ISO 27701: eerste ISO-standaard voor het beheer van persoonsgegevens

De Internationale Organisatie voor Standaardisatie (ISO) heeft de eerste internationale standaarden voor het beheer van privacyinformatie gepubliceerd. Het is een nieuwe toevoeging aan de ISO 27000-reeks van informatiebeveiligingsnormen. In de aankondiging is te lezen dat ISO 27701 eisen specificeert voor het opzetten, implementeren, onderhouden en continu verbeteren van een beheersysteem gericht op privacy (Privacy Information Management Systems (PIMS)). Een samenwerkomgeving als TrustBound GRC is specifiek gebouwd om deze Plan, Do, Check, Act (PDCA)-cyclus te ondersteunen.

De Algemene Verordening Gegevensbescherming (AVG) verplicht de verwerkingsverantwoordelijken en de verwerkers van persoonsgegevens passende technische en organisatorische maatregelen te nemen om de rechten en vrijheden van de betrokkene te beschermen en zo het risico op een afgestemd beveiligingsniveau te waarborgen. De AVG geeft verder geen precieze uitleg over hoe deze passende technische en organisatorische maatregelen ingevuld moeten worden. Deze zullen ook per organisatie verschillen. Het is dus van belang om per geval een afweging te maken en die aantoonbaar ten uitvoer te brengen.

De ISO 27701 standaard zorgt voor verduidelijking door de PIMS-gerelateerde vereisten te specificeren en geeft richtlijnen voor (in ISO termen) verwerkingsverantwoordelijken en verwerkers van PII, Personally Identifiable Information. De norm kan toegepast worden op alle typen organisaties, zoals publieke en private bedrijven, overheidsinstanties en non-profitorganisaties. Organisaties die ISO 27001 hebben geïmplementeerd, kunnen de standaard uitbreiden door ISO 27701 te gebruiken om hun aan te tonen dat zij voldoen aan de eisen van de AVG.

Met het goed vastleggen van zowel het verwerkingsregister als de risico’s en maatregelen (en controles!) in TrustBound GRC wordt invulling gegeven aan de norm. Een organisatie kan dus veel kosten besparen bij (de aanloop naar) een onafhankelijke audit door gestructureerd en risicogestuurd te gaan werken. Daarbij is TrustBound GRC een actieve deelnemer in de ontwikkeling van ‘gestandaardiseerde’, en dus herbruikbare, informatie voor verschillende sectoren zoals Overheid en Onderwijs.

Geplaatst 19-08-19

Wil je snel verbeteren?

Download onze whitepaper over het eenvoudig opzetten van een beheersysteem voor informatiebeveiliging en privacy met gebruiksvriendelijke GRC-Software.

Wil je snel verbeteren?