Le NIST américain publie un référentiel pour améliorer la gestion des risques liés au traitement de données personnelles. Le document suit la même trame que le NIST CSF, centré sur la cyber sécurité et qui rencontre beaucoup de succès, y compris en Europe. C’est un cadre flexible et très utile pour définir et mettre en œuvre d’une manière très pragmatique un programme « Data Privacy » orienté risques, adapté à ses exigences légales et à ses métiers. Il complète ainsi parfaitement d’autres cadres organisationnels comme l’ISO 27701. Le DPO européen peut s’en inspirer pour étayer son traitement des risques dans le cadre de sa check-list de conformité au Règlement Général sur la Protection des données.

La norme ISO 27701 définit un cadre normatif pour la protection des données à caractère personnel. Elle apporte des compléments aux normes ISO 27001, pour les exigences et ISO 27002, pour les lignes directrices. Par ailleurs, la relation est faite en annexe avec d’autres référentiels normatifs ou légaux : ISO 29100 et ISO 29151, règlement général sur la protection des données (RGPD), ISO 27018.