ISO 27001 is dé standaard voor het opzetten en implementeren van een managementsysteem voor informatiebeveiliging (ISMS, ‘Information Security Management System). De norm NEN-ISO/IEC 27001 beschrijft hoe informatiebeveiliging procesmatig kan worden ingericht. ISO 27001 kan worden ingezet binnen iedere organisatie.
De norm beschrijft specifieke eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ISMS volgens de AVG.
De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet waar organisaties sinds 25 mei 2018 aan moeten voldoen. Deze nieuwe wetgeving is in het leven geroepen om de bescherming van persoonsgegevens te kunnen garanderen binnen de EU. Alle organisaties in Nederland en binnen de Europese Unie zullen hieraan moeten voldoen.
De AVG eist dat persoonsgegevens worden beschermd met passende technische en organisatorische maatregelen. Dit betekent dat alleen noodzakelijke persoonsgegevens op een zorgvuldige manier mogen worden opgeslagen en verwerkt. Organisaties die dit niet doen zijn in overtreding. Zij riskeren een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Met de komst van de AVG wordt ISO 27001 informatiebeveiliging naar een hoger niveau getild. Een datalek moet verplicht worden gemeld aan de Autoriteit Persoonsgegevens. Daarnaast worden eisen gesteld aan interne procedures voor datalekken, het verwerken van persoonsgegevens en de privacyverklaring van organisaties.
Veel onderwerpen in de AVG, en ook vanuit de huidige Wet Bescherming Persoonsgegevens, kunnen worden geborgd in een informatiebeveiligingssysteem op basis van ISO 27001. Voldoen aan de ISO 27001 norm of het hebben van een ISO 27001 certificering is echter geen verplichting vanuit Nederlandse of Europese wetgeving. Wel helpt het om invulling te geven aan maatregelen voor een passende bescherming van persoonsgegevens en daarmee het voldoen aan de AVG.
De AVG stimuleert in zekere zin het in gang zetten van certificering. Er wordt geen expliciete verwijzing gemaakt naar de NEN-ISO richtlijnen, maar de AVG geeft nadrukkelijk aan dat certificering een belangrijk hulpmiddel kan zijn voor het aantoonbaar maken van de eisen en voorschriften vanuit de AVG.