Door: Tjeerd Seinen, Identity Management Expert & co-founder Tools4ever

IT-beveiligingsnormen en privacywetten worden steeds belangrijker. Ze stellen duidelijke richtlijnen voor het inrichten van de IT-beveiliging en de bescherming van (persoons)gevoelige data, bijvoorbeeld in de zorg, overheidsinstanties of bij andere partijen die met privacygevoelige data werken. Maar waarom zijn ze zó belangrijk? En hoe bepalen normen de juiste selectie van IT-beveiligingsoplossingen?

Welke belangrijke beveiligingsnormen/-wetten zijn er?

GDPR / AVG

Sommige zaken zijn in wetten vastgesteld. Zo is bijvoorbeeld de GDPR (General Data Protection Regulation) een EU-brede wet. In deze wet – bij ons bekend als de AVG (Algemene verordening gegevensbescherming) - staat exact omschreven hoe organisaties met privacygevoelige data moeten omgaan. Deze wet geldt voor iedere organisatie die persoonsgegevens verwerkt binnen de EU. Met soms miljoenenboetes als gevolg wanneer men zich niet aan die wetten houdt.

ISO 27001

Daarnaast zijn er normen. Een norm is geen officiële wet maar geeft ‘best practices’ die binnen een vakgebied algemeen zijn geaccepteerd. Zo plannen en implementeren steeds meer organisaties hun Information Security Management System (ISMS) volgens de bekende internationale ISO 27001 norm. Zo weet u zeker dat de IT-beveiliging binnen uw organisatie effectief is georganiseerd. Deze normen worden in de praktijk vaak dwingend opgelegd. Zo eisen inkopers dat leveranciers hun beveiligingsmanagement conform ISO 27001 hebben geïmplementeerd. Alleen dan mag u als leverancier een offerte indienen.

NEN 7510

Naast bedrijfsbrede normen (zoals de genoemde ISO 27001) gelden de wat strengere sectorspecifieke normen. Zo is NEN 7510 een norm voor informatiesystemen binnen de Nederlandse zorgsector. Bijvoorbeeld zorginstellingen die medische- en patiëntgegevens verwerken in een Elektronisch Patienten Dossier moeten hier altijd aan voldoen.

BIO

Van BIG, BIR, BIR2017, IBI en BIWA naar BIO. Baseline Informatiebeveiliging Overheid (BIO) stelt dwingende richtlijnen voor de informatiebeveiliging binnen de gehele overheid (Rijk, gemeenten, provincies en waterschappen).

Betrouwbare IT-oplossingen

Selecteer betrouwbare IT-oplossingen dankzij certificaten

Maar hoe bepaalt u of een leverancier of partner ook echt voldoet aan zo’n norm? Het laatste dat marktpartijen willen is dat bij ieder offertetraject enorme pakken documenten moeten worden uitgewisseld om te beoordelen of een organisatie daadwerkelijk voldoet aan deze eisen. Gelukkig is dat ook niet nodig. Een onafhankelijk keuringsinstituut controleert periodiek of u voldoet aan deze normen. Een officieel certificaat garandeert uw compliance aan partners en klanten.

Hoe bereid ik me hierop voor als organisatie?

Bij een audit moet een organisatie alle informatie verzamelen die nodig is voor rapportage, zoals: actieve/inactieve gebruikersaccounts, toegangsrechten en systeemveranderingen. Hierbij moet aangetoond kunnen worden dat privégegevens (zoals financiële overzichten, medewerkers-, patiënt- en klantinformatie veilig worden bewaard. Met tools voor Identity & Access Management (IAM) worden deze processen zorgvuldig vastgelegd, zodat alle informatie binnen handbereik is wanneer er een (onverwachte) audit plaatsvindt.