ISO/IEC 27701 nedir?
ISO/IEC 27701:2019, Privacy Information Management System (PIMS — Mahremiyet Bilgi Yönetim Sistemi) kurma, uygulama, sürdürme ve sürekli iyileştirme gerekliliklerini ve rehberliğini belirleyen uluslararası standarttır. ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (ISMS) standardını mahremiyete özgü kontrollerle genişleterek mahremiyet yönetiminin fiili uluslararası sertifikası haline gelmiştir.
Kapsam ve yapı
ISO 27701; kişisel verinin (PII) hem veri sorumlularına hem de veri işleyenlere hitap eder. Standart, ISO 27001 maddelerine mahremiyete özgü gereklilikler ekler ve ISO 27002 kontrollerini Ek A (veri sorumlusu) ve Ek B (veri işleyen) ile PIMS odaklı rehberlikle tamamlar.
GDPR ve KVKK ile uyum
ISO 27701, AB GDPR, Türkiye KVKK, CCPA/CPRA dahil başlıca mahremiyet rejimleriyle uyumlu olacak şekilde tasarlanmıştır. ISO 27701 sertifikası GDPR uyumluluğunun yerini tutmasa da hesap verebilirliğin belgelenmiş kanıtını sunar ve GDPR 24, 25, 28, 32 ve 42. madde yükümlülüklerine uyumu destekleyebilir.
Sertifikasyon süreci
Sertifikasyon; mevcut bir ISO 27001 sertifikası (veya eş zamanlı sertifikasyon) gerektirir ve akredite üçüncü taraf sertifikasyon kuruluşları tarafından verilir. Denetimler; kapsam tanımı, risk değerlendirmeleri, ilgili PII işleme operasyonları, kontrollerin uygulanması ve belgelenmiş PIMS’i değerlendirir. Yıllık gözetim denetimleri ve üç yılda bir yeniden sertifikasyon yapılır.
Ticari değer
ISO 27701, satıcı durum tespiti, RFP ve DPA süreçlerinde — özellikle düzenlenmiş sektörlere hizmet veren bulut, SaaS, AI ve veri işleme tedarikçileri için — giderek daha sık aranan bir gerekliliktir. Sertifika; ölçülebilir yönetişimi gösterir, GDPR 28. madde veri işleyen durum tespitini destekler ve sözleşmesel sorumluluk ile denetim yükünü azaltabilir.