ISO 27701 certificering: grip op privacy, persoonsgegevens en AVG-compliance

Organisaties verwerken steeds meer persoonsgegevens. Denk aan klantdata, medewerkersgegevens, leveranciersinformatie, gebruikersaccounts, medische gegevens, financiële informatie, marketingdata en data uit digitale platformen. Daarmee groeit ook de druk om privacy aantoonbaar goed te organiseren.

De AVG verplicht organisaties al jaren om zorgvuldig met persoonsgegevens om te gaan. Maar in de praktijk blijft privacy vaak versnipperd: een privacyverklaring op de website, een verwerkingsregister in Excel, losse verwerkersovereenkomsten, incidentele DPIA’s en een paar beleidsdocumenten die niet altijd actueel zijn.

ISO 27701 helpt om privacy structureel te organiseren.

ISO/IEC 27701 is de internationale norm voor een Privacy Information Management System, afgekort PIMS. De norm helpt organisaties om privacy niet als losse juridische verplichting te behandelen, maar als onderdeel van een beheersbaar managementsysteem.

Waar ISO 27001 draait om informatiebeveiliging, richt ISO 27701 zich specifiek op privacy en het beheer van persoonsgegevens. De norm helpt organisaties om rollen, processen, risico’s, maatregelen, documentatie en bewijs rondom privacy aantoonbaar in te richten. ISO beschrijft ISO/IEC 27701 als een standaard voor het opzetten, implementeren, onderhouden en continu verbeteren van een Privacy Information Management System. De norm is bedoeld voor organisaties die als verwerkingsverantwoordelijke of verwerker verantwoordelijk zijn voor persoonsgegevens.

Wat is ISO 27701?

ISO 27701 is een privacy-managementnorm. De norm geeft eisen en richtlijnen voor het inrichten van een PIMS: een managementsysteem waarmee je privacy structureel bestuurt, bewaakt en verbetert.

In de praktijk betekent dit dat je vastlegt:

  • welke persoonsgegevens je verwerkt;
  • waarom je deze gegevens verwerkt;
  • op welke grondslag je dat doet;
  • wie verantwoordelijk is;
  • welke privacyrisico’s bestaan;
  • welke maatregelen je neemt;
  • welke verwerkers betrokken zijn;
  • hoe rechten van betrokkenen worden afgehandeld;
  • hoe datalekken worden gemeld en opgevolgd;
  • hoe privacy aantoonbaar wordt gemonitord en verbeterd.

De oorspronkelijke ISO/IEC 27701:2019 was opgezet als uitbreiding op ISO 27001 en ISO 27002 voor privacy management. De ISO-pagina bij de 2019-editie omschrijft dit expliciet als een uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacy management binnen de context van de organisatie.

Belangrijk om te weten: in 2025 is ISO/IEC 27701 vernieuwd. Volgens ISO is ISO/IEC 27701:2025 nu gepositioneerd als internationale standaard voor het opzetten, implementeren, onderhouden en continu verbeteren van een PIMS.   Certificerende partijen beschrijven de grote verandering als volgt: ISO 27701 ontwikkelt zich van een uitbreiding op ISO 27001 naar een zelfstandiger privacy-managementstandaard.

Voor organisaties blijft de praktische boodschap hetzelfde: ISO 27701 helpt om privacy aantoonbaar, systematisch en controleerbaar te maken.

Waarom is ISO 27701 relevant?

Privacy is geen eenmalig project. Organisaties veranderen continu. Nieuwe systemen worden ingevoerd. Nieuwe leveranciers krijgen toegang tot data. Marketingtools worden gekoppeld. Medewerkers gebruiken SaaS-oplossingen. AI-toepassingen verwerken steeds vaker persoonsgegevens. En klanten, toezichthouders en partners verwachten dat privacy op orde is.

Zonder managementsysteem ontstaan vaak dezelfde problemen:

  • niemand weet exact waar alle persoonsgegevens staan;
  • het verwerkingsregister is niet actueel;
  • DPIA’s worden alleen gedaan als iemand eraan denkt;
  • verwerkersovereenkomsten zijn verspreid opgeslagen;
  • datalekprocedures bestaan wel, maar worden weinig getest;
  • privacyrisico’s zijn niet gekoppeld aan maatregelen;
  • verantwoordelijkheden zijn onduidelijk;
  • bewijs voor audits of klantvragen is lastig te vinden.

