Hints en tips bij de implementatie van de ISO27701

In augustus 2019 is de privacy gerelateerde standaard: ISO/IEC2 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines (hierna ISO27701) uitgebracht. 

Implementatie ISO27701 in combinatie met de ISO27001

Integratie ISMS en PIMS

ISO-normen hebben grotendeels dezelfde structuur en daardoor is integratie, zeker op managementsysteemniveau, relatief eenvoudig. Onderdelen zoals risicoanalyse, PDCA-cyclus, monitoring en dergelijke komen in alle managementsystemen voor. De meeste (zo niet alle) organisaties hebben al een ISO27001-certificering afgerond als zij starten met een ISO27701-implementatie. Zij gebruiken het ISMS als een fundament voor de implementatie van het (Privacy Information Management System) PIMS van de ISO27701.

Voordat je een implementatietraject voor de ISO27701 opstart, is het van belang om eerst gedegen de scope te bepalen. Dit kan veel onduidelijkheid wegnemen en brengt focus aan. De scopebepaling is essentieel voor het goed inrichten van je PIMS. Hierbij ben je mede afhankelijk van de scope van je ISMS; het is essentieel dat deze managementsystemen goed op elkaar aansluiten!

Denk ook goed na over de interne bedrijfsondersteunende processen. Het wel of niet opnemen van processen met betrekking op personeelsbeheer- en administratie bijvoorbeeld, kunnen van grote invloed zijn op het te verrichten werk. De toegevoegde waarde van het opnemen van deze processen in je scope is niet direct zichtbaar voor klanten, maar wel van belang voor de eigen medewerkers.

Beleidsdocumentatie

Naast de integratie van de managementsystemen ISO27001 en ISO27701 is het ook van belang een keuze te maken over de integratie van de vereiste beleidsdocumenten. Zo kan een organisatie kiezen voor een informatiebeveiligingsbeleid én een separaat privacybeleid of kiezen voor een informatiebeveiligings- en privacybeleid (geïntegreerd). ISO laat de organisatie daarin vrij.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Draagvlak creëren, hoe doe je dat? – 10 tips
Informatiebeveiliging en privacybescherming brengen veranderingen met zich mee voor gemeenten. En om verandering door te voeren, is draagvlak nodig. Als CISO, Privacy Officer of FG is het (mede) jouw taak om draagvlak te creëren voor deze veranderingen. Maar verandering gaat ook vaak hand in hand met weerstand. Dus hoe ga je hier effectief mee om? In deze blog geven we je tien praktische handvatten die je helpen bij het creëren van draagvlak.
Techblog: DNS h(ij)acking
De DNS wordt vaak het telefoonboek van het internet genoemd. In deze blog leggen we uit wat de DNS doet en hoe (en waarom) hackers proberen de DNS te hacken.
Wat te doen bij een beveiligingsincident?
Ook al neem je nog zoveel beveiligingsmaatregelen, vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Je kunt daarom maar beter goed voorbereid zijn. Welke stappen moeten er bijvoorbeeld genomen worden wanneer een incident plaatsvindt? En hoe kun je de gevolgen beheersen? Dit en meer leg je vast in een Incident Response Plan.

Meer recente berichten

Multi party disclosure, hoe zit het precies?
Verder lezen
Uden lekt persoonlijke info in zaak grote grazers Maashorst: zo slecht doorgekrast dat het toch te lezen is
Verder lezen
Data privacy is een cultuur, geen uitdaging
Verder lezen
Wat hebben Overijsselse gemeenten geleerd een jaar na de hack bij Hof van Twente?
Verder lezen
Hopen dat phishing verdwijnt is geen oplossing, een betere bescherming wel
Verder lezen
Europese privacytoezichthouders willen verbod op het online volgen van mensen
Verder lezen
Driekwart Nederlanders accepteert privacy voorwaarden van app of website zonder deze te lezen
Verder lezen
VWS werkt aan supertool voor analyse kwetsbaarheden
Verder lezen
Menselijk handelen cruciaal in bestrijden cybercrime
Verder lezen
5 Tips voor HR: zo ga je zorgvuldiger om met digitale personeelsgegevens
Verder lezen