Skip to content

ISO 27017 en ISO 27018 certificering

Cloudbeveiliging en privacy aantoonbaar geregeld

Steeds meer informatie wordt in de cloud opgeslagen en verwerkt. Dit biedt flexibiliteit, schaalbaarheid en wereldwijde toegankelijkheid, maar brengt ook specifieke beveiligingsrisico’s met zich mee. Met een ISO 27017 of ISO 27018 certificering wordt aangetoond dat cloudbeveiliging aantoonbaar op orde is. Vraag direct een offerte aan en versterk het vertrouwen in de dienstverlening.

Vraag beoordeling aan

Voor wie is dit bedoeld?

Deze certificeringen zijn van belang voor:

  • Leveranciers van clouddiensten (cloud service providers) die data of persoonsgegevens verwerken (IaaS, PaaS, SaaS).
  • Afnemers van clouddiensten (cloud service customers) die garanties willen over de beveiliging van hun gegevens.
  • Organisaties in sectoren waar data- en privacybescherming cruciaal is, zoals zorg, overheid, IT, hosting, financiële dienstverlening en onderwijs.

Wat houdt het in?

Wat houdt ISO 27017 in?

ISO 27017 is een uitbreiding op ISO 27002 en biedt specifieke beheersmaatregelen voor cloudbeveiliging. Het bouwt voort op 37 ISO 27001/27002-controles en voegt 7 extra cloud-specifieke controls toe die zich richten op zowel leveranciers als klanten van clouddiensten. Onderwerpen zijn onder meer:

  • Heldere rolverdeling van verantwoordelijkheden tussen leverancier en klant.
  • Specifieke richtlijnen voor gegevensbescherming bij opslag, verwerking en overdracht.
  • Transparante communicatie over beveiligingsmaatregelen.

De norm maakt geen onderscheid in het type gegevens, maar richt zich volledig op het beheersen van cloudspecifieke risico’s.

Wat is ISO 27018?

ISO/IEC 27018 richt zich op bescherming van persoons­gegevens in publieke cloudomgevingen. Het bevat specifieke richtlijnen voor verwerking van persoonlijk identificeerbare informatie (PII), gebaseerd op ISO 27002. Deze norm legt extra nadruk op:

  • Verkrijgen van expliciete toestemming voor verwerking.
  • Minimalisatie van persoonsgegevens.
  • Behandeling van privacygerelateerde klachten.
  • Volledige afstemming op de AVG (Algemene Verordening Gegevensbescherming).

ISO 27018 biedt daarmee een extra beveiligingslaag specifiek voor persoonsgegevens, zoals klantdata, patiëntinformatie of gegevens over burgers.

Hoe verloopt de certificering?

Je traject start met ISO 27001 (ISMS), waaraan richtlijnen voor cloud (27017) en privacy (27018) worden toegevoegd. TÜV NORD voert één integrale audit uit volgens de gecombineerde normstelling. Behalve fase 1: documentatie-review, omvat fase 2 een locatie-audit inclusief technisch bewijs en naleving.

Wat zijn de toetsingscriteria?

  • ISO 27017: verdeling van verantwoordelijkheden, asset return, virtuele isolatie, VM-hardening, monitoring, cloud- en netwerkscheiding
  • ISO 27018: richtlijnen op privacybescherming, transparantie, toestemming, incidentmelding, contractuele verplichtingen en verwerkerslasten

Waarom kiezen voor TÜV NORD?

  • Onafhankelijke, internationaal erkende certificering
  • Specialistische expertise: Auditors met diepgaande kennis van cloudbeveiliging en informatiebeveiliging.
  • Efficiënt traject: Mogelijkheid tot combineren van ISO 27017/27018 met ISO 27001 voor een geïntegreerde aanpak.
  • Breed portfolio: Ook certificering voor ISO 27001, IEC 62443, ISO 9001 en andere normen.
  • Praktische uitvoering: Heldere, transparante beoordeling en minimale verstoring van bedrijfsprocessen.

Veelgestelde vragen

Antwoorden op veelgestelde vragen

Nee. De normen zijn gebaseerd op ISO 27001 en 27002. In de praktijk worden trajecten geïntegreerd binnen één ISMS-audit.

Specifieke cloud-controls zoals rolverdeling provider–klant, VM‑hardening, virtuele isolatie en assetbeheer .

ISO 27018 richt zich op bescherming van persoonsgegevens in de cloud, iets wat breder is dan de algemene cloudbeveiliging van 27017 (IT Governance).

ISO 27017 gaat over algemene cloudbeveiliging, ongeacht het type gegevens. ISO 27018 richt zich specifiek op bescherming van persoonsgegevens in de cloud.

Dit varieert per organisatie, afhankelijk van de bestaande implementatie van informatiebeveiligingsmaatregelen en eventuele certificeringen.

Niet wettelijk, maar de Autoriteit Persoonsgegevens raadt aan te voldoen aan ISO 27018 bij verwerking van persoonsgegevens in de cloud.

Cloudserviceproviders, applicatieleveranciers en organisaties die klant- of patiëntgegevens in de cloud verwerken en transparantie en vertrouwen willen uitstralen.

Ja. ISO 27018 bevat richtlijnen die helpen bij naleving van privacywetgeving zoals de AVG, CCPA of HIPAA.

Waarom ISO 27017 en 27018 belangrijk?

ISO 27017 voegt cloud-specifieke beveiligingsmaatregelen toe binnen een ISMS, terwijl ISO 27018 focust op de bescherming van persoonsgegevens in publieke cloudomgevingen. Samen bieden ze een solide en compliant basis voor cloudbeveiliging en privacy.

Toelichting:
Beide normen worden geïntegreerd in een ISMS op basis van ISO 27001. ISO 27017 regelt technologische en organisatorische controles voor cloudomgevingen, zoals virtuele scheiding en assetbeheer. ISO 27018 richt zich op PII: transparantie, toestemming, dataverwerking door derden en incidentmelding. Deze combinatie ondersteunt organisaties bij cloudtransparantie, risicovermindering en privacybescherming. TÜV NORD voert één audit op integreerbare controles uit en beoordeelt of de implementatie effectief is.

Heb je een vraag over deze certificering?

Wil je weten wat ISO 27017 en 27018 betekenen voor jouw cloudomgeving? Stel je vraag via het formulier. Wij reageren snel en duidelijk.

Stel je vraag

Ook interessant voor jou

ISO 27001 certificering

ISO 27001 is de internationale norm voor informatiebeveiligingsmanagement. Met een gecertificeerd managementsysteem toon je aan dat je risico’s structureel beheerst, gegevens beschermt en voldoet aan wettelijke eisen.
Lees meer

ISO 27701 certificering

ISO 27701 maakt zichtbaar dat privacybescherming structureel is geborgd binnen de organisatie. Deze certificering toont aan dat verwerking van persoonsgegevens op een veilige en transparante manier gebeurt, in lijn met wet- en regelgeving zoals de AVG.
Lees meer

TISAX® label

Het TISAX® label (Trusted Information Security Assessment Exchange) stelt een uniforme standaard voor informatiebeveiliging in de automotive industrie. Het label is gebaseerd op ISO 27001 en toont aan dat jouw organisatie zorgvuldig omgaat met vertrouwelijke informatie.
Lees meer

Meer diensten en certificeringen

Of je nu een certificering nodig hebt of zekerheid wilt over processen, producten of systemen: we denken met je mee.
Bekijk alle diensten