ISO 27701: Introducing a Privacy extension to the Information Security Management System of your organization

ISO 27701: Introducing a Privacy extension to the Information Security Management System of your organization
March 11, 2021 Niek Dormans

Om het volgende artikel in het Nederlands te lezen scroll naar beneden of klik hier

As digital transformation has changed the way organizations operate and carry out business, a rise in use of personally identifiable information (PII) is evident. This is followed by obligatory compliance with personal data protection regulations at a global level, depending on the nature and scale of a company’s practices, including the European regulatory framework i.e., the GDPR.

Over a period of time, such organizations have aimed to align its operations with ISO 27001-the certification providing requirements for an information security management system (ISMS) for ensuring information security compliance. With the advent of new technologies and parallel evolvement of personal data protection regulatory framework, ISO/IEC 27701 can be seen as a good opportunity for organizations to upgrade their Privacy Information Management System (PIMS) and effectively integrate privacy into their practices.

 

What is 27701 and its relation with ISO 27001/2?

This international standard, providing guidance and requirements regarding privacy protection for both PII controllers and processors, is said to be the privacy extension to ISO/IEC 27001 Information Security Management and ISO/IEC 27002 Security Controls. Additionally, the aim of the standard is also to enable an organization to align or integrate its PIMS with the requirements of other Management System standards that an organization would already be in-line with. These could be ISO 27001 and 27002 within the context of the organization, leading to harmonization of approach towards adoption of best practices for information management. To know more about ISO 27001 and its potential benefits, read our blog here.

 

Besides organizations acting as a controller or processor, the scope of the standard encompasses all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations processing PII within an ISMS. Here, it is important to highlight that since this standard is based on the requirements, objectives and controls of ISO 27001, a separate and stand-alone ISO 27701 certification cannot be sought or achieved. An organization should either be certified to ISO 27001 already or may choose to seek certification to both these standards together. However, though the intent is not to create hurdles for organizations which wish to strive for ISO 27701, it is recommended to certify to both these standards as a good practice. An organization should not wait for compliance with one standard in order to aim for the other.

 

Potential benefits for your Organization

  • International recognition of the organization: accreditation by an international standardization body will enable your organization to earn international recognition. This shall allow you to grow your organizations’ operations across the world and maintain the reputation of the company, since it would reflect that the practices are aligned with a certified international standard for privacy information management system. Additionally, if the organization is in-line with ISO 27001, that can leverage and build a base for ISO 27701. This shall be an add-on to your organizations’ existing ISO 27001 certification framework. Implementing an internationally recognized standard and an acknowledged framework will be the right step for your organization towards a matured organizational privacy program. This can also be a mark of quality assurance for information management for a company.
  • Global privacy compliance made easier: Complying with this standard shall enable processing carried out by your organization to be compliant with the legal and regulatory requirements. It is important to note that besides the GDPR, other data protection legislations from other jurisdictions like Canada, California, Brazil, Australia were considered, making ISO 27701 indeed a global standard. However, the standard does map GDPR requirements to enable organizations to comply with the regulation, which can further help organizations demonstrate accountability while managing PII and instill trust and confidence in its stakeholders. Therefore, compliance with the standard can be a good privacy metric.

 

For example, as privacy-by-design is a requirement stated in the GDPR, documenting its applicability might pose a challenge for the organizations. In that case, ISO 27701 seems to offer comprehensive guidance. Although many organizations claim they’ve already achieved privacy-by-design, it’s often difficult to prove the same. This could be due to the practical challenges of documenting the systematic engineering of privacy in an organizations’ processes and the lack of methodology or guidance available regarding the same.  This is an area where ISO 27701 provides more practical guidance on how to operationalize it.

Also, compliance with such a standard shall enable an organization to standardize its practices across various jurisdictions, with different countries having their own data protection laws and requirements, this could be especially helpful for businesses having a global presence, to enable introduction of uniform data protection measures.

  • Facilitate business relations and efficient organizational practices: augmenting existing ISMS with privacy-specific controls shall enable your organization to create a more robust, effective and sustainable privacy management ecosystem. In parallel, PIMS certification can potentially serve to signal trustworthiness to the public, stakeholders, business partners and build a stronger reputation as well as further instill trust in your organizational practices. This furthers the potential benefit of acting as a driver for quality assurance for an organization. The standard also allocates roles and responsibilities depending on the processing carried out by an organization, either in the capacity of a controller or processor, which can further help in efficient privacy-compliance as well as overall functionality.
  • Helps in identification and mitigation of risks: as businesses process personal information about individuals, including sensitive personal information like a healthcare, this can pose information security risks. In light of the same, a PIMS standard can help mitigate such risks with clear requirements on what actions should be taken and how assets and personal data should be protected.
  • Supports Accountability: Adhering to ISO 27701 controls shall be the right step in complying with the transparency requirements under GDPR. A uniform evidence framework based on such an international standard shall be an appropriate indicator of transparent operations.

