De verwerkersovereenkomsten die klanten en leveranciers afsluiten, voorzien vaak in auditmogelijkheden. Maar als je als klant elke leverancier moet auditen of als leverancier door elke klant wordt geaudit, kom je niet meer aan je eigenlijke werk toe. Dan is het handig als een onafhankelijke partij een audit uitvoert en een verklaring kan afgeven over de werkwijze van een leverancier. Minder werk voor zowel klant als leverancier. Maar welke certificeringen zijn er, wat is de waarde daarvan en wie kan er voor zorgen? In dit artikel ga ik in op zowel certificering van informatiebeveiliging als certificering van privacy. Ook ga ik in op wat je van een gecertificeerde leverancier kunt verwachten.
Als we het hebben over informatiebeveiliging wordt al snel aan ISO27001 gedacht. Dit is een norm waarin eisen aan een managementsysteem voor informatiebeveiliging staan. Wil je daaraan voldoen, dan moet iedereen - van de top van de organisatie tot en met de werkvloer - bijdragen aan informatiebeveiliging en die voortdurend verbeteren. Belangrijke aspecten zijn een risicoanalyse en een verbetercyclus volgens het Plan-Do-Check-Act-principe, zoals dat vooral bekend is uit het kwaliteitsmanagement. Uiteraard moet je ook kunnen aantonen dat je deze cyclus periodiek doorloopt.
De beheersingsmaatregelen, de controls, kies je op basis van een risicoanalyse. Daarbij moet je de meer dan honderd beveiligingsmaatregelen die in de norm zijn vastgelegd overwegen om te voorkomen dat je ze mist. Voorbeelden van zulke maatregelen zijn virusscanners, een slot op de deur en geheimhoudingsafspraken met medewerkers. De meeste maatregelen zijn vrij logisch en ook noodzakelijk voor veruit de meeste organisaties. Toch is invoering van deze maatregelen op een manier waarop ze ook aangetoond kunnen worden voor veel organisaties een hele kluif. De maatregelen variëren van de inrichting van gebouwen tot een geheimhoudingsverklaring in de arbeidscontracten en eisen aan de inrichting van ICT. Welke maatregelen van toepassing zijn wordt vastgelegd in een ‘Verklaring van toepasselijkheid’ of een ‘Statement of applicability’.
Een certificeringsaudit kan worden uitgevoerd door organisaties die erkend zijn door de Raad van Accreditatie of een vergelijkbaar instituut in het buitenland. Bij een certificeringsaudit wordt gekeken hoe beschreven is dat het managementsysteem en de maatregelen zijn ingevoerd (de ‘opzet’) en of ze tijdens de audit ook daadwerkelijk worden uitgevoerd (het ‘bestaan’). Wanneer een certificieringsaudit succesvol is doorlopen, ontvangt de organisatie een certificaat. Dit kan samen met de Verklaring van toepasselijkheid aan klanten worden verstrekt.
De ISO27000-normenreeks kent ook :
De norm ISO27002: Hierin staan richtlijnen voor de invoering van de maatregelen uit ISO27001. Organisaties kunnen zich niet voor deze norm laten certificeren.
De norm ISO27017: Dit is een uitbreiding met beveiligingsmaatregelen voor organisaties die clouddiensten leveren.
ISO270xx-certificaten hebben een beperkte looptijd, waarbinnen de certificerende instantie ook tussentijdse deelaudits uitvoert om gecertificeerd te blijven. Het is dus belangrijk om bij het verlopen van het certificaat een nieuw certificaat op te vragen bij de leverancier.
Er zijn verschillende branchespecifieke varianten van ISO27001 gemaakt. Voor de zorg is NEN7510 ontwikkeld, waarvoor organisaties kunnen worden gecertificeerd. Deze wijkt in de nieuwste versie nauwelijks af van ISO27001 en is wettelijk verplicht voor zorgaanbieders.
