We zien ze vaak voorbij komen: de AVG, GDPR, de BIO… Maar wat houden ze precies in? In deze blog leggen we het verschillen tussen wetgevingen en normenkaders uit en behandelen we de belangrijkste wetgevingen en normenkaders.

Het verschil tussen wetgevingen en normenkaders

In Nederland hebben we te maken met meerdere soorten regels. Ten eerste kennen we regels vanuit Europa en vanuit Nederland. Daarnaast is er ook een verschil tussen wetten en regels, ook wel normenkaders genoemd. De wetgeving zijn regels die wij moeten uitvoeren, zoals beschreven in de AVG voor het beschermen van onze privacy. De normenkaders geven richtlijnen per sector en zijn als het ware best practices. Deze normenkaders vertellen je hoe je informatiebeveiligingsproces eruit moet zien.

Wetgevingen

De Algemene Verordening Gegevensbescherming (AVG)

In Nederland heb je vanuit de wetgeving te maken met de AVG. De AVG oftewel GDPR (General Data Protection Regulation) is een Europese privacywetgeving, die jou vertelt hoe je met persoonsgegevens moet omgaan. Kort samengevat is de AVG verantwoordelijk voor het beschermen van de privacyrechten van Europese burgers. Sinds 25 mei 2018 is deze wet in werking getreden en heeft de wet de WBP (wet bescherming persoonsgegevens) vervangen. Iedere organisatie in Nederland die persoonsgegevens verwerkt, van zelfstandigen tot de grote bedrijven, heeft daarom te maken met deze wetgeving.

Normenkaders

De BIR, de BIG en IBI

De BIR staat voor Baseline Informatiebeveiliging Rijksoverheid. De naam zegt het al, deze is volledig gericht op overheidsinstanties. Daarnaast hebben we ook de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Interprovinciale Baseline Informatiebeveiliging (IBI). Deze verschillende normenkaders waren vroeger bedoeld om iedere overheidslaag zijn eigen baseline te geven. Tegenwoordig zijn deze vervangen door één basisnormenkader: de BIO.

De BIO

De BIO staat voor de Baseline Informatiebeveiliging Overheid. Dit normenkader is bedoeld voor de gehele overheid, dus voor alle lagen. Denk hierbij aan het Rijk, de gemeenten, de provincies en de waterschappen. Door het samenvoegen van deze lagen in één normenkader, krijgt de overheid beter grip op informatiebeveiliging. Die betere grip komt door regelmatig risico analyses uit te voeren en de maatregelen te gebruiken om een betere beheersing te krijgen op de bescherming van informatie. De BIO is vastgesteld in december 2018, maar is nog niet geïmplementeerd in alle overheidslagen. Dat gebeurt in 2019 en in 2020 moeten de overheden verantwoording afleggen over de status van de BIO implementatie

De ISO 27001 norm

De ISO 27001 omschrijft hoe je procesmatig om moet gaan met je informatiebeveiliging. Als organisatie kan je hiermee aan klanten en andere partijen aantonen dat je op een goede manier met je informatie omgaat. Om een certificaat te bemachtigen voor deze norm, moet je onder andere een managementsysteem inrichten voor je informatie. Dit managementsysteem beschrijft hoe je het proces hebt ingericht voor de activiteiten: Plan, Do, Check en Act.

NEN 7510

Deze norm is specifiek bedoeld voor de zorg. Net als bij de ISO 27001 norm, toont de NEN 7510 aan dat je op een goede, vertrouwelijke manier met informatie omgaat, maar in dit geval gaat het om informatiebeveiliging voor de zorgsector. Wetgeving beschrijft dat de NEN710 ingericht moet worden in de zorgsector. Certificering is voor als nog geen eis, maar om een informatiebeveiligingsproces goed draaiend te houden is dat wel aan te bevelen.

De volgende stap: waaraan moet je voldoen?

Nu je een beter beeld hebt van wat de verschillende wetten en normen zijn, is de volgende stap om te bepalen waar jij mee aan de slag moet. In de meeste gevallen moet je in ieder geval voldoen aan de AVG. Want een simpel e-mailadres dat je verzamelt, valt al onder persoonsgegevens. De normen zijn daarentegen vaak vrijblijvender. Zo certificeren de meeste organisaties zich voor de ISO 27001, om reputatieschade te voorkomen of omdat er ketenafspraken bestaan. Tenslotte straalt dit certificaat vertrouwen uit naar klanten en leveranciers. Belangrijk dus om eerst te analyseren aan welke normen je moet voldoen, voordat je volgende stappen gaat ondernemen.