ISO 27701 brengt hier structuur in. De norm helpt om privacy te koppelen aan governance, risicoanalyse, documentbeheer, processen, controles en continue verbetering.

Daarmee wordt privacy niet alleen een juridische check, maar een bestuurbaar onderdeel van de organisatie.

ISO 27701 en de AVG

ISO 27701 vervangt de AVG niet. De AVG blijft de wettelijke basis voor privacybescherming in Europa. ISO 27701 helpt wel om veel AVG-verplichtingen praktisch en aantoonbaar te organiseren.

Denk aan onderwerpen zoals:

  • privacy governance;
  • verwerkingsregister;
  • rollen van verwerkingsverantwoordelijke en verwerker;
  • rechten van betrokkenen;
  • datalekmanagement;
  • privacy by design;
  • DPIA’s;
  • bewaartermijnen;
  • informatiebeveiligingsmaatregelen;
  • leveranciersmanagement;
  • internationale doorgifte;
  • monitoring en verbetering.

Een ISO 27701-certificering betekent dus niet automatisch dat een organisatie volledig AVG-compliant is. Maar het helpt wel om aan te tonen dat privacy serieus, gestructureerd en controleerbaar wordt beheerd.

Voor klanten, toezichthouders, partners en auditors is dat belangrijk. Je laat niet alleen zien dat je beleid hebt, maar ook dat je een werkend systeem hebt om privacy te beheren.

Voor wie is ISO 27701 bedoeld?

ISO 27701 is relevant voor vrijwel iedere organisatie die persoonsgegevens verwerkt. Vooral organisaties met veel klantdata, gevoelige gegevens of complexe leveranciersketens hebben er voordeel van.

De norm is interessant voor:

  • SaaS-bedrijven;
  • IT-dienstverleners;
  • e-commerce organisaties;
  • zorginstellingen;
  • financiële dienstverleners;
  • onderwijsinstellingen;
  • overheidsorganisaties;
  • HR- en payrollbedrijven;
  • marketing- en dataplatformen;
  • consultancybedrijven;
  • organisaties die al ISO 27001 gecertificeerd zijn;
  • organisaties die veel vragen krijgen over AVG, beveiliging en privacy.

Voor verwerkers is ISO 27701 vaak commercieel interessant. Je kunt richting klanten aantonen dat je privacyprocessen professioneel zijn ingericht. Voor verwerkingsverantwoordelijken helpt de norm om grip te krijgen op eigen processen en op leveranciers die persoonsgegevens verwerken.

ISO 27701 versus ISO 27001

ISO 27001 en ISO 27701 liggen dicht bij elkaar, maar ze hebben een ander zwaartepunt.

ISO 27001 richt zich op informatiebeveiliging. De centrale vraag is: hoe beschermen we informatie tegen risico’s zoals ongeautoriseerde toegang, verlies, verstoring of misbruik?

ISO 27701 richt zich op privacy management. De centrale vraag is: hoe zorgen we dat persoonsgegevens rechtmatig, transparant, veilig en aantoonbaar worden verwerkt?

In veel organisaties horen deze twee bij elkaar. Privacy zonder informatiebeveiliging is zwak. Maar informatiebeveiliging zonder privacygovernance is ook onvoldoende.

Een organisatie kan technisch goed beveiligd zijn, maar toch privacyrisico’s hebben. Bijvoorbeeld omdat gegevens te lang worden bewaard, betrokkenen onvoldoende worden geïnformeerd, verwerkingen niet goed zijn vastgelegd of verwerkersafspraken ontbreken.

Daarom is ISO 27701 een logische verdieping voor organisaties die al met ISO 27001 werken.

Wat moet je regelen voor ISO 27701?

Een goed PIMS bestaat uit beleid, processen, rollen, risico’s, maatregelen, documentatie en bewijs. Voor ISO 27701 moet je onder andere aantonen dat privacy niet alleen op papier bestaat, maar daadwerkelijk wordt beheerd.

