ISO, NEN of Data Pro – wat kies je?
Hoe zorg je dat je op een verantwoorde manier met persoonsgegevens omgaat en hoe laat je dit aan je klanten zien? Welke certificering of tool is geschikt voor jouw organisatie? En is het voldoende om je aan een code te houden, of is het beter om te certificeren? Kom achter jouw antwoord aan de hand van een aantal vergelijkingen.
Norm of gedragscode?
ICT-leveranciers vragen vaak naar het verschil tussen de Data Pro Code en bijvoorbeeld ISO of NEN-certificering. Er is inderdaad verschil en dat leggen we je graag uit.
Op welke norm wordt getoetst?
De Data Pro Code is een gedragscode. Brancheverenigingen kunnen volgens de Avg gedragscodes opstellen om hun achterban te helpen bij de juiste toepassing van de Avg. Gedragscodes hebben dus als doel om bij te dragen aan de juiste toepassing van de Avg, waarbij ze rekening houden met de specifieke kenmerken van de desbetreffende sector en de specifieke behoefte van kleine, middelgrote en micro-ondernemingen. Gedragscodes helpen bedrijven dus met hoe ze de Avg moeten toepassen.
NLdigital vertegenwoordigt een grote groep verwerkers in de IT-sector en is daarmee een aangewezen organisatie om een gedragscode te ontwikkelen. Branches kunnen hun gedragscode laten goedkeuren door de toezichthouder – de Autoriteit Persoonsgegevens (AP). Dat hebben wij ook gedaan en met succes.
De norm waar bij Data Pro naar wordt gekeken is dus de norm van de door de AP goedgekeurde gedragscode die bedrijven helpt bij het toepassen van de Avg op een juiste en transparante manier.
ISO is een internationale organisatie voor standaardisering, die normen (meestal beveiligingsnormen) ontwikkelt. Er zijn ISO-standaarden op uiteenlopende onderwerpen: van voedselveiligheid tot gezondheidszorg. De normen van ISO zijn wereldwijd gelijk, wat zowel een kracht als zwakte is. De normen worden niet ter goedkeuring voorgelegd aan de AP.
NEN is een Nederlandse norm. Zo lijkt bijvoorbeeld de NEN 7510 heel erg op de ISO 27001, maar is de NEN 7510 een Nederlandse norm specifiek gericht op de gezondheidszorg.
ISO, NEN of Data Pro?
Laten we wat dieper inhoudelijk inzoomen op de specifieke ISO en NEN-normen in vergelijking met Data Pro. We krijgen van de meeste bedrijven de vraag of onze Data Pro Code hetzelfde is als de norm ISO27001. Nee. Deze norm zoomt namelijk niet in op je rol als verwerker (de dienst die je levert of het product dat je verkoopt) en maakt geen onderscheid tussen persoonsgegevens en andere gegevens. Bovendien focust deze norm op slechts één aspect uit de Avg: beveiliging van gegevens.
In de onderstaande tabel vind je een uitgebreide vergelijking tussen ISO 9001, 27001, 27002, 27018 en Data Pro. Voor de volledigheid is daarbij ook NEN 7510 meegenomen.
Norm | Doel | Wat doet het? | Verhouding tot Data Pro |
ISO 9001 | Kwaliteitsmanagement | Brede norm die in zijn algemeenheid aantoont dat een organisatie: zorgt dat zijn producten en diensten aan de eisen van klanten en stakeholders voldoen, de geldende wet- en regelgeving toepast, rekening houdt met kansen en risico’s en dat continu verbeteren geborgd is in de organisatie. | 9001 schrijft voor dát je aan nationale wetten voldoet, maar het is afhankelijk van je diensten hoé je aan nationale wetten voldoet. Data Pro kan je helpen bij de invulling van de Avg binnen je rol als verwerker en helpt je zo bij het invullen van je interne processen ten behoeve van ISO 9001. |
ISO 27001 | Informatiebeveiliging (verdieping van 9001) | Specifieker dan 9001 op het gebied van informatiebeveiliging. Internationale standaard die niet is toegespitst op persoonsgegevens, Avg, of een rol als verwerker of verantwoordelijke. Er is overlap met de Avg op het onderdeel beveiliging, maar dekt veel andere onderdelen van de Avg niet. | Als je ISO 27001 gecertificeerd bent, dan kun je dit binnen Data Pro gebruiken om aan te tonen dat je een goed ISMS hebt ter beveiliging van persoonsgegevens. Anders dan 27001 beperkt Data Pro zich niet tot een ISMS voor beveiliging, maar gaat het ook in op je andere verplichtingen als verwerker. |
ISO 27002 | Verdieping van de 27001 (geen certificering, maar hulpmiddel om tot 27001 certificering te komen) | Specifieke uitwerking van 27001 en biedt tools om geïdentificeerde beveiligingsrisico’s te verkleinen. | Ook binnen Data Pro bieden we je tools om je te helpen de Data Pro Code te implementeren. |
ISO 27018 | Informatiebeveiliging toegespitst op PII gegevens (verdieping van de 27002) | Norm gericht op beveiliging van persoonlijke (PII) gegevens, met extra eisen ten opzichte van ISO 9001, 27001 en 27002. Bijvoorbeeld op het punt van communicatie, back up en data overdracht. ISO 27018 is met name gericht op de grote clouddiensten, zoals Amazon web services en Microsoft Azure. | De definities wijken iets af van die in de Avg, maar deze norm richt zich wel op verwerkers en komt daarmee het meest in de buurt van Data Pro. Net als Data Pro vereist ISO 27018 bijvoorbeeld dat je afspraken maakt met je klanten over de verwerking van persoonsgegevens (verwerkersovereenkomst). Groot verschil is dat ISO 27018 zich met name richt op de grote partijen, terwijl Data Pro juist is ingericht voor kleinere verwerkers. |
