Steeds meer organisaties eisen het hebben en behouden van een ISO 27001 certificaat van leveranciers. Dat kan betekenen dat ook jouw klant eist dat je ISO 27001 gecertificeerd bent. Maar wat betekent dit eigenlijk voor jouw organisatie? En is het verplicht om hier aan te voldoen?
Wat is ISO 27001 en is het verplicht?
ISO 27001 is geen wet. Het is een normenkader voor informatiebeveiliging. Aan het normenkader voldoen is vrijwillig. En een aanleiding is vaak de eis van klanten. Of het gebruik als USP.
De norm helpt organisaties om inzicht te krijgen in bedrijfsrisico’s en daarop passende maatregelen te treffen. Het doel van de norm is bedrijfskritische informatie beschikbaar, veilig en kwalitatief op orde te houden. En een certificering toont aan dat dit intern geregeld is. Met andere woorden: je voldoet aantoonbaar aan de eisen en verwachtingen van klanten en misschien zelfs leveranciers.
ISO 27001 niet verplicht, maar informatiebeveiliging wel!
Volgens de Nederlandse en Europese wetten is een ISO 27001 certificering an sich dus niet verplicht. Dat neemt echter niet weg dat organisaties in Nederland wel degelijk verplicht zijn om hun informatiebeveiliging op orde te hebben. Met name voor de bescherming van persoonsgegevens. De AVG stelt namelijk dat organisaties persoonsgegevens technisch en organisatorisch goed moeten beveiligen. Een ISO 27001 implementatie kan je helpen bij het antwoord op de vraag: hoe moet je informatie binnen je bedrijf goed beveiligen?
Ook zorgwetten verplichten zorgorganisaties en leveranciers van zorg ICT om te voldoen aan normenkaders. In dit geval NEN 7510. Het normenkader voor informatiebeveiliging in de zorg. Een certificaat behalen is momenteel (nog) niet verplicht, maar voldoen aan de norm wel. En voor afnemers in de zorg betekent dat het opvragen van een certificaat de meest makkelijke methode is om dat te controleren.
Verplichtingen in een contract met verstrekkende gevolgen
Juridisch advies inwinnen voordat je en contract tekent is natuurlijk altijd slim. Maar als er een bepaling in een contract staat die jou verplicht je te certificeren voor de norm, des te meer. De impact hiervan zowel bedrijfsmatig als financieel is groot. Juist om dit soort zaken goed te overwegen, is het raadzaam om te overleggen met een juridisch adviseur.
ISO 27001 verplicht én voordelig
Alleen maar duur en impactvol? Zeker niet! Je kunt je bedrijf hier behoorlijk mee professionaliseren.
Wil je daar meer over weten? De consultants van partnerorganisatie BMGRIP vertellen je hier graag meer over.
Liever niet contractueel aan certificering gebonden worden? Dan help ik je met een vervangende bepaling, die er tóch voor zorgt dat jij je klant kunt behouden.
BEL MIJ TERUG
Vragen? AdviesJurist helpt je graag op weg met praktisch juridisch advies waar je direct in de praktijk me aan de slag kunt!
AdviesJurist
&
Privacy Professional
Het overbrengen van kennis op een manier die past bij de organisatie, zorgt ervoor dat organisaties zelf tot inzichten komen.