Belangrijke onderdelen zijn:

1. Privacybeleid en governance

Je legt vast hoe privacy binnen de organisatie wordt bestuurd. Wie is verantwoordelijk? Welke rollen bestaan er? Hoe wordt privacy meegenomen in besluitvorming? Hoe wordt gerapporteerd aan management?

2. Scope van het PIMS

Je bepaalt welke onderdelen van de organisatie, processen, systemen en gegevensverwerkingen binnen de scope vallen. Dit is belangrijk, omdat een onduidelijke scope later leidt tot onduidelijke verantwoordelijkheid.

3. Verwerkingsregister

Je houdt bij welke persoonsgegevens worden verwerkt, voor welk doel, op welke grondslag, met welke bewaartermijn en met welke betrokken systemen of leveranciers.

4. Privacyrisicoanalyse

Je beoordeelt privacyrisico’s. Denk aan ongeautoriseerde toegang, te brede gegevensverzameling, onduidelijke toestemming, onvoldoende transparantie, foutieve gegevens, te lange bewaartermijnen of risico’s bij leveranciers.

5. DPIA-proces

Voor verwerkingen met een hoog privacyrisico moet je kunnen bepalen wanneer een DPIA nodig is, hoe deze wordt uitgevoerd en hoe maatregelen worden opgevolgd.

6. Rechten van betrokkenen

Je richt processen in voor inzage, correctie, verwijdering, beperking, bezwaar, dataportabiliteit en andere AVG-rechten.

7. Datalekprocedure

Je legt vast hoe datalekken worden herkend, beoordeeld, geregistreerd, gemeld en opgevolgd.

8. Leveranciers en verwerkers

Je beheert verwerkersovereenkomsten, leveranciersbeoordelingen en afspraken over beveiliging, doorgifte, subverwerkers en incidentmelding.

9. Bewaartermijnen en verwijdering

Je maakt aantoonbaar hoe lang gegevens worden bewaard en hoe gegevens veilig worden verwijderd of geanonimiseerd.

10. Monitoring en verbetering

Je toetst periodiek of privacyprocessen werken. Denk aan interne audits, management reviews, verbeteracties en periodieke controles.

Welke documenten horen bij ISO 27701?

De exacte documentatie hangt af van je organisatie, scope en certificeringsdoel. In de praktijk zie je vaak deze documenten en registers terug:

  • privacybeleid;
  • PIMS-scope;
  • verwerkingsregister;
  • register van betrokkenenverzoeken;
  • datalekregister;
  • DPIA-template en DPIA-register;
  • verwerkersregister;
  • overzicht verwerkersovereenkomsten;
  • bewaartermijnenbeleid;
  • privacy by design-procedure;
  • procedure rechten van betrokkenen;
  • datalekprocedure;
  • leveranciersbeoordeling;
  • privacyrisicoanalyse;
  • management review;
  • interne auditrapportage;
  • verbeterregister;
  • bewijsstukken bij privacymaatregelen.

Het belangrijkste is niet dat documenten bestaan, maar dat ze actueel zijn, gebruikt worden en gekoppeld zijn aan echte processen.

Hoe verloopt ISO 27701 certificering?

Een ISO 27701-traject lijkt op andere managementsysteemcertificeringen. Meestal doorloop je deze stappen:

Stap 1: Scope bepalen

Je bepaalt welke organisatieonderdelen, processen, systemen en verwerkingen binnen de scope vallen.

Stap 2: Gap-analyse uitvoeren

Je vergelijkt de bestaande privacy-inrichting met de eisen van ISO 27701. Zo zie je wat al goed is en wat ontbreekt.

Stap 3: PIMS inrichten

Je richt beleid, rollen, processen, registers, risicoanalyse, maatregelen en documentatie in.

Stap 4: Bewijs verzamelen

Je zorgt dat processen aantoonbaar werken. Denk aan ingevulde registers, uitgevoerde DPIA’s, beoordeelde leveranciers, afgehandelde verzoeken en uitgevoerde controles.

