1. GLOBAL PRESENCE
LOC A L EXPER TISE
DQS BELGIUM
P e t e r G E E L E N | P r i v a t u m - P r i v a c y a f t e r W o r k | 2 0 2 0 - 0 2 - 0 6
2. Page 2 | www.dqsbelgium.be/ February 13, 2020
AGENDA
▪ Inleiding
▪ Voor we starten…
▪ ISO27701 fundamenten (ISMS,
Privacy & GDPR)
▪ ISO27701 PIMS: hoofdstructuur
▪ Beknopt overzicht van de extensies
▪ Certificatie vandaag
▪ Data protectie vs cybersecurity
(CCB/DPA)
2020, 6de Februari
3. Page 3 | www.dqsbelgium.be/ February 13, 2020
PETER GEELEN
E R VA R I N G
• 20+ jaar ervaring in beveiliging
• Enterprise Security & IAM
• Cybersecurity
• Data Protection & Privacy
• Incident management, Disaster
Recovery
• Trainer, coach, auditor
C E R T I F I C AT I E
• Certified DPO & Fellow In Privacy
• ISO27001 Master (LI/LA)
• Lead Impl./Auditor ISO27701
• Sr. Lead Cybersecurity Mgr
• Lead Incident Mgr
• Lead Disaster Recovery
• Lead ISO27005 (Risk Mgmt)
• Lead ISO9001 Implem./Auditor
A C C R E D I TAT I E
• Accredited ISO27001 Lead auditor
• Accredited Security Trainer
https://www.linkedin.com/in/pgeelen/
Peter.Geelen@dqsbelgium.be
@geelenp
4. Page 4 | www.dqsbelgium.be/ February 13, 2020
VOOR WE STARTEN
Denk er aan
▪ Goede praktijken ≠ wetgeving
▪ ISO vereisten vs richtlijnen
▪ Privacy ≠ Data Protectie
▪ Data protectie ≠ Information Security
▪ PII vs Persoonlijke Data
▪ Internationaal vs. Regionaal
5. Page 5 | www.dqsbelgium.be/ February 13, 2020
Goede praktijken ≠ wetgeving
▪ ISO = goede praktijk, JIJ kiest wat je implementeert… of wat niet.
▪ GDPR, NIS, Cyberact, eCommuncation … = WET (geen keuze, moet)
ISO vereisten vs richtlijnen
▪ Vereiste = deel van audit
▪ richtlijn = suggestie, advise voor implemlentatie
D ATA PR OTEC TION PR IN C IPES
VOOR DE DUIDELIJKHEID
13 februari 2020
6. Page 6 | www.dqsbelgium.be/ February 13, 2020
Privacy ≠ Data Protectie
▪ GDPR = data protectie (NOT PRIVACY)
▪ Privacy = ISO29100 / ISO29151
▪ Data van betrokkene (aka "PII Principal")
Data protectie ≠ Information Security
▪ ISO27001 = Information Security
▪ bedrijfsdata
PII vs Persoonlijke Data
▪ ISO vs. GDPR vs. NIST
D ATA PROTE CTION PRINCIP E S
VOOR DE DUIDELIJKHEID
13 februari 2020
7. Page 7 | www.dqsbelgium.be/ February 13, 2020
Internationaal vs. Regionaal
▪ ISO = Internationaal
▪ Regionaal
GDPR (EU, but …)
NIST (US, but…)
…
D ATA PROTE CTION PRINCIP E S
VOOR DE DUIDELIJKHEID
February 13, 2020
8. Page 8 | www.dqsbelgium.be/ February 13, 2020
Engels … Nederlands … Frans
▪ Control (EN) = measure (EN) = maatregel (NL)
▪ Control (EN) = controle hebben en nemen (NL)
▪ Control (EN) ≠ controleren (checken, NL)
▪ Accountability (EN) vs. Responsability (EN)
▪ GDPR = accountability (not responsibility)
▪ "Responsabilité" (RGPD, FR)
W OORDE NS CHAT
VOOR DE DUIDELIJKHEID
February 13, 2020
