Wat zijn de aanvullende eisen van ISO 27701 op ISO 27001? Een geïntegreerde aanpak
ISO 27701 en ISO 27001: wat zijn de verschillen, maar vooral ook: wat zijn de aanvullende eisen om ISO 27701 te implementeren in combinatie met een ISO 27001 ISMS? Een stappenplan met de criteria!
Robin van der Steen is adviseur bij CertificeringsAdvies Nederland. Robin is een enthousiaste adviseur met een passie voor informatiebeveiliging. Zijn kracht ligt in het beschermen van data en het bewaken van privacy binnen organisaties.
robin@certificeringsadvies.nlISO 27001 is een internationale norm voor informatiebeveiliging, terwijl ISO 27701 specifiek gericht is op het beheer van privacy-informatie (Privacy Information Management System, ofwel een PIMS). ISO 27701 bouwt voort op ISO 27001 en introduceert aanvullende eisen en richtlijnen die helpen bij de naleving van privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG/GDPR). In dit blogartikel bespreken we:
- Wat is het verschil tussen ISO 27001 en ISO 27701;
- Aanvullende eisen van ISO 27701 op ISO 27001.
Scope en focus: Privacy vs. Informatiebeveiliging
Wat is het verschil tussen ISO 27001 en ISO 27701? In de basis zit dat zo:
ISO 27001 richt zich op het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Het doel hiervan is het beschermen van vertrouwelijkheid, integriteit en beschikbaarheid (BIV) van informatie.
ISO 27701 breidt dit kader uit door privacybeheer toe te voegen. Het richt zich niet alleen op informatiebeveiliging, maar legt nadruk op de bescherming van persoonlijke gegevens. Waar ISO 27001 draait om algemene beveiligingsmaatregelen, gaat ISO 27701 verder met specifieke vereisten voor de verwerking van persoonsgegevens, wat een cruciaal verschil vormt.
Aanvullende rollen: Verwerkingsverantwoordelijke en Verwerker
Eén van de belangrijkste aanvullende eisen van ISO 27701 op ISO 27001 is de definitie van specifieke rollen binnen de context van privacybeheer:
Verwerkingsverantwoordelijke: Dit is de partij die beslist over het doel en de middelen van de verwerking van persoonsgegevens. In ISO 27701 zijn specifieke richtlijnen opgenomen over hoe deze rol invulling moet krijgen binnen het ISMS.
Verwerker: De partij die persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke. ISO 27701 bevat aanvullende richtlijnen om ervoor te zorgen dat deze rol goed wordt beheerd en gedocumenteerd, in lijn met wet- en regelgeving zoals de AVG/GDPR.
Documentatievereisten en maatregelen
ISO 27001 bevat een reeks brede eisen aan beheersmaatregelen en processen met betrekking tot informatiebeveiliging. ISO 27701 voegt hier privacy-gerelateerde maatregelen en documentatievereisten aan toe, zoals:
- Beleid voor bescherming van persoonsgegevens: Naast een algemeen informatiebeveiligingsbeleid, moet er specifiek beleid zijn dat ingaat op de bescherming en verwerking van persoonsgegevens.
- Privacy Impact Assessments (PIA’s): Dit is een beoordeling van de gevolgen voor de privacy van gegevensverwerkingsactiviteiten. Hoewel risicobeoordelingen al een vereiste zijn onder ISO 27001, benadrukt ISO 27701 het belang van PIA’s voor privacy gerelateerde risico’s.
- Bewaarbeleid: Er moeten gedetailleerde bewaartermijnen worden vastgesteld voor persoonsgegevens, evenals processen voor de veilige vernietiging ervan.
- Register van verwerkingsactiviteiten: Er is een verplichting om verwerkingsactiviteiten met persoonsgegevens vast te leggen, in lijn met wat bijvoorbeeld de AVG (GDPR) voorschrijft.
- Privacyverklaringen: Transparantievereisten zoals het duidelijk communiceren van welke persoonsgegevens worden verzameld en voor welke doeleinden.
- Gegevensrechten van betrokkenen: Er moeten procedures zijn voor het afhandelen van verzoeken van betrokkenen, zoals het recht op toegang, correctie, en verwijdering van hun gegevens.
- Datalekken: Hoewel ISO 27001 beveiligingsincidenten adresseert, legt ISO 27701 extra nadruk op de melding en beheersing van datalekken, met een specifieke focus op persoonsgegevens.
Verbeteren risicoanalyse voor privacy
ISO 27001 schrijft een risico-gebaseerde benadering voor informatiebeveiliging voor, waarbij organisaties hun eigen risicobereidheid moeten vaststellen en maatregelen moeten nemen om deze risico’s te beheersen. ISO 27701 voegt hieraan toe dat organisaties ook de risico’s met betrekking tot de bescherming van persoonsgegevens moeten beoordelen. Dit betekent dat een risicoanalyse ook moet kijken naar de potentiële impact op de rechten en vrijheden van individuen.
