Wat is ISO 27701 en moet mijn organisatie voldoen?

ISO 27701 privacy-specific information security management system
ISO 27701 privacy-specific information security management system

ISO 27701

Op 6 augustus 2019 heeft ISO een nieuwe norm gepubliceerd: ISO 27701. Deze norm is geen op zichzelf staande set regels, maar vormt een uitbreiding op ISO 27001. We gaan in dit artikel kort op beide normen in.

ISO 27001 en 27701

Iso 27001 en 27002 zijn dé internationale standaard op het gebied van informatiebeveiliging. De NEN 7510 voor Nederlandse zorgorganisaties is hier volledig op gebaseerd. ISO 27001 en 27002 zich richten op het creëren van een managementsysteem voor informatiebeveiliging (ISMS). De nieuwe norm breidt dit systeem uit met een privacy information management system (PIMS). Het gaat dus om een managementsysteem voor het beschermen van persoonsgegevens. In Europa worden persoonsgegevens nu al beschermd door de AVG/GDPR, maar met de nieuwe ISO norm wordt geprobeerd om een nieuwe wereldwijde standaard voor de beveiliging van persoonsgegevens neer te zetten.

Op dit moment is er – vanzelfsprekend – nog weinig ervaring met de nieuwe norm en de inhoudelijke eisen. ISO beschrijft de norm als:

ISO/IEC 27701 defines processes and provides guidance for protecting PII on an ongoing, ever evolving basis. Because being a management system, it defines processes for continuous improvement on data protection, particularly important in a world where technology doesn’t stand still.

Meer concreet staan er bijvoorbeeld maatregelen rondom het versleutelen van verschillende categorieën persoonsgegevens.

Moet ik voldoen?

Nee, maar wel aan de strekking van de norm:

In Nederland is de AVG – tot op heden – het wettelijke kader waaraan moet worden voldaan. Er is geen verplichting om te voldoen aan ISO 27701 en/of om bijbehorende certificering te behalen. Voor ISO 27001 gecertificeerde organisaties is evenmin verplicht om aanvullende certificering te behalen.

In de praktijk zullen de meeste organisaties wel grotendeels aan de nieuwe norm moeten doen, maar dan op grond van de gelijkenis van deze norm met de AVG. De nieuwe norm kan een hulpmiddel bieden om concreet invulling te geven aan elke normen uit de AVG. ISO 27701 is daarvoor niet het enige middel. Je zou ook gebruik kunnen maken van bijvoorbeeld het Privacy Control Framework van Norea (zie hier).

De norm is te bestellen via ISO.

Bron: https://www.iso.org/news/ref2419.html

1 Trackback / Pingback

  1. IT-auditors publiceren Privacy Control Framework (PCF) - PrivacyPortaal.nl

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*