 

Therefore, it can be said that irrespective of the scope and scale of an organization processing personal information, adopting ISO 27701 controls shall establish a sound base for your organization’s PIMS. This can prove to be extremely useful, either presently to upgrade your regulatory compliance levels, or for tapping into future business opportunities involving personal data.

Are you considering obtaining the ISO27701 certificate? Or do you want to gain insight into what it would mean for your organization? As CRANIUM has already completed several successful ISO27001 certification processes in 2020 alone, we shall be happy to support you further with regards to ISO 27701! Contact us now.

 


 

Omdat digitale transformatie de manier waarop organisaties opereren en zakendoen heeft veranderd, is een toename in het gebruik van persoonsgegevens vanzelfsprekend. Dit wordt gevolgd door verplichte naleving van de regelgeving inzake de bescherming van persoonsgegevens op mondiaal niveau, afhankelijk van de aard en schaal van de praktijken van een organisatie, inclusief het Europese regelgevingskader de AVG.

Dergelijke organisaties hebben in de loop van de tijd ernaar gestreefd hun activiteiten af ​​te stemmen op ISO 27001, de certificering die eisen stelt aan een informatiebeveiligingsbeheersysteem (ISMS) om de naleving van informatiebeveiliging te waarborgen. Met de komst van nieuwe technologieën en parallelle ontwikkeling van het regelgevingskader voor de bescherming van persoonsgegevens, kan ISO / IEC 27701 worden gezien als een goede gelegenheid voor organisaties om hun Privacy Information Management System (PIMS) te verbeteren en privacy effectief in de praktijk te integreren.

 

Wat is 27701 en zijn relatie met ISO 27001/2?

Deze internationale norm, die richtlijnen en vereisten biedt met betrekking tot privacybescherming voor zowel PII-controllers als verwerkers, zou de privacyuitbreiding zijn van ISO / IEC 27001 Information Security Management en ISO / IEC 27002 Security Controls. Bovendien is het doel van de norm ook een organisatie in staat te stellen haar PIMS af te stemmen op- of te integreren met de vereisten van andere normen voor beheersystemen waaraan een organisatie reeds zou voldoen. Dit kunnen ISO 27001 en 27002 zijn binnen de context van de organisatie, wat leidt tot harmonisatie van de aanpak voor de invoering van best practices voor informatiebeheer. Om meer te weten over de ISO 27001 en de mogelijke voordelen, lees onze eerdere blog hier.

 

Naast organisaties die optreden als verwerkingsverantwoordelijke of verwerker, omvat het toepassingsgebied van de norm alle soorten en maten van organisaties, met inbegrip van openbare en particuliere bedrijven, overheidsinstanties en organisaties zonder winstoogmerk die persoonsgegevens verwerken binnen een ISMS. Hierbij is het belangrijk te benadrukken dat, aangezien deze norm is gebaseerd op de vereisten, doelstellingen en controles van ISO 27001, een afzonderlijke en op zichzelf staande ISO 27701-certificering niet kan worden aangevraagd of behaald. Een organisatie moet al gecertificeerd zijn voor ISO 27001 of kan ervoor kiezen om voor beide normen samen certificering aan te vragen. Hoewel het niet de bedoeling is om belemmeringen op te werpen voor organisaties die ISO 27701 willen nastreven, wordt toch aanbevolen om, als goede praktijk, voor beide normen te certificeren. Een organisatie hoeft niet wachten tot zij voldoet aan de ene norm om te kunnen streven naar de andere.

 

Potentiële voordelen voor uw organisatie

  • Internationale erkenning van de organisatie: Accreditatie door een internationale normalisatie-instelling zal uw organisatie in staat stellen internationale erkenning te verdienen. Dit zal u in de gelegenheid stellen de activiteiten van uw organisatie over de hele wereld te laten groeien en de reputatie van de organisatie hoog te houden. Deze accreditatie toont namelijk aan dat de handelswijzen van uw organisatie zijn afgestemd op een gecertificeerde internationale norm voor het beheer van privacy-informatie. Bovendien, als de organisatie in lijn is met ISO 27001, kan dat een hefboom zijn en een basis vormen voor ISO 27701. Dit is een aanvulling op het bestaande ISO 27001-certificeringskader van uw organisatie. Het implementeren van een internationaal erkende standaard en een erkend raamwerk zal de juiste stap zijn voor uw organisatie op weg naar een volwassen organisatorisch privacyprogramma. Dit is ook een teken van kwaliteitsborging voor informatiebeheer voor uw organisatie.