De overheid vervangt begin 2020 de bestaande raamwerken Baseline Informatiebeveiliging Rijk (BIR), Baseline Informatiebeveiliging Gemeenten (BIG), Baseline Informatiebeveiliging Waterschappen (BIWA) et cetera door de Baseline Informatiebeveiliging Overheid (BIO). Daarin zijn de beheersingsmaatregelen uit ISO27001 uitgewerkt en aangevuld met circa 140 (verplichte) overheidspecifieke maatregelen. Certificering op basis van de BIO en de bestaande raamwerken is (nog) niet mogelijk.
Het is ook, vaak als aanvulling op een ISO27001-certificaat, mogelijk om het oordeel van een auditor te vragen over de ‘werking’ van de beheersingsmaatregelen. Dit is een onderzoek dat achteraf vaststelt dat de beheersingsmaatregelen over een achterliggende periode, meestal een jaar, consequent zijn toegepast en of ze hun doel bereiken en dus effectief zijn. De auditor geeft dan een ‘Verklaring van een derde partij’ of een ‘Third Party Memorandum’ af. De bekendste typen zijn de SOC 2 en ISAE 3402 type 2. Daarbij richt ISAE 3402 zich vanuit een financieel perspectief op de ondersteunende (service)organisatie. SOC 2 en ISAE 3000 zijn niet beperkt tot de financiele processen, maar ISAE 3000 wordt tot nu toe minder gebruikt. Deze verklaringen geven meer zekerheid, maar wel achteraf.
Voor informatiebeveiliging is certificering niet nieuw. Voor privacy ligt dat anders. De AVG voorziet in artikel 42 in certificering, maar die certificering kan pas worden verkregen wanneer de certificeringseisen zijn vastgesteld en wanneer certificeringsinstituten zijn geaccrediteerd. Het blijft afwachten wanneer dit gaat gebeuren. Pas daarna kunnen organisaties zich certificeren.
Intussen ontstaan er door commerciële organisaties uitgegeven keurmerken, certificaten en zegels (‘seals’). Omdat deze in de regel niet onder onafhankelijk toezicht staan en de criteria vaak niet openbaar zijn, is het onduidelijk wat de waarde van deze verklaringen is. Voor een beperkte groep leveranciers, namelijk de leveranciers van clouddiensten, biedt de norm ISO27018 uitkomst. Deze norm bevat beheersingsmaatregelen voor de omgang met persoonsgegevens. Deze is niet gebaseerd op de AVG, maar veel van de uitgangspunten van de AVG komen er wel in terug, zoals rechtmatigheid, doelspecificatie, dataminimalisatie et cetera. Tot nu toe zijn vooral (hele) grote cloudleveranciers gecertificeerd op basis van deze norm.
Bij alle bovengenoemde certificeringen gaat het om de certificering van organisaties, dus niet om de certificering van producten of diensten. Dat een dienst ISO27001-gecertificeerd is, zoals soms wordt beweerd, is dus op z’n minst inaccuraat.
Is certificering of een andere verklaring van een derde partij een garantie dat er niets mis kan gaan? Nee, dat is het niet. Niet iedereen houdt zich altijd aan de afgesproken werkwijze. Dat is bij de leverancier niet anders dan bij de klant. Soms worden zaken bij een audit ook net iets rooskleuriger gepresenteerd dan de werkelijkheid van alledag. Het is dus verstandig om niet blindelings af te gaan op een papiertje.
Toch biedt een certificering of een verklaring van een derde partij wel enige zekerheid dat de leverancier z’n zaken op orde heeft. In ieder geval heeft hij een onafhankelijke derde daarvan kunnen overtuigen - die vaak meer ervaring heeft in het beoordelen van informatiebeveiliging of privacy dan menige klant. Daarmee vormt een certificering of een verklaring van een derde partij een goede basis voor de samenwerking, vooral wanneer je als klant je ogen openhoudt en in gesprek blijft over de beveiliging en de nodige verbeteringen blijft doorvoeren. En het bespaart een hoop dubbel werk.
