ISO 27701 norm behalen als toevoeging op ISO 27001
Processen en communicatie vinden steeds meer digitaal plaats. Daarom is informatiebeveiliging zo belangrijk en velen onderschrijven het belang van een goed managementsysteem op dit gebied. ISO 27001 biedt hiervoor een goed raamwerk. Daarmee maakt u aantoonbaar dat u uw waardevolle informatie goed beschermd. Recent verscheen er echter nog een aanvullende norm op de ISO 27001, namelijk de ISO 27701. Daarmee waarborgt u niet alleen uw eigen informatie, maar maakt u ook aantoonbaar dat u de privacy van anderen beschermt.
Wat houdt ISO 27701 in?
ISO 27001 en 27002 omvatten eisen en richtlijnen met betrekking tot een information security management system (ISMS). De ISO 27701 voegt hier privacy specifieke eisen en richtlijnen aan toe waardoor het wordt uitgebreid met een privacy information management system (PIMS). In februari 2022 is een update van deze NEN-ISO/IEC 27701 gepubliceerd (via de NEN aan te kopen). Met een ISO 27701:
- Demonstreert u zicht en grip op het verwerken van persoonsgegevens
- Toont u betrokkenheid met informatiebeveiliging én privacy
- Versterken doeltreffende managementsystemen elkaar
- Creëert u vertrouwen in het verwerken van data
- Kunt u naleving van privacywet- en regelgeving (zoals de AVG) aantonen
- Reduceert u risico’s op rechtszaken en handhaving autoriteiten
- Vermindert (inspanning op) nalevingsprojecten en audits
- Realiseert waarborgen voor stakeholders en prospects
- Levert internationale erkenning
ISO 27701
ISO 27701 versterkt ISO 27001 door privacy specifieke eisen toe te voegen, waardoor zowel informatiebeveiliging als privacy gewaarborgd worden, en helpt bij het naleven van privacywetgeving zoals de AVG/GDPR.
Aan de AVG voldoen met ISO 27701?
Wordt met ISO 27701 ook aangetoond dat aan de Europese privacywetgeving in de General Data Protection Regulation (GDPR) / Algemene Verordening Gegevensbescherming (AVG) wordt voldaan? Afhankelijk van de implementatie zou dat kunnen. Een ISO 27701 certificaat is echter een erkenning dat aan de eisen van deze internationale privacystandaard wordt voldaan. Een dergelijk privacycertificaat is wat anders dan een GDPR-certificaat omdat deze laatste Europese privacywetgeving betreft.
Het gaat hierbij dus om andere normkaders, met een enorme overlap. ISO 27701 is namelijk wel mede gebaseerd op de AVG. En dat maakt ook dat ISO 27701 weldegelijk gebruikt kan worden om naleving van de GDPR aan te tonen. Hiervoor hoeven organisaties zelf enkel de op hun van toepassing zijnde wettelijke AVG-eisen mee te nemen in de implementatie van het managementsysteem. De standaard vergemakkelijkt organisaties hierin zelfs d.m.v. kruisverwijzingen naar AVG-artikelen.
Het ziet er bovendien naar uit dat organisatie dit niet lang zelf nog hoeven te doen. Er is namelijk een GDPR (AVG) Refinement in aantocht met aanvullende AVG-eisen die daarmee ISO 27701 in de Europese context plaats. Hierdoor ontstaat alsnog een AVG-certificaat met internationale erkenning. Of dit AVG-certificaat ook de erkenning krijgt van de European Data Protection Board (op basis van art. 42 van de AVG) moet de toekomst uitwijzen, maar dat is wel waar de GDPR Refinement op zinspeelt.
ISO 27701 als aanvulling op een (bijna) behaalde ISO 27001 certificering
Om een ISO 27701 certificaat te behalen, moet u al in het bezit zijn van een werkend ISMS dat voldoet aan de eisen van ISO 27001. Dit betekent dat u al ISO 27001 (of NEN7510) certificaat heeft of ermee bezig bent. De ISO 27701 is namelijk een aanvulling op deze norm. Voor elke organisatie die werkt met privacygevoelige informatie, vooral wanneer deze informatie terug te leiden is tot een individuele persoon, is deze aanvulling zeker relevant.
