Inleiding
In bewerkersovereenkomsten wordt door ICT-leveranciers (“bewerker” in de zin van de Wbp) steeds vaker verwezen naar een zogeheten Verklaring van Toepasselijkheid (VvT). De ICT-leverancier beoogt daarmee de opdrachtgever (“verantwoordelijke” in de zin van de Wbp) te overtuigen dat hij passende technische en organisatorische maatregelen ten uitvoer heeft gelegd om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. In dit artikel wordt beschreven wat een VvT is, en wat het belang daarvan is binnen een Information Security Management System (ISMS).
VvT verplicht op grond van ISO27001 en NEN7510
Bij een certificeringstraject voor de ISO27001 of de NEN7510 ontkomt de te certificeren organisatie er niet aan: er dient verplicht een VvT te worden opgesteld. Een VvT is een document waarmee een organisatie vastlegt welke Beheersmaatregelen zijn geïmplementeerd op het gebied van informatiebeveiliging. De ISO27001 zegt er in hoofdstuk 6.1.3, lid d het volgende over:
“Een verklaring van toepasselijkheid op te stellen die de benodigde beheersmaatregelen bevat, een rechtvaardiging voor het opnemen ervan, de informatie of ze zijn geïmplementeerd of niet, en de rechtvaardiging om beheersmaatregelen van bijlage A uit te sluiten.”
De VvT verplichting uit de NEN7510:2011, alsook de ‘nieuwe’ NEN 7510 die in 2017 effectief zal worden – sluit hierop aan.
Inrichten ISMS
Het inrichten van een ISMS gaat kort gezegd als volgt. Er vindt een risicobeoordeling plaats, waaruit risico`s naar voren komen. Vervolgens wordt in een ‘Behandelplan’ vastgelegd welke Maatregelen worden genomen om onacceptabele risico`s terug te brengen naar een acceptabel niveau. Vervolgens worden alle Beheersmaatregelen uit het normenkader (NEN 7510 of ISO 27001) geanalyseerd en wordt de VvT opgesteld.
Zowel de ISO 27001 als de NEN 7510 gebruiken de termen Maatregelen en Beheersmaatregelen door elkaar. In dit artikel wordt de term Maatregel gehanteerd voor de ‘zelfontworpen’ Beheersmaatregelen, en de term Beheersmaatregel voor de items uit de Annex van de ISO 27001 en de body van de NEN 7510.
Dus met Maatregel wordt hier bedoeld een actie, procedure etc. die specifiek voor een organisatie en de betreffende risico’s zijn bedacht. Met Beheersmaatregel wordt in dit artikel bedoeld een van de items (vaak geformuleerd als algemene eis) uit de ISO 27001 of de NEN 7510.
In de Verklaring van Toepasselijkheid wordt de relatie gelegd tussen de (algemeen geformuleerde) Beheersmaatregelen uit het normenkader, de Maatregelen die de organisatie zelf heeft ontworpen en de onderkende risico’s. Deze relatie wordt weergegeven in onderstaande figuur.
De VvT kan worden beschouwd als één van de verplichte onderdelen van een ISMS. Vanuit de andere kant bezien heeft een VvT veel te bieden. Het laat zien hoever een organisatie is met het inrichten van het ISMS en welke Maatregelen die organisatie heeft genomen – of gaat nemen – voor het mitigeren van de onderkende risico`s. Een mogelijke opbouw van de VvT kan zijn:
Bij elke beheersmaatregel uit de annex van de ISI27001 of uit de NEN 7510 wordt de volgende informatie gegeven:
- De toepasselijkheid: is de Beheersmaatregel wel of niet van toepassing is op de relevante organisatie?
- Onderbouwing toepasselijkheid: Aan de hand van de risicobeoordeling, wet- en regelgeving, contractuele verplichtingen wordt uitgelegd waarom de Beheersmaatregel wel of niet van toepassing is.
- Uitwerking: Hier verduidelijkt de organisatie of specifieke Maatregelen zijn genomen, en hoe die passen bij de Beheersmaatregel.
- Implementatie: hier wordt verduidelijkt wanneer de Beheersmaatregel volledig is geïmplementeerd.
Heeft het waarde om in een bewerkersovereenkomst naar de VvT te verwijzen?
Heeft het verwijzen naar een VvT in een bewerkersovereenkomst enige waarde indien de ICT-leverancier daarmee wil aantonen dat hij passende technische en organisatorische maatregelen ten uitvoer heeft gelegd om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking? Dat is zeker nuttig, mits de leverancier zijn VvT – inclusief de toelichtingen – ter inzage wil geven aan de verantwoordelijke. Zo kan de verantwoordelijke beoordelen of de leverancier alle beheersmaatregelen uit de ISO 27001 heeft geïmplementeerd. Als de leverancier beheersmaatregelen niet van toepassing heeft verklaard, kan de verantwoordelijke ook beoordelen of dat terecht is, of dat de leverancier eigenlijk meer had moeten doen. Omdat de VvT vaak ook informatie geeft over de risico’s en kwetsbaarheden van de leverancier, zal het voorkomen dat een leverancier slechts een deel van de VvT wil verstrekken, of de VvT alleen in het bijzijn van een medewerker van de leverancier wil laten zien.
Wanneer een verantwoordelijke wil steunen op een ISO 27001 certificaat van de leverancier is de ‘scope – beschrijving’ van het ISO 27001 certificaat nog belangrijker dan het bekijken van de VvT. Immers een ISO 27001 kan worden afgegeven op een deel van de processen van de leverancier, dus de leverancier kan essentiële processen (onderdelen) van zijn organisatie ‘buiten scope’ hebben geplaatst. En dit is iets dat niet blijkt uit de VvT.