ISO 27701 (Privacy Information Management Systeem) is een extensie op ISO 27001 (Information Security Management System) die organisaties een framework biedt om privacy te beschermen. Hiermee kunt u aantonen dat u, opkomend voor de algehele beschikbaarheid, integriteit en vertrouwelijkheid van informatie, tevens de privacy van anderen beschermt die daardoor geraakt kunnen worden. We leggen u uit welke voordelen dit Privacy Information Management Systeem (PIMS) voor uw organisatie heeft.
1. Vermindert privacyrisico’s voor betrokkenen & beschermt beter tegen datalekken
Het bezitten en gebruiken van persoonsgegevens brengt vanzelfsprekend risico’s met zich mee. Vaak is die data toch essentieel voor de bedrijfsvoering en moet dus goed ingezet worden om risico’s te verminderen. Door dit systematisch aan te pakken met de ISO 27701 blijft u actief aan de slag met deze privacyrisico’s, De hierdoor geïmplementeerde maatregelen verminderen de risico’s en beschermt u tevens beter tegen datalekken.
2. Vermindert kans op privacyrechtszaken en handhaving door autoriteiten
Het privacycertificaat dat hand-in-hand gaat met het informatiebeveiligingscertifaat en onder onafhankelijk toezicht staat, levert een erkend waarborg op. In combinatie met de verkleinde kans op datalekken, is de kans dat u verwikkeld raakt in een privacyrechtszaak ook sterk afgenomen. Steeds vaker refereren toezichthouders ook aan ISO 27001 en ISO 27701. Zowel de beoordeling op het treffen van passende maatregelen als in de bepaling van de hoogte van de boete.
3. Genereert bewijs van naleving van privacywet- en regelgeving
Door middel van een Privacy Information Management Systeem (PIMS) genereert u gedocumenteerd bewijs van hoe persoonsgegevens worden verwerkt. Zo maakt u aantoonbaar dat u daar goed over na heeft gedacht en welke maatregelen u heeft getroffen.
Organisaties waarop de AVG van toepassing is zoeken een manier om te voldoen aan de verplichting om aan te tonen dat ze passende technische en organisatorische maatregelen hebben genomen om ervoor te zorgen dat aan de vereisten van de AVG wordt voldaan. Deze zogeheten verwerkingsverantwoordelijken kunnen deze manier vinden in ISO 27701, (ook al betreft het ISO-privacycertificaat geen “AVG-certifcaat”).
Zogeheten verwerkers die persoonsgegevens willen (blijven) verwerken in opdracht van hun opdrachtgevers, moeten voldoende waarborgen bieden, dat deze verwerking voldoet aan de eisen van de AVG. Op deze manier kan die uitbesteding niet voortduren op de lange termijn. ISO 27701 kan in het bieden van deze waarborgen voorzien.
4. Toont commitment, inzicht en controle op het gebied van privacy
Een ISO 27701-certificaat duidt aan dat u duidelijke stappen genomen heeft in het adequaat beschermen van persoonsgegevens. Deze vorm van toewijding kan in uw voordeel werken in bijvoorbeeld uw concurrentiepositie. En hoewel velen verklaren dat ze privacy serieus nemen, heeft u dit daadwerkelijk bewezen te doen.
Verder geeft het implementeren van de ISO 27701 uzelf inzicht en controle op het gebied van privacy. Zodoende houdt u uzelf in de hand hoe er binnen uw organisatie met persoonsgegevens om wordt gegaan.
5. Creëert zekerheid en bouwt vertrouwen op bij belanghebbenden in de informatieketen
Het implementeren van ISO 27701 kan klanten, partners en andere belanghebbenden laten zien dat uw organisatie privacy heel serieus neemt en zich daadwerkelijk inzet voor de bescherming van persoonsgegevens. Daarmee ontwikkelt u een positieve reputatie op basis van transparantie. Door een gecertificeerd PIMS te hebben, kunt u verschillende belanghebbenden, en met name uw klanten, laten zien dat u ook hun privacy(verplichtingen) serieus neemt en waarborgen bieden. En zeker omdat PIMS ook afdwingt om de rest van de verwerkingsketen te beheersen, bouwt u aan het vertrouwen dat klanten in u hebben.
6. Vermindert inspanning bij nalevingsprojecten en maakt privacy-audits overbodig
Door met de ISO 27701 aan de slag te gaan bent u systematisch aan het werk met privacy en databescherming dat structureel wordt gecontroleerd door middel van het certificeringsproces. Alleen al daardoor kunt u tijdens nalevingsprojecten goed inzien hoe het met de naleving van privacybescherming en wetgeving staat. Dit bewijs maakt intern toezicht door privacy officers en/of de Functionaris voor de Gegevensbescherming erg efficiënt. Maar ook bij een eventueel extern toezicht van een Autoriteit Persoonsgegevens bent u in staat om adequaat bewijs te leveren.
In steeds meer gevallen zien we dat organisaties die in het kader van leveranciersmanagement worden beoordeeld, minder inspanning hoeven te leveren als zij gecertificeerd zijn. Zo accepteert Microsoft van hun leveranciers ISO 27001-certificering in plaats van het beveiligingsgedeelte, en ISO 27701 in plaats van het privacygedeelte in hun omvangrijke leveranciersbeoordeling. Organisaties hoeven daarmee dus ook geen onafhankelijke externe auditpartijen meer in te schakelen om dat aan te laten tonen. Beide certifcaten tesamen voldoen aan hun leverancierseisen.
7. Levert internationale erkenning
De ISO 27701 is een internationaal erkende standaard, die over de hele wereld toegepast wordt. Daarmee kunt u als organisatie dus overal terecht. Zo maakt u de naleving van privacywetgeving wereldwijd gemakkelijker en vooral inzichtelijker. Deze erkenning zien we zowel bij toezichthouders, internationale organisaties en andere frameworks toenemen. Met name ook omdat de combinatie van privacybescherming en informatiebeveiliging elkaar zowel aanvult als versterkt vanuit internationale standaarden. Dit waarborg wordt extra verstevigd door de erkenning van de Raad van Accreditatie die TÜV NORD voor beide standaarden heeft geaccrediteerd.
8. Beschermt privacykennis, reputatie en concurrentiepositie
Doordat u aantoonbaar aan de slag bent met de bescherming van persoonsgegevens, borgt u ook uw privacykennis. Daarnaast verbetert u uw reputatie. Aangezien privacyzorgen de afgelopen jaren aanzienlijk zijn geëscaleerd, kan het hebben van een ISO 27701-certificaat een grote bijdrage leveren aan het verbeteren van de perceptie van het publiek met betrekking tot de privacypraktijken in uw organisatie.
Uw reputatie als een organisatie die privacy daadwerkelijk serieus neemt versterkt uw positie op de markt. Een ISO 27701-certificaat is namelijk een extra voordeel, gebaseerd op een garantie die u uw klanten kan geven: terwijl u informatie beveiligt, werkt u systematisch aan de bescherming van persoonsgegevens.
ISO 27701 certificering bij TÜV NORD Nederland
Sinds 2022 is TÜV NORD Nederland door de Raad voor Accreditatie (RvA) geaccrediteerd als certificerende instantie voor ISO 27701. Door deze aanvullende accreditatie is het mogelijk om zowel ISO 27001 als ook ISO 27701 bij TÜV NORD Nederland onder accreditatie te certificeren.
Wilt u meer weten over ISO 27701? Neem contact op met een TÜV NORD specialist.
Onderwerpen:
Alle onderwerpen Certificeren ISO 27001 informatiebeveiliging privacywetgeving cybersecurity ISO 27701
