ISO27001 certificeren. Waarom is dat zo belangrijk
Updated: Oct 19, 2020
Op 14 juni 2017 hebben wij als eerste in Nederland een ISO27001 certificaat weten te behalen voor ons innovatieve registratie product evisit. Dat dit een hele prestatie is hebben wij met elkaar mogen beleven. Een ISO27001 certificaat verkrijg je immers niet zomaar. In een periode van ruim een jaar voorafgaand aan het grote moment zijn we met het hele team op een andere manier gaan kijken naar persoonsgegevens en veiligheid. Wat er allemaal aan vooraf ging; op meerdere dagen hebben externe auditors onze processen en het IMS (Information Management System) inhoudelijk beoordeeld. Zijn er verschillende interviews afgenomen met alle bij het project betrokken medewerkers. Dit om te controleren dat we ook echt op de vastgelegde manier werken. Daarna was het eindelijk zover. Het certificaat werd verstrekt. De vlag kon uit!.
Wat gaat er allemaal per 25 mei 2018 veranderen?
Het feit dat we in evisit vastleggen naar welk evenement jouw gast gaat of is geweest, maakt de opgeslagen informatie privacy gevoelig. De wetgever gaat vanaf 25 mei dit jaar streng toezien op het naleven van een Europese wet die tot doel heeft privacy gevoelige gegevens beter te beschermen. Als je de discussie rondom Facebook een beetje hebt gevolgd zal het je duidelijk zijn geworden dat ook het altijd vrije Amerika zich afvraagt of zij niet een gelijke wetgeving als de europese GDPR moeten ontwikkelen om mensen maar ook zeker het land Amerika beter te beschermen. Na 25 mei gaat er veel veranderen. Onderstaand een kort overzicht van de belangrijkste nieuwe regels;
veranderingen voor jou als Europeaan:
Recht op toegang. Je moet gratis een kopie van al je opgeslagen gegevens kunnen krijgen.
Het recht om verwijderd te worden. Gegevens moeten op jouw verzoek kunnen worden verwijderd.
Het recht om gegevens over te dragen. Je moet toestemming geven op het moment dat jouw gegevens worden overgedragen.
Het recht om geïnformeerd te worden. Klanten moeten worden geïnformeerd op het moment dat hun gegevens worden verzameld.
Het recht op correctie van informatie. Je moet je (oude) gegevens kunnen aanpassen.
Het recht op beperken van gegevensbewerking. Je kan eisen dat jouw gegevens niet worden bewerkt (het bedrijf heeft jouw gegevens wel maar mag er niets mee doen).
Het recht op bezwaar. Je kan eisen dat jouw gegevens niet worden gebruikt voor marketing doeleinden.
Het recht om in kennis te worden gesteld. Is jouw data op straat gekomen dan moet dat verplicht aan jou worden gemeld
veranderingen voor een bedrijf gevestigd is in Europa:
De klant heeft de touwtjes in handen
Bedrijven zijn eigenaar van de data en verantwoordelijk, niet de bewerker van de data (lees evisit)
Bedrijven moeten een functionaris voor gegevens bescherming benoemen
Bij overtreding: 4% van de jaaromzet (max 20 miljoen)
Wat heb ik als opdrachtgever eraan dat evisit ISO27001 gecertificeerd is...?
Er wordt vaak gedacht dat het opstellen en laten tekenen van een bewerkersovereenkomst voldoende is. Niets is minder waar! Je bent en blijft als opdrachtgever eigenaar van de data en daarmee verantwoordelijk voor het beheer. Besteed je de evenement registratie uit aan een derde partij dan zal je moeten kunnen aantonen dat deze partij alle maatregelen genomen heeft om jouw data (lees data van je bezoekers) te beschermen. Blijkt, ondanks het tekenen van de overeenkomst, dit niet het geval dan kan de privacy waakhond de boete uitdelen! De eigenaar van de data moet deze boete in dat geval betalen!
Wat als er via evisit toch privacy gevoelige informatie op straat komt. Kan ik dan een boete krijgen...?
Het antwoord hierop is simpel: Nee. Op het moment dat er data op straat komt te liggen zullen we dit verplicht moeten melden. Jij als opdrachtgever kan daarop een nieuwe audit aanvragen bij onze audit partij. Blijken onze processen op orde dan ontvangt niemand een boete. Hebben wij een fout gemaakt dan zijn wij verantwoordelijk en wordt jij als opdrachtgever vrij gesteld van iedere boete.
Heb je vragen over alles wat er aan deze wetgeving op ons af komt. Laat het ons weten, we beantwoorden je vragen graag