ISO 27701 stappenplan: van nul naar certificaat

1. Nulmeting en gap-analyse

Begin met een eerlijke nulmeting. Wat heb je al? Een verwerkingsregister? Privacybeleid? Afspraken met leveranciers? Vergelijk je huidige situatie met de eisen van ISO 27701. Zo weet je wat nog ontbreekt.

Bepaal in deze fase ook je rol: ben je verwerkingsverantwoordelijke, verwerker, of beide? Je rol bepaalt welke van de 78 maatregelen op jou van toepassing zijn. Een verkeerde rolbepaling betekent dat je de verkeerde dingen opbouwt.

Heb je al ISO 27001? Laat je adviseur dan ook inventariseren welke beveiligingsprocessen je al kunt hergebruiken. De interne audit, het risicoproces en de directiebeoordeling hoef je dan niet opnieuw te bouwen.

2. Scope en context bepalen

Hoofdstuk 4 van de norm vraagt je te beschrijven wat er binnen de scope van je PIMS valt. Welke persoonsgegevens verwerk je, voor wie, met welk doel? Een salarisverwerker schrijft op: loongegevens van werknemers van opdrachtgevers, verwerkt in opdracht als verwerker.

Wees specifiek. “Alle persoonsgegevens in onze organisatie” is te vaag en maakt certificering moeilijker. Baken je scope af en motiveer die keuze. De norm vraagt ook dat je interne en externe factoren beschrijft die je privacyverwerking beïnvloeden, zoals toezichthoudersbeleid of klantcontractseisen.

3. Verwerkingsregister opbouwen

Het verwerkingsregister is verplicht onder de AVG (artikel 30) en een kernonderdeel van je PIMS. Je legt per verwerking vast: welke gegevens, welk doel, welke grondslag, hoelang je ze bewaart, wie er toegang toe heeft, en of er verwerkers bij betrokken zijn.

Houd het behapbaar. Een eenvoudige spreadsheet of een lichte tool werkt prima. Vier verwerkingen goed gedocumenteerd is beter dan twintig verwerkingen halfslachtig bijgehouden. Het register is ook een levend document: update het als je nieuwe diensten lanceert of processen veranderen.

4. Privacy-risicoanalyse en DPIA-aansluiting

In hoofdstuk 6 voer je een privacy-risicoanalyse uit. Die kijkt anders dan een gewone beveiligingsanalyse: je stelt de betrokkene centraal. Wat zijn de gevolgen als data uitlekt voor de mensen achter de gegevens? Wat als je gegevens te lang bewaart?

Voor hoog-risico verwerkingen vraagt de AVG ook een data protection impact assessment (DPIA). ISO 27701 sluit daar bewust op aan. Voer je een DPIA uit als onderdeel van je implementatie, dan beantwoordt dat tegelijk aan de eisen van de norm. De relatie tussen DPIA en ISO 27701 lees je verder op AVG en ISO 27701.

5. Maatregelen kiezen en verklaring opstellen

Annex A van ISO 27701 bevat 78 maatregelen, verdeeld over drie groepen: 31 voor verwerkingsverantwoordelijken, 18 voor verwerkers, en 29 voor beide. Op basis van je rol en de risicoanalyse kies je welke maatregelen van toepassing zijn en hoe je ze invult.

Dit leg je vast in een verklaring van toepasselijkheid: per maatregel motiveer je of je hem toepast, in welke vorm, en waarom. Zo werkt het ook bij ISO 27001. De auditor gebruikt dit document als leidraad. Zorg dat het klopt met de praktijk.

Lees de volledige eisen per maatregelengroep op eisen van ISO 27701.

6. PIMS implementeren en laten draaien

Nu zet je de afgesproken processen in de praktijk. Privacybeleid gepubliceerd? Procedures voor verzoeken van betrokkenen gedocumenteerd en getest? Leveranciersafspraken (verwerkersovereenkomsten) op orde? Training gegeven aan medewerkers?

Zorg dat het systeem minstens een paar maanden draait voordat de externe auditor komt. Je hebt dan iets om te laten zien: vergaderingen, incidentregistraties, directiebesluiten. Een PIMS dat één week oud is, overleeft de audit niet.

7. Interne audit en directiebeoordeling

Voer een interne audit uit: controleer of het systeem werkt zoals bedoeld. Noteer bevindingen, niet om ze te verbergen, maar om ze op te lossen. De auditor wil zien dat je zelfreinigend vermogen hebt.

Houd daarna een directiebeoordeling. Directie bespreekt de resultaten van de audit, het functioneren van het systeem en de doelen voor het komende jaar. Dit is een ISO-eis, geen formaliteit. Leg de besprekingen vast.

8. Certificeringsaudit fase 1 en fase 2

De certificeringsaudit bestaat uit twee fasen. In fase 1 beoordeelt de auditor je documentatie: zijn de eisen begrepen, is de scope duidelijk, is de verklaring van toepasselijkheid volledig? Dit is een readiness check, geen eindoordeel.

In fase 2 kijkt de auditor of het systeem in de praktijk werkt. Worden processen gevolgd? Zijn medewerkers zich bewust van hun privacyrollen? Zijn bevindingen uit de interne audit aangepakt? Het volledige auditproces staat op het auditproces bij ISO 27701.

9. Onderhoud en jaarlijkse controle-audit

Na certificering ben je er nog niet. Elk jaar komt de auditor terug voor een controle-audit. Die is kleiner dan de certificeringsaudit, maar serieus. Je toont aan dat het systeem blijft draaien.

Na drie jaar volgt een hercertificering. Houd je register, beleid en risicoanalyse actueel. Verander je diensten of verwerkingen? Update dan direct de documentatie. Een systeem dat stolt, zakt door de controle-audit.