ISO 27701 is de internationale norm voor privacymanagement en sinds september 2019 kunnen organisaties zich laten certificeren volgens deze norm.
Met dit ISO 27701 certificaat maakt Whooz, privacymanagement extern aantoonbaar. Als segmentatiespecialist helpt Whooz bedrijven bij het optimaliseren van hun marketingprocessen. Deze certificering laat zien hoe er bij Whooz met privacyaspecten van gegevens wordt om gegaan. Zo geven zij aan dat de certificering een bevestiging is van wat zij in de praktijk al jaren doen: in hun werkwijze informatie zo goed mogelijk te beschermen en beveiligingsrisico’s te beperken.
Nog geen vier maanden na het besluit van het management om met ISO 27701 aan de slag te gaan, vond begin juli de externe audit plaats. Dit is ambitieus. Ed Kassens, privacy officer bij Whooz reageert: “Het was aan het begin van de Corona periode dat we van start gingen, er kwam meer tijd beschikbaar en dit was zeker een nuttige en waardevolle invulling van die extra tijd. Ook beschikken wij al over een managementsysteem voor informatiebeveiliging, dat scheelt tijd.” Een ander voordeel is dat zij al vroeg met de AVG wetgeving zijn gestart. “Toen de AVG in mei 2018 van kracht werd, waren wij al klaar. In 2017 is onze tijd en energie gegaan naar de ontwikkeling van een privacybeleid. Voor onze ISO 27701 certificering hielp het ons ook, dat wat vanuit certificering en vanuit de wetgeving werd gevraagd erg goed op elkaar aansluit.”
De audit
De externe audit verliep soepel. In één audit werd zowel volgens de ISO 27001 (informatiebeveiliging) als ISO 27701 (privacymanagement) norm getoetst. Over meerdere dagen waren verschillende interviews ingepland met verschillende afdelingen van ICT, marketing tot aan HR. “We hebben ons informatiemanagementsysteem aangehouden. Door die duidelijke structuur, hebben we aan elk onderdeel invulling kunnen geven. Dit zorgde voor overzicht en structuur tijdens de audit. De auditor wist in een korte tijd al veel informatie boven tafel te halen.” Ed Kassens over het resultaat: “We zijn er trots op dat we dit samen hebben bereikt. Privacy zit in het DNA van onze organisatie, data is ons bestaansrecht en zorgvuldigheid is essentieel binnen onze sector, het is een belangrijk onderdeel van onze positionering. Met ISO 27701 hebben we onze werkprocessen geformaliseerd en gestructureerd. We zijn als organisatie compliant, omdat we ons houden aan de eisen van de AVG. ISO 27701 is de waarborg dat we dat ook werkelijk in de praktijk brengen.”ISO 27701
De norm voor privacymanagement, ISO 27701 is een extensie op de norm voor informatiebeveiliging: ISO 27001. Op basis van de ISO 27001 norm worden er extra eisen gesteld op het gebied van privacy. Het huidige informatiebeveiligingsmanagementsysteem (ISMS) wordt uitgebreid naar een privacy informatiemanagementsysteem (PIMS). Om die reden is een werkend ISMS essentieel om te certificeren volgens de privacy management norm ISO 27701.
