Afgelopen zomer werd de privacy certificering ISO 27701, de Engelse versie van de onlangs uitgegeven NEN-norm voor privacy gelanceerd. De insteek van deze norm is dat hij een extensie is van de norm voor informatiebeveiliging, de ISO 27001. Om voor deze norm gecertificeerd te worden moet je dus wel een 27001 certificering hebben.

Op dit moment is het nog niet zeker of er ook een aparte, losstaande norm voor privacy komt. Wel zijn er certificeerders die een eigen norm hebben. Die normen zijn zeg maar een privaat initiatief, deze normen zijn niet goed gekeurd door de Raad voor Accreditatie. Het behalen van deze certificering betekent dus geen ISO-certificering voor privacy.

In deze blog licht ik de belangrijkste zaken uit de ISO 27701 toe.

Met weinig moeite privacy gecertificeerd: de 27701 in 3 tranches

Omdat de nieuwe norm een plug-in is op de 27001 is kost het relatief weinig moeite om de privacy certificering: ISO 27701 te verkrijgen. Op basis van de ISO 27001 moeten een aantal extra zaken geregeld worden. Desondanks is de norm een flink pak papier van 66 pagina’s.

Om op een efficiënte manier te voldoen aan de verplichtingen heb ik de norm in 3 delen opgesplitst.

Het eerste deel betekent dat je het ISMS, je Information Security Management Systeem moet uitbreiden naar een PIMS, een Privacy Informatie Management Systeem. Onder andere bij de context-analyse en het hoofdstuk leiderschap moet een aantal zaken worden toegevoegd.

Het tweede deel regelt de uitbreiding van de maatregelen uit Annex A met privacyaspecten. Om die toevoegingen efficiënt te implementeren heb ik een transponeringstabel gemaakt. De maatregelen uit de Annex van de 27001 die je reeds geïmplementeerd hebt, kun je zo eenvoudig checken en indien nodig uitbreiden met privacyaspecten.

De derde tranche splitst in een apart hoofdstuk voor de verwerkersverantwoordelijke (hoofdstuk 7) en voor de verwerker (hoofdstuk 8)

In hoofdstuk 7 zul je veel artikelen herkennen die betrekking hebben op de verplichtingen uit de AVG.  Er wordt stil gestaan bij de rechten de betrokkenen, de verplichting van een Register, een DPIA etc.

De verplichtingen voor de verwerker in hoofdstuk 8 zijn, conform de AVG, minder vergaand dan die voor de verwerkersverantwoordelijke.  Het gaat daar met name om zaken als de melding van inbreuk op wet- en regelgeving, de informatievoorziening naar de klant en de verwerkersovereenkomst. Het laatste deel van het hoofdstuk gaat in op het voor de verwerker belangrijke Privacy by design en Privacy default.

 

Waarde van Privacy certificering: ISO 27701 in de praktijk

Als je al gecertificeerd bent voor de 27001 kun je dus relatief eenvoudig die certificering uitbreiden naar de privacy certificering. Je maakt dan aan je klanten aantoonbaar dat je ook de privacyaspecten van hun gegevens goed geregeld hebt.

Daarbij ga ik ervan uit dat je als gecertificeerde verwerkersverantwoordelijke ook al voldoet aan de verplichtingen uit de AVG. Als je dat nog niet doet, dan biedt de norm een gestructureerd handvat om je daarbij te ondersteunen.  Als je verwerker bent gelden net als in de AVG minder vergaande eisen voor de 27701.

Als je geen 27001 certificering hebt en deze ook niets toevoegt voor je bedrijfsvoering maar een stempel dat jij privacy bewust werkt wel klantwaarde heeft, dan kun je overwegen om één van de niet geaccrediteerde certificeringen te implementeren.

 

Wil je meer lezen?

In mijn nieuwe boek beschrijf ik hoe organisaties  efficiënt kunnen voldoen aan de AVG en tegelijkertijd klantvertrouwen en – waarde kunnen creëren met persoonsgegevens en privacy.

Door de werkprocessen waarbij persoonsgegevens worden verwerkt als uitgangspunt te nemen en die te begrijpen en te analyseren wordt de implementatie van de AVG stukken eenvoudiger en effectiever.

Door zo te werken, draagt de privacy verantwoordelijke bij aan de innovatie van de processen in plaats van de ontwikkeling te remmen. Medewerkers worden actief betrokken waardoor minder weerstand ontstaat en een beter privacy bewustzijn wordt gecreëerd.

Met deze aanpak wordt vertrouwen bij en zelfs waarde voor de klant geleverd.

In mijn boek leg ik uit hoe je de principes van leanmanagement kunt toepassen in het privacy domein.

Wil je ook lean werken met privacy? Bestellen kan via de website:

https://deprivacyguru.nl/producten/

 

Bron: https://www.nen.nl/

 

Gerelateerd