Informatiebeveiliging en privacy hebben veel raakvlakken, denk hierbij aan ransomware, want als er een ransomware aanval gedaan wordt en deze slaagt, heeft u te maken met een datalek. In oktober 2024 publiceerde de AP een nieuwsbericht dat er meer ransomware aanvallen zijn dan tot nu toe bekend. Dit is zorgwekkend, want dat betekent dat hackers voorop lopen met de techniek om in een systeem van een organisatie te komen. Door te voldoen aan de AVG en naar uw informatiebeveiliging te kijken maakt u het voor de hackers moeilijker om in het systeem van uw organisatie binnen te dringen.
31 maart 2025 •
Nieuws
Hoe kan ISO 27001 (informatiebeveiliging) helpen bij het voldoen aan de AVG?
AI is volop in ontwikkeling en ook daar heeft u te maken met privacy en informatiebeveiling. Uit onderzoek van de AP naar 9 populaire chatbotapps blijkt dat de meeste chatbotapps voor virtuele vriendschap en therapie bij mentale problemen onbetrouwbare informatie geven en soms zelfs schadelijk zijn. De chatbots bevatten verslavende elementen, doen zich voor als echte mensen en kunnen in een crisissituatie zelfs een gevaar vormen voor kwetsbare gebruikers. Vanuit informatiebeveiliging kijk je naar beschikbaarheid, integriteit en vertrouwelijkheid. In deze casus kun je concluderen dat de chatbotapps waarnaar onderzoek is gedaan niet altijd betrouwbaar zijn. Vanuit privacy oogpunt is het ook van belang weinig of geen persoonsgegevens te delen via zo’n chatbot. Zo vertelde Astrid Holleeder in een podcast met Daphne Deckers dat ze na een tijd gechat te hebben met ChatGTP dat ChatGTP haar ook ging herkennen. Dit is herkenbaar als je kijkt naar de resultaten uit het onderzoek van de AP.
Wat is het verschil tussen privacy en informatiebeveiliging?
De AVG bevat gedetailleerde voorschriften voor bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. Die regels gelden voor alle bedrijven en organisaties die persoonsgegevens van personen in de EU verwerken, ongeacht of die bedrijven nu in de EU gevestigd zijn, of daarbuiten.
ISO 27001 is een internationale standaard voor informatiebeveiliging en niet wettelijk verplicht, maar het kan u wel helpen om aantoonbaar te laten zien dat u uw informatiebeveiliging op orde heeft. De norm beschrijft hoe u procesmatig met het beveiligen van informatie kunt omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen uw organisatie zeker te stellen.
Zowel de ISO 27001 als de AVG zijn gericht op het beschermen van gegevens. De norm ISO 27001 is gericht op het beschermen van gegevens in de breedste zin van het woord en de AVG kijkt alleen naar persoonsgegevens. Het implementeren van een ISMS (Information Security Management System) volgens de ISO 27001 helpt u voor een deel met het naleven van de AVG: het zal helpen bij het identificeren en beheren van persoonlijke gegevens, inclusief waar en hoe lang deze worden opgeslagen en wie er toegang toe heeft.
ISO-normering
ISO 27001 is in 2022 herzien en in de herziene norm spelen privacy en cybersecurity een grotere rol. In de jaren daarna kreeg de norm een aantal kleinere updates, waardoor er nu drie verschillende versies in omloop zijn: ISO/IEC 27001:2022, ISO/IEC 27001:2023 en ISO/IEC 27001:2024.
Werkt u bij een zorginstelling of werkt u veel met zorginstellingen? Dan is het interessant om naar NEN 7510 te kijken. Als zorginstelling wil u goed omgaan met de gegevens van uw cliënten of patiënten. Bijvoorbeeld door te controleren wie er wanneer inlogt in het elektronisch patiëntendossier en wie daar überhaupt toegang toe heeft. Met uw opname in het register NEN 7510 is het voor iedereen duidelijk dat u professioneel omgaat met deze informatiebeveiliging.
Heeft u vragen naar aanleiding van dit artikel? Neem dan contact met ons op.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
