ISO 27001 Certificering
Informatiebeveiliging heeft altijd al de hoogste prioriteit gehad bij Aryza Nederland (voorheen Collenda Nederland). Veel klanten vertrouwen hun data toe aan ons ASP-platform. Wij hebben daarom een grote verantwoordelijkheid op het gebied van informatiebeveiliging. In de ISAE 3402 type II verklaring wordt hier al veel aandacht aan besteed. Om ons informatiebeveiligingsniveau nog beter te kunnen aantonen hebben wij onze informatiebeveiliging laten auditen tegen het ISO 27001 framework. Als resultaat daarvan heeft Aryza Nederland de ISO 27001 certificering ontvangen.
Wat is ISO 27001
ISO 27001 is dé internationaal erkende standaard voor informatiebeveiliging. Met de ISO 27001 certificering kunnen wij aantonen dat wij alle benodigde beveiligingsmaatregelen heeft ingericht om kritische informatie van opdrachtgevers te beschermen. Een gedegen informatiebeveiliging is vastgelegd in het informatiebeveiligingsbeleid.
Onze klanten willen graag de zekerheid dat de noodzakelijke stappen zijn ondernomen voor een gedegen informatiebeveiliging. Zij eisen dat informatie niet beschikbaar is voor ongeautoriseerde individuen, entiteiten of processen. Zij willen dat u de accuraatheid en volledigheid van informatie op integere wijze waarborgt. Zij willen dat wij de beschikbaarheid en bruikbaarheid van hun informatie kunnen garanderen voor geautoriseerde personen en entiteiten; kortom, dat informatie toegankelijk is voor de daartoe geautoriseerde applicaties en personen. Met een ISO 27001 certificering kunnen onze klanten erop vertrouwen dat Aryza Nederland alle noodzakelijke processen en systemen heeft geïmplementeerd om informatie te beschermen tegen allerlei soorten bedreigingen.
ISO 27001 en de relatie met de AVG
De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet waar organisaties per 25 mei 2018 aan moeten voldoen. Deze nieuwe wetgeving is in het leven geroepen om de bescherming van persoonsgegevens te kunnen garanderen binnen de EU. Alle organisaties in Nederland en binnen de Europese Unie zullen hieraan moeten voldoen.
De AVG eist dat persoonsgegevens worden beschermd met passende technische en organisatorische maatregelen. Dit betekent dat alleen noodzakelijke persoonsgegevens op een zorgvuldige manier mogen worden opgeslagen en verwerkt. Organisaties die dit niet doen zijn in overtreding. Zij riskeren een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Met de komst van de AVG wordt ISO 27001 informatiebeveiliging naar een hoger niveau getild. Een datalek moet verplicht worden gemeld aan de Autoriteit Persoonsgegevens (AP). Daarnaast worden eisen gesteld aan interne procedures voor datalekken, het verwerken van persoonsgegevens en de privacyverklaring van organisaties.
Veel onderwerpen in de AVG kunnen worden geborgd in een informatiebeveiligingssysteem op basis van ISO 27001. Voldoen aan de ISO 27001 norm of het hebben van een ISO 27001 certificering is echter geen verplichting vanuit Nederlandse of Europese wetgeving. Wel helpt het om invulling te geven aan maatregelen voor een passende bescherming van persoonsgegevens en daarmee het voldoen aan de AVG.
De AVG stimuleert in zekere zin het in gang zetten van certificering. Er wordt geen expliciete verwijzing gemaakt naar de NEN-ISO richtlijnen, maar de AVG geeft nadrukkelijk aan dat certificering een belangrijk hulpmiddel kan zijn voor het aantoonbaar maken van de eisen en voorschriften vanuit de AVG.