Volg Software Zaken

Open standaard Security Verified is bijgewerkt

| Sieuwert van Otterloo | Privacy Security

ICT Institute heeft deze week de nieuwe versie van de open standaard Security Verified gepubliceerd. De nieuwe versie (2018.08) is voor het grootste deel gelijk aan de vorige versie (2016.10). De belangrijkste wijzigingen is een betere aansluiting bij de nieuwe privacywetgeving AVG.

Wat is Security Verified

‘Security Verified’ is een open standaard voor informatiebeveiliging van organisaties. De standaard wordt gebruikt door organisaties om aan te tonen dat ze een goed beleid hebben voor informatiebeveiliging. Voor bedrijven die zakendoen met grote partijen is dit vaak noodzakelijk, omdat grote bedrijven dit moeten eisen op basis van hun eigen beleid. Security Verified is vergelijkbaar met de internationale standaard ISO 27001. Inmiddels zijn er 11 bedrijven die conform Security Verified zijn gecertificeerd.

Aanpassingen door AVG

De belangrijkste verandering is aanpassingen om te voldoen aan de nieuwe privacywet AVG. Het is verwarrend voor bedrijven als wettelijk verplichte zaken niet in een standaard zijn opgenomen. We hebben daarom de verplichte punten uit de AVG direct in de standaard opgenomen. Het gaat hierbij bijvoorbeeld om het register van verwerkingsactiviteiten en het hebben van verwerkersovereenkomsten. Het wordt hierdoor voor ons makkelijker om bedrijven te helpen om AVG-compliant te zien. Bedrijven zelf kunnen ook de Security Verified criteria zelf gebruiken om hun AVG-compliance te toetsen. De AVG zelf eist namelijk wel een ‘passend beveiligingsniveau’ maar vult niet in hoe je dit doet. Met Security Verified is er een checklist die duidelijk maakt wat gebruikelijke beveiligingsmaatregelen zijn.

Vereenvoudiging van de structuur

Naast de AVG-aanpassingen is de formulering van veel eisen verduidelijkt en is ook een logischere structuur gekozen. Bij het doen van reviews merkten we dat de oude volgorde onlogisch is. Met de nieuwe volgorde en formuleringen worden reviews als het goed is eenvoudiger. Ook zijn er wat complere eisen gesplitst. Het resultaat is dat er nu 26 verplichte punten zijn (was: 22, het aantal is toegenomen door splitsing) en 28 aanbevolen practices waarvan men er 14 moet hebben (dit was 27 waarvan 14 verplicht).

Aan de slag

Het is de hoop van ICT Institute dat de nieuwe standaard het nog eenvoudiger maakt voor bedrijven om zelf aan de slag te gaan. De standaard is open en er zijn ook veel ondersteundende artikelen beschikbaar. We hopen dat bedrijf hierdoor kiezen om niet alleen eenmalig aan de slag te gaan met AVG, maar ervoor kiezen om continu de beveiliging te blijven verbeteren. De rol van ICT Institute is hierbij flexibel:

  1. De standaard raadplegen en gebruiken (bijvoorbeeld voor interne audit) is en blijft gratis. Ook zijn er veel gratis templates, bijvoorbeeld voor een verwerkersovereenkomst, een gegevensbeschermingseffectbeoordeling of een register van verwerkingsactiviteiten.
  2. Wie externe review en certificatie nodig heeft, kan ICT Institute bellen. Wij doen de review dan zelf of zoeken afhankelijk van de gewenste standaard mee naar de juiste geaccrediteerde partij.
  3. Wie begeleiding of ondersteuning wil, kan contact opnemen met ICT Institute voor een voorstel op maat. Ook geeft ICT Institute regelmatig training, zowel voor AVG als voor ISO 27001.

Het belangrijkste is dat bedrijven aan de slag gaan met beveiliging. Door de standaard Security Verified wordt het eenvoudiger om te beginnen.

Meer informatie

De volgende informatie is beschikbaar in het Engels: De nieuwe Security Verified eisen, informatie over het reviewproces en artikelen om te beginnen met information security, over risk management en het maken van een asset inventory.

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van software-kwaliteit, IT-strategie, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.