ISO 27701 | Informatiebeveiliging toegespitst op privacy informatiemanagement (verdieping van de 27002) | Norm gericht op beveiliging van persoonlijke (PII) gegevens, met extra eisen ten opzichte van ISO 9001, 27001 en 27002. ISO 27701 is met name gericht op het inrichten van een privacy informatiemanagement systeem (PIMS) binnen het bestaande ISMS. Aanvullende certificering bovenop de 27001 certificering. | 27701 is zowel gericht op verwerkers als verantwoordelijken en echt bedoeld als aanvulling op 27001. Data Pro richt zich specifiek op de rol als verwerker, gaat breder dan uitsluitend beveiliging en is los van ISO verkrijgbaar. |
NEN 7510 | Informatiebeveiliging zorg Geen internationale standaard, maar een NEderlandse Norm (NEN). | NEN-7510 is net als ISO 27001 gericht op informatiebeveiliging. NEN 7510 is specifiek bedoeld voor Nederlandse zorginstellingen en andere beheerders van gezondheidsgegevens, terwijl ISO 27001 internationaal en branche onafhankelijk is. | Data Pro is anders dan NEN 7510 branche onafhankelijk. Data Pro gaat breder dan informatiebeveiliging en focust op de invulling van de rol als verwerker van gegevens. Ben je actief in de zorg? Dan kan je Data Pro in aanvulling op NEN 7510 gebruiken om aan te tonen dat je je als verwerker aan de branche best practices voor verwerkers houdt. |
Wel of niet laten registreren?
Zowel bij ISO als bij Data Pro is het mogelijk om inhoudelijk te voldoen aan de norm, zonder je daarbij ook daadwerkelijk te laten certificeren of registeren. Dat gaat bij Data Pro overigens nog net iets makkelijker dan bij ISO. Het toetsingskader, de Data Pro Code, is openbaar en vrij te downloaden als PDF. Om te voldoen aan de gedragscode, maak je het beste gebruik van de bij de gedragscode behorende standaard verwerkersovereenkomst. Je kunt deze voorbeeld overeenkomst hier bestellen en de kosten zijn overzichtelijk. Ook als je geverifieerd wilt worden als volger van de gedragscode en je dus officieel laat registreren bij de toezichthouder en het beoordelingsproces doorloopt, dan zijn de kosten daarvan relatief laag. Verifiëren kan al vanaf €749,-.
Als verwerker zit je vaak op grote hoeveelheden (persoons)gegevens. Voor klanten is het belangrijk dat hun gegevens veilig zijn bij jou. Bovendien eist de Avg dat jouw klanten controleren hoe jij als leverancier met die gegevens omgaat. Voor hen is het vaak lastig inschatten of een leverancier daadwerkelijk aan de norm of code voldoet. Een verificatie door een onafhankelijk toezichthouder geeft klanten de bevestiging die ze zoeken en zo’n stempel geeft hen meer zekerheid. Bij Data Pro is het voor klanten bovendien mogelijk zelf eenvoudig te checken of hun leverancier staat opgenomen in het Data Pro register.
Kortom: registreren heeft dus zeker meerwaarde.
ISO-certificering of Data Pro?
Welke norm kies je?
Data Pro is een zelfstandig laagdrempelig alternatief voor een ISO-certificering, maar is ook heel goed te gebruiken naast een ISO of NEN-certificering. Beide kun je gebruiken om aan klanten te laten zien dat je zorgvuldig met gegevens omgaat.
Natuurlijk zijn er ook in de certificering verschillen. Data Pro is uniek door:
- Het stelt een standaard voor verwerkers in de ICT-branche.
- Uitgangspunt is de door de AP goedgekeurde Data Pro Code.
- Data Pro laat zien hoe je aan je verplichtingen als verwerker voldoet.
- Data Pro maakt de Avg voor kleine verwerkers praktisch toepasbaar door de Standaard verwerkersovereenkomst.
- Data Pro onderscheidt zich door de laagdrempeligheid, zowel qua proces als qua kosten.
- Als je al gebruik maakt van onze Standaard verwerkersovereenkomst kan het verifiëren snel gaan en hoeft het aanvragen ervan niet meer dan een paar uur te kosten.
- Daar komt bij dat de kosten van een Data Pro verificatie laag zijn (vanaf €749,-), terwijl aan een ISO-certificaat al snel een kostenplaatje verbonden is van enkele duizenden euro’s. Dat maakt Data Pro uitermate geschikt voor de kleinere ICT-leverancier.
Hoe beslis je welk middel passend is voor jouw organisatie?
Op basis van bovenstaande vergelijkingen hebben we je inzicht gegeven in de wereld van Avg-normen, Avg-codes en Avg-certificeringen. Uiteindelijk is het aan jou om de afweging te maken welke certificering het beste past bij jouw organisatie. Vraag je bij het maken van de afweging bijvoorbeeld af: Vind ik het belangrijk om aan te sluiten bij een branchenorm? Werk ik nationaal, Europees of internationaal? Wil ik vooral laten zien dat mijn beveiliging op orde is of breder? Binnen welke branche ben ik actief? Wat is mijn budget? Wil ik voorop lopen?
Onze juristen helpen je graag verder bij je beslissing. Ook kun je via onze website meer lezen over Data Pro.