De bescherming van persoonsgegevens vraagt om een structurele, aantoonbaar beheersbare aanpak. Met een ISO 27701-certificering laat u zien dat uw organisatie een Privacy Information Management System (PIMS) heeft ingericht dat voldoet aan internationaal erkende normen voor privacybeheer én aansluit op wettelijke vereisten zoals de AVG (General Data Protection Regulation).
Wilt u weten wat ISO 27701 voor uw organisatie betekent?
👉 Plan een vrijblijvend kennismakingsgesprek met een van onze experts.
Wat is ISO 27701?
ISO 27701 is de internationale norm en specificeert eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een privacy-informatiemanagementsysteem (PIMS).
ISO 27701 helpt organisaties bij:
- het beheersbaar maken van privacyrisico’s;
- het structureel verwerken van Persoonlijk Identificeerbare Informatie (PII);
- het aantoonbaar toepassen van passende maatregelen;
- het versterken van vertrouwen bij klanten, partners en toezichthouders.
ISO 27701 en het Privacy Information Management System (PIMS)
ISO 27701 specificeert eisen voor PII-beheerders (controllers) en PII-verwerkers (processors). De norm is daarmee bedoeld voor verwerkingsverantwoordelijken en verwerkers van persoonlijk identificeerbare informatie (PII) die verantwoordelijkheid en aansprakelijkheid dragen voor de verwerking van PII.
De norm is van toepassing op alle soorten en maten organisaties, waaronder publieke en private bedrijven, overheidsinstanties en non-profitorganisaties. Het PIMS helpt organisaties om privacy-processen aantoonbaar gestructureerd en consistent uit te voeren.
Wat zijn de ISO 27701-eisen?
De ISO 27701-eisen eisen zijn geïntegreerd in een managementcyclus (context, risicoanalyse, interne audits, managementreview en continue verbetering). Ze bevatten:
- beheersmaatregelen voor het verwerken van PII;
- verantwoordelijkheden voor PII-controllers en PII-processors;
- documentatie-eisen;
- transparantie- en communicatieverplichtingen;
- procedures gericht op rechten van betrokkenen;
- risicobeheer rondom PII-verwerking.
ISO 27701-certificeringsproces
Het certificeringstraject voor ISO 27701 bestaat doorgaans uit:
- Aanschaf van de ISO 27701-norm (bijvoorbeeld via de NEN).
- Een vrijblijvend kennismakingsgesprek om de certificeringsmogelijkheden te bespreken.
- Organisaties kunnen ervoor kiezen een training te volgen om kennis op te doen over ISO 27701 en PIMS-vereisten.
- De organisatie implementeert het PIMS.
- Uitvoering van interne audits om te toetsen of het systeem voldoet aan de norm.
- Managementreview van de interne auditresultaten en eventuele aanvullende maatregelen.
- Onafhankelijke audit door Brand Compliance om vast te stellen of het PIMS voldoet aan ISO 27701.
- Indien aan alle vereisten is voldaan: afgifte van het ISO 27701-certificaat.
Kosten van ISO 27701-certificering
De kosten zijn afhankelijk van onder andere:
- de omvang van de organisatie;
- het aantal locaties;
- de aard en complexiteit van de PII-verwerkingen.
De totale kosten bestaan uit auditvoorbereiding, audituren, rapportage, certificaatuitgifte, administratie en eventuele reisuren.
Een kostenindicatie kan uitsluitend worden vastgesteld op basis van uw specifieke situatie.
👉 Plan een kennismakingsgesprek voor een berekeningISO 27001 richt zich op informatiebeveiliging in brede zin, ISO 27701 op privacybeheer en het verwerken van PII.
ISO 27018 bevat specifieke richtlijnen voor bescherming van PII in publieke cloudomgevingen. ISO 27701 richt zich op een volledig privacy-managementsysteem (PIMS) binnen alle typen organisaties.
De AVG is wetgeving; ISO 27701 is een norm.
ISO 27701 biedt een gestructureerde manier om privacyrisico’s te beheersen en processen in te richten die aansluiten op AVG-vereisten. Het vervangt de wet niet en fungeert niet als formele AVG-certificering.
Ja. Waar ISO 27701:2019 een add-on was op ISO 27001, is de ISO 27701:2025 een zelfstandige managementsysteemnorm.
-
Bart Versluijs
ISMS & Privacy Expert
-
Jade Reilink
ISMS & Privacy Expert