18 Juni 2020

Privacy en Informatiebeveiliging

De norm ISO/IEC 27701 gaat over Privacy en is een uitbreiding (‘plug-in’) op de norm ISO/IEC 27001.Deze norm biedt eisen en richtlijnen voor het inrichten, implementeren, onderhouden en continu verbeteren van een Privacy Informatie Management Systeem (PIMS). De norm is van toepassing op alle typen organisaties die verwerkingsverantwoordelijken en/of -verwerkers zijn, ongeacht de omvang van de organisatie.

De woorden ‘verwerkingsverantwoordelijke’ en ‘verwerker’ kennen we in Europa uit de GDPR en in Nederland uit de daarvan afgeleide AVG. Waar het in de AVG gaat over ‘de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens’, spreekt de internationale norm ISO/IEC 27701 over het beschermen van ‘persoonlijk identificeerbare informatie’ (afgekort PII).

Kort gezegd biedt de norm ISO/IEC 27701 een handvat waarmee organisaties gemakkelijker kunnen voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Hoe werkt dat in de praktijk?

Van ISMS naar PIMS

ISO 27001 bevat eisen voor inrichten, implementeren, onderhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging (ISMS). Het doel van een ISMS is om informatie op een systematische wijze te beschermen tegen een verlies van vertrouwelijkheid, integriteit (juistheid) en beschikbaarheid.

Op zich biedt de norm ISO/IEC 27001 voldoende mogelijkheden voor het beschermen van persoonsgegevens en voor het naleven van de AVG. Organisaties kunnen dit doen bij het kiezen van het toepassingsgebied (normelement 4.3), bij het beoordelen van informatiebeveiligingsrisico’s (normelement 6.1.2), bij het behandelen van die risico’s (normelement 6.1.3) en bijvoorbeeld door het toepassen van beheermaatregel A.18.1.4 (Privacy en bescherming van persoonsgegevens). Waarom dan de ISO/IEC 27701?

Veel organisaties vinden het lastig om het beschermen van persoonsgegevens te integreren in hun reeds geïmplementeerde ISMS op een wijze die aansluit bij de AVG. Daar kan de de norm ISO/IEC 27701 bij helpen. Zo bevat de norm aanvullende eisen voor alle onderdelen van het ISMS en aanvullende, op persoonsgegevens gerichte beheersmaatregelen (voor zowel verwerkingsverantwoordelijken als verwerkers). Het resultaat is een ‘ISMS met een privacy plug-in’, ofwel een PIMS.

ISO 27701 Implementatie

Ook al heeft een organisatie haar zaken prima op orde, het implementeren van een ‘certificaatwaardig’ PIMS kost doorgaans behoorlijk wat tijd. Natuurlijk kan een set met standaarddocumenten een heel eind op weg helpen, maar een managementsysteem is veel meer dan een handboek met beleid, processen en procedures.

Het opzetten van een certificaatwaardig PIMS duurt in de praktijk meestal ongeveer een half jaar. Wanneer er in de organisatie al een ISMS is, dan scheelt dit natuurlijk behoorlijk in tijd. Na het uitbreiden (verdiepen) van het bestaande ISMS en het implementeren van de toepasselijke PII-controls, kan al snel over een certificaatwaardig PIMS beschikt worden.

AuditConnect en ISO 27701 en PIMS

AuditConnect heeft de kennis en expertise in huis om te helpen bij het inrichten en implementeren van een PIMS:

  • Implementatie van een certificaatwaardig PIMS, inclusief het leveren van templates, bijvoorbeeld voor beleid en procedures.
  • Begeleiding bij het uitvoeren van een gap-analyse en/of risicobeoordeling volgens de eisen van de normen ISO/IEC 27001 en ISO/IEC 27701.
  • Het uitvoeren van een interne audit volgens de eisen van de twee normen op het niveau van een certificatie-audit.
  • Begeleiding bij het uitvoeren van een directiebeoordeling volgens de eisen van de twee normen.
  • Ondersteuning bij het opstellen van gedocumenteerde informatie.

ISO 27701 certificering

Voor het laten certificeren van een PIMS moet een certificatie-instelling (CI) ingeschakeld worden met een accreditatie voor de norm ISO/IEC 27701. Op het moment dat de CI wordt uitnodigt voor het uitvoeren van een certificatie-audit, moet de organisatie klaar zijn om te kunnen aantonen dat het PIMS aan alle eisen van de norm voldoet. AuditConnect begeleidt organisaties stap-voor-stap naar dat belangrijke moment.

Een initiële certificatie-audit is de audit die uitgevoerd moet worden om voor de eerste keer een certificaat te kunnen ontvangen. Implementaties die onder begeleiding van AuditConnect plaatsvinden, komen in de praktijk gemakkelijk en probleemloos door certificatie-audits. Dat betekent niet dat er nooit afwijkingen zijn, tenslotte zijn er altijd mogelijkheden voor verbetering, maar die punten lossen we samen met onze klant op.

Wilt u gebruik maken van onze kennis?

Bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over referenties, mogelijkheden en oplossingen. Of gebruik onderstaande button en wij nemen met plezier contact met jullie op.

AuditConnect helpt graag mee aan een veiligere digitale wereld!

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo RoutIT - referentie RoutIT - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect