ISO/IEC 27018:2019 is de internationale norm voor de bescherming van persoonsgegevens (Personally Identifiable Information, PII) in publieke cloudomgevingen. De norm is ontwikkeld als aanvulling op ISO 27001 en richt zich specifiek op cloud service providers die persoonsgegevens verwerken in opdracht van hun klanten.
In de context van de AVG fungeert de cloud service provider als verwerker. ISO 27018 vertaalt veel van de AVG-vereisten voor verwerkers naar concrete technische en organisatorische maatregelen die een cloudprovider moet treffen.
Wat eist ISO 27018?
De norm bevat aanvullende controls bovenop ISO 27002 die specifiek zijn ontworpen voor de bescherming van persoonsgegevens in de cloud. De belangrijkste eisen zijn:
Doelbinding: persoonsgegevens mogen alleen worden verwerkt voor het doel waarvoor de klant ze heeft verstrekt. De cloudprovider mag klantdata niet gebruiken voor eigen doeleinden zoals marketing of profilering.
Transparantie: de provider moet duidelijk communiceren in welke landen of regio's persoonsgegevens worden opgeslagen en verwerkt. Subverwerkers moeten vooraf worden gemeld aan de klant.
Teruggave en verwijdering: bij beeindiging van het contract moet de provider de persoonsgegevens teruggeven aan de klant en vervolgens veilig verwijderen, inclusief alle kopieën en back-ups.
Datalekken: de provider moet een proces hebben om beveiligingsincidenten met persoonsgegevens te detecteren, te onderzoeken en tijdig te melden aan de klant, zodat deze aan de meldplicht bij de Autoriteit Persoonsgegevens kan voldoen.
Verhouding tot de AVG
ISO 27018 en de AVG overlappen op meerdere punten. De norm biedt een praktisch kader om als cloudprovider aan te tonen dat je aan de verwerkersverplichtingen uit de AVG voldoet. Het is geen vervanging van de AVG, maar een operationalisering ervan voor cloudomgevingen.
Voor klanten van cloudproviders is een ISO 27018 certificering een signaal dat de provider de bescherming van persoonsgegevens serieus neemt. Het vereenvoudigt de due diligence bij het selecteren van cloudleveranciers en versterkt de positie bij het afsluiten van verwerkersovereenkomsten.
Combinatie met ISO 27001 en ISO 27017
ISO 27018 wordt nooit los gecertificeerd. Het is altijd een uitbreiding op een bestaand ISO 27001 certificaat. In de praktijk combineren veel cloudproviders ISO 27001 met zowel ISO 27017 (algemene cloudbeveiliging) als ISO 27018 (privacy in de cloud). Deze combinatie biedt het meest complete beeld van beveiliging en privacy voor clouddiensten.
Secure Audit begeleidt cloudproviders bij de implementatie en audit van ISO 27018 als extensie op hun ISO 27001 certificering. Neem contact op voor een gesprek over uw privacy-in-de-cloud strategie.
Lees ook
ISO 27017 biedt specifieke richtlijnen voor informatiebeveiliging in cloudomgevingen, als aanvulling op ISO 27001. Lees wat de norm toevoegt en wanneer je het nodig hebt.
De AVG stelt eisen aan de verwerking van persoonsgegevens. Lees hoe een IT-auditor beoordeelt of je technische maatregelen voldoen aan de privacywetgeving.
ISO 27701 voegt privacy management toe aan je ISO 27001 certificering. Lees hoe de norm werkt, wat het verschil is met de AVG en wanneer het waardevol is.
Over de auteur
Partner | IT-auditor