Kiwa stelt organisaties met ISO/IEC 27701-keurmerk in staat om privacy managementsystemen te certificeren
Met het ISO/IEC 27701-certificaat van Kiwa kunnen organisaties aantonen dat ze de bescherming van de privacy bij de verwerking van gegevens goed hebben geregeld. Zo kunnen zij zichtbaar maken dat ze op een zorgvuldige manier met privacygevoelige informatie omgaan. Deze nieuwe norm richt zich op het beheersen van alle relevante privacyaspecten in een managementsysteem. De norm draagt bij aan de benodigde maatregelen voor het voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Organisaties die zich op basis van ISO/IEC 27701 certificeren, laten zien dat ze op dit gebied een voortrekkersrol vervullen.
ISO/IEC 27701 is een uitbreiding op de al bekende standaarden voor informatiebeveiliging ISO 27001 en ISO 27002 en biedt organisaties handvatten voor het inrichten, implementeren, onderhouden en verbeteren van een Privacy Informatie Management Systeem (PIMS). In de afgelopen maanden heeft Kiwa als onderdeel van werkgroep gewerkt aan de ontwikkeling van het certificatieschema voor ISO/IEC 27701. Met dit schema is het voor organisaties mogelijk zich te laten certificeren op basis van de nieuwe norm. Deze is van toepassing op allerlei organisaties, ongeacht hun omvang, inclusief publieke en private ondernemingen, overheidsinstanties en non-profitorganisaties die persoonlijk identificeerbare informatie-verwerkingsverantwoordelijken en/of PII-verwerkers zijn en PII binnen een ISMS verwerken.
Bescherming privacygevoelige informatie
De norm ISO/IEC 27701 bevat specifieke beheersmaatregelen voor de bescherming van privacygevoelige informatie. Organisaties die al werken met een Information Security Management Systeem kunnen dit op basis van de ISO 27701 upgraden tot een Privacy Information Management Systeem (PIMS). Een organisatie die al werkt volgens de norm ISO 27001 en dit wil uitbreiden met de ISO 27701, moet verschillende richtlijnen en procedures opstellen en implementeren. Het gaat hierbij om een doorlopende cyclus, waarin wijzigingen die impact hebben op het PIMS tussentijds juist worden verwerkt, geïmplementeerd en gecontroleerd. Zo blijft het PIMS up-to-date en dat is van belang om te blijven voldoen aan de vereisten voor certificering.
“Certificering op basis van ISO/IEC 27701 is van toegevoegde waarde voor elke organisatie die wil of moet laten zien dat zij op een verantwoorde manier omgaat met privacygevoelige informatie. Zeker als deze informatie terug te voeren is op een individu. Certificering kan daarnaast nodig zijn als certificering door een onafhankelijke instelling is gewenst zoals bij een aanbesteding of een offertetraject”, vertelt Ronald Westerveen, manager van het Expert Center Cybersecurity van Kiwa. “Wij ondersteunen organisaties hierbij en geven trainingen waarin de norm uitgebreid wordt toegelicht. Ook kunnen we voor organisaties tijdens een GAP-analyse in kaart brengen welke stappen zij moet zetten om voor certificering in aanmerking te komen.”
Proefaudits
In 2020 zocht Kiwa organisaties die zich wilden laten certificeren in proefaudits voor de validatie van het certificatieschema. Bij goed gevolg konden zij zich tot de eerste certificaathouders van dit nieuwe certificatieschema rekenen. Dit traject is inmiddels afgerond. Lees er meer over in het artikel Hartis Telezorg ontvangt eerste Kiwa ISO 27701 certificering.