Waarom ISO 27701 toevoegen aan je ISO 27001 ISMS?

ISO 27001 is internationaal dé norm voor informatiebeveiliging. ISO 27701 is een uitbreiding op deze norm en is specifiek gericht op de bescherming van persoonsgegevens (AVG/GDPR) en overige privacywetgeving. Het geeft richtlijnen over de wijze waarop er aan de AVG-wetgeving kan worden voldaan én geeft duidelijkheid over de vereisten die aanwezig moeten zijn binnen je organisatie. In dit artikel leggen we je uit waarom ISO 27701 van toegevoegde waarde kan zijn als uitbreiding op jouw ISO 27001 managementsysteem.

ISO 27701 is een aanvulling op de ISO 27001 norm. De basis van de norm bestaat uit een Privacy Information Management System (PIMS) dat je helpt met het beheren van persoonlijke identificeerbare informatie. Omdat het aanvullende richtlijnen biedt, is het aan te bevelen om de norm in samenhang met ISO 27001 te implementeren óf toe te voegen aan een al bestaand ISMS (Information Security Management System). Certificeren voor de norm is ook alleen mogelijk in combinatie met ISO 27001 (of NEN 7510).

Door het implementeren van een PIMS leg je vast hoe persoonsgegevens binnen jouw organisatie worden verwerkt. Je registreert als het ware welke technische en organisatorische maatregelen je hebt getroffen om aan privacy-eisen (zoals bijvoorbeeld AVG) te voldoen. Let op: ISO 27701 is een privacy-certificering en geen AVG-certificering. Je kunt de certificering wél gebruiken als bewijs wanneer je opdrachtgever vraagt of je voldoet aan de AVG-wet. Toezichthouders refereren ook steeds vaker aan ISO 27001 en ISO 27701.

Door het implementeren van een ISO 27701 PIMS breng je de privacyrisico’s van jouw organisatie in kaart. Vervolgens neem je passende maatregelen die deze risico’s beperken of zelfs elimineren. Daarmee bescherm je jouw organisatie o.a. tegen datalekken en de gevolgen daarvan (zoals een rechtszaak bijvoorbeeld) én bescherm je de gegevens van betrokkenen. Het ISO 27701 PIMS dwingt daarnaast ook af om de rest van je verwerkingsketen te beheersen.

De laatste jaren is het belang voor privacy en informatiebeveiliging aanzienlijk toegenomen. Doordat je met de implementatie van het ISO 27701 PIMS aantoonbaar maakt dat je de bescherming van persoonsgegevens serieus neemt en hier passende maatregelen voor treft, bouw je (wereldwijd) vertrouwen op bij je belanghebbenden. Zeker omdat je de volledige verwerkingsketen beheerst, garandeer je dat er veilig wordt omgegaan met persoonsgegevens. Daarmee verbeter je logischerwijs ook je reputatie en je concurrentiepositie, waardoor het certificaat ook commercieel gezien waarde biedt voor je organisatie.

Je privacymaatregelen en databescherming worden structureel gecontroleerd door middel van het certificeringsproces. Hierdoor kun je eenvoudig in kaart brengen hoe het met de naleving van de wet- en regelgeving staat binnen jouw organisatie. Dit scheelt allereerst tijd voor de Privacy Officer/Functionaris Gegevensbescherming. Daarnaast kun je ook bij externe toezichthouders eenvoudig aantonen hoe jij voldoet aan de wet- en regelgeving.

Naast de tijd die je hiermee bespaart, kun je in het als leverancier richting je opdrachtgevers ook je ISO 27701 certificering inzetten. Steeds vaker accepteren organisaties van hun leveranciers een ISO-certificering waardoor je al voldoet aan de leverancierseisen. Je wint hiermee dus vertrouwen en vermindert het aantal audits (vaak vinden er nog wel aanvullende audits/checks plaats).

Je kunt ervoor kiezen om de implementatie van het ISO 27701 PIMS intern op te pakken. Om dat succesvol te kunnen doen is uiteraard wel kennis van de norm nodig. In onze eendaagse ISO 27701 normkennistraining leer je de principes van de norm en de wijzigingen die nodig zijn om jouw ISMS uit te breiden. De training is bestemd voor iedereen die betrokken is bij het plannen, implementeren, onderhouden van of toezicht houden op een ISO 27701 PIMS. Let op: om de training te kunnen volgen is kennis van de ISO 27001 norm nodig.

Heb jij ondersteuning nodig bij de implementatie van ISO 27701? Wij adviseren je graag! Vraag een offerte aan of neem contact met ons op.