Stap 5: Interne audit

Je toetst zelf of het PIMS voldoet en werkt zoals bedoeld.

Stap 6: Management review

Het management beoordeelt de werking van het PIMS, de risico’s, resultaten, afwijkingen en verbetermaatregelen.

Stap 7: Externe audit

Een certificerende instelling beoordeelt of het PIMS voldoet aan de norm en in de praktijk functioneert.

Wat zijn de voordelen van ISO 27701?

ISO 27701 helpt organisaties om privacy concreter en aantoonbaarder te maken.

Belangrijke voordelen zijn:

  • meer grip op persoonsgegevens;
  • betere aansluiting op AVG-verplichtingen;
  • duidelijkere rollen en verantwoordelijkheden;
  • sterker leveranciersmanagement;
  • betere voorbereiding op klantvragen en audits;
  • minder afhankelijkheid van losse Excel-lijsten;
  • betere koppeling tussen privacy, security en risico’s;
  • aantoonbare privacyvolwassenheid;
  • meer vertrouwen bij klanten en partners.

Voor commerciële organisaties kan ISO 27701 ook onderscheidend zijn. Zeker wanneer klanten vragen stellen over privacy, AVG, data governance of informatiebeveiliging.

Veelgemaakte fouten bij ISO 27701

Organisaties lopen vaak tegen dezelfde valkuilen aan.

Privacy als juridisch document behandelen

Een privacyverklaring is geen privacy-managementsysteem. ISO 27701 vraagt om aantoonbare sturing, uitvoering, monitoring en verbetering.

Geen koppeling met informatiebeveiliging

Privacy en security zijn nauw verbonden. Als toegangsbeheer, logging, leveranciersbeheer en incidentmanagement niet op orde zijn, wordt privacy kwetsbaar.

Registers niet actueel houden

Een verwerkingsregister heeft weinig waarde als het niet meebeweegt met nieuwe systemen, processen en leveranciers.

Geen eigenaar per proces

Zonder proceseigenaren blijft privacy vaak hangen bij juridische of compliancefuncties. ISO 27701 vraagt om operationele verantwoordelijkheid.

Bewijs te laat verzamelen

Veel organisaties schrijven beleid, maar verzamelen pas vlak voor de audit bewijs. Dat zorgt voor stress. Bewijs moet vanaf het begin onderdeel zijn van de werkwijze.

ISO 27701 met ISO Ready

ISO Ready helpt organisaties om ISO 27701 praktisch en overzichtelijk in te richten. Niet als dik handboek dat niemand gebruikt, maar als een werkbaar managementsysteem met duidelijke stappen, acties, documenten, risico’s en bewijs.

Met ISO Ready kun je onder andere:

  • de scope van je PIMS vastleggen;
  • privacyrisico’s registreren;
  • acties koppelen aan risico’s en controls;
  • documenten en bewijs beheren;
  • verwerkingsregisters en privacydocumenten structureren;
  • audit readiness volgen;
  • verantwoordelijkheden toewijzen;
  • ontbrekende onderdelen zichtbaar maken;
  • management reviews en verbeteracties ondersteunen.

Zo wordt ISO 27701 geen los complianceproject, maar onderdeel van een continu verbeterend managementsysteem.

Conclusie

ISO 27701 is relevant voor organisaties die serieus werk willen maken van privacy. De norm helpt om persoonsgegevens niet alleen juridisch, maar ook organisatorisch en operationeel goed te beheren.

Voor organisaties die al met ISO 27001 werken, is ISO 27701 een logische uitbreiding richting privacy management. Voor organisaties die veel persoonsgegevens verwerken, helpt de norm om AVG-compliance aantoonbaarder en beter bestuurbaar te maken.

De kern is simpel: privacy moet niet afhankelijk zijn van losse documenten of individuele kennis. Privacy hoort thuis in een managementsysteem.

Met ISO 27701 bouw je aan een structuur waarin persoonsgegevens, risico’s, maatregelen, verantwoordelijkheden en bewijs samenkomen. Dat geeft grip, vertrouwen en een betere basis voor audits, klantvragen en verdere groei.