Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/3.2.2
3.2.2 Persoonsgegevensbeveiliging en de ISO 27000-reeks
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660906:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Thaw 2014, i.h.b. p. 270; Van Lochem 2018, §. 4.
Bijv. Stuurman 1995; Falk & Hafkamp 1994, i.h.b. hfdst. 5, en over certificatie Evers 2002.
ISO 27001:2017 is volgens de NEN ‘wereldwijd de meest populaire norm voor informatiebeveiliging’ (zie ‘ISO 27001:2017: informatiebeveiliging’, NEN, z.j., nen.nl). Zie ook Disterer 2013, p. 94. De ISO-reeks geniet grote steun vanuit de praktijk (zie Bastiaan e.a. 1994, i.h.b. §2.3.4; Van den Berg 2015, p. 5; Kamara 2017, p. 3; preambule Verordening betreffende Europese normalisatie, o. 2; Purser 2014, §1.3; Scarfone, Bengini & Grance 2010, §1.3. Vgl. ENISA 2017, §6.2.1; Stuurman 1995, §2.2.1). Zie voor een overzicht van de normen t.a.v. de beveiliging (van alle aspecten, niet alleen persoonsgegevensaspecten) van Internet of Things ENISA 2017, bijlage C.
‘The ISO27k Standards’, G. Hinson, Noticebored,iso27001security.com.
Zie over deze verhouding naast ISO 27000:2020 ook Disterer 2013.
Evers 2002, p. 21; Van Gestel 2008, §1 (beide over certificering in het algemeen).
Bastiaan e.a. 1994, §2.1; Evers 2002, p. 23.
ISO 27000:2020, §5.4.1. NEN-EN-ISO/IEC 27002 wordt op het moment van schrijven geüpdatet. De verwachting is dat de nieuwe norm op z’n vroegst eind 2021 van kracht wordt. De nieuwe norm bevat waarschijnlijk enkele extra maatregelen en ook meer meta-informatie aangaande maatregelen. Zie ook Disterer 2013, §6.
Europese Normen zijn geratificeerd door het Europees Comité voor Normalisatie (CEN), het Europees Comité voor Elektrotechnische Normalisatie (Cenelec) of het Europees Instituut voor Telecommunicatienormen (ETSI). Zie Verordening betreffende Europese normalisatie, o. 4; What is a European Standard (EN)?’, CEN/Cenelec, cencenelec.eu.
Zie over de functies van normen verder preambule Verordening betreffende Europese normalisatie, o. 3 en 5 en Egyedi 1996 §1.1.2; Purser 2014, §2.
Preambule Verordening betreffende Europese normalisatie, o. 2 en 11; ‘What is a European Standard (EN)?’, CEN/Cenelec, cencenelec.eu.
In de Verordening betreffende Europese normalisatie wordt onderscheid gemaakt tussen ‘gewone’ Europese normen en geharmoniseerde normen (vgl. art. 2 lid 1 onder b met art. 3 lid 2 onder c). De verordening bepaalt dat de nationale normen die strijdig zijn met een geharmoniseerde norm worden ingetrokken (art. 3 lid 6), niet dat ‘gewone’ Europese normen nationaal moeten worden omgezet. Desondanks lijken zowel de Europese normatiesatieorganisaties (‘What is a European Standard (EN)?’, CEN/Cenelec, cencenelec.eu) als het NEN (‘Europese en internationale normen’, NEN, nen.nl) en de literatuur (Guillemin e.a. 2014, §4.3.1.3) ervan uit te gaan dat dit moet gebeuren. Het CEN/Cenelec en Guillemin e.a. baseren dit op de interne regulering van het CEN/Cenelec, die bepaalt dat een Europese Norm moet worden geïmplementeerd als nationale norm en dat conflicterende normen moeten worden ingetrokken (‘Internal Regulations part 2, Common Rules For Standardization Work, juli 2018, pt. 2.5 en pt. 11.2.1). Omdat het CEN en het CENELEC bestaan uit nationale vertegenwoordigers (preambule Verordening betreffende Europese normalisatie, o. 2), lijken zij zichzelf hiermee te hebben verbonden tot het omzetten van ‘gewone’ Europese normen.
