...

De perfecte combinatie voor Data Privacy

Categorie: Informatiebeveiliging en Privacy, IT Security | Leestijd: 3 min. | Deel dit artikel

Schrijver: Evi Hagenaars, Privacy Adviseur

ISO 27701 en BC5701: de perfecte combinatie voor Data Privacy

Is dat inderdaad het op orde brengen van je documentatie, waar de eerdere privacy certificaten in de beginjaren van de AVG veelal op gebaseerd waren?

Het antwoord is ‘nee’.

Het is al veel vaker geschreven door experts en ook door de Autoriteit Persoonsgegevens zelf: privacybescherming is een continue proces. En dat hebben we eerder gehoord! Net als informatiebeveiliging is privacy management een continue proces. Sterker nog: de BC5701, de standaard voor AVG compliance, stelt dat je voor compliance een privacy management systeem nodig hebt!

Het inrichten van een privacy management systeem op basis van de ISO 27701, gevoed met de BC5701, heeft een aantal voordelen:

  1. Je hebt niet meer informatie dan je nodig hebt, onder andere omdat je passende bewaartermijnen hanteert en omdat je vooraf nadenkt over de gegevens die je nodig hebt in je processen. Dat scheelt administratielast en fouten met verouderde, onjuiste of onnodige informatie. Maar het scheelt ook geld: informatie die je niet hebt, hoef je niet te beveiligen.
  2. Je kunt jouw verantwoordelijkheid nemen over de privacy risico’s voor betrokkenen in jouw organisatie, omdat je precies weet welke persoonsgegevens je voor welke doelen gebruikt.
  3. Je kunt eventuele risico’s tijdig aan te pakken, omdat je focus kunt aanbrengen in je periodieke risico analyses.

Privacy is een continue proces
Om AVG compliance aan te kunnen tonen, heb je op de juiste momenten aandacht nodig voor de persoonsgegevens die je gebruikt. Daar helpt een privacy management systeem bij: periodiek evalueer je wat je met persoonsgegevens doet, de interne en externe context van je organisatie, je documenten en processen en de privacy risico’s die je loopt. Daar zijn verschillende methoden voor.

De meest gangbare standaard voor privacy management is de internationaal erkende ISO 27701:2019 als toevoeging aan je ISO/IEC 27001, of binnenkort de ISO/IEC 27701:2024 als op zichzelf staand privacy management systeem. De keuze om te integreren met een bestaand informatiebeveiligingsmanagement systeem bestaat in de 2024 versie uiteraard nog steeds. Daarmee blijft een geïntegreerde aanpak voor informatiebeveiliging en privacy mogelijk, en zoals eerder beschreven hebben die twee expertises elkaar hard nodig.

Implementeren privacy maatregelen
Om aan te kunnen tonen dat je aan de AVG voldoet moet je ook kunnen aantonen dat je de maatregelen treft die in de AVG zijn voorgeschreven. Daarvoor zijn grofweg twee mogelijkheden:

  1. Je kunt zelf de maatregelen uit de AVG destilleren en implementeren
  2. Je kunt de BC5701 hanteren als gestructureerde aanpak

Waarom zou je de ISO 27701 implementeren als de BC 5701 AVG compliance kan aantonen? Daarvoor gaan we terug naar het begin van deze blog: privacybescherming is een continue proces. De BC 5701 faciliteert niet dat continue proces, maar vereist wel dat je dat hebt ingericht. Daarvoor kun je de ISO 27701 gebruiken.

Dignitas heeft de expertise in huis om je op een praktische manier te helpen bij de inrichting van je privacy management systeem, met alle maatregelen die daarbij horen.

Heb je interesse in dit onderwerp, of heb je een andere vraag in gedachten?
Hoe dat eruit ziet? We vertellen je er graag meer over. Neem voor meer informatie contact op met Eberly Haalboom, Manager IT Security Consultants, ehaalboom@dignitas.nl, 06-52044763.

Deel dit artikel

Gerelateerde berichten

Dignitas Group
Groenekanseweg 70
3732 AG De Bilt Telefoon +31 30 209 9980
E-mail info@dignitas.nl
© 2022 Dignitas Group | Algemene voorwaarden | Privacy statement