ISO 27701

ISO 27701 is een internationale standaard voor het opzetten en onderhouden van een Privacy Information Management System, afgekort PIMS. De standaard helpt organisaties om persoonsgegevens op een gestructureerde en aantoonbare manier te beheren en ondersteunt daarmee de naleving van privacywetgeving zoals de Europese AVG en andere nationale privacyreguleringen wereldwijd.

Van extensie naar zelfstandige standaard

ISO/IEC 27701 werd oorspronkelijk in 2019 gepubliceerd als een extensie op ISO 27001 en ISO 27002. Dit betekende dat je eerst een werkend Information Security Management System op basis van ISO 27001 nodig had voordat je ISO 27701 kon implementeren. In oktober 2025 is de standaard herzien tot een zelfstandige norm die onafhankelijk van ISO 27001 kan worden geimplementeerd en gecertificeerd. Dit verlaagt de drempel voor organisaties die specifiek hun privacymanagement willen formaliseren.

De overgang naar een zelfstandige standaard weerspiegelt het groeiende belang van privacybescherming als eigenstandig vakgebied. Waar privacy eerder werd gezien als een onderdeel van informatiebeveiliging, erkennen steeds meer organisaties dat privacymanagement eigen expertise, processen en verantwoordelijkheden vereist. ISO 27701 biedt hiervoor het gestructureerde kader dat de markt nodig heeft.

Relatie met de AVG

Een van de belangrijkste drijfveren voor het adopteren van ISO 27701 is de ondersteuning bij het naleven van de Algemene Verordening Gegevensbescherming. De beheersmaatregelen in de standaard zijn expliciet gemapt op de relevante vereisten uit de AVG voor zowel verwerkingsverantwoordelijken als verwerkers. Veel van de principes uit artikel 5 van de AVG, zoals doelbinding, dataminimalisatie en opslagbeperking, zijn vertaald naar concrete beheersmaatregelen binnen ISO 27701.

Het is wel belangrijk om te begrijpen dat een ISO 27701-certificering niet automatisch AVG-compliance garandeert. Een goed functionerend PIMS op basis van ISO 27701 ondersteunt AVG-compliance, maar de verordening bevat ook vereisten die buiten de scope van de standaard vallen. De afstemming tussen ISO 27701 en de AVG is evident, maar een certificering moet niet worden beschouwd als een officieel bewijs van volledige AVG-naleving totdat regulatoire beslissingen hierover definitief zijn genomen.

Kernonderdelen van ISO 27701

ISO 27701 bevat aanvullende eisen en richtlijnen voor het beheren van persoonsgegevens die verder gaan dan wat ISO 27001 adresseert. De standaard introduceert specifieke rollen zoals de PII controller (verwerkingsverantwoordelijke) en de PII processor (verwerker), elk met eigen verplichtingen en beheersmaatregelen. Voor verwerkingsverantwoordelijken bevat Annex A specifieke maatregelen, terwijl Annex B zich richt op verwerkers.

De standaard vereist dat organisaties een privacybeleid opstellen, een register van verwerkingsactiviteiten bijhouden, privacy impact assessments uitvoeren bij risicovolle verwerkingen en procedures hebben voor het afhandelen van rechten van betrokkenen. Dit omvat het recht op inzage, correctie, verwijdering en dataportabiliteit. Al deze processen moeten gedocumenteerd, geimplementeerd en regelmatig geevalueerd worden.

Implementatie van een PIMS

De implementatie van een Privacy Information Management System op basis van ISO 27701 begint met het bepalen van de scope en context van je organisatie op het gebied van privacymanagement. Welke persoonsgegevens verwerk je, in welke rol (verwerkingsverantwoordelijke of verwerker) en welke privacywetgeving is van toepassing? Deze analyse vormt de basis voor alle verdere stappen.

Vervolgens voer je een privacy-risicoanalyse uit om te identificeren waar de grootste risico's liggen bij de verwerking van persoonsgegevens. Op basis van deze analyse selecteer je de relevante beheersmaatregelen uit de standaard en implementeer je deze in je organisatie. Het is essentieel om privacy niet als een eenmalig project te benaderen, maar als een doorlopend managementproces dat continue aandacht en verbetering vereist.