 

  • Wereldwijde naleving van de privacywetgeving eenvoudiger gemaakt: Door aan deze norm te voldoen, kan de verwerking die door uw organisatie wordt uitgevoerd, voldoen aan de wettelijke en regelgevende vereisten. Het is belangrijk op te merken dat naast de AVG ook andere gegevensbeschermingswetgevingen uit rechtsgebieden zoals Canada, Californië, Brazilië en Australië mee zijn genomen, waardoor ISO 27701 inderdaad een wereldwijde norm is. De norm brengt echter wel mee dat de AVG -vereisten in kaart gebracht moeten worden om organisaties in staat te stellen aan de verordening te voldoen, wat organisaties verder kan helpen bij het tonen van verantwoordelijkheid bij het beheren van persoonsgegevens en bij het wekken van vertrouwen bij hun belanghebbenden. Daarom kan naleving van de norm een goede privacymaatstaf zijn.

 

Zoals bijvoorbeeld privacy-by-design een vereiste is in de AVG, kan het voor organisaties een uitdaging zijn om de toepasbaarheid ervan te documenteren. In dat geval lijkt ISO 27701 een uitgebreide leidraad te bieden. Hoewel veel organisaties beweren dat ze al privacy-by-design hebben bereikt, is het vaak moeilijk om dat te bewijzen. Dit zou te wijten kunnen zijn aan de praktische uitdagingen van het documenteren van de systematische engineering van privacy in de processen van een organisatie en het gebrek aan beschikbare methodologie of begeleiding met betrekking tot hetzelfde.  Dit is een gebied waarop ISO 27701 meer praktische richtlijnen geeft over hoe het te operationaliseren.

 

De naleving van een dergelijke norm zal een organisatie ook in staat stellen haar handelswijze in verschillende rechtsgebieden te standaardiseren, aangezien verschillende landen hun eigen wetten en vereisten inzake gegevensbescherming hebben. Dit kan dus vooral nuttig zijn voor organisaties met een wereldwijde aanwezigheid, om de invoering van uniforme gegevensbeschermingsmaatregelen mogelijk te maken.

 

  • Zakelijke relaties en efficiënte organisatiepraktijken vergemakkelijken: door het bestaande ISMS uit te breiden met privacy-specifieke controles kan uw organisatie een robuuster, effectiever en duurzamer ecosysteem voor privacybeheer creëren. Tegelijkertijd kan een PIMS-certificering dienen om een signaal van betrouwbaarheid af te geven aan het publiek, belanghebbenden en zakenpartners en om een sterkere reputatie op te bouwen, alsook om het vertrouwen in uw organisatorische praktijken te vergroten. Dit bevordert het potentiële voordeel dat het een drijvende kracht is achter de kwaliteitsborging van een organisatie. De norm wijst ook rollen en verantwoordelijkheden toe, afhankelijk van de verwerking die door een organisatie wordt uitgevoerd, hetzij in de hoedanigheid van verwerkingsverantwoordelijke, hetzij in de hoedanigheid van verwerker, wat verder kan helpen bij de efficiënte naleving van de privacywetgeving en de algemene functionaliteit.

 

  • Helpt bij het identificeren en beperken van risico’s: aangezien organisaties persoonsgegevens over personen verwerken, met inbegrip van gevoelige persoonsgegevens zoals gezondheid, kan dit risico’s voor de informatiebeveiliging met zich meebrengen. In het licht daarvan kan een PIMS-norm helpen dergelijke risico’s te beperken met duidelijke vereisten over welke acties moeten worden ondernomen en hoe bedrijfsmiddelen en persoonsgegevens moeten worden beschermd.

 

  • Ondersteunt de verantwoordingsplicht: Het naleven van de ISO 27701-controles is de juiste stap om te voldoen aan de transparantievereisten van de AVG. Een uniform bewijskader op basis van een dergelijke internationale norm is een passende indicator van transparante bedrijfsvoering.

 

Daarom kan worden gesteld dat, ongeacht de omvang en de reikwijdte van een organisatie die persoonsgegevens verwerkt, het invoeren van ISO 27701-controles een stevige basis zal leggen voor het PIMS van uw organisatie. Dit kan uiterst nuttig blijken te zijn, hetzij om uw niveau van naleving van de regelgeving te verbeteren, hetzij om toekomstige zakelijke mogelijkheden te benutten waarbij persoonsgegevens een rol spelen.

 

Overweegt u het ISO27701-certificaat te behalen? Of wilt u inzicht krijgen in wat het voor uw organisatie zou betekenen? CRANIUM heeft alleen al in 2020 meerdere succesvolle ISO27001 certificeringstrajecten afgerond. Wij ondersteunen u graag verder op het gebied van ISO 27701! Neem nu contact met ons op.