Privacy by Design en Default
ISO 27701 legt de nadruk op de principes Privacy by Design en Privacy by Default. Dit betekent dat privacyoverwegingen vanaf het begin in het ontwerp van systemen, processen en diensten moeten worden meegenomen en dat de standaardinstellingen van deze systemen de meest privacy-vriendelijke keuzes moeten zijn.
Privacy-integratie in ontwikkeling: Bedrijven moeten aantonen dat ze privacy vanaf het ontwerp hebben meegenomen in hun producten en diensten. Dit omvat technische maatregelen zoals data-minimalisatie en pseudonimisering.
Standaardinstellingen voor privacybescherming: Standaard moeten de meest privacy-vriendelijke opties worden gekozen, bijvoorbeeld dat gebruikers hun toestemming moeten geven voor optionele verwerkingen van hun gegevens (opt-in in plaats van opt-out).
Verantwoordingsplicht en toezicht
Een ander belangrijk aspect van ISO 27701 is de verantwoordingsplicht van de organisatie als het gaat om het beschermen van persoonsgegevens.
Toezicht op de verwerking van persoonsgegevens: Organisaties moeten niet alleen maatregelen treffen, maar ook kunnen aantonen dat deze maatregelen effectief zijn. Dit kan door het uitvoeren van interne audits, reviews en rapportages over de verwerking van persoonsgegevens.
Rollen en verantwoordelijkheden m.b.t. privacy: Er moeten duidelijke rollen en verantwoordelijkheden worden vastgelegd, zoals de aanstelling van een functionaris voor gegevensbescherming (Data Protection Officer) als dat wettelijk verplicht is of als best practice binnen de organisatie.
Aanvullende eisen voor internationale gegevensoverdracht
ISO 27701 introduceert ook specifieke eisen voor internationale gegevensoverdrachten, wat relevant is voor organisaties die persoonsgegevens verwerken buiten de EU of andere rechtsgebieden met strikte privacywetgeving. Dit omvat het vaststellen van de juiste mechanismen om te waarborgen dat dergelijke overdrachten voldoen aan regelgeving, zoals GDPR-artikel 46 over passende waarborgen.
Vereisten voor derden en leveranciersbeheer
Hoewel ISO 27001 reeds maatregelen bevat voor het beheer van derden en leveranciers, legt ISO 27701 extra nadruk op privacyaspecten bij het samenwerken met externe partijen. Organisaties moeten zorgen dat derden die namens hen persoonsgegevens verwerken, voldoen aan de privacyregels. Dit kan door middel van verwerkersovereenkomsten en het uitvoeren van audits bij deze externe partijen.
Audit uit laten voeren?
Een audit uit laten voeren? Bij CertificeringsAdvies Nederland kunnen we ontzorgen op gebied van allerlei audits, zoals interne audits (t.b.v. een norm) en netwerkaudits (franchise audit, leveranciersaudit, klantaudit etc.).
Aan de slag met ISO 27701?
Wat is het verschil tussen ISO 27001 en ISO 27701? En wat zijn de aanvullende eisen? ISO 27701 voegt aanzienlijke waarde toe aan het bestaande ISO 27001 framework door de focus op privacybescherming te versterken. De aanvullende eisen zijn niet alleen gericht op technische maatregelen, maar ook op organisatorische en juridische aspecten van gegevensverwerking. Bedrijven die al voldoen aan ISO 27001, kunnen met relatief eenvoudige aanpassingen ook voldoen aan de eisen van ISO 27701, en daarmee zorgen dat hun PIMS voldoet aan internationale privacyregelgeving zoals de AVG/GDPR.
Door het combineren van ISO 27001:2022 en ISO 27701 kan een organisatie niet alleen haar informatie beveiligen, maar ook de persoonsgegevens die zij verwerkt, effectief beschermen. Dit is een belangrijke stap voor bedrijven die streven naar een volledig geïntegreerd beheer van informatiebeveiliging en privacy.
Wil je ISO 27701 implementeren, al dan niet bovenop het ISO 27001 ISMS? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!
Robin van der Steen is adviseur bij CertificeringsAdvies Nederland. Robin is een enthousiaste adviseur met een passie voor informatiebeveiliging. Zijn kracht ligt in het beschermen van data en het bewaken van privacy binnen organisaties.
robin@certificeringsadvies.nlAan de slag met ISO 27701?
Eventueel in combinatie met het ISO 27001 ISMS?
- Adviseurs met ervaring
- Praktische toepassingen
- Vrijblijvende offerte