Begin dit jaar is er vanuit NEN een werkgroep van start gegaan om het NEN-ISO/IEC 27701 certificatieschema uit te werken. De ISO 27701 gaat over het beheersen van privacy aspecten en is een uitbreiding op de ISO 27001. Vanuit TÜV NORD Nederland is Nico Nijenhuis, lead auditor, onderdeel van deze werkgroep.
ISO 27701: een Privacy Informatie Management Systeem
In oktober 2019 is de NEN-ISO/IEC 27701 gepubliceerd en sinds februari 2020 is de Nederlandse vertaling beschikbaar (zie preview). ISO 27001 en 27002 richten zich op het creëren van een managementsysteem voor informatiebeveiliging (ISMS). De nieuwe ISO 27701 norm breidt dit systeem uit met een privacy information management system (PIMS). Het gaat dus om een managementsysteem voor het beschermen van persoonsgegevens. In Europa worden persoonsgegevens nu al beschermd door de AVG/GDPR, maar met de nieuwe ISO norm wordt geprobeerd om een nieuwe wereldwijde standaard voor de beveiliging van persoonsgegevens neer te zetten.
Deze ISO 27701 standaard biedt handvatten voor het inrichten, implementeren, onderhouden en continu verbeteren van een Privacy Informatie Management Systeem (PIMS).
ISO 27701 en AVG (GDPR)
In Nederland is de AVG - tot op heden - het wettelijke kader waaraan moet worden voldaan. Er is geen verplichting om te voldoen aan ISO 27701 en/of om bijbehorende certificering te behalen. Voor ISO 27001 gecertificeerde organisaties is het evenmin verplicht om aanvullende certificering te behalen.
In de praktijk zullen de meeste organisaties wel grotendeels aan de nieuwe norm moeten voldoen, maar dan op grond van de gelijkenis van deze norm met de AVG. De nieuwe norm kan daarom een hulpmiddel bieden om concreet invulling te geven aan de AVG. De toevoeging van ISO 27701 aan ISO 27001 slaat de brug tussen het informatiebeveiliging- en het privacy managementsysteem en door de kruisverwijzingen naar de AVG draagt ISO 27701 bij aan de aantoonbaarheid van de benodigde maatregelen om aan de AVG te voldoen.
ISO 27701 en TÜV NORD Nederland
Door de toenemende vraag naar certificering op het gebied van privacy en de ontwikkelingen met betrekking tot het schema ISO 27701 is TÜV NORD tijdig op zoek gegaan naar een specialist op het gebied van privacy. Met een achtergrond van ruim 20 jaar in de ICT, heeft Nico Nijenhuis zich gespecialiseerd op het gebied van cybersecurity, privacy en ethiek. Hij is een door het European Center on Privacy and Cybersecurity (ECPC) gecertificeerde Data Protection Officer (CDPO) met ruime ervaring als trainer, adviseur bij de Autoriteit Persoonsgegevens geregistreerde Functionaris voor de Gegevensbescherming (FG). Nico is de grondlegger van het European Network of Independent Privacy Officers (ENIPO), acteert in diverse (sectorale) werkgroepen en werkt tevens als Ethics Expert voor de Europese Commissie. Al met al is Nico een duidelijke aanwinst die verder invulling zal geven aan onder andere het thema privacy binnen TÜV NORD.
Kandidaten gezocht voor proefaudits
Nu het certificatieschema door de werkgroep van het NEN is ontwikkeld is het tijd om het definitieve concept van het schema in de praktijk te testen. Voor de validatie van het ISO 27701 certificatieschema worden organisaties gezocht die zich willen laten certificeren middels proefaudits en daarmee een bijdrage willen leveren aan de validatie van het certificatieschema. Bij goed gevolg zullen deze organisaties tot de eerste certificaathouders van dit nieuwe NEN certificatieschema behoren!
Voor wie is de ISO 27701 proefaudit?
Zoals de AVG voor elk bedrijf van toepassing is, zo is ook ISO 27701 voor vele organisaties relevant. Concreet betekent dit dat ISO 27701 van toepassing is op alle typen organisaties, ongeacht omvang, zowel publieke als private ondernemingen, overheidsinstanties en non-profitorganisaties die als Verwerkingsverantwoordelijken en/of Verwerkers in de zin van de AVG binnen een ISMS Persoonlijk Identificeerbare Informatie (PII) verwerken.
Geïnteresseerd of meedoen?
Bent u geïnteresseerd in ISO 27701 of wilt u tot de potentiële eerste certificaathouders behoren?
Aanmelden kan tot en met 26 juni.
Onderwerpen:
Certificeren ISO 27001 informatiebeveiliging cybersecurity ISO 27701