Het NEN is een samenwerkingsverband van het Nederlands Normalisatie Instituut (NNI) en het Nederlands Elektrotechnisch Comité (NEC).
HR 22 juni 2012, ECLI:NL:HR:2012:BW0395, Ars Aequi 2013/10, met noot R.J.B. Schutgens (Knooble BV v. Staat). Zie met name de noot.
Besluit van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 9 maart 2018, nr. 2018-0000021715, Stcrt. 2018, 14200. Zij hoeven de normen bijv. niet toe te passen indien de bedrijfsvoering hierdoor op onaanvaardbare wijze in gevaar komt (Actieplan Nederland in Verbinding, bijlage bij Kamerstukken II 2006/07, 26643, nr. 98).
CBP 2013, §2 (inleiding). De andere twee randvoorwaarden zijn het uitvoeren van een risicoanalyse en het inbedden van de beveiliging in een zogenoemde plan-do-check-act cyclus, waarover hierna in de hoofdtekst.
AP Last onder dwangsom Nationale politie februari 2017 (sanctiebesluit) 2017, pt. 31; Besluit last onder dwangsom Menzis (sanctiebesluit) 2019, pt. 15. In de twee boetes die het AP heeft opgelegd werd aansluiting gezocht bij speciale normen voor de gezondheidszorg.
Zie meer in het algemeen De Oliveira Albuquerque e.a. 2015, o.a. inleiding. Zie in gelijke zin over certificatie bij productaansprakelijkheid, Falk & Hafkamp 1994, §11.3 en Lopes, Oliveira & Guarda 2019, conclusie.
Binnen de informatiebeveiligingspraktijk is er veel sprake van zelfregulering, vooral door middel van normen (ook wel standaarden genoemd). Deze normen bieden houvast bij de vormgeving van beveiliging. Sommige specialisten betogen dat normen kunnen meebrengen dat organisaties slechts doen wat nodig is om aan de daarin gestelde eisen te voldoen (en dat ze zo een race-to-the-bottom in de hand werken).1 Doorgaans gaat men er echter vanuit dat normen, zeker wanneer voor hun toepassing een certificaat wordt afgegeven, dienen als kwaliteitswaarborgen.2 Voor de beveiliging van persoonsgegevens zijn in het bijzonder de ISO 27000-normen van belang.3 Ik ga hieronder kort in op deze normen en hun juridische relevantie. In de volgende paragrafen bespreek ik de inhoud en toepassing van deze normen.
De ISO 27000-normenreeks is opgesteld door de Internationale Organisatie voor Standaardisatie (ISO). Ze beschrijft de beste praktijkaanbevelingen voor informatiebeveiligingsbeheersystemen (en daaraan gerelateerde onderwerpen). De reeks omvat meer dan vijftig gepubliceerde of op dit moment in ontwikkeling zijnde normen en richtlijnen.4 Drie daarvan worden gezien als de basis en zijn bijvoorbeeld overgenomen als Europese Norm (waarover hierna meer). Het gaat om NEN-EN-ISO/IEC 27000:2020, NEN-EN-ISO/IEC 27001:2017 en NEN-EN-ISO/IEC 27002:2017 (hierna resp. ISO 27000, ISO 27001 en ISO 27002).
ISO 27000 is een introductie. Zij bevat onder meer definities van begrippen die veelvuldig in de normenreeks terugkomen en geeft aan hoe de normen uit de ISO 27000-reeks zich tot elkaar verhouden.5
ISO 27001 beschrijft de eisen waaraan een managementsysteem voor informatiebeveiliging moet voldoen. Het is een technologie- en sectorneutrale norm. Wanneer een organisatie voldoet aan ISO 27001, kan zij een certificaat verkrijgen. Dit betekent dat een onafhankelijke, deskundige en betrouwbare instelling aangeeft dat er gerechtvaardigd vertrouwen bestaat dat het geïmplementeerde beveiligingsbeheersysteem voldoet aan de eisen van ISO 27001. Het gaat als het ware om een conformiteitsbeoordeling,6 waarbij wordt onderzocht of de norm op de juiste manier is geïmplementeerd.7
ISO 27002 geeft aan welke maatregelen in de praktijk vaak belangrijk zijn en is dus niet technologieneutraal. Waar ISO 27001 het beveiligingsproces begeleidt, biedt ISO 27002 houvast bij het daadwerkelijk treffen van beveiligingsmaatregelen. Zij kan zo behulpzaam zijn bij het vertalen van beveiligingsmanagementsysteem naar beveiligingsmaatregelen.8
ISO 27000, 27001 en 27002 zijn Europese Normen (ook wel Europese Standaarden genoemd).9 Europese Normen dienen ertoe de inhoud van Europese wetgeving te verduidelijken en bij te dragen aan de werking van de interne markt.10 Er bestaat geen verplichting tot het toepassen van Europese normen.11 Wel dienen nationale normalisatieorganisaties ze om te zetten in nationale normen.12 De Nederlandse Norm (NEN) heeft ISO 27000, ISO 27001 en ISO 27002 dan ook geïmplementeerd in Nederlandse normen (NEN-normen).13 Hoewel NEN-normen in de Nederlandse praktijk vaak worden gevolgd, zijn ook zij juridisch gezien slechts adviezen en geen algemeen verbindende voorschriften.14 Organisaties zijn in beginsel dan ook niet verplicht de ISO-27000 reeks toe te passen. Wel staan bovengenoemde normen op de zogenoemde ‘pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie. Overheidsorganisaties dienen ze daardoor bij voorkeur toe te passen en moeten uitleg geven indien zij dit niet doen.15
De AP acht de toepassing van de ISO 27000-reeks van groot belang.16 De normen klinken sterk door in haar eigen richtsnoeren inzake persoonsgegevensbeveiliging,17 en komen geregeld terug in haar sanctiebesluiten.18 Wanneer een verwerkingsverantwoordelijke of verwerker de ISO 27000-reeks toepast, en daar mogelijk zelfs een ISO 27001-certificaat voor heeft verkregen, neemt de AP dit daarom waarschijnlijk mee in een eventueel sanctiebesluit. Desalniettemin bestaat er geen reden om aan te nemen dat de AVG-beveiligingsbepalingen voorschrijven dat de ISO-normen moeten worden toegepast.19 Omgekeerd is het ook niet gezegd dat dergelijke toepassing altijd resulteert in een beveiligingssysteem dat voldoet aan de wettelijke verplichtingen. De normen bieden weliswaar ondersteuning bij de vormgeving van een beveiligingssysteem, maar verwerkingsverantwoordelijken en verwerkers zullen binnen de door de normenreeks gezette kaders de keuzes moeten maken die in een passend systeem resulteren.20 Toepassing van de normen doet dan ook niet af aan de verplichting om de AVG-bepalingen na te leven.21
De ISO-2700-reeks staat al met al op meerdere manieren met art. 5 lid 1 onder f AVG in verband. Allereerst zijn de meest fundamentele delen ervan Europese normen. Zulke Europese normen zijn bedoeld Europees recht in te vullen. Verder hecht de AP veel belang aan deze normen, waardoor ze – in ieder geval in Nederland – ook bij de toepassing van de AVG van belang zijn. De inhoud van de ISO-27000-reeks relateert ten slotte sterk aan de tekst van art. 5 lid 1 onder f en 32 AVG. Deze inhoud bespreek ik in de rest van dit hoofdstuk.
Ten slotte wil ik nog opmerken dat de NEN een norm ook kan ratificeren zonder dat hiertoe een verplichting bestaat, mits deze niet in strijd is met een Europese norm. Op deze manier heeft de NEN heeft ook andere normen uit de ISO 27000-reeks geratificeerd. Voorbeelden daarvan zijn de NEN-ISO/IEC 27005, die de implementatie van de andere normen begeleidt, en NEN-ISO/IEC 27701, die de waarborging van privacy in het algemeen betreft (en dus breder is dan beveiliging).22 Ook heeft de NEN enkele informatiebeveiligingsnormen geratificeerd die niet door ISO zijn opgesteld, zoals de op de gezondheidszorg betrekking hebbende NEN 7510:2017 en NEN 7513:2018. Deze normen, die AP ook geregeld aanhaalt, zijn minder algemeen en bieden dus minder inzicht in de uitgangspunten van informatiebeveiliging. Ik bespreek hen daarom verder niet.