In 2019 heeft de ISO organisatie (vanwege de grote vraag op Europees niveau) een uitwerking gemaakt van de AVG/GDPR. Deze uitbreiding is in de ISO 27701 beschreven vanuit een managementsysteembenadering. Tezamen met de ISO 27001 kunt u deze dan ook zien als een managementsysteem op informatiebeveiliging en privacy. ISO 27701 is namelijk een add-on op de ISO 27001 norm voor informatiebeveiliging, met specifieke beheersmaatregelen voor privacy.

ISO 27701

Norm

ISO 27701 is bij uitstek geschikt voor organisaties die reeds hun informatiebeveiliging op orde hebben gebracht volgens ISO 27001. Het breidt de eisen van ISO 27001 uit om, naast informatiebeveiliging, ook rekening te houden met de bescherming van de privacy van PII (Persoonlijk Identificeerbare Informatie)-klanten, die mogelijk door de verwerking van PII wordt beïnvloed.

Binnen ISO 27701 worden de gebieden van informatiebeveiliging en PII bij elkaar gebracht. Door het behalen van het ISO 27701 certificaat, als add-on op het ISO 27001 certificaat, wordt er aangetoond binnen het managementsysteem dat persoonsgegevens worden verwerkt compliant aan de AVG. Certificering voor de norm ISO 27701 kan ook een add-on zijn op een NEN 7510 certificering.

Wat is een ISO 27701 certificering?

Een certificering geeft aan dat de vereisten voor het opzetten, implementeren, het onderhouden en voortdurend verbeteren van een PIMS (Privacy Information Management System) in de vorm van een uitbreiding op ISO 27001 en ISO 27002 of NEN 7510 voor Privacy Management binnen de context van de organisatie is getoetst en voldoende is bevonden. Het geeft aan dat de gespecificeerde PIMS-gerelateerde eisen voor PII-beheerders en PII-verwerkers die verantwoordelijk en aansprakelijk zijn voor de verwerking van PII zijn getoetst.

Hoe implementeer ik deze norm?

De certificering van de conformiteit met ISO 27701 kan hoogstens indirect worden bereikt. Het is bijvoorbeeld denkbaar om ISO 27701 te vermelden in het kader van het ISO 27001-certificaat, na passende verificatie, met een verwijzing in de Verklaring van Toepasselijkheid.  De ISO 27701 breidt de eisen van ISO 27001 uit om rekening te houden met de bescherming van de privacy van PII’s.

De norm is volledig gebaseerd op ISO 27001. Dit betekent dat in de eerste plaats, voor conformiteit met ISO 27701, aan alle punten van ISO 27001 moet worden voldaan. De meeste eisen van ISO 27001 zijn ook van toepassing op ISO 27701.

Certificering

Wij voeren graag voor u de audits uit die nodig zijn om een ISO 27701 certificaat te behalen. Omdat elke organisatie uniek is, gaan wij graag met u in gesprek over uw uitgangspositie en inventariseren we welke stappen (wellicht) nog genomen moeten worden om klaar te zijn voor de certificering. Vervolgens maken wij een certificeringsvoorstel op maat voor u. De kosten voor een ISO 27701 certificering zijn van meerdere factoren afhankelijk, bijvoorbeeld de omvang en complexiteit van uw organisatie.

Let op! ISO 27701 is uitsluitend te certificeren in combinatie met een ISO 27001 en/of NEN 7510 certificering onder accreditatie.

Heeft u al een geaccrediteerde ISO 27001-certificering van een andere certificeringsinstantie? Bel ons om de mogelijkheden te bespreken.

Informatie aanvragen
Wat is het verschil tussen ISO 27001 en ISO 27701?

ISO 27701 specificeert eisen en geeft richtlijnen voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem voor privacy-informatie in de vorm van een uitbreiding op ISO 27001 en ISO 27002 voor privacymanagement binnen de context van de organisatie. Zonder ISO 27001 certificering, kan er geen ISO 27701 certificering plaatsvinden.

Wat is het verschil tussen ISO 27701 en ISO 27018?

ISO 27018 legt algemeen aanvaarde controle doelstellingen, controles en richtlijnen vast voor het implementeren van maatregelen ter bescherming van persoonlijk identificeerbare informatie in overeenstemming met privacy principes in ISO 29100 voor de publieke Cloud computing-omgeving. In het bijzonder specificeert dit document richtlijnen op basis van ISO 27002, rekening houdend met de wettelijke vereisten voor de bescherming van PII die van toepassing kunnen zijn binnen de context van de informatiebeveiligingsrisico-omgeving(en) van een aanbieder van openbare clouddiensten. Dit document is van toepassing op organisaties, die als PII-verwerkers via Cloud computing informatie verwerkende diensten verlenen in opdracht van andere organisaties.

Wat is het verschil tussen ISO 27701 en GDPR?

De ISO 27701 geeft richtlijnen voor het vaststellen en uitvoeren van de voorschriften, het onderhouden en voortdurend verbeteren van een Privacy Information Management Systeem. De AVG (GDPR) is de wetgeving waar de norm op gebaseerd is. Elementen van de wet komen terug in de norm. Hierdoor structureert de wet de norm. Andersom kan niet.

Daarnaast is het zo dat in de norm is opgenomen dat er voldaan moet worden aan de nationale (materie) wetgeving. Hierdoor moet u bijvoorbeeld in de gezondheidszorg ook voldoen aan de eisen uit bijvoorbeeld de WGBO, Wet Publieke Gezondheid, Wabpvz etc. terwijl daar instructies in staan die slechts op hoofdlijn in de AVG staan.