ZBC Kennisbank

Auditors moeten niet op de stoel van de AP gaan zitten

 

Auditors van ISO 27001 en NEN 7510 hebben er een nieuw stokpaardje bij, de AVG. Daarmee proberen ze de risk-based aanpak die sinds 2013 centraal staat in de ISO 27001 norm (en sinds 2017 in de NEN 7510) onderuit te halen. Immers, in bijlage A van de normen ISO 27001 en NEN 7510 staat dat bedrijven zich aan de wet moeten houden. De AVG is zo’n wet.

We hebben als ZBC het afgelopen jaar gemerkt, dat auditors de combinatie van maatregel A18.1.1 uit de bijlage A  met de AVG aangrijpen om de eisen die de norm aan informatiebeveiliging stelt, flink op te schroeven. In maatregel A18.1.1 staat:

Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren  voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.

Eerder was het nog  afdoende aan te geven:

“<PPPP> kent de voor haar relevante Nederlandse wet en regelgeving (Wbp en meldplicht datalekken). De eisen in contracten met klanten zijn zodanig, dat <PPPP> hieraan kan voldoen.

Nu laten auditors hun prooi echter niet zo gemakkelijk los. Tijdens de audit blijkt dan, dat wordt verwacht dat je als organisatie aan bepaalde regels van de AVG voldoet, zoals bijvoorbeeld het hebben van een register of de mogelijkheden om te traceren wie welke wijziging heeft doorgevoerd in systemen. Dit zijn zaken die de norm niet van je vraagt, maar die nu ineens vaak geëist worden door auditors.  De auditor geeft hiermee ook nog eens aan dat hij twijfelt aan de kwaliteit van de risicoanalyse van het bedrijf. Eigenlijk gaat hij op de stoel zitten van de directeur, in diens rol van risico-eigenaar. En dat probleem kennen we al langer.( Zie ook ‘Er moet niks van ISO, maar weet mijn auditor dit ook al’.)

Risk-based werkende klanten de dupe

Al sinds 2013 geven wij aan dat ISO 27001 een instrument is om risico’s te beheersen. Niet voor niets staat in hoofdstuk 0 van de norm:

 “Het managementsysteem voor informatiebeveiliging beschermt de vertrouwelijkheid, de integriteit en de beschikbaarheid van informatie door een risicobeheerproces toe te passen, en geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.

Voor veel auditors is dit echter een probleem.  Ze kennen bedrijfssectoren vaak onvoldoende om bedrijfsrisico’s te kunnen inschatten. Daarom vinden ze het wel gemakkelijk zich op de AVG te kunnen beroepen. De AVG geldt immers voor ieder bedrijf en niet voor specifieke sectoren. Je kunt die met een rood potlood nalopen.
Net als veel van onze klanten, veelal kleinere B2B-dienstverleners, waren we verrast door deze op de AVG gebaseerd eisen van de auditor, toen we  daar voor het eerst mee te maken kregen.. Het leverde non-conformaties op. Het dreigde zelfs te ontaarden in een forse hoeveelheid extra werk. Van klanten die wij niet hebben begeleid bij hun externe audit, hoorden we hetzelfde.
Wat,  als bij een kleine dienstverlener de gegevens van bijvoorbeeld 10 werknemers of van 100 klanten op straat komen te liggen? Is dat zo erg? Ze bevatten bijna geen informatie, die niet al openbaar is. Waarschijnlijk zal niemand de moeite nemen om die gegevens van straat op te rapen. Een kleine dienstverlener loopt hierin dus nauwelijks risico. In onze aanpak vallen dergelijke gegevens dan ook buiten de scope. De auditor mag deze niet meenemen in zijn beoordeling voor het certificaat.
Gegevens die eigendom zijn van klanten of ketenpartners vallen wel binnen de scope. Dat is tenslotte onderdeel van de core business van onze klanten. Die data worden natuurlijk wel goed beveiligd. (Zie ook ‘Hoe zorgen we voor een managementsysteem dat passend is voor onze organisatie.’.

De AVG is zowel het probleem als de oplossing.

Gelukkig schept de AVG niet alleen het probleem. Zij levert tegelijkertijd ook de oplossing. Over bovenstaande zienswijze hoeft niet gediscussieerd te worden. In overweging 4 van de AVG staat tenslotte:

 “Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen.”

Kortom, de AVG is alleen van toepassing in een context waarbij de betrokkenen risico’s lopen. Dit is een afwegingsproces. Die afweging is gemaakt bij het vaststellen van de scope.
Onlangs schreef de Autoriteit Persoonsgegeven (AP), dat zij de afgelopen twee jaar geen belangrijke afwijkingen heeft aangetroffen door bedrijven. De AP is de partij die dit mag en moet beoordelen. Daar kun je van vinden wat je wilt. (Zie ook ‘Autoriteit Persoonsgegevens houdt onzekerheid over privacywet in stand’). Maar het is niet aan auditors, om nu ook nog op de stoel van de AP te gaan zitten en te komen tot een eigen interpretatie van de AVG.

ZBC helpt organisaties via coaching of cursussen om hun informatiebeveiliging conform ISO 27001 of NEN 7510 te verbeteren en desgewenst daarvoor gecertificeerd te worden.

 

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 3 september 2018


One Response to “Auditors moeten niet op de stoel van de AP gaan zitten”

  1. Truus Eekhof schreef:

    Herkenbaar en goed verwoord!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *