BLOG

VANAD Enovation neemt als eerste partij de AVG verklaring van DEKRA in ontvangst

Na het behalen van de ISO 27001, ISO 27799 en NEN 7510, kunnen we nu ook met trots mededelen dat we als eerste partij in Nederland met goed gevolg het AVG Assessment van DEKRA hebben doorlopen. Hiermee kunnen we aantonen dat ons beheersysteem is ingericht om te voldoen aan de AVG.

Met nog maar enkele weken te gaan, zijn veel organisaties nog niet klaar voor de Algemene Verordening Gegevensbescherming (AVG). Naast dat het voor organisaties belangrijk is om verschillende maatregelen te nemen, moeten zij ook met ingang van 25 mei aanstaande aantoonbaar kunnen maken dat ze klaar zijn voor de AVG.

Geen privacy zonder informatie beveiliging
Bianca Brooijmans en Dré Lameir zijn de Information Security Officers van VANAD Enovation en vertellen hoe ze tot dit resultaat zijn gekomen. Zoals ze tijdens het behalen van de ISO en NEN certificering al hebben aangegeven, zit informatiebeveiliging in ons DNA. Bianca vertelt dat we als organisatie informatie beveiliging en privacy niet los van elkaar zien: “We geloven dat het borgen van privacy valt of staat met een goede beveiliging van privacy gevoelige informatie. Het was een logisch vervolg om onze bestaande certificeringen uit te breiden met een vorm van een AVG compliancy verklaring.”

Dré vult haar aan: “De AVG is een verstrekkende wet waar nagenoeg geen enkel bedrijf aan ontkomt. Als je kijkt naar de markt waarin wij opereren – IT dienstverlening in de zorg – is het zorgvuldig omgaan met privacy gevoelige gegevens helemaal een ‘hot topic’. We hebben er destijds voor gekozen om ons te laten certificeren tegen de ISO27001 en NEN7510 normen om middels een onafhankelijk certificaat aan te tonen dat we onze processen en procedures op orde hebben. Het leek ons dan ook niet meer dan logisch om op zoek te gaan naar eenzelfde soort traject voor de AVG.”

Raakvlak
Net zoals bij de ISO en NEN certificering is er gekozen om de hele organisatie in scope te nemen en vooral geen nieuwe werkwijze te introduceren. We geloven als organisatie heel sterk dat het ISO 27001 en NEN 7510 normenkader een uitstekende basis is om AVG compliancy op uit te bouwen. “We hebben ons bestaande risicoprofiel onder de ISO en NEN uitgebreid met de topics uit de AVG en gezocht naar overlap. Het moet immers passen in de bestaande werkprocessen. De AVG kent  additionele onderwerpen welke niet direct terugkomen onder de ISO en NEN, zoals een verplichte privacyverklaring, of de rechten van betrokkenen. Andere onderwerpen zoals een gegevensverwerkingsregister kennen overlap met bijv. Asset Management. Door hier in de projectfase van de ISO en NEN al op in te spelen, hebben we ervoor kunnen zorgen dat we de aanvullende processen en procedures rondom de AVG  in het bestaande ISMS (Information Security Management System) konden vastleggen. We hebben het geheel wederom laten toetsen door DEKRA, een onafhankelijke deskundige partij.” vertelt Bianca.

Onafhankelijke toetsing
DEKRA is een gerespecteerde, onafhankelijke partij met accreditatie voor de ISO 27001 en NEN 7510. In onze optiek zijn zij experts als het gaat om het beoordelen van een goed managementsysteem. Sinds maart 2018 bieden zij ten aanzien van de AVG ook een self assessment met verificatie audit aan. Vincenzo Noce, Manager Business Development & Sales Support bij DEKRA: “Als certificatie-instelling hebben we ons verdiept in de AVG en lieten deze kans niet aan ons voorbij gaan. Naast onze geaccrediteerde certificeringen, bieden we ook audit assessment services. Vanuit deze expertise hebben we een AVG Assessment Service ontwikkeld. Als specialist in informatiebeveiliging in de zorg – daar draait het uiteindelijk om bij beveiligd berichtenverkeer in de breedste zin – was VANAD Enovation op zoek naar een onafhankelijke toetsing rondom de implementatie van de AVG en heeft ons gevraagd deze toetsing uit te voeren.”

De applicatie is uitgewerkt in een self assessment die wordt opgevolgd door een verificatie-audit. Een geïnteresseerde partij ontvangt allereerst het self assessment om te doorlopen en als zij – binnen een gesteld tijdsframe – daar klaar voor zijn, zal DEKRA dit komen toetsen. Deze verificatie-audit is een toetsing om te kunnen beoordelen of de organisatie de materie ook daadwerkelijk begrepen heeft en kan uitvoeren wanneer het nodig is. Er wordt hierbij gekeken of er aantoonbaar ingerichte procedures zijn en of personeel en klanten zijn cq. worden voorzien van de juiste informatie. Een verificatie verklaring wordt alleen verstrekt als alle onderdelen tijdens bij de verificatie audit aantoonbaar en voldoende zijn ingericht.|

Vier op een rij
Na het behalen van het officiële assessment mochten we de verklaring in ontvangst nemen waarin wordt bevestigd dat ons beheersysteem is ingericht om te voldoen aan de AVG. Bianca: “Het is voor ons erg belangrijk om dit proces te doorlopen en ons goed voor te bereiden op de AVG. Dat we op dit moment al een verklaring van een onafhankelijke partij als DEKRA in ontvangst mogen nemen, vinden wij heel bijzonder.”

Dré vult haar aan: “We konden met de ISO 27001, ISO 27799 en NEN 7510 al aantoonbaar maken dat we voldoen aan de normen van informatie beveiliging in de zorg. Het laten zien dat we alles in huis hebben om ook te voldoen aan de AVG is hier op een mooie aanvulling.”.

Vanuit DEKRA willen ze meer bieden dan alleen een check. Vincenzo: “Als organisatie wil je gechallenged worden en beoordeeld krijgen of je niks over het hoofd hebt gezien. Het behalen van de verklaring bevestigt dan ook dat je de materie beheerst en klaar bent voor de AVG.”

Copyright 2018 Zorgmail

>