Syftet med denna standard är att tillhandahålla en praktisk ram för organisationer som vill utöka det befintliga ISMS (Information Security Management System) till ett PIMS (Privacy Information Management System).
ISO 27701 är avsedd för organisationer som redan har börjat införa ISO 27001 och är därför baserad på detta ramverk, inklusive PDCA-cykeln och riskanalys som krävs i ISO 27001-standarden. Med denna utvidgning kan en organisation visa att den har kontroll som organisation och att den har inrättat PDCA-cykeln och utfört riskanalyser enligt de kontrollåtgärder som nämns för sekretess i ISO 27701.
Nej, ISO 27701 är inte obligatorisk. Du kan faktiskt jämföra den här standarden med andra tillägg till ISO 27001, till exempel ISO 27799, som innehåller särskilda kontrollåtgärder för hälso- och sjukvård, eller 27017 för molntjänster. Alla dessa är inte obligatoriska, men ger dig en praktisk ram och specifika kontrollåtgärder för en nischmarknad.
För att börja implementera ISO 27701 måste du först förstå och ge innehåll åt ISO 27001-standarden. På Brand Compliance erbjuder vi ISO 27001-utbildning för organisationer som vill komma igång med detta. Vill du ha särskild utbildning om ISO 27701 eftersom du redan har infört ISO 27001 och 27002? Begär sedan en utbildning och fråga om alternativ för ISO 27701-utbildning.
Nej, ISO 27701 tillhandahåller förvaltningsåtgärder som fungerar som verktyg för att hålla din organisation under kontroll när det gäller GDPR. Lagstiftningen om skydd av privatlivet (GDPR) kräver dock en annan typ av ackrediterings- och certifieringssystem än det som används i ISO 27001. Lagstiftningen kräver faktiskt en ISO 17065-ackreditering som certifierar produkter, tjänster eller processer, inte företaget.
I lagen (artikel 5.2) står det att du som organisation måste ”bevisligen följa” lagen. Det finns tre olika sätt att visa detta. 1: På begäran av myndigheten ska du göra allt tillgängligt som bevis på att din organisation uppfyller kraven. 2: Genom en godkänd uppförandekod. 3: Genom GDPR-certifiering. I skrivande stund finns det inga officiellt godkända uppförandekoder eller GDPR-certifieringar i Nederländerna. Kontrollera den aktuella statusen på personuppgiftsmyndighetens webbplats.
Ja, en GDPR-certifiering är definitivt möjlig och nämns också i lagen (artiklarna 42 och 43). För att kunna certifiera GDPR-lagstiftningen finns det dock ett antal skyldigheter för ett certifieringsorgan. Organisationen måste följa en 17065-ackreditering som gör det möjligt att certifiera processer, produkter och tjänster. Dessutom måste det finnas ett särskilt certifieringssystem som kan följa hela processen för behandling av personuppgifter och som kan testas av en revisor.
BC 5701är en standard för varumärkesöverensstämmelse som bygger på GDPR och ger vägledning om hur man korrekt registrerar processer där man behandlar personuppgifter så att man kan visa att man följer GDPR-lagstiftningen. Med denna standard och tillhörande certifieringsprocess arbetar Brand Compliance mot GDPR-certifiering i enlighet med kraven i denna lagstiftning.
