ISO27701 komt uit de ISO27001-familie en gaat over privacy. De Nederlandse afdeling van ISACA Kennisgroep Privacy & GDPR schreef een uitgebreid discussion paper over het waarom van deze norm. Wij hebben daar voor jou de belangrijkste informatie uitgehaald. Dus als je wil weten of jij ook iets moet met deze norm, lees dan vooral even door!
Het wat en waarom van ISO27701
Allereerst, ISO27701 is een uitbreiding (extensie) van de ISO27001 en is daarom niet zelfstandig te gebruiken. Je moet eerst een ISO27001-certificaat halen en kunt daar vervolgens ISO27701 als een soort van plugin aan toevoegen. Privacy en bescherming van persoonsgegevens zitten natuurlijk al in ISO27001 als wettelijke vereiste (Annex A.18.1.4), maar door de implementatie van ISO27701 maken ze ook aantoonbaar onderdeel uit van het managementsysteem. Daarnaast is het zo dat als je, zeg maar, blanco begint aan ISO27001 je alles vanaf het begin kunt opbouwen. Het verplichte ISMS (Information Security Management System) richt je dan vanaf begin af aan goed in.
Maar wat als je al een ISMS hebt? ISO27001 vraagt dat je op basis van een risicomethodiek een managementsysteem hebt geïmplementeerd dat bijdraagt aan dataprotectie. Maar je huidige ISMS aanpassen zonder van alles overhoop te gooien, valt nog niet altijd mee. En dan is ISO27701 de oplossing: het geeft je een praktisch kader waarmee je je bestaande ISMS kunt uitbreiden met een zogenaamd PIMS: Privacy Information Management System. De PDCA-cyclus en risicoanalyse zoals beschreven in ISO27001 is hierin opgenomen. Met deze uitbreiding toon je dan ook aan dat de PDCA-cyclus is geïmplementeerd en dat risicoanalyses zijn uitgevoerd volgens de beheersmaatregelen voor privacy. Daarmee is je organisatie ‘in control’ over haar privacybeleid en implementatie.
Het kan lastig zijn om het beschermen van persoonsgegevens zodanig te integreren in je huidige ISMS dat het ook goed aansluit bij de AVG. Daar helpt ISO27701 je bij. Zo bevat de norm aanvullende eisen voor alle onderdelen van het ISMS en aanvullende, op persoonsgegevens gerichte beheersmaatregelen (voor zowel verwerkingsverantwoordelijken als verwerkers). Het resultaat is een ‘ISMS met een privacy plug-in’, ofwel een PIMS.
Voor wie is ISO27701?
De norm ISO27701 is eigenlijk op alle typen organisaties van toepassing. Het maakt niet uit hoe groot je bent en of je een publieke of private onderneming bent of een overheidsinstanties/non-profitorganisaties die werkt met Persoonlijk Identificeerbare Informatie (PII). Er is natuurlijk wetgeving voor de bescherming/verwerking van persoonsgegevens op basis van de GDPR (AVG), maar de scope van ISO27701 is anders. ISO27701 is een internationale norm uit de ISO27000-serie en bevat een set van controls die je kunt gebruiken bij de implementatie van het privacy framework.
Veel organisaties hebben de behoefte om aan te tonen dat er wordt voldaan aan de AVG als geheel. Dat is alleen (nog) niet direct mogelijk. Maar je kunt met ISO27001 en ISO27701 wel aantonen dat je managementsystemen ingericht zijn op de GDPR/AVG. Met een PIMS-implementatie kan iedereen die het maar interesseert, laten zien dat je voldoet aan de normen uit de ISO27701.
Waarom wel een ISO27701-certificaat?
Certificering heeft, door de onafhankelijke toetsing, toegevoegde waarde op verschillende gebieden:
- Het is naar potentiële belanghebbenden een bewijs dat je een beheersysteem hebt geïmplementeerd. Dit is altijd positief voor je imago;
- Het versterkt het vertrouwen in jouw organisatie; ook als je een niet-commercieel bedrijven of (semi)overheid bent;
- Certificatie is een goed hulpmiddel bij het selecteren van leveranciers en geeft een indicatie van hun professionaliteit;
- Certificering speelt een rol bij het aantoonbaar naleven van governance codes;
- Het geeft aan dat jullie, naast compliance, aandacht schenken aan de privacy van jullie klanten, gebruikers, partners, enzovoorts;
- Waarschijnlijk wordt certificering met ISO27001, in de toekomst steeds meer onderdeel van de license-to-operate;
- Je hoeft niet steeds opnieuw uit te leggen en toe te lichten dat je aan de contracteisen voldoet. Scheelt een hoop tijd en moeite (en dus geld);
- Omdat er (vaak jaarlijkse) een certificeringsaudit plaatsvindt, is er een externe druk om procedures en werking up-to-date te houden. Dat komt uiteindelijk de kwaliteit van de processen ten goede;
- Het geeft je een handvat bij het inregelen van je informatiebeveiliging en privacy.
Waarom geen ISO27701-certificaat?
Maar er zijn ook redenen om het niet te doen:
• De kosten/batenanalyse kan negatief zijn. Het is niet verplicht om te voldoen aan ISO27701. Zeker als je weinig persoonsgegevens verwerkt en daar ook nog eens (bijna) geen gevoelige/bijzondere persoonsgegevens tussen zitten, is de toegevoegde waarde van een PIMS waarschijnlijk heel klein;
• Nadelen van early adopter: op 1 december 2020 waren er in Nederland nog geen organisaties gecertificeerd. De kans is dus groot dat je nu als eerste tegen bepaalde problemen aanloopt. Het kost dan meer moeite om te voldoen, omdat je nog niet kunt leunen op de ervaring van anderen;
• Het is nog niet duidelijk welke waarde de Autoriteit Persoonsgegevens aan ISO27701 toekent. Het is zelfs maar de vraag of ze hier überhaupt ooit uitspraak over gaat doen.
Nog meer weten over ISO27701?
Als je nog twijfelt of je wel of niet voor een ISO-27701-certificering moet gaan, kun je altijd met Jasper bellen. Die vertelt je er alles over.