ISO 27701 is een uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor het beheer van privacyinformatie. Wij gaan uitleggen wat dat betekent.
ISO/IEC 27701 helpt u bij het beheren van persoonlijk identificeerbare informatie (PII) binnen uw organisatie. Het is een nieuwe standaard, ontworpen voor gebruik door iedereen verantwoordelijk voor PII in welke organisatie dan ook.
De standaard laat zien hoe u een Privacy Informatie Management Systeem (PIMS) ontwerpt, inricht, beheert en voortdurend verbetert. Het geeft u veel flexibiliteit bij het maken en uitvoeren van uw PIMS. Dankzij de flexibiliteit van ISO 27701 kunt u ook aan alle relevante lokale PII-regelgeving voldoen.
ISO 27701 bouwt voort op ISO/IEC 27001. Dat betekent dat u:
ISO 27701 is op 6 augustus 2019 in werking getreden. Omdat de standaard zo nieuw is, hebben maar heel weinig organisaties deze overgenomen. Als u ervoor kiest om voor de ISO 27701-certificering te gaan, loopt u een voorsprong op het infosec-pakket.
ISO 27001 is de meest populaire beveiligingsstandaard ter wereld, maar vertoont enkele hiaten. Er wordt met name niet beschreven hoe u dit moet instellen Persoonlijk Identificeerbare Informatie (PII) veiligheids maatregelen. De Algemene Verordening Gegevensbescherming (AVG) van de EU heeft het gebrek aan duidelijke PII-richtlijnen van ISO 27001 onder de aandacht gebracht. De AVG vraagt om PII-beveiligingsmaatregelen, maar geeft geen richtlijnen of vereisten voor de implementatie.
Dus begon het werk aan de norm die ISO 27701 zou worden. De nieuwe PII-beheernorm werd voor het eerst ontwikkeld als ISO/IEC 27522. Het technische werk aan ISO 27522 eindigde in 2019, wat leidde tot de publicatie van de nieuwe norm op 6 augustus 2019. Het is een uitbreiding van ISO/IEC 27001. Vóór publicatie werd ISO/IEC 27522 ISO/IEC 27701. Dat komt omdat elke norm die beschrijft hoe een managementsysteem moet worden gecreëerd, moet eindigen op 01.
Persoonlijk identificeerbare informatie (PII) is informatie die iemands identiteit verraadt. PII onthult identiteiten op zichzelf of in combinatie met andere gegevens. Sommige categorieën PII zijn erg gevoelig. U kunt bijvoorbeeld alleen en vasthouden data verwerken over strafrechtelijke veroordelingen en misdrijven in zeer beperkte omstandigheden.
Bijna elke organisatie beschikt over gedetailleerde persoonlijk identificeerbare informatie (PII) over individuele mensen. Als PII lekt, kan dit zeer schadelijk zijn. Een ISO/IEC 27701-compatibel Privacy Information Management System (PIMS) beschermt uw PII.
Het helpt u de negatieve gevolgen van PII-inbreuken te voorkomen, waaronder:
Het behalen van de ISO 22701-certificering kan ook veel positieve gevolgen hebben, waaronder:
De meeste organisaties moeten informatie bewaren en verwerken over sommige of al hun:
Deze mensen vertrouwen op organisaties die gegevens verzamelen om die informatie privé te houden. Het risico op en de potentiële schade als gevolg van een schending van privacygegevens of persoonlijk identificeerbare informatie (PII) neemt snel toe. Problemen kunnen zijn:
Steeds meer organisaties creëren dus privacy-informatiebeheersystemen (of PIMS). Een effectief, ISO 27701-conform of gecertificeerd PIMS heeft veel potentiële voordelen. Het kan:
Om de veiligheid te vergroten, kunt u uw PII pseudonimiseren of anonimiseren. De AVG-definities van deze twee manieren om uw persoonlijke gegevens te beheren zijn:
Gepseudonimiseerde gegevens kunnen nog steeds onderworpen zijn aan PII regelgeving en eisen. De meeste regelgevingsregimes zullen waarschijnlijk niet van toepassing zijn op geanonimiseerde gegevens.
Het verschil tussen gepseudonimiseerde en geanonimiseerde gegevens kan behoorlijk subtiel en complex zijn. Het kan variëren in verschillende rechtsgebieden. U moet zorgvuldig controleren of u alle relevante voorschriften op uw PII toepast.
