Voorkomen dat gevoelige data op straat komt te liggen, klinkt als een enorme uitdaging. Zeker in een tijd dat vrijwel alles digitaal lijkt te gaan. Toch hoeft privacy niet zo ingewikkeld te zijn.
Haast ongemerkt gaat er binnen bedrijven meer en meer digitaal. Systemen worden mobiel benaderd en zijn overal toegankelijk. Steeds vaker werken we in de Cloud en delen we via verschillende wegen informatie met onze collega’s. Hoe zorgen we dat deze gemakken niet leiden tot datalekken, ransomware of verlies van gegevens?
Elk bedrijf wil haar data in beeld hebben en dit rechtmatig gebruiken en beveiligen volgens de geldende wet- en regelgeving (zoals de AVG). Door de hele data lifecycle in kaart te brengen kan een organisatie aantoonbaar voldoen aan de AVG. Zo wordt data beschermd from the cradle to the grave.
Het maken van een privacy analyse
Om gegevens goed te beschermen, is het van belang om de risico’s voor betrokkenen in kaart te brengen. Dit kan op voorhand of bij langlopende verwerkingen om zeker te zijn dat de risico’s niet veranderd zijn.
Via een privacy analyse wordt een organisatie zich bewust van de privacy risico’s die het verwerken van persoonsgegevens met zich meebrengt.
Een privacy analyse geeft organisaties antwoord op vragen als:
- Is de manier waarop we data verwerken rechtsgeldig?
- Welke persoonsgegevens worden gebruikt en zijn deze ook daadwerkelijk nodig?
- Welke risico’s kent het proces voor de betrokkene (eigenaar gegevens) en welke voor de organisatie?
- Welke partijen zijn onderdeel van dataverwerking en welke afspraken sluiten we met ze?
- Welke maatregelen zijn er en welke worden geadviseerd om nog te implementeren?
Starten met een privacy analyse
- Creëren dataflow
De eerste stap is het creëren van een dataflow. Aan de hand van interviews ontstaat er een visueel beeld van hoe data door de organisatie beweegt. Alleen door een sterk beeld van de datastromen binnen en buiten de organisatie, kunnen er maatregelen getroffen worden om datalekken te voorkomen.
- Privacy risicoanalyse
Aan de hand van de dataflow wordt een privacy risicoanalyse of Privacy Impact Assessment (PIA) uitgevoerd. Hiermee worden de risico’s beoordeeld, die zich tijdens het proces voordoen, waarbij de al getroffen maatregelen worden meegenomen. Afhankelijk van de uitkomsten van de privacy risicoanalyse volgt een advies over nog te nemen maatregelen.
Aantoonbaarheid van AVG-compliance
De ISO27701-certificering bouwt voort op de ISO27001-standaard. Waar de ISO27001 zich richt op informatiebeveiliging richt de ISO27701 zich specifiek op privacy informatiebeheer. Het certificaat is bedoeld om te voldoen aan de AVG-wetgeving die in 2018 van kracht is gegaan. Organisaties die de ISO27701-certificering behalen, tonen aan dat ze effectieve beheersmaatregelen hebben geïmplementeerd om de privacy van persoonsgegevens te beschermen.
Een belangrijke stap bij het implementeren van de ISO27701-norm is het uitvoeren van een PIA. Hierbij worden de potentiële risico’s voor de privacy van persoonsgegevens geïdentificeerd en geëvalueerd. Op basis van deze evaluatie kunnen organisaties maatregelen treffen om de risico’s te beperken en de privacy van persoonsgegevens te waarborgen.
Organisaties die de ISO27701 willen implementeren, kunnen ervoor kiezen om dit gelijktijdig met de ISO27001 te doen. Beide certificeringen zijn immers nauw met elkaar verbonden en de implementatie ervan kan elkaar versterken. Het is wel belangrijk om te beseffen dat de ISO27701 een specifieke focus heeft op privacy-informatiebeheer en dat er extra maatregelen nodig zijn om aan deze standaard te voldoen.
In een tijd waarin de bescherming van persoonsgegevens steeds belangrijker wordt, is het behalen van de ISO27701-certificering dus een belangrijke stap voor organisaties, die streven naar veilig en betrouwbaar informatiebeheer. Met deze certificering tonen ze aan dat ze zich bewust zijn van de privacy uitdagingen en dat ze effectieve maatregelen hebben geïmplementeerd om persoonsgegevens te beschermen.
Voordelen en behoud van een ISO27701-certificering
Het behalen van de ISO27701-certificering kan ook een concurrentievoordeel opleveren. Potentiële klanten en stakeholders kunnen erop vertrouwen dat de organisatie zorgvuldig omgaat met persoonsgegevens en de privacy van hun klanten en medewerkers beschermt.
Het behalen van de ISO27701-certificering is echter geen eenmalige actie. Organisaties moeten blijven werken aan het verbeteren en up-to-date houden van hun privacy informatiebeheer om te blijven voldoen aan de standaard. Het certificeringsproces bevat daarom ook regelmatige audits en evaluaties van de privacy informatiebeheersystemen van de organisatie.
Kortom, de ISO27701-certificering is voor organisaties een belangrijke stap om te voldoen aan de AVG-wetgeving en de privacy van persoonsgegevens te waarborgen. Door het behalen van deze certificering kunnen organisaties bovendien vertrouwen opbouwen bij zowel klanten als stakeholders en zich onderscheiden van concurrenten. Om te blijven voldoen aan de ISO27701-standaard, is het echter wel belangrijk om continu te werken aan het verbeteren van privacy informatiebeheer.
-> Bekijk de mogelijkheden voor professionals
-> Bekijk de mogelijkheden voor werkgevers