ISO/IEC 27701 is de eerste internationale norm die de vereisten vastlegt en richtlijnen geeft voor het opzetten, implementeren, onderhouden en voortdurend verbeteren van een Privacy Information Management System (PIMS) in de vorm van een uitbreiding op de bestaande informatiebeveiligingsnormen ISO/IEC 27001 en ISO/IEC 27002.
Kwesties met betrekking tot de verwerking van persoonlijke gegevens van burgers en hun bewegingsvrijheid leidden tot de creatie van de General Data Protection Regulation (GDPR), ook bekend als de Algemene Verordening Gegevensbescherming (AVG). GDPR stelt de wettelijke regels vast voor de bescherming van persoonlijke gegevens en vereist dat organisaties die op welke manier dan ook persoonlijke gegevens verwerken, maatregelen implementeren om deze gevoelige gegevens te beschermen.
De norm voor privacybeheer die compatibel is met GDPR is ISO 27701, die de vereisten voor de invoering en implementatie van de norm bevat, evenals de mogelijkheid tot certificering. Een ISO 27701-certificering wordt uitgevoerd als een upgrade of via gezamenlijke certificering met ISO 27001, die de basisnorm voor managementsystemen voor informatiebeveiliging is.
ISO 27701 certificering is van toepassing op alle soorten en maten van organisaties, inclusief publieke en private bedrijven, overheidsorganisaties en non-profitorganisaties, die persoonlijk identificeerbare informatie (PII) beheren of verwerken. Er zijn twee soorten organisaties en manieren om persoonlijke gegevens te beheren, die worden onderverdeeld in:
- Beheerders: Organisaties die alleen gegevens controleren en minder verantwoordelijkheid hebben, aangezien zij geen persoonsgegevens verwerken, maar wel verplicht zijn om deze veilig op te slaan en te beheren in overeenstemming met de bepalingen van de regelgeving, en er tegelijkertijd voor zorgen dat dergelijke informatie vertrouwelijk wordt behandeld.
- Verwerkers: Organisaties die gegevens verzamelen en verwerken, en daardoor grotere verantwoordelijkheden hebben met betrekking tot gegevensbeheer en -manipulatie, omdat dergelijke gegevens vaak gevoelig en waardevol zijn en in alle stadia bescherming vereisen.
Het toenemende misbruik van persoonlijke gegevens en de groeiende vraag naar de overdracht of verkoop ervan hebben geleid tot zorgen over privacy. Het misbruik van persoonlijke gegevens voor marketingdoeleinden en andere criminele activiteiten komt steeds vaker voor. Daarom zal de implementatie van een Privacy Information Management System (PIMS) in overeenstemming met de vereisten en richtlijnen van ISO/IEC 27701 organisaties in staat stellen om risico’s met betrekking tot het verzamelen, onderhouden en verwerken van persoonlijke gegevens te beoordelen, aan te pakken en te beperken met behulp van best practices wereldwijd.
