Tijdens een verkennend gesprek met een EIK-klant over de ISO 27001-certificering, werd de vraag gesteld of het voldoen aan de ISO 27001 voldoende is om aan de AVG Wetgeving (Algemene Verordening Gegevensbescherming) te voldoen. Het antwoord is kortweg: nee, én het helpt je wel op weg. Dat lichten we uiteraard graag toe.
Wat is het verschil tussen ISO 27001 en de AVG?
Stel je je huis voor. Je wilt het beschermen tegen inbrekers, dus installeer je een alarmsysteem (ISO 27001). Dit systeem helpt al je bezittingen te beschermen. Maar je hebt ook waardevolle persoonlijke spullen, zoals je paspoort of sieraden (persoonsgegevens). De AVG is als een speciale set regels voor het beschermen van alleen die waardevolle spullen.
ISO 27001 is een internationale norm die een raamwerk biedt voor het beschermen van alle soorten informatie binnen een organisatie. Het is als een algemeen beveiligingssysteem voor je hele huis.
De AVG is een Europese wet die specifieke regels stelt voor het omgaan met persoonsgegevens. Het is als een speciale kluis voor je meest waardevolle bezittingen.
Waarom is ISO 27001 niet genoeg om aan de AVG te voldoen?
Hoewel ISO 27001 veel van de technische maatregelen omvat die nodig zijn om persoonsgegevens te beschermen, gaat het niet zo gedetailleerd in op de bescherming van persoonsgegevens als de AVG.
De AVG heeft bijvoorbeeld specifieke regels over:
- Waarom je gegevens mag verzamelen: Er moet een goede reden zijn om iemands informatie te verzamelen.
- De rechten van mensen: Mensen hebben het recht om hun gegevens in te zien, te corrigeren of te laten verwijderen.
- Datalekken: Als iemands gegevens gestolen zijn, moet je dat snel melden.
Waarom is ISO 27001 nog steeds nuttig voor de AVG?
- Goede basis: ISO 27001 biedt een stevige basis voor het beschermen van persoonsgegevens.
- Risicobeoordeling: Het helpt bij het identificeren en beheren van risico’s voor persoonsgegevens.
- Bewijs: Een ISO 27001-certificaat laat zien dat een bedrijf serieus bezig is met beveiliging.
Om volledig aan de AVG te voldoen moeten er aanvullende maatregelen worden genomen, zoals het beoordelen van privacy risico’s, duidelijke en begrijpelijke informatie geven over hoe persoonsgegevens worden gebruikten het trainen van medewerkers om te zorgen dat iedereen het belang van gegevensbescherming begrijpt.
Kortom, ISO 27001 is een uitstekend startpunt voor organisaties die hun beveiliging willen verbeteren en aan de AVG willen voldoen. Het is echter niet genoeg op zichzelf. Door ISO 27001 te combineren met andere maatregelen, kunnen organisaties ervoor zorgen dat ze de persoonsgegevens van hun klanten en medewerkers volledig beschermen.
Meer weten over ISO 27001-certificering?
Als je meer informatie wilt over de ISO 27001 en de certificering ervan, neemt dan contact met ons op of laat je gegevens achter, dan nemen wij het initiatief.