9. Page 9 | www.dqsbelgium.be/ February 13, 2020
D E B OU W STEN EN
10. Page 10 | www.dqsbelgium.be/ February 13, 2020
Information security
▪ ISO27001 (Info Security - Vereisten)
▪ ISO27002 (Info Security - Code of Practice)
▪ ISO27018 (PII in public cloud)
Privacy
▪ ISO29100 (Privacy Framework) (*)
▪ ISO29151 (PII Protection - Code of Practice)
▪ ISO29134 (PIA)
Gegevensbescherming
▪ GDPR (*)
D E BOU W STEN EN
ISO27701
February 13, 2020
11. Page 11 | www.dqsbelgium.be/ February 13, 2020
Incident management
▪ ISO27035
▪ NIST.SP.800-61r2 (Computer Security Incident Handling Guide) (*)
Risk management
▪ ISO27005
▪ NIST Risk management Framework (*)
Vocabulaire
▪ ISO27000(*)
D E BOU W STEN EN ( VERVOLG)
ISO27701
February 13, 2020
12. Page 12 | www.dqsbelgium.be/ February 13, 2020
STR U C TU U R
13. Page 13 | www.dqsbelgium.be/ February 13, 2020
▪ 1-3. de ISO standaard modules
▪ 4. General
▪ 5. PIMS vereisten - ISO27001
▪ 6. PIMS vereisten - ISO27002
▪ 7. + ISO27002 gids voor PII verwerkingsverantwoordelijke
▪ 8. + ISO27002 gids voor PII verwerkers
▪ ANNEX A tot F
STR U C TU U R
ISO27701
February 13, 2020
14. Page 14 | www.dqsbelgium.be/ February 13, 2020
▪ Referentie controle objectieven voor verwerkingsverantwoordelijken
▪ Referentie controle objectieven voor maatregelen voor verwerkers
▪ Mapping met ISO29100
▪ Mapping met GDPR
▪ Mapping met ISO27018 and ISO29151
▪ Hoe implementeer je ISO27701 met ISO27001 en ISO27002?
AN N EXES
ISO27701
February 13, 2020
15. Page 15 | www.dqsbelgium.be/ February 13, 2020
Bevat
▪ 10 hoofdstukken
▪ + ANNEX
Annex
▪ 14 control hoofdstukken
▪ 35 categorieën
▪ 114 maatregelen
C ON TR OLES /MAATR EGELEN
HERINNERING: ISO27001
February 13, 2020
ISO27002 = ISO27001 A NNE X + G IDS ING
16. Page 16 | www.dqsbelgium.be/ February 13, 2020
C ONTINUE VE RB E TE RING
ISO BASIS PRINCIPE: PDCA
February 13, 2020
Plan
Denk
Do
Voer uit
Check
Meet
Act
Pas aan
17. Page 17 | www.dqsbelgium.be/ February 13, 2020
C ONTINUE VE RB E TE RING
PDCA
February 13, 2020
Act Plan
DoCheck
Act Plan
DoCheck
Kwaliteits-
verbetering
Tijd
18. Page 18 | www.dqsbelgium.be/ February 13, 2020
'/../ The requirements of ISO/IEC 27001:2013 mentioning
"information security"
shall be extended to the protection of privacy
as potentially affected by the processing of PII.
5.1. GEN ER AL ( EN KEL EN GELS )
ISO27701 ALS ADD-ON OP ISO27001
February 13, 2020
N OTE I N P RACTICE ,
W HE RE " INFORMATION S E CURITY " I S US E D I N ISO/IEC 2 7 0 0 1 : 2 0 1 3 ,
"INFORMATION SECURITY AND PRIVACY ”
AP P LIE S INS TE AD ( S E E A NNE X F) . /../'
19. Page 19 | www.dqsbelgium.be/ February 13, 2020
'/../ The requirements of ISO/IEC 27001:2013 mentioning
"information security"
shall be extended to the protection of privacy
as potentially affected by the processing of PII.
