In augustus 2019 is de privacy gerelateerde standaard: ISO/IEC2 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines (hierna ISO27701) uitgebracht. 

Implementatie ISO27701 in combinatie met de ISO27001

Integratie ISMS en PIMS

ISO-normen hebben grotendeels dezelfde structuur en daardoor is integratie, zeker op managementsysteemniveau, relatief eenvoudig. Onderdelen zoals risicoanalyse, PDCA-cyclus, monitoring en dergelijke komen in alle managementsystemen voor. De meeste (zo niet alle) organisaties hebben al een ISO27001-certificering afgerond als zij starten met een ISO27701-implementatie. Zij gebruiken het ISMS als een fundament voor de implementatie van het (Privacy Information Management System) PIMS van de ISO27701.

Voordat je een implementatietraject voor de ISO27701 opstart, is het van belang om eerst gedegen de scope te bepalen. Dit kan veel onduidelijkheid wegnemen en brengt focus aan. De scopebepaling is essentieel voor het goed inrichten van je PIMS. Hierbij ben je mede afhankelijk van de scope van je ISMS; het is essentieel dat deze managementsystemen goed op elkaar aansluiten!

Denk ook goed na over de interne bedrijfsondersteunende processen. Het wel of niet opnemen van processen met betrekking op personeelsbeheer- en administratie bijvoorbeeld, kunnen van grote invloed zijn op het te verrichten werk. De toegevoegde waarde van het opnemen van deze processen in je scope is niet direct zichtbaar voor klanten, maar wel van belang voor de eigen medewerkers.

Beleidsdocumentatie

Naast de integratie van de managementsystemen ISO27001 en ISO27701 is het ook van belang een keuze te maken over de integratie van de vereiste beleidsdocumenten. Zo kan een organisatie kiezen voor een informatiebeveiligingsbeleid én een separaat privacybeleid of kiezen voor een informatiebeveiligings- en privacybeleid (geïntegreerd). ISO laat de organisatie daarin vrij.

Deze versturen we 3-4x per jaar.