Als uitbreiding van ISO 27001 (informatiebeveiliging) kunnen onderzoekbureaus zich sinds enige tijd ook laten certificeren voor ISO 27701. Dit is een ISO-norm die helemaal gericht is op privacy-informatiemanagement. Het eerste bureau dat het certificaat heeft behaald is Blauw Research.
De ISO-norm behandelt alle aspecten van ‘Personally Identifiabele Information (PII)’, waaronder de verantwoordelijkheden van PII Verwerkingsverantwoordelijken en PII Verwerkers. Centraal staat de bescherming van de privacy van alle stakeholders van een organisatie. De relatie van deze norm met de AVG is dat de norm aangeeft welke aspecten bij de privacy een rol spelen en dat de AVG ingaat op de vertaalslag in concrete do’s en don’ts. Voorwaarde om gecertificeerd te worden voor ISO 27701 is het gecertificeerd zijn voor ISO 27001.
Onder controle
Op 29 april 2021 is binnen de marktonderzoeksector door de Stichting Toetsingsbureau KCC het eerste ISO 27701 certificaat uitgereikt aan Blauw Research te Rotterdam. ‘Blauw had zich goed voorbereid op ISO 27701 en is terecht voor deze relatief nieuwe norm gecertificeerd’, aldus Ed van Eunen, directeur van KCC. ‘We verwachten dat meer bureaus zullen volgen. Privacy is een belangrijk issue in ons vak en opdrachtgevers willen graag de zekerheid dat alles rondom privacy goed geregeld is. Met ISO 27701 kun je aantonen dat je op privacy-gebied de zaken goed onder controle hebt. Overigens heeft onze sector, meer dan in veel andere branches, de laatste jaren al veel geïnvesteerd in privacybescherming. Het moet niet zo moeilijk zijn voor ISO 27001 gecertificeerde bureaus om ook met succes op te gaan voor ISO 27701’.
Strengere eisen
Ivo Langbroek, Research Director en Privacy Officer van Blauw, licht toe: ‘Elk bureau zegt dat het informatie veilig verwerkt. Dat is makkelijk gezegd. Aantonen dat je dit ook in de praktijk doet, en dat je ook voldoende investeert in middelen en mensen om privacygevoelige informatie te beschermen is echter best wel lastig. De meer dan 100 maatregelen in deze nieuwe norm garanderen dat Blauw heel veel moeite heeft gestopt in het beschermen van gegevens van onze klanten, medewerkers en respondenten. Steeds meer opdrachtgevers stellen ook strengere eisen aan beveiliging van informatie en persoonsgegevens in het bijzonder. Een voorbeeld is de Baseline Informatiebeveiliging Overheid (BIO), een op dezelfde ISO-normen gebaseerd normenkader voor informatiebeveiliging binnen de rijksoverheid, gemeenten, waterschappen en provincies. Doordat wij nu in het bezit zijn van zowel de ISO-27001 als ISO-27701 certificering kunnen wij veel makkelijker aantonen aan dergelijke strenge, maar nodige vereisten te voldoen.’
Meer informatie over certificering: ed.van.eunen@toetsingsbureau-kcc.nl, 06 53 21 09 85