5.1. GEN ER AL ( EN KEL EN GELS)
ISO27701 ALS ADD-ON OP ISO27001 (GDPR)
February 13, 2020
N OTE I N P RACTICE ,
W HE RE " INFORMATION S E CURITY " I S US E D I N ISO/IEC 2 7 0 0 1 : 2 0 1 3 ,
"INFORMATION SECURITY AND D ATA PR OTECTION ”
AP P LIE S INS TE AD ( S E E A NNE X F) . /../'
20. Page 20 | www.dqsbelgium.be/ February 13, 2020
▪ = betrokken persoon/bedrijf in geval van verwerkingsverantwoordelijke
▪ = verwerkingsverantwoordelijk in geval van verwerker
▪ = verwerker in case of onderaannemer
4.4. C U STOMER ( "KLAN T")
TER INFO
February 13, 2020
21. Page 21 | www.dqsbelgium.be/ February 13, 2020
4.3 ISO27001 VER EISTEN ( ISO27701 C LAU SE 5 )
ISO27701 MAPPING NAAR ISO27001
February 13, 2020
ISO27701 Topic ISO27001 Remark
5.2 Context of organisation 4 Gewijzigd
5.3 Leadership 5 Direct
5.4 Planning 6 Gewijzigd
5.5 Support 7 Direct
5.6 Operation 8 Direct
5.7 Performance evaluation 9 Direct
5.8 Improvement 10 Direct
22. Page 22 | www.dqsbelgium.be/ February 13, 2020
4.3 ISO27002 VER EISTEN ( ISO27701 C LAU SE 6 )
ISO27701 MAPPING NAAR ISO27001
February 13, 2020
ISO27701 Topic ISO27002 Remark
6.2 Policies 5 Gewijzigd
6.3 Organisation 6 Gewijzigd
6.4 HR 7 Gewijzigd
6.5 Asset Management 8 Gewijzigd
6.6 Access Control 9 Gewijzigd
6.7 Cryptography 10 Gewijzigd
6.8 Physical and environment 11 Gewijzigd
23. Page 23 | www.dqsbelgium.be/ February 13, 2020
4.3 ISO27002 VER EISTEN ( ISO27701 C LAU SE 6 )
ISO27701 MAPPING NAAR ISO27001
February 13, 2020
ISO27701 Topic ISO27002 Remark
6.9 Operations 12 Gewijzigd
6.10 Communications 13 Gewijzigd
6.11 Acquisition, Dev & mainten. 14 Gewijzigd
6.12 Suppliers 15 Gewijzigd
6.13 Incident Mgmt 16 Gewijzigd
6.14 Business Continuity 17 Direct
6.15 Compliance 18 Gewijzigd
24. Page 24 | www.dqsbelgium.be/ February 13, 2020
EXTEN SIES :
BEKNOPT
OVER ZIC H T
25. Page 25 | www.dqsbelgium.be/ February 13, 2020
Belangrijke uitbreiding van
▪ Toepasselijke wetgeving
▪ Noden en verwachtingen van betrokken en geinteresseerde partijen
▪ Management system scope (InfoSec + PII)
5.2 C ON TEXT
MEEST PROMINENTE EXTENSIES…
February 13, 2020
26. Page 26 | www.dqsbelgium.be/ February 13, 2020
Belangrijke uitbreiding van
▪ Risico analyse (naar PIA, DPIA)
▪ Risico behandeling
5.4 R ISIC O AN ALYSE
MEEST PROMINENTE EXTENSIES…
February 13, 2020
27. Page 27 | www.dqsbelgium.be/ February 13, 2020
Belangrijke uitbreiding van
▪ Policies (nu incl. PII)
▪ ISMS Rollen (ref. CISO + nu ook DPO)
▪ Training en bewustmaking (iedereen betrokken in PII verwerking)
▪ (!) MEDIA HANDLING
▪ Ref. Data breaches (GDPR)
▪ Encryptie, veilige vernietiging, …
