ISO27701 audits

Wilt u een ISO 27701 certificering behalen of bent u benieuwd waarom andere organisaties daarvoor kiezen? ISO 27701 is dé aanvulling op uw ISO27001 managementsysteem en gaat specifiek in op privacy. Met een certificering toont u eenvoudig en onafhankelijk aan dat de privacy binnen uw organisatie op orde is.

Al meer dan 300 organisaties gingen u voor.

De normering uitgelegd

Wat is de ISO27701?

Sinds de invoering van de AVG/GDPR in 2018 is er bij veel organisaties de behoefte ontstaan om te kunnen aantonen of je aan de AVG voldoet. Om hier een antwoord op te geven is de ISO27701 norm ontwikkeld die als benchmark en best practice zal functioneren.

ISO27701 is een norm die eisen stelt aan een Privacy Information Management System (PIMS) dat zorgdraagt voor een beheersingssysteem voor de bescherming van persoonsgegevens. Dit is een wereldwijde standaard. De norm is van toepassing op alle typen organisaties, ongeacht hun omvang, zowel publieke als private ondernemingen, overheidsinstanties en non-profitorganisaties.

Waarom belangrijk?

Veel organisaties hebben de behoefte om aan belanghebbenden aan te tonen dat er wordt voldaan aan de AVG in zijn geheel. Helaas is de ISO27701 norm geen AVG/GDPR compliance certificering. Wel geeft het eisen aan een Privacy Informatie Management Systeem (PIMS).

Privacy en bescherming van persoonsgegevens waren al in ISO27001 opgenomen door een wettelijke vereiste (ISO27001 A.18.1.4), maar door de implementatie van ISO27701 maakt het onderdeel uit van het managementsysteem. Net als bij de ISO27001 is het belangrijk dat de organisatie op basis van een risicomethodiek een managementsysteem heeft geïmplementeerd dat bijdraagt aan dataprotectie.

Het doel van de ISO27701 is dan ook om organisaties een praktisch kader te bieden waarmee zij het bestaande ISMS (Information Security Management System) kunnen uitbreiden met een PIMS (Privacy Information Management System). In de ISO27701 is de PDCA-cyclus en risicoanalyse opgenomen conform de ISO27001.

Met deze uitbreiding kan een organisatie aantonen dat de PDCA-cyclus is geïmplementeerd en risicoanalyses zijn uitgevoerd volgens de beheersmaatregelen genoemd voor privacy in de ISO27701. Daarmee is de organisatie ‘in control’ over haar privacybeleid en implementatie.

Met trots gecertificeerd door DigiTrust

of bel met een van onze specialisten

Wat is PII?

PII staat voor persoonlijk identificeerbare informatie (PII); lees persoon gegevens. Dit kan zijn als verwerkingsverantwoordelijke, mede verwerkingsverantwoordelijke, verwerker of beide. Voor Europa (Nederland) geldt wetgeving voor de bescherming/verwerking van persoonsgegevens op basis van de AVG/GDPR. Belangrijk dus dat je hier zorgvuldig mee omgaat.

Goedkeur Autoriteit persoonsgegevens?

De Autoriteit Persoonsgegevens (AP) heeft als toezichthouder geen bemoeienis met deze norm. Een organisatie met een ISO27701-certificaat voldoet niet per definitie aan de AVG.

Het zegt wel iets over de aandacht die een organisatie heeft voor privacy in de processen en verbetercyclus. In deze zin kan je stellen dat het een voorbeeld is van een ‘best practice’.

De focus van de ISO27701 is niet gelijk aan die van de AVG. ISO27701 richt zich op het PIMS. Het PIMS richt zich voornamelijk op opzet en bestaan van beleid, maatregelen en procedures. De AVG is als wet anders dan een beheerssysteem: werking (of niet werken) van getroffen maatregelen kan reden zijn om een afwijking te constateren en een sanctie op te leggen. Denk hierbij bijvoorbeeld aan een datalek. Daarbij is een belangrijk onderscheid: de AVG is een EU- verordening, de ISO27701 is een wereldwijd toepasbare normenset.

Kan de ISO27701 zonder de ISO27001?

Nee, de ISO27701 is een aanvulling op de ISO27001. Je kan de ISO27701 dus niet implementeren zonder te voldoen aan de ISO27001.

Waarde ISO27701 certificaat

Certificering heeft, door haar onafhankelijke toetsing door DigiTrust, toegevoegde waarde op verschillende gebieden;

  • Het is naar belanghebbenden een bewijs van bestaan en werking van een geïmplementeerd Privacy beheersysteem.
  • Het versterkt het vertrouwen in de organisatie die persoonsgegevens gebruikt/verwerkt.
  • Certificatie is een hulpmiddel bij de selectie van leveranciers en geeft een indicatie van de professionaliteit van de organisatie.
  • Het geeft aan dat privacy de aandacht van de organisatie heeft.

Wat is de investering?

Een ISO27701 audit is een uitbreiding op een ISO27001 audit. Indien deze gecombineerd zal worden uitgevoerd zal de audittijd met 40% worden verhoogd. Hier zitten, afhankelijk van uw context verzwarende en verlichtende factoren aan. Neem contact op met de DigiTrust backoffice om te weten wat dit voor uw organisatie zal betekenen.

Vragen over een ISO27701 audits of benieuwd naar de mogelijkheden?

Onze specialisten vertellen u daar graag meer over. Bel ons op telefoonnummer 088-224 56 00, stuur ons een e-mail naar sales@digitrust.nl of gebruik ons online contactformulier. We komen graag bij u langs voor een vrijblijvende kennismaking.

Al meer dan 300 organisaties gingen u voor.