ISO/IEC 27701:2019 is de internationale norm voor Privacy Information Management Systems (PIMS). De norm is ontworpen als uitbreiding op ISO 27001 en ISO 27002 en biedt een kader voor het beheren van persoonsgegevens dat aansluit bij privacywetgeving wereldwijd, waaronder de AVG.
De kern van ISO 27701
ISO 27701 voegt privacy-specifieke eisen toe aan het bestaande informatiebeveiligingsmanagementsysteem (ISMS) uit ISO 27001. Waar ISO 27001 zich richt op de vertrouwelijkheid, integriteit en beschikbaarheid van informatie in het algemeen, focust ISO 27701 op de bescherming van persoonsgegevens vanuit het perspectief van zowel de verwerkingsverantwoordelijke als de verwerker.
De norm maakt expliciet onderscheid tussen deze twee rollen. Voor verwerkingsverantwoordelijken (PII controllers) bevat Annex A specifieke controls. Voor verwerkers (PII processors) bevat Annex B aanvullende controls. Organisaties die beide rollen vervullen, implementeren controls uit beide annexen.
Concrete eisen
ISO 27701 eist onder meer dat organisaties een register van verwerkingsactiviteiten bijhouden, privacy impact assessments uitvoeren bij verwerkingen met een hoog risico, procedures hebben voor het afhandelen van rechten van betrokkenen (inzage, verwijdering, correctie, dataportabiliteit), de rechtsgrond voor elke verwerking documenteren, verwerkersovereenkomsten afsluiten met alle verwerkers, en een proces hebben voor het melden van datalekken.
Deze eisen komen bekend voor als je de AVG kent. Dat is geen toeval. ISO 27701 is ontworpen om organisaties te helpen aantoonbaar te voldoen aan privacywetgeving. De norm is niet beperkt tot de AVG maar sluit aan bij privacywetgeving wereldwijd, waaronder ook de LGPD (Brazilie), PIPA (Zuid-Korea) en PIPL (China).
Verschil met de AVG
ISO 27701 is geen vervanging van de AVG en certificering betekent niet automatisch dat je AVG-compliant bent. De AVG is wetgeving met juridische eisen; ISO 27701 is een operationeel kader. Maar de overlap is substantieel, en ISO 27701 certificering is een sterke indicatie dat een organisatie de technische en organisatorische maatregelen heeft getroffen die de AVG vraagt.
Voor organisaties die internationaal opereren, biedt ISO 27701 een extra voordeel: het is een internationaal erkend kader dat privacycompliance aantoonbaar maakt, ongeacht de specifieke lokale wetgeving.
Implementatie en certificering
ISO 27701 wordt niet los gecertificeerd. Een bestaand ISO 27001 certificaat is een voorwaarde. De PIMS-extensie wordt toegevoegd aan de scope van het ISO 27001 certificaat. De certificeringsaudit toetst de aanvullende privacy-controls bovenop de bestaande ISMS-audit.
Secure Audit ondersteunt organisaties bij het uitbreiden van hun ISO 27001 certificering met ISO 27701. Van gap-analyse en implementatie tot de interne audit die je voorbereidt op certificering. De certificeringsaudit wordt uitgevoerd door een geaccrediteerde instelling zoals DigiTrust (www.digitrust.nl). Neem contact op.
Lees ook
De AVG stelt eisen aan de verwerking van persoonsgegevens. Lees hoe een IT-auditor beoordeelt of je technische maatregelen voldoen aan de privacywetgeving.
ISO 27018 biedt richtlijnen voor de bescherming van persoonsgegevens (PII) in publieke cloudomgevingen. Lees hoe de norm zich verhoudt tot de AVG en ISO 27001.
Van gap-analyse tot certificeringsaudit: een praktische gids voor ISO 27001 implementatie en certificering.
Over de auteur
Partner | IT-auditor