▪ Identity Management (deel van access control)
▪ GEEN HERGEBRUIK VAN userIDs
▪ User tracking
6. PIMS IN ISO27002
MEEST PROMINENTE EXTENSIES…
February 13, 2020
28. Page 28 | www.dqsbelgium.be/ February 13, 2020
Belangrijke uitbreiding van
▪ Information Backup
▪ Event logging
▪ Log protection
▪ Systeem ontwikkeling & aankoop (zie module 7 & 8)
▪ Test data
▪ GEBRUIK GEEN PII voor test data (gebruik dummy of synthetische data)
▪ INCIDENT MANAGEMENT (ref. GDPR data breaches)
▪ Compliance (wetgeving !, IP, data bescherming,…)
6. PIMS IN ISO27002
MEEST PROMINENTE EXTENSIES…
February 13, 2020
29. Page 29 | www.dqsbelgium.be/ February 13, 2020
Ref. GDPR rechten betrokkenen en & verantwoordelijkheid controller
▪ uitdrukkelijk omschreven en gerechtvaardigde doeleinden
▪ Rechtmatige verwerking
▪ Beheer toestemming
▪ PIA/DPIA
▪ PII Verwerkingscontracten
▪ Rechten betrokken personen ("PII principal")
✓ Informatie
✓ Recht op beperking
✓ Copy van PII data
✓ Recht op toegang
7. GID SIN G VOOR VERW ER KIN GSVER AN TW OOR D ELIJ KEN
MEEST PROMINENTE EXTENSIES…
February 13, 2020
30. Page 30 | www.dqsbelgium.be/ February 13, 2020
Ref. GDPR rechten betrokkenen en & verantwoordelijkheid controller
▪ Privacy by design (GDPR = "data protection by design")
▪ Privacy by default (GDPR = "data protection by default")
▪ Data minimizatie principes
▪ Accuraatheid & kwaliteit
▪ De-identification & vernietiging
▪ PII sharing, transfer & disclosure
✓ Incl. verwijzing naar internationale wetgeving
7. GID SIN G VOOR VERW ER KIN GSVER AN TW OOR D ELIJ KEN
MEEST PROMINENTE EXTENSIES…
February 13, 2020
31. Page 31 | www.dqsbelgium.be/ February 13, 2020
Ref. controller vs processor responsibility
▪ Contract (to delegate obligations)
▪ Marketing & advertisement
▪ Conflict of interest (of wettelijke conflicten)
▪ PbD & PbDef
▪ Tijdelijke bestanden files
▪ PII transfer & Vernietiging
▪ (!) transfer between jurisdicties
▪ Disclosure aanvragen
8. GID SIN G VOOR VERW ER KER S
MEEST PROMINENTE EXTENSIES…
February 13, 2020
32. Page 32 | www.dqsbelgium.be/ February 13, 2020
Niet alle controle objectieven en maatregelen in de annex moeten geimplementeerd
worden in de PIMS implementatie
Wanneer ze uitgesloten worden: uitleg in SoA.
("Comply or explain")
AN N EX A : C ON TR OLE OBJ EC TIEVEN VOOR VERW ER KIN GS -
VER AN TW OOR D ELIJ KEN
MEEST PROMINENTE EXTENSIES…
February 13, 2020
33. Page 33 | www.dqsbelgium.be/ February 13, 2020
Niet alle controle objectieven en maatregelen in de annex moeten geimplementeerd
worden in de PIMS implementatie
Wanneer ze uitgesloten worden: uitleg in SoA.
