ISO 27701 norm behalen als toevoeging op ISO 27001
Processen en communicatie vinden steeds meer digitaal plaats. Daarom is informatiebeveiliging zo belangrijk en velen onderschrijven het belang van een goed managementsysteem op dit gebied. ISO 27001 biedt hiervoor een goed raamwerk. Daarmee maakt u aantoonbaar dat u uw waardevolle informatie goed beschermd. Recent verscheen er echter nog een aanvullende norm op de ISO 27001, namelijk de ISO 27701. Daarmee waarborgt u niet alleen uw eigen informatie, maar maakt u ook aantoonbaar dat u de privacy van anderen beschermt.
Wat houdt ISO 27701 in?
ISO 27001 en 27002 omvatten eisen en richtlijnen met betrekking tot een information security management system (ISMS). De ISO 27701 voegt hier privacy specifieke eisen en richtlijnen aan toe waardoor het wordt uitgebreid met een privacy information management system (PIMS). In februari 2022 is een update van deze NEN-ISO/IEC 27701 gepubliceerd (via de NEN aan te kopen). Met een ISO 27701:
- Demonstreert u zicht en grip op het verwerken van persoonsgegevens
- Toont u betrokkenheid met informatiebeveiliging én privacy
- Versterken doeltreffende managementsystemen elkaar
- Creëert u vertrouwen in het verwerken van data
- Kunt u naleving van privacywet- en regelgeving (zoals de AVG) aantonen
- Reduceert u risico’s op rechtszaken en handhaving autoriteiten
- Vermindert (inspanning op) nalevingsprojecten en audits
- Realiseert waarborgen voor stakeholders en prospects
- Levert internationale erkenning
Aan de AVG voldoen met ISO 27701?
Wordt met ISO 27701 ook aangetoond dat aan de Europese privacywetgeving in de General Data Protection Regulation (GDPR) / Algemene Verordening Gegevensbescherming (AVG) wordt voldaan? Afhankelijk van de implementatie zou dat kunnen. Een ISO 27701 certificaat is echter een erkenning dat aan de eisen van deze internationale privacystandaard wordt voldaan. Een dergelijk privacycertificaat is wat anders dan een GDPR-certificaat omdat deze laatste Europese privacywetgeving betreft.
Het gaat hierbij dus om andere normkaders, met een enorme overlap. ISO 27701 is namelijk wel mede gebaseerd op de AVG. En dat maakt ook dat ISO 27701 weldegelijk gebruikt kan worden om naleving van de GDPR aan te tonen. Hiervoor hoeven organisaties zelf enkel de op hun van toepassing zijnde wettelijke AVG-eisen mee te nemen in de implementatie van het managementsysteem. De standaard vergemakkelijkt organisaties hierin zelfs d.m.v. kruisverwijzingen naar AVG-artikelen.
Het ziet er bovendien naar uit dat organisatie dit niet lang zelf nog hoeven te doen. Er is namelijk een GDPR (AVG) Refinement in aantocht met aanvullende AVG-eisen die daarmee ISO 27701 in de Europese context plaats. Hierdoor ontstaat alsnog een AVG-certificaat met internationale erkenning. Of dit AVG-certificaat ook de erkenning krijgt van de European Data Protection Board (op basis van art. 42 van de AVG) moet de toekomst uitwijzen, maar dat is wel waar de GDPR Refinement op zinspeelt.
ISO 27701 als aanvulling op een (bijna) behaalde ISO 27001 certificering
Om een ISO 27701 certificaat te behalen, moet u al in het bezit zijn van een werkend ISMS dat voldoet aan de eisen van ISO 27001. Dit betekent dat u al ISO 27001 (of NEN7510) certificaat heeft of ermee bezig bent. De ISO 27701 is namelijk een aanvulling op deze norm. Voor elke organisatie die werkt met privacygevoelige informatie, vooral wanneer deze informatie terug te leiden is tot een individuele persoon, is deze aanvulling zeker relevant.
ISO 27701 is van toepassing op alle typen organisaties, ongeacht omvang, zowel publieke als private ondernemingen, overheidsinstanties en non-profitorganisaties die als Verwerkingsverantwoordelijken en/of Verwerkers in de zin van de AVG binnen een ISMS Persoonlijk Identificeerbare Informatie (PII) verwerken. Met een ISO 27701 certificaat tonen zij namelijk aan dat er op een verantwoorde manier wordt omgegaan met privacygevoelige informatie.
