25/09/2019 - Recentelijk publiceerde de Internationale Organisatie voor Standaardisatie een nieuwe norm: ISO/IEC 27701:2019, kortweg ISO 27701. ISO 27701 is een uitbreiding op de reeds bekende standaarden voor informatiebeveiliging ISO 27001 en 27002. De nieuwe standaard is erop gericht organisaties een handvat te bieden waarmee zij gemakkelijker kunnen voldoen aan de Algemene Verordening Gegevensbescherming (AVG).
Dat organisaties behoefte hebben aan handvatten merken wij dagelijks bij onze klanten. Praktische richtlijnen en toelichting op de vereisten uit de AVG zijn veelgevraagd. Dit werd ook benoemd door Minister Dekker van Rechtsbescherming, die in een brief aan de Tweede Kamer liet weten dat bijna een jaar na de invoeren van de AVG nog veel onduidelijkheid bestaat omtrent de privacywet.
ISO 27701 stelt verschillende vereisten aan organisaties met betrekking tot het verwerken van persoonsgegevens in de dagelijkse bedrijfsvoering, gebaseerd op de vereisten uit de AVG. Denk aan het op de juiste wijze inbedden van de rechten die betrokkenen hebben op grond van de AVG, of de voorwaarden voor het uitwisselen van persoonsgegevens met derde partijen. Daarnaast wordt in de nieuwe norm toelichting gegeven bij de vereisten, zodat de bedrijfsvoering zo ingericht kan worden dat aan die vereisten wordt voldaan. Daarbij wordt aandacht geschonken aan verplichtingen voor zowel verwerkingsverantwoordelijken als verwerkers.
Aan de ene kant geeft ISO 27701 handvatten om organisaties te helpen hun managementsysteem voor informatiebeveiliging uit te breiden, waarmee zij een zogenaamd Privacy Informatie Management Systeem (PIMS) op kunnen zetten, implementeren en/of onderhouden, zodat privacy effectief gemanaged kan worden. Aan de andere kant geeft de norm een overzicht van de ‘controls’ die organisaties kunnen implementeren om te voldoen aan de vereisten uit de AVG.
De mogelijkheid bestaat dat ISO 27701 de basis gaat vormen voor de langverwachte AVG-certificering. In de norm wordt namelijk per vereiste verwezen naar het bijbehorende artikel uit de AVG. Zo wordt van de artikelen 5 tot en met 49 uit de AVG, behalve artikel 43 (over certificeringsorganen), aangegeven welke ‘control’ geïmplementeerd kan worden om aan het artikel te voldoen. Daarnaast zat een afgevaardigde van de invloedrijke Franse toezichthouder op gegevensbescherming, CNIL, in de technische commissie die ISO 27701 tot stand heeft gebracht. In de wandelgangen wordt gesuggereerd dat de CNIL de nieuwe ISO-norm geschikt acht als basis voor AVG-certificering. De eerste organisaties zijn inmiddels overigens al gecertificeerd voor ISO 27701. Voor de duidelijkheid, voor een ISO 27701 certificering is vereist dat de betreffende organisatie gecertificeerd is voor ISO 27001.
Voor organisaties die overwegen zich voor te bereiden op AVG-certificering of benieuwd zijn hoe hun organisatie ervoor staat op het gebied van AVG-implementatie heeft Considerati het Privacy Compliance & Maturity Normenkader ontwikkeld. Het privacy normenkader geeft organisaties inzicht in zowel de mate van compliance (‘in hoeverre voldoet mijn organisatie nu aan de AVG?’) als de mate van maturity (‘in hoeverre kan mijn organisatie duurzaam blijven voldoen aan de AVG?’). Om onze klanten zo goed mogelijk inzicht te bieden in de stand van zaken verwijst ons normenkader ook naar relevante normen uit de modellen van het CIP en NOREA én inmiddels ook ISO 27701! Bovendien bevat ons normenkader aanvullende normen, waarmee wij dankzij onze jarenlange ervaring een aanvulling kunnen bieden op de bekende modellen. Volgens ons model voldoet een organisatie (blijvend) aan de AVG indien zij bij alle normen minimaal niveau 3 haalt op een schaal van 5. Scoort uw organisatie niveau 3 of hoger volgens ons normenkader? Dan voldoet uw organisatie ook aan de vereisten die volgens ISO 27701 gesteld worden aan uw bedrijfsvoering. Hiermee kan uw organisatie zich dus goed voorbereiden op een eventuele ISO 27701 certificering.
Wilt u weten of uw organisatie voldoet aan de vereisten uit de nieuwe ISO 27701? Bent u benieuwd hoe uw organisatie in de praktijk dient om te gaan met de normen en toelichting uit ISO 27701? Vraagt u zich af welke stappen u dient te nemen om te voldoen aan de AVG? Of weet u eigenlijk al dat u voldoet aan de AVG, maar bent u op zoek naar een roadmap om te innoveren op het gebied van privacy en privacy als unique selling point te hanteren? Neem dan vrijblijvend contact met ons op voor een Maturity Scan of Audit.