Oh, en als je informatie hebt over iemand die (heel helaas) is overleden, dan zal het waarschijnlijk geen PII zijn. Informatie over de overledene wordt over het algemeen niet als persoonlijk geclassificeerd. Gegevens van bedrijven, overheidsinstanties of andere organisaties zijn waarschijnlijk ook geen PII.
ISMS.online bespaart u tijd en geld bij het behalen van de ISO 27001-certificering en maakt het eenvoudig te onderhouden.
Informatiebeveiligingsmanager, Honeysuckle Health
Een PIMS is een Persoonlijk Informatie Management Systeem. Het combineert:
om de persoonlijk identificeerbare informatie (PII) die uw organisatie bewaart en gebruikt te beschermen. Een effectief PIMS zorgt ervoor dat uw organisatie:
Uw PIMS helpt u PII op te slaan en te delen, zowel intern als extern. Met de juiste PIMS kunnen mensen de gegevens die u over hen bewaart, ook gemakkelijk bijwerken en corrigeren.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Om ISO 27701 te implementeren, uw organisatie nodig heeft tot:
1. Proces en/of persoonlijk identificeerbare informatie (PII) beheren
2. Heb een ISO 27001-gecertificeerd managementsysteem voor informatiebeveiliging (ISMS)
Het maakt niet uit wat voor soort of grootte organisatie u bent. De vereisten van ISO 27701 zijn geschikt voor alle soorten en maten organisaties. Dat omvat (maar is niet beperkt tot):
1. Openbare en particuliere bedrijven
2. Overheidsinstanties
3. Organisaties zonder winstoogmerk
Maak kennis met de ISO 27701-norm. Het helpt u bij het definiëren van uw privacybeheerstrategie en het plannen van uw PIMS. Bouw vervolgens uw PIMS en creëer de systemen en tactische bedieningselementen. Implementeer vervolgens uw PIMS en zorg ervoor dat u aan alle ISO 27701-vereisten voldoet.
U bent klaar voor uw audit zodra volledige ISO 27701-certificering mogelijk wordt. Op dit moment is de standaard zo nieuw dat niemand geaccrediteerd is om u ervoor te certificeren.
Oh, en om ISO 27001 te behalen, moet u ISO 27001-compatibel of gecertificeerd zijn. Als u niet over ISO 27001 beschikt, moet u ook plannen hoe u deze wilt implementeren.
ISO/IEC 27701:2019 is zo nieuw dat er geen geaccrediteerde certificatie-instellingen voor bestaan. Op het moment dat we dit schrijven kun je dus eigenlijk niet de ISO 27701-certificering behalen.<.p>
Wij raden het bereiken van ISO 27001-compliance, zodat u klaar bent wanneer certificering mogelijk wordt. Het lijkt erop dat je vanaf medio 27701 de ISO 2021-certificering kunt behalen.
Om te voldoen aan ISO/IEC 27701:2019 moet u een Personal Information Management System (PIMS) voor uw organisatie ontwerpen, bouwen en implementeren.
Uw nieuwe PIMS zou moeten volgen:
1. De ISO 27701-norm op alle relevante manieren
2. Eventuele nationale of internationale regelgeving die op uw organisatie van toepassing is
ISO 27701 gaat ervan uit dat u al voldoet aan ISO 27001 of certificering heeft behaald. Dat betekent het creëren van een informatiebeveiligingsbeheersysteem (ISMS). U kunt uw ISMS vóór of naast uw ISO 27701-implementatie opzetten.
Wanneer u kiest voor ISO 27701-certificering, zullen uw auditors uw PIMS beoordelen door:
1. Het doorlezen van de documentatie van uw PIMS
2. Interview uw mensen om er zeker van te zijn dat ze het begrijpen en gebruiken
3. Testen uitvoeren om te kijken hoe goed het in de praktijk werkt
Om goede ISO 27701-praktijken te laten zien, hebt u het volgende nodig:
1. Uitgebreide PIMS-documentatie
2. Goed opgeleid personeel
3. Beleid en procedures worden algemeen begrepen en gevolgd
ISO/IEC 27701:2019 is zo nieuw dat er geen geaccrediteerde certificatie-instellingen voor bestaan. Op het moment dat we dit schrijven kun je dus nog niet daadwerkelijk een ISO 27701-certificering behalen. Wanneer ISO 27701-certificering mogelijk wordt, zal dit een soortgelijk proces volgen als ISO 27001-certificering.
