AVG en Cybersecurity Act: integreren alstublieft!
Dit artikel is eerder verschenen in iBestuur.
Een maand geleden stuurden de Nederlandse CIO’s, verenigd in het CIO Platform, een brandbrief naar de Autoriteit Persoonsgegevens (AP). Aanleiding hiervoor was de jarenlange strijd tussen de Nederlandse Overheid en Microsoft om de diensten die Microsoft aan de Overheid levert, in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) te krijgen. De boodschap die de CIO’s aan de AP wilden overbrengen was: “als de Overheid al zoveel problemen heeft om haar relatie met een partij als Microsoft AVG compliant te krijgen, hoe moeten wij dat dan in Hemelsnaam als kleinere partijen voor elkaar krijgen en wat gaat ons dat wel niet kosten? AP: ga met je Europese kompanen in overleg en kom met een werkbare oplossing!”.
Dit is een typisch voorbeeld van de worsteling waar veel organisaties in deze steeds complexer wordende samenleving mee te maken hebben. Overigens niet alleen gebruikersorganisaties, maar met name ook de aanbieders van ICT diensten die uiteindelijk aan veel van de eisen invulling moeten geven. Een worsteling die ook door het Ministerie van Economische Zaken en Klimaat onderkend wordt en waar onder de vlag van het Partnering Trust project een oplossing voor gezocht wordt.
Aan dit compliance vraagstuk zitten verschillende aspecten:
- Aan welke eisen/normen/voorwaarden moet voldaan worden?
- Hoe kun je aan deze eisen voldoen?
- Wie is/zijn hier verantwoordelijk voor?
- Hoe moet aangetoond worden dat aan de eisen voldaan wordt (conformiteitsbeoordeling)?
- Wie betaalt dit?
- Wat als dit conflicterend is met verdienmodellen die de organisatie hanteert?
De AVG heeft aangetoond dat dit een buitengewoon complex vraagstuk kan zijn. In onze netwerksamenleving is het namelijk niet meer zo dat één partij belast is met de uitvoering van een (gegevensverwerkend) proces maar dat er vrijwel altijd sprake is van meerdere partijen. Daarbij is het bovendien vaak voor de eindverantwoordelijke partij niet altijd duidelijk welke onderliggende partijen betrokken zijn bij de uitvoering van aan derden uitbestede diensten. Met andere woorden: je bent er als verwerkingsverantwoordelijke van persoonsgegevens niet met het opstellen van een privacyreglement, het aanstellen van een functionaris gegevensbeveiliging en het uitvoeren van een impact assessment. Je bent ook verantwoordelijk voor de maatregelen bij de verwerkers waar de gegevens uiteindelijk verwerkt en opgeslagen worden.
Een platform provider als Microsoft moet dus voldoen aan eisen die de AVG aan Microsoft ten behoeve van haar klanten stelt. Die klanten verwachten dat Microsoft dit aantoont zodat ze met een gerust hart tegen de AP kunnen zeggen dat ze AVG compliant zijn. Mocht Microsoft gebruik maken van andere sub-dienstverleners die betrokken zijn bij de diensten die Microsoft levert, dan geldt voor die sub-dienstverleners hetzelfde. Al met al ontstaat er dus een complexe legpuzzel.
Maar helaas is de AVG maar één voorbeeld. Organisaties die te maken hebben met accountantscontrole moeten aan hun accountants aantonen dat de gegevensverwerking voldoet aan “de eraan te stellen eisen”. Daarbij worden dan vaak normen gehanteerd die (gelukkig) grote gelijkenis vertonen met ISO27002. Maar daar bovenop komen vaak specifieke sectorafhankelijke eisen. Organisaties die betaalkaarten verwerken moeten voldoen aan de Payment Card Industry Data Security Standard (PCI-DSS). Betalingsdienstaanbieders moeten voldoen aan de Payment Service Directive 2 (PSD2). Zorgverleners verlangen van hun IT leveranciers dat ze voldoen aan NEN7510. En ga zo maar door.
Het voldoen aan al deze eisen en normen is één ding, maar veelal maken ze onderdeel uit van certificeringsschema’s met verschillende protocollen en methoden voor het vaststellen van de conformiteit.
Een voorbeeld: een hostingprovider is ISO 27001 gecertificeerd en voldoet dus aan de voor de provider relevante normen van ISO 27002. Een van zijn klanten is een beursgenoteerd fonds en de accountant van dit fonds wil zekerheid dat de hostingprovider voldoet aan ISO 27002. Dan is het overleggen van het ISO 27001 certificaat niet voldoende omdat de protocollen van de accountant voorschrijven dat vastgesteld moet zijn dat de maatregelen die in ISO 27002 beschreven zijn, gedurende de gehele verslagperiode gewerkt hebben en de accountant verlangt tevens dat alle tijdens de audit vastgestelde afwijkingen en uitzonderingen gerapporteerd worden. Dat is iets dat je in een ISO 27001 certificaat niet terugvindt.
Andersom werkt het wel beter: een hostingprovider die beschikt over een assurance rapport (ISAE 3000/3402, SOC 1) dat gebaseerd is op ISO 27002 zou met relatief beperkte aanvullende inspanning een ISO 27001 certificaat moeten kunnen verkrijgen.
De oplossing van deze problematiek lijkt dus te liggen in harmonisatie van normenkaders en het hanteren van een op assurance standaarden gebaseerde audit ter vaststelling van de conformiteit. Dat klinkt als een ei van Columbus ware het niet dat iedere toezichthouder en certificeringsvorm een hele historie met zich mee torst die zich niet zonder meer in een geharmoniseerde aanpak laat persen. Daar komt nog bij dat sommige toezichthouders het toezicht als een autonome taak beschouwen die men zelfstandig wil/moet invullen en dus niet wil/kan baseren op door onafhankelijke derden uitgevoerd onderzoek.
Desondanks is er toch veel te winnen door harmonisering van normenkaders en regelgeving. Een belangrijke ontwikkeling in dit verband is de nieuwe Europese Cybersecurity Act die op 27 juni 2019 in werking is getreden. In het kader van deze verordening moet ENISA, het Europese Agentschap voor Cybersecurity, invulling geven aan certificeringsschema’s voor verschillende soorten IT producten, diensten en processen. Een van de eerste schema’s die zij zullen opstellen heeft betrekking op cloud dienstverleners. Op initiatief van de Europese Commissie heeft een stakeholder groep zich de afgelopen anderhalf jaar over deze materie gebogen en heeft in juni een advies aan ENISA uitgebracht voor de invulling van het schema. Namens Nederland hebben Zeker-OnLine, NOREA en de Erasmus Universiteit onder de vlag van het Partnering Trust project van het Ministerie van Economische Zaken en Klimaat, hierin geparticipeerd.
Wat is een certificeringsschema?
Een certificeringsschema beschrijft per soort IT dienst, product of proces in detail op welke wijze een certificering tot stand komt. In de nieuwe Cybersecurity Act worden dit ook wil de Cyberbeveiligingscertificeringsregelingen genoemd. In de nieuwe Cybersecurity Act wordt een algemeen raamwerk beschreven voor cybersecurity certificering in de Europese Gemeenschap. Hierin staan onder meer de nieuwe rol van ENISA, de samenwerking tussen ENISA en de Europese Commissie en de overige toezichthoudende organen op EU- en lidstaat-niveau. In artikel 54 van de Wet wordt een opsomming gegeven van de elementen die tenminste in een schema aan bod moeten komen. Belangrijke elementen zijn onder andere scope, doelstelling, normering, toegestane typen conformiteitsbeoordeling en de onderkende zekerheidsniveaus (security levels). De wet bepaalt dat ENISA op aanwijzing van de Europese Commissie de schema’s opstelt op basis van een door de Europese Commissie op te stellen “rolling workplan”.
Het project van de werkgroep (CSPCert) kende twee belangrijke mijlpalen: 1) een advies met betrekking tot het te hanteren normenkader en 2) een advies over het te hanteren conformiteits onderzoek. Voor de eerste mijlpaal is een analyse uitgevoerd van zes bestaande certificeringsschema’s op basis waarvan een advies is opgesteld die de “grootste gemene deler” van deze zes schema’s bevat. Dit normenkader dekt de algemene beheersmaatregelen in alle Cobit domeinen af en mag dus als redelijk volledig beschouwd worden.
Wat betreft het conformiteitsonderzoek worden er drie verschillende methoden geadviseerd:
- Een evidence based conformity assessment,
- Een ISO based conformity assessment, en
- Een Assurance based conformity assessment.
Het is aan ENISA om te bepalen welke methode voor welk security level moet worden toegepast. Ervan uitgaande dat infrastructuur- en hostingproviders hun diensten direct danwel indirect aan een breed scala aan afnemers aanbieden, lijkt het voor de hand te liggen dat zij zullen kiezen voor een assurance based methode zodat de uitkomsten daarvan voor alle security levels kunnen worden toegepast en tevens als basis kunnen fungeren voor andere sectorspecifieke certificeringen.
Lost certificering in het kader van de Europese Cybersecurity Act nu het AVG probleem op? Helaas niet. De AVG stelt eisen aan de relatie tussen verwerkingsverantwoordelijke en verwerker van de persoonsgegevens die niet binnen de scope van de cybersecurity certificering vallen. De Cybersecurity Act heeft dan ook nadrukkelijk een verband met de Free flow of non-personal data Regulation van de EU. Daarnaast is certificering in het kader van de AVG geen verantwoordelijkheid van ENISA maar van de Autoriteiten Persoonsgegevens van de lidstaten, onder aanvoering van het Europees Comité voor gegevensbescherming, de EDPB. Veel partijen zijn met de nationale autoriteiten en de EDPB in gesprek hierover maar helaas heeft dit nog niet geleid tot een oplossing. Toch zijn er ook overeenkomsten in de scope van de AVG en de Cybersecurity Act. Er ligt hier naar mijn mening nadrukkelijk een kans voor de Europese Unie om zaken te harmoniseren en te integreren. In plaats van het ontwikkelen van nóg een certificeringsschema zou het Europese bedrijfsleven erbij gebaat zijn als cybersecurity en bescherming van persoonsgegevens in één geïntegreerd schema zouden worden opgenomen of in ieder geval als er een goede afstemming tussen beide schema’s plaatsvindt. Daarmee zouden veel dubbel werk en kosten voorkomen kunnen worden wat de concurrentiepositie van het Europese bedrijfsleven weer ten goede komt.
In Nederland heeft Zeker-OnLine hier al ervaring mee. De Stichting Zeker-OnLine heeft een keurmerk ontwikkeld waarmee leveranciers van Online (cloud) software diensten de betrouwbaarheid van hun dienst kunnen aantonen. Het keurmerk wordt verstrekt op basis van een door een onafhankelijke IT auditor opgesteld assurance rapport. Dit keurmerk was in eerste instantie voornamelijk bedoeld voor leveranciers van boekhoud software om de betrouwbaarheid van hun software richting de Belastingdienst aan te tonen. Intussen is het keurmerk echter ook verleend aan leveranciers van softwarediensten die moeten voldoen aan de AVG zoals een salarisverwerker en portaal voor kinderopvang. Daarmee werd de AVG een domein binnen de eisen die door het keurmerk aan de dienst gesteld worden. Het keurmerk toetst een aantal elementaire door de AVG opgelegde normen. Nadrukkelijk (nog) niet bedoeld om een volledige zelfstandige AVG certificering te zijn maar wel om aan te tonen dat aan de belangrijkste basis voorwaarden voldaan wordt.
Door Tom Vreeburg bestuurslid Zeker-OnLine.
Deel dit artikel: