In augustus 2019 is de ISO27701 gepubliceerd. Een internationale standaard voor privacy management. Dat klinkt veelbelovend. Kunnen we nu dan eindelijk ons laten certificeren op de AVG? Eigenlijk is het antwoord op die vraag zowel ‘ja’ als ‘nee’. Dat is geen duidelijk antwoord, dus dat vraagt om meer uitleg.
1. Wat is de ISO27701 norm?
De ISO27701 is een standaard voor een Privacy Information Management System (PIMS). De ISO27701 vult de ISO27001 aan. ISO27001 is de standaard voor een Information Security Management System (ISMS).
In een Management Systeem leg je vast hoe je gegevensbescherming organiseert: hoe je met risico’s omgaat, welk beleid je hanteert, en hoe je maatregelen controleert. Door het managementsysteem voor informatiebeveiliging te combineren met het management voor privacy zorg je voor een gecombineerde aanpak voor gegevensbescherming.
2. Ben ik AVG-compliant als ik aan de ISO27701 norm voldoe?
Voldoen aan de ISO27701 norm betekent niet dat je AVG-compliant bent. Het betekent wel dat je op een gestructureerde manier bezig bent met privacy. De ISO-norm is ook niet alleen gemaakt voor Europa en de Europese privacywetgeving de AVG. De standaard is gemaakt voor wereldwijd gebruik en moet een basis zijn voor privacy management binnen alle landen wereldwijd Als een organisatie een certificaat voor ISO27701 zou behalen, zegt dat niet dat die organisatie voldoet aan de AVG. Het zegt wel dat de organisatie ‘in control’ is als het gaat om privacy.
In de standaard staan goed bruikbare en relatief praktische richtlijnen voor mensen die verantwoordelijk zijn voor de verwerking van gegevens (controllers) en verwerkers (processors). Deze lijken veel op de maatregelen uit de AVG. Wanneer deze richtlijnen toegepast worden op een organisatie, zijn er nauwelijks aanvullende maatregelen nodig om in control te zijn in het licht van de AVG.
3. Valt het aan te raden ISO27701 los te gebruiken van ISO27001?
De richtlijnen uit de ISO27701 norm bevat op zichzelf praktische hulpmiddelen zijn om de privacy te verbeteren. De privacy officer kan deze richtlijnen bijvoorbeeld gebruiken om een programma van eisen richting een verwerker op te opstellen, of om de kwaliteit van de bestaande privacy maatregelen te toetsen. Daarnaast bevat de ISO 27701 specifieke eisen aan het managementsysteem. Die zijn eigenlijk identiek aal ISO 27001 voor informatiebeveiliging. Beide maken bijvoorbeeld gebruik van grotendeels dezelfde ‘Plan-Do-Check-Act-cyclus’, op onder andere het gebied van risicomanagement, beoordeling van incidenten en de effectiviteit van maatregelen. Het zou simpelweg zonde van de investering zijn om deze werkwijze anders in te richten voor informatiebeveiliging en privacy.
4. Kan ik me al laten certificeren?
Het is mogelijk om je organisatie te laten toetsen tegen ISO 27701. Een audit organisatie bepaalt dan of je aan de vereisten aan de standaard voldoet. Maar let op: dat is iets anders dan je laten certificeren. Certificeren tegen ISO27701 zoals je dit ook kan doen tegen bijvoorbeeld ISO 9001 of ISO 27001 betekent dat dit wordt gedaan door een auditorganisatie die daartoe is geaccrediteerd. Voordeel van deze accreditatie is dat je zeker weet dat de certificeerder voldoet aan strenge kwaliteitseisen. Nog niet alle auditors beschikken over deze accreditatie (bijvoorbeeld uitgegeven door de Nederlandse Raad voor Accreditatie). Certificeren tegen ISO 27701 kan dus wel, maar let er dan wel op dat de auditorganisatie is geaccrediteerd.
Overigens: in de AVG staat in artikel 42 en 43 ook over een certificeringsmogelijkheid, maar dat is wat anders dan de certificering tegen ISO 27701. De certificeringsmogelijkheid in van deze AVG-artikelen is in de praktijk nog niet uitgewerkt en is voorlopig ook niet te verwachten.
5. Heeft het nu al zin om ISO27701 toe te passen?
De ISO 27701 is uitermate nuttig. Zowel als aanvulling op een bestaand managementsysteem, en als losstaand normenkader voor allerlei privacyvraagstukken. De maatregelen uit de ISO27701 norm zijn een goede manier om te borgen dat er binnen een organisatie de benodigde aandacht is voor privacy. Daar waar de VKA-specialisten de vraag krijgen ‘of we privacy binnen de organisatie kunnen inrichten’, gebruiken we steeds vaker de ISO 27701 als referentiekader.
Bestuurders, raden van toezicht en Functionarissen Gegevensbescherming kunnen de ISO27701 norm bovendien alvast gebruiken om zelf te beoordelen of een organisatie op de juiste manier met privacy omgaat, ook al levert dat op het moment nog geen formeel certificaat op.
Wilt u met VKA in gesprek over het toepassen van ISO27701, het aantoonbaar voldoen aan de AVG, of toekomstige certificering? Neem dan contact met ons op!