Eerst moet u uw Personal Information Management System (PIMS) ontwerpen, bouwen en implementeren. Zorg ervoor dat u de vereisten van de ISO 27701-norm volgt. Meld u dan aan bij een erkende onafhankelijke certificatie-instelling, die uw PIMS zal auditeren.
De auditors van uw certificatie-instelling beoordelen uw PIMS-documentatie. Vervolgens testen ze uw PIMS, meestal door middel van interviews en steekproeven op locatie. Als u slaagt voor uw audit, bent u gecertificeerd. U krijgt dan twee jaarlijkse toezichtaudits. Na drie jaar moet u zich opnieuw laten certificeren.
ISO 27701 vult een aantal persoonlijk identificeerbare informatielacunes in ISO 27001 op. U kunt het dus naast of na ISO 27001 implementeren.
Naast ISO 27001 is ISO 27701 ook van toepassing op:
Houd er rekening mee dat u ook de plaatselijke regelgeving moet volgen als u ISO 27701 aan een andere norm koppelt.
ISO 27701 staat los van de AVG. Maar als u voldoet aan ISO 27701 of gecertificeerd bent, voldoet uw Personal Information Management System aan de AVG.
ISO 27701 werd voor het eerst ontwikkeld als ISO/IEC 27522. De naam van de norm veranderde vóór de lancering in 27701 in ISO 2019. ISO 27522 werd ISO 27701 omdat elke norm die vertelt hoe je een managementsysteem moet opzetten, moet eindigen op 01.
De ISO 27000-familie van normen richt zich op informatiebeveiliging. Elke ISO 27000-standaard heeft een andere nadruk en vereisten op het gebied van infosec. Organisaties van elke omvang of soort kunnen er gebruik van maken.
Belangrijke familieleden zijn onder meer:
Bijlage D van de ISO 27701-standaard vertelt u hoe u de controles ervan kunt afstemmen op de Algemene Verordening Gegevensbescherming (AVG) van de EU.
Bijlage F van de ISO 27701-norm legt uit hoe ISO IEC 27001 kan worden uitgebreid ISO / IEC 27002 om persoonlijk identificeerbare informatie (PII) te beschermen.
Om het u gemakkelijk te maken, ISMS.online heeft een cloudgebaseerd platform gebouwd. Dit platform voldoet aan de criteria van de ISO-normen en voldoet tevens aan de eisen van ISO 27701. Hiermee kunt u naleving van de ISO 27701-norm creëren en aantonen, waardoor certificering wordt vereenvoudigd.
Met ons cloudgebaseerde platform heeft u op één plek toegang tot al uw ISMS-bronnen. We hebben een intern team van informatiebeveiligingsexperts die u kunnen begeleiden en vragen kunnen beantwoorden om u te helpen op weg naar de implementatie van ISO 27701, zodat u kunt aantonen dat u zich inzet voor best practices op het gebied van informatiebeveiligingsbeheer. Bel ISMS.online op +44 (0)1273 041140 voor meer informatie over hoe wij u kunnen helpen gecertificeerd te worden volgens ISO 27701.
Werk eenvoudig samen, creëer en laat zien dat u altijd op de hoogte bent van uw documentatie
Ontdek meer
Ga moeiteloos bedreigingen en kansen aan en rapporteer dynamisch over de prestaties
Ontdek meer
Neem betere beslissingen en laat zien dat u de controle heeft met dashboards, KPI's en gerelateerde rapportages
Ontdek meer
Maak licht werk van corrigerende maatregelen, verbeteringen, audits en managementreviews
Ontdek meer
Schijn een licht op kritische relaties en koppel op elegante wijze gebieden als activa, risico's, controles en leveranciers
Ontdek meer
Selecteer activa uit de Activabank en creëer eenvoudig uw Activa-inventaris
Ontdek meer
Kant-en-klare integraties met uw andere belangrijke bedrijfssystemen om uw compliance te vereenvoudigen
Ontdek meer
Voeg netjes andere compliancegebieden toe die van invloed zijn op uw organisatie om nog meer te bereiken
Ontdek meer
Betrek medewerkers, leveranciers en anderen te allen tijde bij dynamische end-to-end compliance
Ontdek meer
Beheer due diligence, contracten, contacten en relaties gedurende hun levenscyclus
Ontdek meer
Breng geïnteresseerde partijen visueel in kaart en beheer ze, zodat duidelijk aan hun behoeften wordt voldaan
Ontdek meer
Sterke privacy by design en beveiligingscontroles die aan uw behoeften en verwachtingen voldoen
Ontdek meer100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering
