Wilt u een ISO 27701 certificering behalen of bent u benieuwd waarom andere organisaties daarvoor kiezen? ISO 27701 is dé aanvulling op uw ISO27001 managementsysteem en gaat specifiek in op privacy. Met een certificering toont u eenvoudig en onafhankelijk aan dat de privacy binnen uw organisatie op orde is.

ISO27701 
Privacy audit en certificering

ISO27701 – norm voor vertrouwen in privacy

Wat is de ISO27701?

Sinds de invoering van de AVG/GDPR in 2018 is er bij veel organisaties de behoefte ontstaan om te kunnen aantonen of je aan de AVG voldoet. Om hier een antwoord op te geven is de ISO27701 norm ontwikkeld die als benchmark en best practice zal functioneren.

ISO27701 is een norm die eisen stelt aan een Privacy Information Management System (PIMS) dat zorgdraagt voor een beheersingssysteem voor de bescherming van persoonsgegevens. Dit is een wereldwijde standaard. De norm is van toepassing op alle typen organisaties, ongeacht hun omvang, zowel publieke als private ondernemingen, overheidsinstanties en non-profitorganisaties.

Waarom belangrijk?

Veel organisaties hebben de behoefte om aan belanghebbenden aan te tonen dat er wordt voldaan aan de AVG in zijn geheel. Helaas is de ISO27701 norm geen AVG/GDPR compliance certificering. Wel geeft het eisen aan een Privacy Informatie Management Systeem (PIMS).

Privacy en bescherming van persoonsgegevens waren al in ISO27001 opgenomen door een wettelijke vereiste (ISO27001 A.18.1.4), maar door de implementatie van ISO27701 maakt het onderdeel uit van het managementsysteem. Net als bij de ISO27001 is het belangrijk dat de organisatie op basis van een risicomethodiek een managementsysteem heeft geïmplementeerd dat bijdraagt aan dataprotectie.

Het doel van de ISO27701 is dan ook om organisaties een praktisch kader te bieden waarmee zij het bestaande ISMS (Information Security Management System) kunnen uitbreiden met een PIMS (Privacy Information Management System). In de ISO27701 is de PDCA-cyclus en risicoanalyse opgenomen conform de ISO27001.

Met deze uitbreiding kan een organisatie aantonen dat de PDCA-cyclus is geïmplementeerd en risicoanalyses zijn uitgevoerd volgens de beheersmaatregelen genoemd voor privacy in de ISO27701. Daarmee is de organisatie ‘in control’ over haar privacybeleid en implementatie.

 Wat is PII?

PII staat voor persoonlijk identificeerbare informatie (PII); lees persoon gegevens. Dit kan zijn als verwerkingsverantwoordelijke, mede verwerkingsverantwoordelijke, verwerker of beide. Voor Europa (Nederland) geldt wetgeving voor de bescherming/verwerking van persoonsgegevens op basis van de AVG/GDPR. Belangrijk dus dat je hier zorgvuldig mee omgaat.

 

Goedkeur Autoriteit persoonsgegevens ?

De Autoriteit Persoonsgegevens (AP) heeft als toezichthouder geen bemoeienis met deze norm. Een organisatie met een ISO27701-certificaat voldoet niet per definitie aan de AVG.

Het zegt wel iets over de aandacht die een organisatie heeft voor privacy in de processen en verbetercyclus. In deze zin kan je stellen dat het een voorbeeld is van een ‘best practice’.

De focus van de ISO27701 is niet gelijk aan die van de AVG. ISO27701 richt zich op het PIMS. Het PIMS richt zich voornamelijk op opzet en bestaan van beleid, maatregelen en procedures. De AVG is als wet anders dan een beheerssysteem: werking (of niet werken) van getroffen maatregelen kan reden zijn om een afwijking te constateren en een sanctie op te leggen. Denk hierbij bijvoorbeeld aan een datalek. Daarbij is een belangrijk onderscheid: de AVG is een EU- verordening, de ISO27701 is een wereldwijd toepasbare normenset.

Kan de ISO27701 zonder de ISO27001?

Nee, de ISO27701 is een aanvulling op de ISO27001. Je kan de ISO27701 dus niet implementeren zonder te voldoen aan de ISO27001.

 

Waarde ISO27701 certificaat

Certificering heeft, door haar onafhankelijke toetsing door DigiTrust, toegevoegde waarde op verschillende gebieden;

  • Het is naar belanghebbenden een bewijs van bestaan en werking van een geïmplementeerd Privacy beheersysteem.
  • Het versterkt het vertrouwen in de organisatie die persoonsgegevens gebruikt/verwerkt.
  • Certificatie is een hulpmiddel bij de selectie van leveranciers en geeft een indicatie van de professionaliteit van de organisatie.
  • Het geeft aan dat privacy de aandacht van de organisatie heeft.

 

Wat zijn de kosten?

Een ISO27701 audit is een uitbreiding op een ISO27001 audit. Indien deze gecombineerd zal worden uitgevoerd zal de audittijd met 40% worden verhoogd. Hier zitten, afhankelijk van uw context verzwarende en verlichtende factoren aan. Neem contact op met de DigiTrust backoffice om te weten wat dit voor uw organisatie zal betekenen.

 

Vrijblijvend eens kennismaken met onze back-office?

088-2245600

Tijdens een persoonlijk gesprek bespreken we:

  • welke norm het beste bij u past
  • wat een ISO certificering voor u zal betekenen, wat moet je weten!
  • hoe het audit en certificering proces zal verlopen
  • wat we van u nodig hebben voor het opstellen van een offerte
  • en uiteraard, kunt u vragen stellen over het thema informatiebeveiliging
  • bij ingewikkelde vragen kan een auditor u altijd gratis even terug bellen 

Vragen over de ISO27701 of benieuwd naar de mogelijkheden voor een certificering?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088 224 56 00, stuur ons een e-mail naar sales@digitrust.nl of gebruik ons online contactformulier. We komen graag bij u langs voor een vrijblijvende kennismaking.

Softmedia behaalt ISO27001 certificering

Softmedia behaald ISO27001 certificering Voorzien van Champagne, bloemen en taart was het een feestelijk moment bij Softmedia.  Super trots was iedereen dat ze het ISO27001 in ontvangst mochten nemen. En uiteraard voel ik me vereerd om het...

2WAY behaalt ISO27001 certificering

2WAY behaald ISO27001 certificering Recentelijk heeft DigiTrust het ISO27001 certificaat mogen uitreiken bij 2WAY. Het mooie hierbij is dat ze zelf de verantwoordelijkheid hebben genomen om daarbij de aanvullende eisen uit de BIO (Baseline...

De nieuwe ISO27001 komt eraan, wat betekent dit voor je ISMS?

Sinds de nieuwe ISO 27002:2022 in Maart is gepubliceerd, krijgen we veel vragen vanuit de markt. Wanneer komt de nieuwe ISO27001? Moeten we een nieuw ISMS bouwen? Wat voor invloed heeft dit op mijn NEN7510 certificering? Wanneer worden we volgens...

DigiTrust B.V.

Achtseweg Zuid 159R

5651 GW Eindhoven

088-224 56 00
sales@digitrust.nl