Voordelen van ISO 27701-certificering

Een ISO 27701-certificering biedt meerdere concrete voordelen. Het geeft klanten, partners en toezichthouders vertrouwen dat je organisatie persoonsgegevens op een gestructureerde en aantoonbare manier beschermt. Bij audits en due diligence-trajecten is een certificering een krachtig bewijs van je commitment aan privacybescherming. In aanbestedingstrajecten kan een ISO 27701-certificering een onderscheidende factor zijn ten opzichte van concurrenten.

Daarnaast helpt de implementatie van een PIMS bij het voorkomen van datalekken en de bijbehorende boetes, reputatieschade en juridische kosten. De gestructureerde aanpak dwingt je om systematisch na te denken over alle aspecten van privacymanagement, waardoor blinde vlekken worden geidentificeerd en aangepakt voordat zij tot problemen leiden.

Verschil met ISO 27001

Waar ISO 27001 zich richt op informatiebeveiliging in brede zin, focust ISO 27701 specifiek op het beschermen van persoonsgegevens. ISO 27001 adresseert de vertrouwelijkheid, integriteit en beschikbaarheid van alle informatie. ISO 27701 voegt hieraan de privacydimensie toe: hoe ga je om met de rechten van betrokkenen, hoe minimaliseer je de verzameling van persoonsgegevens en hoe waarborg je dat gegevens alleen worden gebruikt voor het doel waarvoor ze zijn verzameld?

De twee standaarden vullen elkaar aan en werken het best in combinatie. Een organisatie die zowel ISO 27001 als ISO 27701 gecertificeerd is, demonstreert een uitgebreide aanpak van zowel informatiebeveiliging als privacybescherming. Op IBgidsNL vind je adviseurs die je begeleiden bij de implementatie van beide standaarden en het behalen van certificeringen.

ISO 27701 en internationale privacywetgeving

Hoewel ISO 27701 sterk is afgestemd op de AVG, is de standaard ontworpen om wereldwijd toepasbaar te zijn. Organisaties die internationaal opereren en met verschillende privacywetgevingen te maken hebben, kunnen ISO 27701 gebruiken als een uniform raamwerk dat de naleving van meerdere regulatoire kaders tegelijk ondersteunt. Van de Braziliaanse LGPD tot de Californische CCPA, het PIMS-framework biedt een consistente structuur voor privacymanagement ongeacht de jurisdictie.

FAQ

Wat is het verschil tussen ISO 27701 en de AVG?

De AVG is Europese wetgeving die verplichtingen oplegt aan organisaties die persoonsgegevens verwerken. ISO 27701 is een vrijwillige internationale standaard die een managementsysteem biedt om aan die verplichtingen te voldoen. De AVG zegt wat je moet doen, ISO 27701 helpt je bij het hoe.

Heb ik eerst ISO 27001 nodig voor ISO 27701?

Sinds de revisie van oktober 2025 niet meer. De herziene ISO/IEC 27701:2025 is een zelfstandige standaard die onafhankelijk kan worden geimplementeerd en gecertificeerd. De combinatie met ISO 27001 biedt wel de breedste dekking van zowel informatiebeveiliging als privacymanagement.

Is ISO 27701-certificering verplicht onder de AVG?

Nee, ISO 27701-certificering is niet verplicht. De AVG moedigt wel het gebruik van certificeringsmechanismen aan om compliance aan te tonen. Een ISO 27701-certificering kan dienen als bewijsmiddel, maar is geen formeel erkend AVG-certificeringsmechanisme in de zin van artikel 42 AVG.

Voor welke organisaties is ISO 27701 relevant?

Voor elke organisatie die persoonsgegevens verwerkt, ongeacht de omvang of sector. De standaard is met name waardevol voor organisaties die grote hoeveelheden persoonsgegevens verwerken, als verwerker optreden voor andere organisaties of internationaal opereren en met meerdere privacywetgevingen te maken hebben.

Hoe lang duurt een ISO 27701-implementatie?

Dit varieert sterk afhankelijk van de omvang en volwassenheid van je organisatie. Voor organisaties die al ISO 27001 gecertificeerd zijn, kan de uitbreiding naar ISO 27701 in drie tot zes maanden worden gerealiseerd. Een implementatie vanaf nul kost doorgaans zes tot twaalf maanden, afhankelijk van de beschikbare middelen en de complexiteit van je verwerkingsactiviteiten.