ISO 27701 is van toepassing op alle typen organisaties, ongeacht omvang, zowel publieke als private ondernemingen, overheidsinstanties en non-profitorganisaties die als Verwerkingsverantwoordelijken en/of Verwerkers in de zin van de AVG binnen een ISMS Persoonlijk Identificeerbare Informatie (PII) verwerken. Met een ISO 27701 certificaat tonen zij namelijk aan dat er op een verantwoorde manier wordt omgegaan met privacygevoelige informatie.
Wanneer u al in het bezit bent van een ISO 27001 (of NEN 7510) certificaat (via TÜV NORD of iedere andere certificerende instelling) zal u in eerste instantie apart geaudit worden voor ISO 27701. Dit certificaat zal vervolgens qua looptijd aansluiten bij uw huidige ISO 27001 certificaat. Wanneer dit verloopt, of wanneer u ISO 27001 gelijktijdig met ISO 27701 opstart, zullen de audits voor ISO 27001 en ISO 27701 synchroon lopen. Het ISMS en het PIMS zijn dan geïntegreerd en de audits op beide systemen worden dan gecombineerd uitgevoerd.
Een ISO 27701 is certificaat geschikt voor elke organisatie die persoonlijk identificeerbare informatie (PII) verwerkt. Voornamelijk als er behoefte is om aantoonbaar te maken dat uw organisatie bewust omgaat met dit soort persoonsgegevens, biedt dit certificaat een gestructureerde oplossing. Verder draagt de ISO 27701 bij, bij:
- Elk bedrijf dat persoonsgegevens verwerkt, ongeacht de grootte en het type, kan baat hebben bij de implementatie van ISO 27701
- Organisaties die willen (helpen) de financiële en regelgevende risico's in verband met inbreuken op privacygegevens te beperken
- Particuliere, openbare bedrijven en zelfs overheidsinstanties die een op risico's gebaseerde benadering moeten volgen voor het bewaren en verwerken van persoonlijke informatie
- Organisaties met een ISMS die willen groeien en professionaliseren in hun rol als controller of verwerker
Bedrijven die onder Europese wetgeving vallen, omdat ze bijvoorbeeld Europees zijn, of in de EU werkzaam zijn, kunnen door middel van de ISO 27701 een verdiepingsslag maken binnen de voldoening aan de AVG wetgeving. Dat geldt dan bijvoorbeeld voor:
- Organisaties die een manier zoeken om te voldoen aan de verplichting om aan te tonen dat ze passende technische en organisatorische maatregelen hebben genomen om ervoor te zorgen dat aan de vereisten van de AVG wordt voldaan
- Organisaties die persoonsgegevens willen (blijven) verwerken in opdracht van opdrachtgevers die dit volgens de wet alleen mogen uitbesteden aan organisaties die voldoende zekerheid bieden dat de verwerking voldoet aan de eisen van de AVG en de bescherming van de rechten van de betrokkenen
Waarom TÜV NORD voor jou een sterke partner is
Onafhankelijkheid
TÜV NORD Nederland is een technische en zakelijke serviceprovider in onafhankelijke beoordeling zoals certificering, keuring, inspectie en training. We bevorderen sinds 1981 veiligheid, kwaliteit, betrouwbaarheid en leefomgeving.
Expertise
Je hebt één van onze experts aan je zijde. TÜV NORD heeft een team van experts op het gebied van cybersecurity, die geaccrediteerd zijn voor certificering, testen en inspectiediensten.
Internationaal expertnetwerk
Wij zijn onderdeel van de TÜV NORD GROUP, met tienduizenden activiteiten in 70 landen en meer dan 10.000 werknemers (in FTE). Wij ondersteunen bij al je IT-vraagstukken, ook over de grens.
Industriële ervaring
In Nederland beoordelen onze ruim 300 vakmensen dagelijks producten, diensten, systemen, arbeidsmiddelen, transportmiddelen, machines en cybersecurity. Dat doen we in de meest uiteenlopende branches.
Praktisch en laagdrempelig
TÜV NORD Nederland onderscheidt zich door haar nuchtere, laagdrempelige en praktijkgerichte kijk op beoordelen. Wij maken aantoonbaar dat jouw organisatie voldoet aan de gestelde eisen voor betrouwbaarheid.
Gericht op verbetering
Tijdens onze beoordelingen identificeren we heel feitelijk risico’s en pijnpunten, om draagvlak voor verbetering te verkrijgen. We helpen bedrijfsrisico’s zoveel mogelijk te beperken en ondersteunen de continuïteit van jouw organisatie.
Certificering van managementsystemen, keurmerken en andere schema's
TÜV Nederland
Tel.: 0499 - 339 525