Normen helpen bij de implementatie van de AVG

22-09-2017 AVG of GDPR bezorgt Nederlandse bedrijven hoofdpijn. Ze moeten aan die wet voldoen, maar hoe? Op Europees niveau wordt er precies hiervoor gewerkt aan normen en richtlijnen.

Alle bedrijven die aan gegevensverwerking doen, moeten volgend jaar aan een nieuwe wet voldoen, de GDPR, General Data Protection Regulation of in het Nederlands AVG, Algemene Verordening Gegevensbescherming. De eisen liggen in die wet vast, maar hoe je precies het beste aan die wet kunt voldoen niet. Op Europees niveau wordt nu een technische commissie opgericht die normen en richtlijnen gaat ontwikkelen om aan de wet te voldoen. Bijvoorbeeld voor het uitwisselen van gegevens, want ook dat staat in die wet. Standaardisatie consultant Jolien van Zetten van NEN schildert in dit interview de stand van zaken.

Wat is het probleem?

Er werd in 2016 al nieuwe Europese wetgeving gepubliceerd rondom gegevensbescherming waar alle Europese organisaties in 2018 aan moeten voldoen. Bedrijven schrikken nu wakker omdat ze daar volgend jaar al aan moeten voldoen, maar ze niet goed weten hoe. In de wet staan namelijk een aantal eisen waar je aan moet voldoen als bedrijf, maar er staat niet in hoe je daaraan moet voldoen. Dus dat gaat iedereen nu voor zichzelf bedenken en dat vinden wij geen goede ontwikkeling.

Verandert er dan zo veel?

Ja. De GDPR, of in het Nederlands AVG, Algemene Verordening Gegevensbescherming vervangt de bestaande Europese Privacyrichtlijn uit 1995. Een grote verandering is dat het gaat om een verordening in plaats een van een richtlijn. Een verordening is in alle lidstaten volledig en rechtstreeks van toepassing. Daarnaast zitten er grote inhoudelijke wijzigingen in ten opzichte van de oude wet. Officieel geldt de wet voor ‘bedrijven die gegevens verwerken’, en dat zijn heel veel bedrijven. Zelfs de winkel die de klanten om hun postcode vraagt verwerkt gegevens.

Wat zijn de bijzondere eisen die GDPR aan bedrijven stelt?

Een van de zaken die in de GDPR aan de orde komen en voor organisaties een grote impact heeft is wat ‘data portabiliteit’ wordt genoemd. Het idee achter het recht op data portabiliteit is het vergroten van de controle van betrokkenen op hun persoonsgegevens. Een betrokkene kan zelf bepalen welke gegevens hij deelt en met wie. Burgers krijgen daarmee niet alleen het recht om aan bedrijven waaraan zij hun gegevens hebben gegeven te vragen welke gegevens dat precies zijn, maar die burgers mogen ook aan zo’n bedrijf vragen, ‘ik heb jou al heel veel gegevens verstrekt, en nu heb ik voor een ander bedrijf dezelfde gegevens nodig, ik heb geen zin om alles opnieuw in te voeren, dus lever jij die gegevens rechtstreeks aan het andere bedrijf’. Je hebt dus als burger het recht om de data die bij het ene bedrijf vastligt, te laten transporteren naar een ander bedrijf dat ook die gegevens nodig heeft.
De GDPR stelt dat dit alles moet gebeuren in een ‘gestructureerde, algemeen gebruikte, leesbare en interoperabele vorm’. Welke vorm dat dan precies is ligt niet vast, de wetgever laat het aan de markt over dat te bepalen. Dat zijn onderwerpen waarvan wij zeggen, spreek dat gezamenlijk af, want dan wordt het vanzelf uitwisselbaar.
Nog een grote wijziging is dat de oude richtlijn van toepassing was op gegevens die in de EU werden verwerkt. De nieuwe verordening is van toepassing op de gegevens van personen die in de EU gevestigd zijn, ook als die gegevens buiten de EU worden verwerkt.

