ISO27001 en wetgeving - Geen audit maar wel compliant

In deze nieuwsbrief worden handvatten gegeven waarop een organisatie wet- en regelgeving kan integreren in hun managementsysteem zoals ISO27001:2022. Met de komst van ISO27001:2022 heeft wet- en regelgeving een andere invulling (interpretatie) gekregen. Helemaal weg is het niet maar uit gesprekken en social media-berichten maak ik op dat er nog geen eenduidige interpretatie of consensus bestaat. Deze nieuwsbrief geeft een interpretatie waarbij een organisatie, met respect voor toepasselijke wet- en regelgeving, kan voldoen aan ISO27001:2022 zonder dat een certificatie-instelling een compliance-audit uitvoert.

ISO27001:2022 hanteert in clausule 4.2 'Inzicht in de behoeften en verwachtingen van belanghebbenden' de opmerking dat de eisen van belanghebbenden wettelijke, regelgevende en contractuele verplichtingen kunnen bevatten. Dit kunnen geeft aan dat een organisatie hiervan kan afwijken en geen van deze verplichtingen hoeft te overwegen in haar context van de organisatie (hoofdstuk 4 ISO27001:2022). Dat is te verantwoorden omdat ISO27001:2022 aangeeft: 'Het managementsysteem voor informatiebeveiliging zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid [VIB] van informatie worden behouden door een risicomanagementproces toe te passen en geeft belanghebbenden het vertrouwen dat risico's afdoende worden beheerst.' (Hoofdstuk 0. Inleiding ISO27001:2022). Wanneer een organisatie geen wettelijke, regelgevende of contractuele verplichtingen heeft die hiermee geen raakvlakken heeft dan is dat begrijpelijk dat er geen maatregelen vanuit het managementsysteem nodig zijn of genomen worden. Dat is ook in lijn met ISO27001:2022 cl. A.5.31 en A.5.34.

Een certificatie-instelling dat audits uitvoert op gebied van ISO27001:2022 is gebonden aan de (accreditatie-)eisen uit ISO17021-1:2015 en ISO27006:2015+AMD1:2020. ISO17021-1 cl. 9.2.1.2.b opmerking geeft aan dat een certificatieaudit van een managementsysteem geen compliance-audit is. Voor de auditor wordt vanuit ISO27006 cl. 7.1.2.1.5 opmerking geen juridisch onderlegde achtergrond of opleiding verwacht. Algemene wettelijke of juridische kennis over de branche of organisatie wordt wel verwacht als competentie bij een auditor aanwezig te zijn.

Vanuit deze invalshoeken gezien is een ISO27001-audit of -certificaat niet gelijk aan het voldoen aan wet- en regelgeving. Met een ISO27001-certificaat kan compliance aan bijvoorbeeld de AVG niet geclaimd worden. Het hebben van een ISO27001-certificaat draagt wel bij aan het voldoen aan wet- en regelgeving zoals de AVG als een van de maatregelen die daarvoor nodig (kunnen) zijn.

Maar wat is dan wel de relatie tussen wet- en regelgeving en de ISO27001:2022? Als voorbeeld wordt de AVG gehanteerd. De AVG is namelijk op vrijwel elke organisatie van toepassing en spreekt tevens het meest tot de verbeelding.

De context van een organisatie kan wettelijke verplichtingen inhouden. De AVG als geheel valt hier buiten maar belanghebbenden (zoals medewerkers en klanten) kunnen wel eisen stellen dat hun persoonsgegevens opgeslagen en behandeld worden waarbij VIB behouden blijft. Dit maakt dat een wettelijke verplichting binnen de context van het managementsysteem is gekomen en dat een organisatie dit verder moet oppakken. De gehele AVG kan niet geïntegreerd worden in een ISMS. Een managementsysteem is, zoals eerder aangegeven, geen compliance-systeem.

Considerans 49 AVG geeft aan 'De verwerking van persoonsgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging, d.w.z. dat een netwerk of informatiesysteem op een bepaald vertrouwelijkheidsniveau bestand is tegen incidentele gebeurtenissen of onrechtmatige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of doorgegeven persoonsgegevens in het gedrang brengen, en ...'. De VIB van persoonsgegevens wordt hierin van belang gezien en komt specifieker terug in art. 32 AVG. Art. 32 AVG geeft aan dat passende maatregelen worden genomen die afgestemd zijn op het risico en omvatten ten minste de volgende maatregelen:

de pseudonimisering en versleuteling van persoonsgegevens, het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen,

het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen, een procedure voor het op gezette tijdstippen testen en

het beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

Een organisatie heeft nu de handvatten om wettelijke verplichtingen passend te integreren met haar managementsysteem. Vanuit de AVG zal een organisatie in haar managementsysteem bij de volgende onderdelen de wettelijke verplichtingen mee moeten nemen:

Risicoanalyse - Welke risico's zijn te identificeren rondom het verwerken van persoonsgegevens?

Minimale beveiligingsmaatregelen - Heeft de organisatie bovenstaande drie beveiligingsmaatregelen geïmplementeerd en zijn deze afgestemd op relevante risico's?

Aanvullende beveiligingsmaatregelen - Heeft de organisatie aanvullende beveiligingsmaatregelen genomen op het juiste/passende beveiligingsniveau waardoor andere relevante risico's beheerst worden?

Vanuit het managementsysteem komt de aantoonbaarheid hiervan terug in de contextbeschrijving, risicoanalyse, annex A en verklaring van toepasselijkheid. Voor deze laatste is het advies om expliciet de rechtvaardiging van toepasselijkheid vanuit wetgeving aan te geven. Wanneer een van de minimale vereiste beveiligingsmaatregelen geen onderliggend risico heeft, is de maatregel desalniettemin wel van toepassing. Door deze explicitering behoudt een organisatie dit in- en overzicht.

Uiteraard geldt deze werkwijze ook voor andere wet- en regelgeving waarin risicomanagement, VIB en/of een minimale set aan beveiligingsmaatregelen vereist worden.

Met deze interpretatie kan wet- en regelgeving toegepast worden in het managementsysteem en hierop managementsysteemaudits uitgevoerd worden binnen de kaders van de certificatie-instelling. Zo past een managementsysteem, als maatregel, in het geheel van maatregelen die door een organisatie opgepakt moeten worden om te voldoen wet- en regelgeving zonder afbreuk te doen aan de doelstelling en bedoeling van een managementsysteem zoals ISO27001:2022 en zonder dat er sprake is van een ISO27001:2022-compliance-systeem of -audit.