ISO 27701
Uitbreiding op ISO 27001, focus op privacy
Steeds vaker worden datalekken gemeld in de media, de Autoriteit Persoonsgegevens (AP) heeft een stevigere rol ingenomen in de naleving van wet- en regelgeving en betrokkenen zijn zich meer dan ooit bewust waar hun gegevens zijn opgeslagen. Daarnaast dienen organisaties aan wet- en regelgeving te voldoen, zoals de Algemene verordening persoonsgegevens (AVG). Kortom, organisaties moeten aandacht besteden aan privacy.
Het gehele proces om de juistheid en volledigheid, de beschikbaarheid en de vertrouwelijkheid van informatie te kunnen borgen is veelomvattend en raakt vanzelfsprekend de gehele organisatie. Het hanteren van een internationale standaard, zoals ISO 27001 voor de inrichting van informatiebeveiliging, kan om vele redenen waardevol zijn. Het biedt kaders die bekend en beproefd zijn voor een effectieve implementatie van governance en maatregelen, het geeft de mogelijkheid om de organisatie (periodiek) langs een eenduidige maatstaf te leggen en uiteraard zorgt het voor een verantwoorde omgang met iedere vorm van informatie. Daarnaast biedt het jouw organisatie de mogelijkheid om verantwoording af te leggen over gegevensverwerking en daarmee naar klanten en leverancier te laten zien in control te zijn. Een uitbreiding op deze norm is de ISO 27701. Het voldoen aan de eisen uit deze norm geeft vertrouwen aan de omgeving dat gegevensverwerking serieus genomen wordt en betrouwbaar is.
Uitleg over de ISO 27701
ISO 27701? Wat is dat precies?
ISO 27701 is een uitbreiding op ISO 27001 voor informatiebeveiliging en focust zich op privacy. Het is dé internationale standaard voor de inrichting van een Privacy Informatie Management Systeem (PIMS). De norm biedt kaders voor de inrichting van de privacy organisatie en helpt jouw organisatie te voldoen aan wettelijke eisen zoals de AVG.
Daarnaast worden de verbanden tussen de informatiebeveiligingsstandaard en deze privacy standaard benoemd. De combinatie van beide standaarden biedt naast kaders voor de inrichting van de organisatie, ook maatregelen die geïmplementeerd kunnen worden om risico’s die gepaard gaan met gegevensverwerking te adresseren. De inrichting van de organisatie op basis van ISO 27701 beoogd een risico-gebaseerde, cyclische aanpak om verantwoorde gegevensverwerking te verankeren in de organisatie.
Wat zijn de voordelen van ISO 27701?
Het voldoen aan de eisen uit ISO 27701 heeft meerdere voordelen:
- Het systematisch en efficiënt compliant zijn ten aanzien van de privacy-vereisten in wet- en regelgeving.
- Het creëren van duidelijke rollen en verantwoordelijkheden bij het managen van persoonsgegevens.
- Het bevorderen van vertrouwen bij verwerkingsverantwoordelijken, verwerkers en betrokkenen in het behandelen en beheren van persoonlijke informatie.
- Het aantoonbaar maken dat privacy vereisten worden nageleefd, bijvoorbeeld naar ketenpartijen waarmee een verwerkingsrelatie van persoonsgegevens bestaat.
Hoe kunnen wij helpen?
Onze consultants kunnen jouw organisatie helpen bij het opzetten, implementeren en verbeteren van een Privacy Informatie Management Systeem dat voldoet aan de eisen van ISO 27001 en ISO 27701. Van het uitvoeren van een korte en praktische analyse waar de organisatie staat tot en met het volledig compliant maken van de organisatie. Daarnaast kunnen we helpen bij specifieke onderdelen van de standaard en een rol vervullen in de privacy organisatie. Neem vrijblijvend contact met ons op en we vertellen je graag meer over de mogelijkheden.
Meest gestelde vragen
We zetten de meest gestelde vragen over ISO 27701 voor je op een rijtje.
De internationale standaard ISO 27701 gaat over het beheren van privacygegevens. De standaard specificeert eisen ten aanzien van het opzetten, implementeren, onderhouden en continu verbeteren van een beheersysteem gericht op privacy. Dit wordt ook wel het Privacy Informatie Management Systeem (PIMS) genoemd. Het doel van deze norm? Organisaties een kader bieden waarmee het bestaande Information Security Management System (ISMS) kan worden uitgebreid tot een PIMS.
Sinds de AVG van kracht is hebben de meeste organisaties die als verwerkingsverantwoordelijke persoonsgegevens (laten) verwerken met derde partijen een verwerkersovereenkomst afgesloten. Hierin staat vaak vermeld dat partijen ‘passende maatregelen’ treffen om inbreuk op vertrouwelijkheid, integriteit en beschikbaarheid bij gegevensverwerking te voorkomen. Toch gaat het nog regelmatig mis en daarom wordt steeds vaker gevraagd om inzicht in de manier waarop de gegevens in de praktijk beveiligd worden. Voldoen aan de eisen uit ISO 27701 is een goed middel om aan te tonen dat privacy binnen de organisatie wordt gewaarborgd.
Het is mogelijk om te certificeren op de ISO 27701 norm. Als jouw organisatie interesse heeft om dit certificaat te behalen, is zij verplicht om eerst het ISO 27001 certificaat in bezet te hebben.