Kun je als bedrijf niet voldoen aan GDPR door te werken volgens bestaande beveiligingsnormen? Zoals ISO 27000 of ISO 7510?

Nee, het volgen van ISO 27000 is niet voldoende om aan de GDPR te voldoen. GDPR stelt eisen aan organisaties die gevoelige informatie verwerken, die moeten bijvoorbeeld een opgeleide Data Protection Officer in dienst hebben. Dat is een voorbeeld van een eis die niet in ISO/IEC 27001 voor komt. Aan ISO/IEC 27001 voldoen helpt je wel, maar daarmee ben je er nog niet. En datzelfde geldt voor NEN 7510, informatiebeveiliging in de zorg, als je daaraan voldoet ben je best wel ver, maar je voldoet nog niet aan de GDPR.

Is het niet erg kort dag als bedrijven er al in mei volgend jaar aan moeten voldoen?

Ja het is zeker allemaal wat laat, maar de praktijk is dat ondanks dat de wet in 2016 werd gepubliceerd, nog niet alle details van de uitwerkingen bekend zijn. Daarnaast lijkt het besef dat er echt veel gaat veranderen bij sommige bedrijven de afgelopen maanden pas te zijn ontstaan.

Wat doet de Nederlandse autoriteit persoonsgegevens?

De autoriteit persoonsgegevens is al ver met de implementatie hiervan, maar die heeft ook nog niet alles precies uitgedacht. Die kan ook nog niet alle vragen beantwoorden. Reden te meer om een gezamenlijke aanpak na te streven, in plaats van als op zichzelf staand bedrijf het te gaan verzinnen. Verder wordt er op Europees niveau door de Europese commissie DG Justice samengewerkt met de data protection authorities zoals onze autoriteit persoonsgegevens, en wordt er nagedacht over certificatie op basis van die GDPR. Het is dus mogelijk dat er in de toekomst een Europees systeem komt om je te certificeren en als je het certificaat haalt, dan voldoe je. Hoe dit er echter precies uit gaat zien en wie daarop toezicht gaat houden is op dit moment nog niet bekend. Voorlopig helpt dat je dus nog niet om te voldoen aan de wet.

En nu wordt er op Europees niveau aan normen voor GDPR gewerkt?

Ja, op Europees niveau is er nu binnen CEN en CENELEC besloten om een technische commissie op te richten voor cyber security en data protection. Die gaat als het goed is, uiteindelijk via normen invulling geven aan die GDPR. Die komt dan met richtlijnen hoe je als bedrijf aan de GDPR kunt voldoen. Die technische commissie heeft binnenkort een eerste workshop om na te gaan denken over een werkprogramma en in november gaan ze echt van start. Wij zien het als onze taak als NEN om Nederlandse bedrijven en organisaties daarvan op de hoogte te stellen, en ze daarin mee te laten praten. Weet dus dat er al partijen zijn die nadenken over hoe je aan die wet kunt voldoen, en sluit je er bij aan, in plaats van zelf het wiel uit te vinden. De Nederlandse input aan de nieuwe technische commissie (TC) wordt verzorgd door de normcommissie ‘Informatiebeveiliging, Cyber Security en Privacy’. In deze normcommissie zijn alle partijen vertegenwoordigd die belang hebben bij standaarden voor dit werkgebied. Voor dat op Europees niveau meedenken kan die normcommissie binnen NEN flink worden uitgebreid. Eind november gaan we daarvoor informatiebijeenkomsten organiseren om partijen te informeren wat die Europese TC precies gaat doen en hoe ze daarbij betrokken kunnen raken.

Contact

Voor meer informatie over informatiebeveiliging kunt u contact opnemen met Jolien van Zetten, telefoon 015 2 690 298 of stuur een e-mail naar kid@nen.nl.

Eerder door u bekeken

Contact

Voor meer informatie kunt u contact opnemen met Jolien van Zetten, consultant Kennis & Informatiediensten

015 2 690 298

kid@nen.nl

Top normen Security