("Comply or explain")
AN N EX B : C ON TR OLE OBJ EC TIEVEN VOOR VERW ER KER S
MEEST PROMINENTE EXTENSIES…
February 13, 2020
34. Page 34 | www.dqsbelgium.be/ February 13, 2020
AN N EX A: C ON TR OL OBJ EC TIVES FOR C ON TR OLLER S ( 31)
MEEST PROMINENTE EXTENSIES…
February 13, 2020
A.7.2 Conditions for collection and processing (8)
A.7.3 Obligations to PII Principals (10)
A.7.4 Privacy by design and privacy by default (9)
A.7.5 PII Sharing transfer and disclosure (4)
35. Page 35 | www.dqsbelgium.be/ February 13, 2020
AN N EX B: C ON TR OL OBJ EC TIVES FOR PR OC ESSOR S ( 18)
MEEST PROMINENTE EXTENSIES…
February 13, 2020
A.8.2 Conditions for collection and processing (6)
A.8.3 Obligations to PII Principals (1)
A.8.4 Privacy by design and privacy by default (3)
A.8.5 PII Sharing transfer and disclosure (8)
36. Page 36 | www.dqsbelgium.be/ February 13, 2020
AN N EX C : MAPPIN G TO ISO29100
MEEST PROMINENTE EXTENSIES…
February 13, 2020
VERANTWOORDELIJKEN
11 modules (44 controls)
VERWERKERS
9 modules (20 controls)
37. Page 37 | www.dqsbelgium.be/ February 13, 2020
Annex D: mapping to GDPR
Table on 3 pages ;)
Annex E-F
▪ ISO 27018/29151
▪ Hoe implementeren (Info sec > "info sec + privacy")
❑ Standaard gebruiken zoals hij is
❑ Toevoeging (bijkomende vereisten)
❑ Verfijning van implementatie
AN N EX D & E - F
MEEST PROMINENTE EXTENSIES…
February 13, 2020
38. Page 38 | www.dqsbelgium.be/ February 13, 2020
C ER TIFIC ATIE :
GDPR?
ISO?
39. Page 39 | www.dqsbelgium.be/ February 13, 2020
Bronnen
▪ ISO 27001
▪ GDPR
▪ Cyber Act
C ON TEXT
CERTIFICATIE
February 13, 2020
40. Page 40 | www.dqsbelgium.be/ February 13, 2020
ISO27001
▪ Internationaal,
▪ Gestandaardiseerd
▪ Wederzijdse herkenning
▪ GDPR
▪ EU wetgeving, MAAR…
▪ Certificatie gecontroleerd door
✓ National DPA, of
✓ Accreditation bodies of,
✓ EDPB…
WAAR OM IS D IT BELAN GR IJ K?
CERTIFICATIE
13 februari 2020
41. Page 41 | www.dqsbelgium.be/ February 13, 2020
NIS
▪ Richtlijn (geen verordening)
▪ Implementatie van nationalel wet nodig
▪ Verschillende implementaties… niet consistent
Cyber Act
▪ EU (enkel)
▪ Verordening
▪ Incl. certificatie
WAAR OM IS D IT BELAN GR IJ K?
CERTIFICATIE
13 februari 2020
42. Page 42 | www.dqsbelgium.be/ February 13, 2020
Voorbereiding & implementatie
▪ Project implementatie
▪ In-productie-stellling
▪ 1st Interne audit
Certificatie
▪ Externe audit - certificatie (T0)
▪ Surveillance audits (T0+1y, T0+2y)
▪ Hercertificatie (T0+3y)
Cyclus - herhaling
• Herhaalt zich elke 3 jaar
IN H ET KORT
ISO CERTIFICATIE
13 februari 2020
44. Page 44 | www.dqsbelgium.be/ February 13, 2020
GDPR certification
▪ In beweging… eerste consultaties voor tech schema gestart
▪ EDPB publiceerde guidelines… niks meer dan dat.
