan de zorgsector, de overheid, de bancaire sector, productiebedrijven die chemische productie doen etc. Los van deze sterk gereguleerde sectoren is het over het algemeen voor een gemiddelde organisatie, die aan de slag gaat met ISO 9001, vooraf lastig te zeggen aan welke geldende wet- en regelgeving voldaan moet worden. Om die reden bestaat er geen ‘standaard afvinklijstje’ dat je kunt doorlopen.

Anders is het wanneer je organisatie aan de slag gaat met milieumanagement, ISO 14001 en de bijbehorende milieuwetgeving. ISO 14001 is, in tegenstelling tot ISO 9001, veel strikter gekoppeld aan wet- en regelgeving. Sterker nog: wet- en regelgeving is een zwaarwegende factor binnen deze norm. Dat brengt met zich mee dat er rondom milieucompliance zelfs online modules als aimonline.nl beschikbaar zijn die je als organisatie periodiek moet toepassen om te zorgen dat je in lijn bent en blijft met geldende wet- en regelgeving.

Het gemak dat wordt geboden bij ISO 14001, waarbij organisaties door de overheid worden geholpen met tooling om op die manier milieuwetgeving in kaart te brengen en eraan te voldoen, bestaat helaas (nog) niet op dat niveau voor informatiebeveiliging en de daaraan gerelateerde normen, zoals ISO 27001. Toch zit er wel degelijk een eis in de 27001 norm met betrekking tot wet- en regelgeving. Hoe regel je dat als organisatie goed in?

ISO 27001 wet- en regelgeving: start bij de stakeholdersanalyse

Vooropgesteld: Elke organisatie dient te voldoen aan de wetgeving van het land waarin je operationeel bent. Voor organisaties die informatiebeveiliging serieus oppakken, kent ISO 27001 daarbovenop nog een expliciete eis omtrent naleving die terug te vinden is in de zogenaamde Annex A, hoofdstuk 18. Daarin staat dat een organisatie die een informatiebeveiligingsmanagementsysteem (ISMS) heeft ook moet weten welke wetten relevant zijn voor informatiebeveiliging. Net zoals een organisatie moet voldoen aan (beveiligings)eisen die vastliggen in contracten (belofte aan klanten moet worden gerealiseerd). Deze eisen moet de organisatie handhaven. Er moet dus een proces worden ingericht dat borgt dat de organisatie scherp blijft en blijft evalueren, met het oog op voldoen en blijven voldoen aan die wetgeving. Dat is dus geen eenmalige check, maar een periodieke activiteit.

Hoe breng je dat in kaart? Binnen informatiebeveiliging en de daaraan gerelateerde normen heb je, net als bij ieder ander managementsysteem, het algemeen geldende principe dat je eisen en wensen van de voor jou relevante stakeholders inzichtelijk dient te maken. De wetgever is ook een stakeholder. Daar kun je dus niet omheen. Zie de eerder genoemde belastingdienst. Je organisatie staat nu eenmaal in de maatschappij en dient zich aan de daarin geldende wetten en regels te houden. Vanuit de stakeholdersanalyse is het ook goed om stil te staan bij eisen van klanten, leveranciers en aandeelhouders: wat verwachten zij van jouw organisatie met betrekking tot het voldoen aan wet- en regelgeving?

Wat is er voor wet- en regelgeving in informatiebeveiliging?

Welke wet- en regelgeving speelt er dan zoal rondom informatiebeveiliging? De meest bekende wet van de laatste tijd is de Algemene Verordening Gegevensbescherming (AVG). Deze Europese wet komt er uiteindelijk op neer dat je jouw informatiebeveiliging op orde moet hebben. Er zitten een aantal eisen in die wet met betrekking tot persoonsgegevens. Het is bijzonder onwaarschijnlijk dat jouw organisatie geen persoonsgegevens kent. Het zou dan dus raar zijn als je in je bedrijfsvoering of ISMS nergens laat merken dat je de AVG wet kent en eraan voldoet.

