De bescherming van persoonsgegevens vraagt om een structurele, aantoonbaar beheersbare aanpak. Met een ISO 27701-certificering laat u zien dat uw organisatie een Privacy Information Management System (PIMS) heeft ingericht dat voldoet aan internationaal erkende normen voor privacybeheer én aansluit op wettelijke vereisten zoals de AVG (General Data Protection Regulation).

Wilt u weten wat ISO 27701 voor uw organisatie betekent?
👉 Plan een vrijblijvend kennismakingsgesprek met een van onze experts.

ISO 27701-certificering

Wat is ISO 27701?

ISO 27701 is de internationale uitbreidingsnorm op ISO 27001 en ISO 27002 voor privacybeheer. De norm bevat aanvullende eisen en richtlijnen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Privacy Information Management System (PIMS).

 

ISO 27701 helpt organisaties bij:

  • het beheersbaar maken van privacyrisico’s;
  • het structureel verwerken van Persoonlijk Identificeerbare Informatie (PII);
  • het aantoonbaar toepassen van passende maatregelen;
  • het versterken van vertrouwen bij klanten, partners en toezichthouders.

ISO 27701 is bedoeld als add-on: certificering is alleen mogelijk wanneer de organisatie ook beschikt over een geaccrediteerd ISO 27001-certificaat.

 ISO 27701 onder accreditatie (RvA C548)

Brand Compliance is door de Raad voor Accreditatie (RvA) onder registratienummer C548 geaccrediteerd voor het certificeren van Information Security and Privacy Management Systems, waaronder ISO 27001 in combinatie met ISO 27701.

De accreditatie is verleend in overeenstemming met ISO/IEC 27006 en ISO/IEC TS 27006-2 *Information Security and Privacy Management Systems*. Deze normen leggen eisen vast voor organisaties die audits en certificering van informatiebeveiligings- en privacymanagementsystemen uitvoeren. Dit borgt dat onze ISO 27701-audits onafhankelijk, objectief en volgens internationaal geaccepteerde criteria worden uitgevoerd.

ISO 27701 en het Privacy Information Management System (PIMS)

ISO 27701 specificeert aanvullende eisen voor PII-beheerders (controllers) en PII-verwerkers (processors). Deze eisen bouwen voort op de bestaande ISO 27001-structuur en leggen nadruk op:

  • gegevensminimalisatie;
  • transparantie in verwerkingen;
  • rechten van betrokkenen;
  • verantwoordingsplicht;
  • beveiliging van PII in alle fasen van de verwerking.

Het PIMS helpt organisaties om privacyprocessen aantoonbaar gestructureerd en consistent uit te voeren.

Wat zijn de ISO 27701-eisen?

De norm breidt ISO 27001 uit met aanvullende vereisten, waaronder:

  • beheersmaatregelen voor het verwerken van PII;
  • verantwoordelijkheden voor PII-controllers en PII-processors;
  • aanvullende documentatie-eisen;
  • transparantie- en communicatieverplichtingen;
  • procedures gericht op rechten van betrokkenen;
  • risicobeheer rondom PII-verwerking.

Deze eisen zijn geïntegreerd met de bestaande ISO 27001-managementcyclus (context, risicoanalyse, interne audits, managementreview en continue verbetering).

ISO 27701-certificeringsproces

Het certificeringstraject voor ISO 27701 volgt de ISO 27001-auditstructuur en bestaat doorgaans uit:

  1. Aanschaf van de ISO 27701-norm (bijvoorbeeld via de NEN).
  2. Een vrijblijvend kennismakingsgesprek om de certificeringsmogelijkheden te bespreken.
  3. Organisaties kunnen ervoor kiezen een training te volgen om kennis op te doen over ISO 27701 en PIMS-vereisten.
  4. De organisatie implementeert het PIMS als uitbreiding op het bestaande ISO 27001-managementsysteem.
  5. Uitvoering van interne audits om te toetsen of het systeem voldoet aan de norm.
  6. Managementreview van de interne auditresultaten en eventuele aanvullende maatregelen.
  7. Onafhankelijke audit door Brand Compliance om vast te stellen of het PIMS voldoet aan ISO 27701.
  8. Indien aan alle vereisten is voldaan: afgifte van het ISO 27701-certificaat als add-on op het bestaande ISO 27001-certificaat.

Kosten van ISO 27701-certificering

De kosten zijn afhankelijk van onder andere:

  • de omvang van de organisatie;
  • het aantal locaties;
  • de aard en complexiteit van de PII-verwerkingen;
  • de mate waarin bestaande processen al voldoen aan de norm;
  • de reeds aanwezige ISO 27001-structuur.

De totale kosten bestaan uit auditvoorbereiding, audituren, rapportage, certificaatuitgifte, administratie en eventuele reisuren.

Een kostenindicatie kan uitsluitend worden vastgesteld op basis van uw specifieke situatie.

👉 Plan een kennismakingsgesprek voor een nauwkeurige berekening
Wat is het verschil tussen ISO 27001 en ISO 27701?

ISO 27001 richt zich op informatiebeveiliging in brede zin. ISO 27701 breidt deze norm uit met aanvullende eisen rondom privacybeheer en het verwerken van PII. ISO 27701 kan uitsluitend worden gecertificeerd in combinatie met ISO 27001.

Wat is het verschil tussen ISO 27701 en ISO 27018?

ISO 27018 bevat specifieke richtlijnen voor bescherming van PII in publieke cloudomgevingen. ISO 27701 richt zich op een volledig privacy-managementsysteem (PIMS) binnen alle typen organisaties.

Wat is het verschil tussen ISO 27701 en de AVG (GDPR)?

De AVG is wetgeving; ISO 27701 is een norm.
ISO 27701 biedt een gestructureerde manier om privacyrisico’s te beheersen en processen in te richten die aansluiten op AVG-vereisten. Het vervangt de wet niet en fungeert niet als formele AVG-certificering.

Kan ik ISO 27701 certificeren zonder ISO 27001?

Nee. ISO 27701 is een add-on op ISO 27001. Een ISO 27001-certificaat onder accreditatie is noodzakelijk om ISO 27701 te kunnen certificeren.

  • Bart Versluijs

    Bart Versluijs

    ISMS & Privacy Expert

  • Jade Reilink

    Jade Reilink

    ISMS & Privacy Expert

Maak Nu een Afspraak