ISO 27701 ist die Erweiterung der weltweit anerkannten Norm für Informationssicherheitsmanagementsysteme, ISO/IEC 27001, um den Datenschutz. Sie bietet Leitlinien für das Management von Datenschutzinformationen und ermöglicht es Organisationen, nachzuweisen, wie sie die Allgemeinen Datenschutzbestimmungen (GDPR) erfüllen. Die Norm bietet einen Rahmen für die Verarbeitung personenbezogener Daten (PII) und hilft den für die Verarbeitung Verantwortlichen und den Verarbeitern von PII, den Datenschutzanforderungen der Kunden gerecht zu werden.
Rob Acker, Technical Manager bei LRQA erklärt: "ISO/IEC 27701 ist zwar eine Erweiterung von ISO/IEC 27001, aber es ist wichtig, sie als erweitertes Risikomanagement und nicht nur als zusätzliche Kontrollen zu betrachten. Obwohl ISO/IEC 27001 ein guter Ausgangspunkt ist, stärkt die Erweiterung eines Informationssicherheitsmanagementsystems um den Datenschutz den Anwendungsbereich."
Laut der EY Global Consumer Privacy Survey 2020 halten 63 Prozent der Verbraucher die Datenerhebungs- und -speicherungspraktiken eines Unternehmens für den wichtigsten Faktor, wenn sie sensible Informationen mit dem Unternehmen teilen.
Acker fuhr fort: "Die Verarbeitung personenbezogener Daten findet in allen Organisationen in irgendeiner Form statt, aber das Datenvolumen und die Art der Daten nehmen zu und entwickeln sich mit der digitalen Wirtschaft weiter. Daher ist es von entscheidender Bedeutung, die mit der Datenverarbeitung verbundenen Risiken zu mindern. Dies ist besonders wichtig, da eine Datenschutzverletzung weitreichende Folgen haben und der Marke eines Unternehmens großen Schaden zufügen kann.
In Zusammenarbeit mit erfahrenen Auditoren werden die Unternehmen daraufhin untersucht, wie mit personenbezogenen Daten umgegangen wird und ob angemessene Verfahren vorhanden sind.
"Vertrauen ist entscheidend, wenn man mit Kunden interagiert. Deshalb ist es wichtig, ihnen einen Grund zu geben, einem Unternehmen ihre persönlichen Daten anzuvertrauen", erklärte Acker. "Es ist von entscheidender Bedeutung, dass die für die Verarbeitung personenbezogener Daten Verantwortlichen und die Auftragsverarbeiter ihre Rollen und Verantwortlichkeiten verstehen, damit jeder weiß, wer verantwortlich ist. Da wir uns mehr und mehr zu einer Dienstleistungswirtschaft entwickeln, werden Partnerschaften in der gesamten Lieferkette von grundlegender Bedeutung sein, was bedeutet, dass die Zusammenarbeit zwischen Organisationen notwendig ist."