Het werken met en verwerken van persoonsgegevens is een gevoelig onderwerp. Bij Moove begrijpen we als geen ander dat onze telematics oplossingen moeten voldoen aan de hoogste standaarden van informatiebeveiliging en data privacy. Onze ISO 27001 en ISO 27701 certificeringen ondersteunen die ambitie. We vroegen Nico Nijenhuis, Lead Auditor Information Security & Privacy bij TÜV Nord Nederland, wat meer over ISO 27701 en het certificatieproces te vertellen.
De nieuwe standaard voor omgaan met privacy
ISO 27701 is een nieuwe standaard, waarbij de mogelijke impact op de privacy van derden centraal staat. Een belangrijk verschil met de ISO 27001 norm, de standaard voor informatiebeveiliging, die vooral kijkt naar de risico’s voor een organisatie. Bijvoorbeeld wanneer de vertrouwelijkheid van de informatie is aangetast, met imagoschade en boetes als resultaat. De ISO 27701 norm gaat ook samen met verplichte wet- en regelgeving, wat bedrijven meteen de kans geeft aan te tonen dat je daaraan voldoet. Zo kan de ISO 27701 onder meer ondersteunen bij het voldoen aan de gestelde AVG-vereisten.
Nico Nijenhuis legt uit wat de ISO 27701 certificering voor Moove betekent. “Als het gaat om privacy dan zijn er twee rollen binnen een organisatie. De een is die van verantwoordelijke, de ander van verwerker. De rol van verwerkingsverantwoordelijke gaat over de privacy van mensen met wie je als organisatie een relatie hebt, zoals leveranciers en fysieke of digitale bezoekers. De verwerker is verantwoordelijk voor bescherming van persoonsgegevens van derden die aan de organisatie zijn toevertrouwd. Je kan ze allebei certificeren of alleen één van de twee. Moove heeft ervoor gekozen om alleen die van verwerker te doen. Dat zit ook veel dichter tegen jullie dienstverlening aan. Professioneel, conform de wet- en regelgeving en dus via de standaard.”
Informatiebeveiliging en data privacy als essentieel onderdeel van elke telematica-oplossing
"De impact van onze telematica-oplossingen op de informatiebeveiliging en data privacy van een organisatie kan vrij groot zijn. We hechten er dan ook veel waarde aan om het belang van het implementatieproces op deze gebieden zo vroeg mogelijk in het samenwerkingstraject duidelijk te schetsen. En te benadrukken dat we daarin volledig kunnen ondersteunen met een privacy en security programma, dat volledig aansluit op de kenmerken van een organisatie."
Willem Duijf, CEO Moove
Nico Nijenhuis herkende deze ambitie tijdens het certificeringsproces. “Eigenlijk moet iedereen volgens privacy normen werken, maar nu is dat ook door een onafhankelijke partij geconstateerd en kan je die claim als bedrijf ook naar buiten toe maken. Moove heeft de intrinsieke motivatie om de issues rondom informatiebeveiliging en privacy goed aan te pakken. Er zit iets humaans in de bedrijfsvoering van Moove, waarbij het respect voor deze materie duidelijk naar voren komt. Dat maakt het een stuk makkelijker om samen te werken naar het gewenste resultaat.”
De toekomst van data, privacy en security
ISO 27001 is momenteel dé internationale standaard als het gaat om informatiebeveiliging. Het is nog afwachten of de ISO 27701 norm ook de standaard gaat worden voor privacy. Feit is wel dat er wereldwijd steeds meer aandacht voor komt. Nico Nijenhuis ziet daarnaast nog een aantal opvallende bewegingen in de markt. “Ik merk dat de ISO standaard en wetgeving wat naar elkaar toegroeien. De AVG heeft zelf ook een artikel met een mechanisme voor certificering, die via de European Data Protection Board loopt. Dus een andere route dan via de ISO standaard, maar het betekent wel dat het in de toekomst wellicht mogelijk wordt dat het ISO certificaat ook geldt als een AVG certificaat.
Wat ik daarnaast ook zie is dat de handhaving op privacy en wetgeving eigenlijk een structureel capaciteitstekort heeft. Tegelijkertijd komt er een andere beweging op gang met class action suits, waarbij private partijen organisaties aanvechten. En dat zijn niet alleen maar de grote partijen, dus de risico’s om ‘gepakt’ te worden nemen aantoonbaar toe, ondanks dat de toezichthoudende partijen in hun handhaving achterblijven.”
Moove doet er met de verkregen ISO-certificeringen in ieder geval alles aan om te voldoen aan de eisen die onze wereldwijd opererende klanten stellen aan informatiebeveiliging en data privacy. Wil je meer weten over hoe we omgaan met deze onderwerpen en hoe onze telematics oplossingen voor jouw organisatie kunnen werken? Vraag hier een demo aan.