In 2019 heeft de ISO organisatie (vanwege de grote vraag op Europees niveau) een uitwerking gemaakt van de GDPR. Deze uitbreiding is in de ISO 27701 beschreven vanuit een managementsysteem benadering. ISO 27001 en ISO 27701 tezamen kunt u dan ook zien als een managementsysteem op informatiebeveiliging en privacy. Dit managementsysteem is daarmee ook certificeerbaar.

Norm

ISO 27701 geeft enerzijds de aanvullende eisen op het gebied van het managementsysteem zoals beschreven in ISO 27001. Anderzijds geeft het richtlijnen die als aanvulling op ISO 27002 gezien moeten worden. Deze norm is daarom ook uitermate geschikt voor organisaties die reeds hun informatiebeveiliging op orde hebben gebracht volgens ISO 27001. Het breidt de eisen van ISO 27001 uit om, naast informatiebeveiliging, ook rekening te houden met de bescherming van de privacy van PII (Persoonlijk Identificeerbare Informatie)-opdrachtgevers die mogelijk door de verwerking van PII wordt beïnvloed. Binnen de ISO 27701 worden de gebieden van informatiebeveiliging en PII bij elkaar gebracht.

Door het behalen van het ISO 27701 certificaat, bovenop het ISO 27001 certificaat, wordt er aangetoond binnen het managementsysteem dat persoonsgegevens worden verwerkt compliant aan de GDPR.

Wat is een ISO 27701 certificering?

Een ISO 27701 certificering geeft aan dat de vereisten voor het opzetten, implementeren, het onderhouden en voortdurend verbeteren van een PIMS (Privacy Information Management System) in de vorm van een uitbreiding op ISO 27001 en ISO 27002 voor Privacy Management binnen de context van de organisatie is getoetst en voldoende is bevonden. Het geeft aan dat de gespecificeerde PIMS-gerelateerde eisen voor PII-beheerders en PII-verwerkers die verantwoordelijk en aansprakelijk zijn voor de verwerking van PII zijn getoetst.

Hoe implementeer ik ISO 27701?

De certificering van de conformiteit met ISO 27701 kan hoogstens indirect worden bereikt. Het is bijvoorbeeld denkbaar om ISO 27701 te vermelden in het kader van het ISO 27001-certificaat, na passende verificatie, met een verwijzing in de Verklaring van Toepasselijkheid.  De ISO 27701 breidt de eisen van ISO 27001 uit om rekening te houden met de bescherming van de privacy van PII’s.

De norm is volledig gebaseerd op ISO 27001. Dit betekent dat in de eerste plaats, voor conformiteit met ISO 27701 aan alle punten van ISO 27001 moet worden voldaan. De meeste eisen van ISO 27001 zijn ook van toepassing op ISO 27701.

Certificering

Wij voeren graag voor u de audits uit die nodig zijn om een ISO 27701 certificaat te behalen. Omdat elke organisatie uniek is, gaan wij graag met u in gesprek over uw uitgangspositie en inventariseren we welke stappen (wellicht) nog genomen moeten worden om klaar te zijn voor de certificering. Vervolgens maken wij een certificeringsvoorstel op maat voor u. De kosten voor een ISO 27701 certificering zijn van meerdere factoren afhankelijk, bijvoorbeeld de omvang en complexiteit van uw organisatie.

Let op! ISO 27701 is uitsluitend te certificeren in combinatie met een ISO 27001 certificering onder accreditatie.

Heeft u een reeds geldende ISO 27001 certificering onder accreditatie bij een andere CI? Bel ons voor de mogelijkheden.

Informatie aanvragen

FAQ

Wat is het verschil tussen ISO 27001 en ISO 27701?

ISO 27701 specificeert eisen en geeft richtlijnen voor het inrichten, implementeren, onderhouden en continu verbeteren van het managementsysteem voor privacy-informatie in de vorm van een uitbreiding op ISO 27001 en ISO 27002 voor privacymanagement binnen de context van de organisatie. Zonder ISO 27001 certificering, kan er geen ISO 27701 certificering plaatsvinden.

Wat is het verschil tussen ISO 27701 en ISO 27018?

ISO 27018 legt algemeen aanvaarde controle doelstellingen, controles en richtlijnen vast voor het implementeren van maatregelen ter bescherming van persoonlijk identificeerbare informatie in overeenstemming met privacy principes in ISO 29100 voor de publieke Cloud computing-omgeving. in het bijzonder specificeert dit document richtlijnen op basis van ISO 27002, rekening houdend met de wettelijke vereisten voor de bescherming van PII die van toepassing kunnen zijn binnen de context van de informatiebeveiligingsrisico-omgeving(en) van een aanbieden van openbare clouddiensten. Dit document is van toepassing op organisaties, die als PII-verwerkers via Cloud computing informatie verwerkende diensten verlenen in opdracht van andere organisaties.

Wat is het verschil tussen ISO 27701 en GDPR?

De ISO 27701 geeft richtlijnen voor het vaststellen en uitvoeren van de voorschriften, het onderhouden en voortdurend verbeteren van een Privacy Information Management Systeem. De GDPR is de wetgeving waar de norm op gebaseerd is. Elementen van de wet komen terug in de norm. Hierdoor structureert de wet de norm. Andersom kan niet.

Daarnaast is het zo dat in de norm is opgenomen dat er voldaan moet worden aan de nationale (materie) wetgeving. Hierdoor moet u bijvoorbeeld in de gezondheidszorg ook voldoen aan de eisen uit bijvoorbeeld de WGBO, Wet Publieke Gezondheid, Wabpvz etc. terwijl daar instructies in staan die slechts op hoofdlijn in de GDPR staan.

  • Bart Versluijs

    Privacy Expert

  • Jade Reilink

    Privacy Expert

Wilt u meer informatie of een afspraak?