Wanneer u al in het bezit bent van een ISO 27001 (of NEN 7510) certificaat (via TÜV NORD of iedere andere certificerende instelling) zal u in eerste instantie apart geaudit worden voor ISO 27701. Dit certificaat zal vervolgens qua looptijd aansluiten bij uw huidige ISO 27001 certificaat. Wanneer dit verloopt, of wanneer u ISO 27001 gelijktijdig met ISO 27701 opstart, zullen de audits voor ISO 27001 en ISO 27701 synchroon lopen. Het ISMS en het PIMS zijn dan geïntegreerd en de audits op beide systemen worden dan gecombineerd uitgevoerd.




Voor wie is een ISO 27701 certificaat geschikt?
Een ISO 27701 is certificaat geschikt voor elke organisatie die persoonlijk identificeerbare informatie (PII) verwerkt. Voornamelijk als er behoefte is om aantoonbaar te maken dat uw organisatie bewust omgaat met dit soort persoonsgegevens, biedt dit certificaat een gestructureerde oplossing. Verder draagt de ISO 27701 bij, bij:
- Elk bedrijf dat persoonsgegevens verwerkt, ongeacht de grootte en het type, kan baat hebben bij de implementatie van ISO 27701
- Organisaties die willen (helpen) de financiële en regelgevende risico's in verband met inbreuken op privacygegevens te beperken
- Particuliere, openbare bedrijven en zelfs overheidsinstanties die een op risico's gebaseerde benadering moeten volgen voor het bewaren en verwerken van persoonlijke informatie
- Organisaties met een ISMS die willen groeien en professionaliseren in hun rol als controller of verwerker
En voor bedrijven waarbij de AVG van toepassing is?
Bedrijven die onder Europese wetgeving vallen, omdat ze bijvoorbeeld Europees zijn, of in de EU werkzaam zijn, kunnen door middel van de ISO 27701 een verdiepingsslag maken binnen de voldoening aan de AVG wetgeving. Dat geldt dan bijvoorbeeld voor:
- Organisaties die een manier zoeken om te voldoen aan de verplichting om aan te tonen dat ze passende technische en organisatorische maatregelen hebben genomen om ervoor te zorgen dat aan de vereisten van de AVG wordt voldaan
- Organisaties die persoonsgegevens willen (blijven) verwerken in opdracht van opdrachtgevers die dit volgens de wet alleen mogen uitbesteden aan organisaties die voldoende zekerheid bieden dat de verwerking voldoet aan de eisen van de AVG en de bescherming van de rechten van de betrokkenen
ISO 27701 certificeren via TÜV NORD
TÜV NORD staat bekend om haar praktijkgerichte, nuchtere manier van beoordelen. Wij zijn een toegankelijke organisatie waarbij u terecht kunt met al uw vragen.
Competente en ervaren auditoren
Onze auditoren hebben kennis van uw branche en worden gericht ingezet in uw organisatie op basis van hun vaardigheden en ervaring in uw branche, zodat u altijd op dezelfde golflengte zit als de auditor.
Combineren met andere schema’s
Een combinatie met certificering van andere schema’s is mogelijk, welke u kunt integreren in uw managementsysteem, zoals: ISO 9001, ISO 14001, maar ook ISAE rapportages etc. Dit is niet alleen gemakkelijk maar ook voordelig.
Wij stellen uw doelen voorop
Bij TÜV NORD weten we dat het behalen van een certificaat als ISO 27701 belangrijk is, maar dat uw doelstellingen nog veel belangrijker zijn. Wat hoopt u te bereiken met het behalen van dit certificaat? Om u te helpen bij het behalen van uw doelstellingen kijken we kritisch naar uw situatie en geven we concreet aan waar eventuele risico’s liggen, maar leggen we ook kansen bloot. Zo haalt u het meeste uit uw organisatie.
Ervaren certificeringspartner
TÜV NORD is een ervaren certificeringspartner die niet alleen in Nederland actief is, maar ook in veel andere landen. Sinds 1981 bevorderen we in organisaties verspreid over allerlei branches veiligheid, kwaliteit en betrouwbaarheid. Met meer dan 175 vakkundige specialisten beoordelen we dag in dag uit uiteenlopende organisaties.
