ISO/IEC 27701 nedir?
ISO/IEC 27701:2019, ISO/IEC 27001‘in gizlilik (kişisel veri) odaklı genişletmesidir. Resmi adı ‘Privacy Information Management System (PIMS)’ yani Gizlilik Bilgi Yönetim Sistemi. ISO 27001 bilgi güvenliğine odaklanırken, 27701 spesifik olarak kişisel verinin (PII) yönetimini ele alır.
27701’in 27001 ile ilişkisi
27701 bağımsız bir standart değildir — 27001 sertifikasyonu olan kuruluşların onun üzerine alabileceği bir genişletmedir. ISO 27001:2022’nin tüm gerekliliklerine ek olarak, PII özgü kontroller ve gereklilikler getirir. 27001 + 27701 kombinasyonu, bir kuruluşun hem güvenlik hem gizlilik konularında olgun olduğunun belgesidir.
Ek olarak getirdiği gereklilikler
- PII Veri Sorumlusu rolünde kuruluşlar için (controller): 31 ek kontrol — açık rıza yönetimi, veri sahibi hakları, ihlal bildirimi, yurtdışı aktarım
- PII Veri İşleyen rolünde kuruluşlar için (processor): 18 ek kontrol — müşteri talimatlarına uyum, alt-işleyen yönetimi, denetim hakları
- PII envanteri ve veri akış haritası
- Veri minimizasyonu prensipleri
- Veri sahibi başvuru süreci dokümantasyonu
GDPR / KVKK uyumu için değeri
ISO/IEC 27701 doğrudan bir GDPR veya KVKK sertifikası değil, ancak iki regülatif çerçeveyle önemli ölçüde örtüşür:
- GDPR Madde 32 (güvenlik) ve KVKK güvenlik tedbirleri yükümlülükleri
- Veri sahibi hakları süreçleri (GDPR Bölüm III, KVKK Madde 11)
- Veri ihlali bildirim süreçleri (GDPR Madde 33-34, KVKK Madde 12)
- Veri koruma etki değerlendirmesi (DPIA) süreçleri
KVKK Tracker‘da Kurul kararlarında 27701 sertifikasının indirim faktörü olarak değerlendirilebileceği görülmektedir.
Sertifikasyon süreci
27001 sertifikasyon yolculuğuna benzer: gap analizi → uygulama → iç denetim → 2 aşamalı dış denetim (akredite belgelendirme kurumundan). Maliyet: 27001 üzerine ek ~%30-50. Süre: 27001’in tamamlanmasından sonra 3-6 ay ek hazırlık.
Founder için pratik etki
27001 + 27701 kombinasyonu, AB ve Türk kurumsal müşterilere satışta önemli bir farklılaştırıcıdır. Özellikle: (1) Healthtech, EdTech, Fintech ve HRTech alanlarında; (2) Sınır ötesi veri aktarımı kritik olan SaaS şirketlerinde; (3) Devlet ihalelerinde değerlidir. Series B+ aşamada planlamak idealdir.