ISO27701 Privacy audit en certificering

ISO27701 – norm voor vertrouwen in privacy

Wat is de ISO27701?

Sinds de invoering van de AVG/GDPR in 2018 is er bij veel organisaties de behoefte ontstaan om te kunnen aantonen of je aan de AVG voldoet. Om hier een antwoord op te geven is de ISO27701 norm ontwikkeld die als benchmark en best practice zal functioneren.

ISO27701 is een norm die eisen stelt aan een Privacy Information Management System (PIMS) dat zorgdraagt voor een beheersingssysteem voor de bescherming van persoonsgegevens. Dit is een wereldwijde standaard. De norm is van toepassing op alle typen organisaties, ongeacht hun omvang, zowel publieke als private ondernemingen, overheidsinstanties en non-profitorganisaties.

Waarom belangrijk?

Veel organisaties hebben de behoefte om aan belanghebbenden aan te tonen dat er wordt voldaan aan de AVG in zijn geheel. Helaas is de ISO27701 norm geen AVG/GDPR compliance certificering. Wel geeft het eisen aan een Privacy Informatie Management Systeem (PIMS).

Privacy en bescherming van persoonsgegevens waren al in ISO27001 opgenomen door een wettelijke vereiste (ISO27001 A.18.1.4), maar door de implementatie van ISO27701 maakt het onderdeel uit van het managementsysteem. Net als bij de ISO27001 is het belangrijk dat de organisatie op basis van een risicomethodiek een managementsysteem heeft geïmplementeerd dat bijdraagt aan dataprotectie.

Het doel van de ISO27701 is dan ook om organisaties een praktisch kader te bieden waarmee zij het bestaande ISMS (Information Security Management System) kunnen uitbreiden met een PIMS (Privacy Information Management System). In de ISO27701 is de PDCA-cyclus en risicoanalyse opgenomen conform de ISO27001.

Met deze uitbreiding kan een organisatie aantonen dat de PDCA-cyclus is geïmplementeerd en risicoanalyses zijn uitgevoerd volgens de beheersmaatregelen genoemd voor privacy in de ISO27701. Daarmee is de organisatie ‘in control’ over haar privacybeleid en implementatie.

Charlotte Louws

Accountmanager Informatiebeveiliging

   

+31(0)6 25 53 68 65

+31(0)88 2245600

Aanverwante diensten

 Wat is PII?

PII staat voor persoonlijk identificeerbare informatie (PII); lees persoon gegevens. Dit kan zijn als verwerkingsverantwoordelijke, mede verwerkingsverantwoordelijke, verwerker of beide. Voor Europa (Nederland) geldt wetgeving voor de bescherming/verwerking van persoonsgegevens op basis van de AVG/GDPR. Belangrijk dus dat je hier zorgvuldig mee omgaat.

 

Goedkeur Autoriteit persoonsgegevens ?

De Autoriteit Persoonsgegevens (AP) heeft als toezichthouder geen bemoeienis met deze norm. Een organisatie met een ISO27701-certificaat voldoet niet per definitie aan de AVG.

Het zegt wel iets over de aandacht die een organisatie heeft voor privacy in de processen en verbetercyclus. In deze zin kan je stellen dat het een voorbeeld is van een ‘best practice’.

De focus van de ISO27701 is niet gelijk aan die van de AVG. ISO27701 richt zich op het PIMS. Het PIMS richt zich voornamelijk op opzet en bestaan van beleid, maatregelen en procedures. De AVG is als wet anders dan een beheerssysteem: werking (of niet werken) van getroffen maatregelen kan reden zijn om een afwijking te constateren en een sanctie op te leggen. Denk hierbij bijvoorbeeld aan een datalek. Daarbij is een belangrijk onderscheid: de AVG is een EU- verordening, de ISO27701 is een wereldwijd toepasbare normenset.

Kan de ISO27701 zonder de ISO27001?

Nee, de ISO27701 is een aanvulling op de ISO27001. Je kan de ISO27701 dus niet implementeren zonder te voldoen aan de ISO27001.

 

Waarde ISO27701 certificaat

Certificering heeft, door haar onafhankelijke toetsing door DigiTrust, toegevoegde waarde op verschillende gebieden;

  • Het is naar belanghebbenden een bewijs van bestaan en werking van een geïmplementeerd Privacy beheersysteem.
  • Het versterkt het vertrouwen in de organisatie die persoonsgegevens gebruikt/verwerkt.
  • Certificatie is een hulpmiddel bij de selectie van leveranciers en geeft een indicatie van de professionaliteit van de organisatie.
  • Het geeft aan dat privacy de aandacht van de organisatie heeft.

 

Wat zijn de kosten?

Een ISO27701 audit is een uitbreiding op een ISO27001 audit. Indien deze gecombineerd zal worden uitgevoerd zal de audittijd met 40% worden verhoogd. Hier zitten, afhankelijk van uw context verzwarende en verlichtende factoren aan. Neem contact op met de DigiTrust backoffice om te weten wat dit voor uw organisatie zal betekenen.

 

Vragen over de ISO27701 of benieuwd naar de mogelijkheden voor een certificering?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088 224 56 00, stuur ons een e-mail naar sales@digitrust.nl of gebruik ons online contactformulier. We komen graag bij u langs voor een vrijblijvende kennismaking.

IP4Sure behaald ISO27001 certificering

Het Cyber Security bedrijf IP4Sure heeft tijdens de initiële certificeringsaudit kunnen aantonen dat ze een goed werkend managementsysteem voor informatiebeveiliging (ISMS) hebben conform de ISO27001:2017+A11:2020. En dat is een hele mooie...

GGD Gelderland-Zuid behaalt NEN7510 certificering

GGD Gelderland-Zuid heeft als eerste van de 25 GGD'en in Nederland de certificering op de nieuwe NEN7510-1:2017 onder accreditatie behaald. Tijdens de audit is aangetoond dat de GGD voor al haar processen, afdelingen en locaties (18...

Handreiking Cybersecurity maatregelen

Het NCSC publiceert een handreiking met daarin tips om stap voor stap naar een digitaal veilige organisatie te komen. Elk jaar vinden wereldwijd veel cybersecurityincidenten plaats bij organisaties. Bij deze aanvallen wordt bijvoorbeeld...

Z-CERT presenteert Eerste Hulp bij Datalekken (EHBD)

De zorgsector heeft regelmatig te maken met datalekken. Deze datalekken komen voornamelijk door malware-infecties, menselijke fouten, phishing, of door kwetsbaarheden in webapplicaties. Volgens cijfers van de Autoriteit Persoonsgegevens (AP) is 30%...

Code24 behaalt her-certificering ISO27001 en NEN7510

Code24 is al enkele jaren een trotse klant van DigiTrust. In juni is het managementsysteem voor informatiebeveiliging opnieuw beoordeeld en afgesloten met een positief resultaat. Dat is mooi voor Code24 maar zeker ook vor al hun stakeholders....

DigiTrust B.V.
Hoofdkantoor
Achtseweg Zuid 153T
5651 GW Eindhoven

Kantoor
Jean Monnetpark 11
7336 BA te Apeldoorn

088-224 56 00
sales@digitrust.nl