ISO27701 Privacy audit en certificering

ISO27701 – norm voor vertrouwen in privacy

Wat is de ISO27701?

Sinds de invoering van de AVG/GDPR in 2018 is er bij veel organisaties de behoefte ontstaan om te kunnen aantonen of je aan de AVG voldoet. Om hier een antwoord op te geven is de ISO27701 norm ontwikkeld die als benchmark en best practice zal functioneren.

ISO27701 is een norm die eisen stelt aan een Privacy Information Management System (PIMS) dat zorgdraagt voor een beheersingssysteem voor de bescherming van persoonsgegevens. Dit is een wereldwijde standaard. De norm is van toepassing op alle typen organisaties, ongeacht hun omvang, zowel publieke als private ondernemingen, overheidsinstanties en non-profitorganisaties.

Waarom belangrijk?

Veel organisaties hebben de behoefte om aan belanghebbenden aan te tonen dat er wordt voldaan aan de AVG in zijn geheel. Helaas is de ISO27701 norm geen AVG/GDPR compliance certificering. Wel geeft het eisen aan een Privacy Informatie Management Systeem (PIMS).

Privacy en bescherming van persoonsgegevens waren al in ISO27001 opgenomen door een wettelijke vereiste (ISO27001 A.18.1.4), maar door de implementatie van ISO27701 maakt het onderdeel uit van het managementsysteem. Net als bij de ISO27001 is het belangrijk dat de organisatie op basis van een risicomethodiek een managementsysteem heeft geïmplementeerd dat bijdraagt aan dataprotectie.

Het doel van de ISO27701 is dan ook om organisaties een praktisch kader te bieden waarmee zij het bestaande ISMS (Information Security Management System) kunnen uitbreiden met een PIMS (Privacy Information Management System). In de ISO27701 is de PDCA-cyclus en risicoanalyse opgenomen conform de ISO27001.

Met deze uitbreiding kan een organisatie aantonen dat de PDCA-cyclus is geïmplementeerd en risicoanalyses zijn uitgevoerd volgens de beheersmaatregelen genoemd voor privacy in de ISO27701. Daarmee is de organisatie ‘in control’ over haar privacybeleid en implementatie.

 Wat is PII?

PII staat voor persoonlijk identificeerbare informatie (PII); lees persoon gegevens. Dit kan zijn als verwerkingsverantwoordelijke, mede verwerkingsverantwoordelijke, verwerker of beide. Voor Europa (Nederland) geldt wetgeving voor de bescherming/verwerking van persoonsgegevens op basis van de AVG/GDPR. Belangrijk dus dat je hier zorgvuldig mee omgaat.

 

Goedkeur Autoriteit persoonsgegevens ?

De Autoriteit Persoonsgegevens (AP) heeft als toezichthouder geen bemoeienis met deze norm. Een organisatie met een ISO27701-certificaat voldoet niet per definitie aan de AVG.

Het zegt wel iets over de aandacht die een organisatie heeft voor privacy in de processen en verbetercyclus. In deze zin kan je stellen dat het een voorbeeld is van een ‘best practice’.

De focus van de ISO27701 is niet gelijk aan die van de AVG. ISO27701 richt zich op het PIMS. Het PIMS richt zich voornamelijk op opzet en bestaan van beleid, maatregelen en procedures. De AVG is als wet anders dan een beheerssysteem: werking (of niet werken) van getroffen maatregelen kan reden zijn om een afwijking te constateren en een sanctie op te leggen. Denk hierbij bijvoorbeeld aan een datalek. Daarbij is een belangrijk onderscheid: de AVG is een EU- verordening, de ISO27701 is een wereldwijd toepasbare normenset.

Kan de ISO27701 zonder de ISO27001?

Nee, de ISO27701 is een aanvulling op de ISO27001. Je kan de ISO27701 dus niet implementeren zonder te voldoen aan de ISO27001.

 

Waarde ISO27701 certificaat

Certificering heeft, door haar onafhankelijke toetsing door DigiTrust, toegevoegde waarde op verschillende gebieden;

  • Het is naar belanghebbenden een bewijs van bestaan en werking van een geïmplementeerd Privacy beheersysteem.
  • Het versterkt het vertrouwen in de organisatie die persoonsgegevens gebruikt/verwerkt.
  • Certificatie is een hulpmiddel bij de selectie van leveranciers en geeft een indicatie van de professionaliteit van de organisatie.
  • Het geeft aan dat privacy de aandacht van de organisatie heeft.

 

Wat zijn de kosten?

Een ISO27701 audit is een uitbreiding op een ISO27001 audit. Indien deze gecombineerd zal worden uitgevoerd zal de audittijd met 40% worden verhoogd. Hier zitten, afhankelijk van uw context verzwarende en verlichtende factoren aan. Neem contact op met de DigiTrust backoffice om te weten wat dit voor uw organisatie zal betekenen.

 

Vrijblijvend eens kennismaken met onze back-office?

088-2245600

Tijdens een persoonlijk gesprek bespreken we:

  • welke norm het beste bij u past
  • wat een ISO certificering voor u zal betekenen, wat moet je weten!
  • hoe het audit en certificering proces zal verlopen
  • wat we van u nodig hebben voor het opstellen van een offerte
  • en uiteraard, kunt u vragen stellen over het thema informatiebeveiliging
  • bij ingewikkelde vragen kan een auditor u altijd gratis even terug bellen 

Vragen over de ISO27701 of benieuwd naar de mogelijkheden voor een certificering?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088 224 56 00, stuur ons een e-mail naar sales@digitrust.nl of gebruik ons online contactformulier. We komen graag bij u langs voor een vrijblijvende kennismaking.

BizzCon behaalt ISO27001 certificering

Hoe een ondernemer veel baat heeft bij een ISO27001 certificering. Tijdens de uitreiking raak ik in gesprek met Dennis Ebbenhorst over zijn bedrijf en informatie beveiliging. Hoe belangrijk het voor hem is, voor zichzelf, zijn organisatie en...

QII behaalt ISO27001 certificering

Zelfs op zaterdag, komen we bij de klant thuis om in de tuin het certificaat uit te reiken.Hier de uitreiking van het ISO27001 certificaat aan onze klant QII. Hoe mooi is het als Rutger van Hulzen en Randy Vreman vol trots aan het vertellen zijn...

IP4Sure behaald ISO27001 certificering

Het Cyber Security bedrijf IP4Sure heeft tijdens de initiële certificeringsaudit kunnen aantonen dat ze een goed werkend managementsysteem voor informatiebeveiliging (ISMS) hebben conform de ISO27001:2017+A11:2020. En dat is een hele mooie...

DigiTrust B.V.

Achtseweg Zuid 159R

5651 GW Eindhoven

088-224 56 00
sales@digitrust.nl