▪ Alle EU landen moeten certificatie schema publiceren… (28)
▪ Geen schema gepland bij lancering GDPR
▪ ISO27701 kan een goede gids zijn voor basis schema maar vereist aanvaarding
Cyber Act
▪ EU (only)
▪ Verordening
▪ Start met schema… Bestaand schema beschikbaar
D E STATU S VAN D AAG
GDPR CERTIFICATIE
13 februari 2020
45. Page 45 | www.dqsbelgium.be/ February 13, 2020
ISO certification
• ISO27001 certification
• met ISO27701 scope extensie
Mogelijk risico
• Mismatch met Nationale of EU schema ALS ze een ander schema zouden kiezen
(klein risico)
D E EN IGE OPTIE VAN D AAG
CERTIFICATIE
13 februari 2020
46. Page 46 | www.dqsbelgium.be/ February 13, 2020
C YB ER SEC U R ITY
VS
D ATA PR OTEC TION
47. Page 47 | www.dqsbelgium.be/ February 13, 2020
Geen data protectie zonder cyber security
Maar wel cyber security zonder gegevensbescherming (GDPR, persoonlijke data)
De belangrijkste data lekken ontstaan door gebrek aan voldoende cybersecurity/cyber-hygiëne
Let op
▪ CCB vs DPA
▪ ENISA vs EDPB (European Data protection Board)
Sterke en groeiende afhankelijkheid!
C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G
WELKE ROL SPEELT CYBER HIERIN?
February 13, 2020
48. Page 48 | www.dqsbelgium.be/ February 13, 2020
CCB
https://cyberguide.ccb.belgium.be/nl
▪ Cyber Security guide
▪ BSG (Baseline Security guidelines) voor overheid
DPA
https://www.gegevensbeschermingsautoriteit.be/
FOD ECONOMIE: cybersecurity & KMO's
https://economie.fgov.be/nl/themas/ondernemingen/een-onderneming-beheren-en/cybersecurity-en-
kmos
C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G
WELKE ROL SPEELT CYBER HIERIN?
February 13, 2020
49. Page 49 | www.dqsbelgium.be/ February 13, 2020
VLAANDEREN
https://www.vlaio.be/nl/andere-doelgroepen/vlaams-beleidsplan-cybersecurity
C YBER SEC U R ITY VS GEGEVEN SBESC H ER MIN G
WELKE ROL SPEELT CYBER HIERIN?
February 13, 2020
50. Page 50 | www.dqsbelgium.be/ February 13, 2020
GDPR Certificatie
https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-
recommendations-best-practices_nl
EDPB Guidelines 1/2018 on certification and identifying certification criteria in accordance
with Articles 42 and 43 of the Regulation - version adopted after public consultation
EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the
General Data Protection Regulation (2016/679) - version adopted after public consultation
N IET U IT H ET OOG VER LIEZEN
WAT KOMT ER NOG?
13 februari 2020
51. Page 51 | www.dqsbelgium.be/ February 13, 2020
Roll-out NIS Wetgeving
Gepubliceerd April 2019… nu (langzaamaan) in praktijk gezet
http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&cn=2019040715
&table_name=wet
Cyber Act
(evenknie van GDPR voor cyberbeveiliging)
Goedgekeurd.. nog 2 jaar voor activatie
Incl. Certificatie
N IET U IT H ET O O G VER LIEZEN
WAT KOMT ER NOG?
February 13, 2020
52. Page 52 | www.dqsbelgium.be/ February 13, 2020
Click on the icon in the middle to insert a picture. Optimally, the resolution
of the image should be 1600 x 900 pixels, 96 dpi and no more than 1 MB.
You can adjust the image section with the cut-out tool. (Instructions see appendix)
DANK JE
voor de aandacht
Zijn er nog vragen?
53. Page 53 | www.dqsbelgium.be/ February 13, 2020
MEER INFO
POST
DQS Belgium
Drukpersstraat 4
1000 Brussel
CONTACTEER ONS
Phone +32 2 540 24 00
info@dqsbelgium.be
www.dqsbelgium.be
VOLG ONS
LinkedIn
Facebook