Naast de AVG zijn er nog tal van andere wetten en regels die relevant zijn voor je organisatie. In de praktijk blijkt dat veel organisaties het lastig vinden om een goede, uitputtende lijst, waarin tevens de doorvertaling is gemaakt naar zaken die je als organisatie in moet regelen, op te stellen met betrekking tot wet- en regelgeving. Bij CertificeringsAdvies Nederland hebben we voor de meest gangbare klantgroepen een dergelijk register van wet- en regelgeving samengesteld dat bij wijzigingen of aanvullingen in wet- en regelgeving wordt geüpdatet. In dat register staan bijvoorbeeld:

  • De Algemene Verordening Gegevensbescherming (AVG);
  • De (recent gewijzigde) Telecommunicatiewet;
  • Specifieke bepalingen uit het burgerlijk wetboek;
  • Specifieke bepalingen uit het wetboek van strafrecht;
  • De Wet bescherming bedrijfsgeheimen;
  • De wet op de ondernemingsraden (WOR);
  • De Wet beveiliging netwerk- en informatiesystemen (Wbni) – voor vitale aanbieders;
  • Bovengenoemde wordt vervangen door de NIS2-richtlijn;
  • De Wet Huis voor klokkenluiders;
  • Per maart 2024 is het Europese AI Act een feit.
  • Etc.

Europese AI Act gericht op kunstmatige intelligentie

Per maart 2024 heeft het Europees Parlement ingestemd met de komst van de Europese AI Act. De wet geeft duidelijke regels rond de grootste technologische ontwikkeling van dit moment: kunstmatige intelligentie.

ISO/IEC 42001 specificeert eisen voor een Artificial Intelligence Management System (AIMS). Het is de eerste AI management systeem standaard ter wereld. Organisaties die deze ISO implementeren, managen op gestructureerde wijzen risico’s en kansen in relatie tot AI.

Lees meer: AI wet in aantocht

Concreet voorbeeld van hierboven: wanneer je organisatie uit meer dan 50 medewerkers bestaat, dan dien je een klokkenluiders reglement te hebben. Klokkenluiders informatie is een vorm van informatie die je natuurlijk goed wilt beschermen binnen je organisatie. Deze ga je niet zomaar even delen met alle collega’s. Je moet daarvoor dus zaken inregelen.

Ons register bevat verder belangrijke wetten voor zorg en overheid (omdat dit gereguleerde branches zijn met hun eigen beveiligingsnormen, NEN 7510 en de Baseline Informatiebeveiliging Overheid).

Denk bij zorg aan bijvoorbeeld het Besluit elektronische gegevensverwerking door zorgaanbieders of de Europese Verordening medische hulpmiddelen (MDR).

Denk bij overheden aan eIDAS, WOB of het (tijdelijk) besluit digitale toegankelijkheid overheid.

Ons register van wet- en regelgeving is een goede start voor inzicht in relevante wetten en hoe je aan kan geven hoe je hier aan voldoet. Er is dus een hele set aan wettelijke eisen, maar de gemiddelde onderneming heeft die nooit vertaald naar wat dat betekent voor die onderneming. Je kunt bijvoorbeeld zeggen ‘er is een AVG-wet’, maar heb je binnen je organisatie dan ook bepaald of dat moet leiden tot een Data Protection Impact Assessment (DPIA)? Of gezien de huidige AVG-ontwikkelingen tot een Data Transfer Impact Assessment (DTIA)? Het punt dat we willen maken: je moet als organisatie niet enkel weten dat een wet bestaat en dat die voor jouw bedrijf geldt, maar je moet ook weten wat je organisatie moet doen en inrichten om die wet na te leven.

Voldoe jij aan de voor jou relevante wet- en regelgeving?

Om alles in kaart te kunnen brengen hebben we bij CertificeringsAdvies Nederland dus een register van wet- en regelgeving samengesteld. Dit register is aan te schaffen voor de prijs van € 300,- (excl. BTW) en inclusief 2 uur advies/begeleiding voor € 600,- (excl. BTW). Wij monitoren periodiek veranderingen in wet- en regelgeving om van daaruit ons eigen register te actualiseren. Organisaties die bij ons als klant zijn aangesloten en structurele dienstverlening hebben lopen worden vervolgens door ons proactief geïnformeerd over (aangekondigde) wijzigingen en de manier waarop je daar als organisatie mee omgaat en aan voldoet.

Wil je het register aanschaffen? Eens met ons sparren over de voor jouw organisatie geldende wet- en regelgeving? Of kun je ondersteuning gebruiken bij opzet en onderhoud van je ISMS? Neem dan gerust contact met ons op. Wij helpen je graag op weg!

Offerte aanvragen

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Voldoe jij aan de wetgeving? Vermijd risico's!

Laat een specialist meekijken en krijg direct inzicht voor jouw organisatie!

  • Actueel register
  • Praktische tips
  • Vrijblijvende offerte op maat

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields