Overgang naar ISO 27701:2025
ISO 27701:2025 is de herziene internationale norm voor managementsystemen voor privacy-informatie, ook wel PIMS genoemd. Organisaties die momenteel zijn gecertificeerd op basis van ISO/IEC 27701:2019 moeten uiterlijk op 1 oktober 2028 zijn overgegaan naar de nieuwe versie.
De officiële aanduiding van de norm is ISO/IEC 27701:2025. De nieuwe versie bevat verschillende inhoudelijke wijzigingen en is opnieuw opgebouwd als een zelfstandige managementsysteemnorm. Dit betekent dat ISO/IEC 27701 voortaan onafhankelijk van ISO/IEC 27001 kan worden geïmplementeerd en gecertificeerd.
Op deze pagina leest u wat de update naar ISO 27701:2025 betekent voor uw certificering, wanneer u de overgang moet hebben afgerond en wat Brand Compliance tijdens de overgangsaudit beoordeelt.
#
Wat is er gewijzigd in ISO 27701:2025? #
De vorige versie, ISO/IEC 27701:2019, was opgezet als een uitbreiding op ISO/IEC 27001 en ISO/IEC 27002. ISO/IEC 27701:2025 is herschreven als een zelfstandige managementsysteemnorm voor privacy-informatiemanagement.
De herziene norm bevat eigen managementsysteemeisen en volgt de geharmoniseerde structuur die ook door andere ISO-managementsysteemnormen wordt gebruikt. Organisaties moeten daarom de verschillen tussen de versies uit 2019 en 2025 beoordelen en vaststellen welke wijzigingen binnen hun PIMS nodig zijn.
Overgangstermijn ISO 27701:2025 #
Vanaf de publicatie van ISO/IEC 27701:2025 geldt een overgangstermijn van drie jaar. Deze overgangstermijn eindigt op 1 oktober 2028.
Tot deze datum blijven bestaande certificaten op basis van ISO/IEC 27701:2019 geldig, mits aan de reguliere certificatie-eisen wordt voldaan.
Na 1 oktober 2028 zijn certificaten op basis van ISO/IEC 27701:2019 niet langer geldig. Organisaties moeten de overgangsaudit daarom vóór het einde van de overgangstermijn succesvol hebben afgerond.
Wat betekent de ISO 27701-update voor uw organisatie? #
Om uw bestaande certificering over te zetten naar ISO/IEC 27701:2025 is een overgangsaudit vereist.
Brand Compliance neemt contact op met haar certificaathouders om de overgangsaudit in te plannen. Waar mogelijk wordt de overgangsaudit gecombineerd met een reguliere controleaudit of hercertificatieaudit binnen de huidige certificatiecyclus.
Wij adviseren u tijdig met de voorbereidingen te starten. Uw organisatie moet de wijzigingen in de norm analyseren, de gevolgen voor het PIMS beoordelen en eventuele noodzakelijke aanpassingen vóór de overgangsaudit implementeren.
Hoe kunt u zich voorbereiden op de overgang? #
Vóór de overgangsaudit moet uw organisatie kunnen aantonen dat zij:
- De verschillen tussen ISO/IEC 27701:2019 en ISO/IEC 27701:2025 heeft geanalyseerd
- Heeft beoordeeld of wijzigingen in het PIMS noodzakelijk zijn
- De Verklaring van Toepasselijkheid heeft bijgewerkt
- Het risicobehandelplan heeft bijgewerkt
- Waar nodig nieuwe of gewijzigde PIMS-processen heeft geïmplementeerd
- Een interne audit op basis van de nieuwe eisen heeft uitgevoerd
- De overgang en de doeltreffendheid van het PIMS tijdens de directiebeoordeling heeft geëvalueerd
Deze activiteiten leveren het bewijs waarmee uw organisatie kan aantonen dat zij de eisen van ISO 27701:2025 heeft behandeld.
Wat wordt tijdens de overgangsaudit beoordeeld? #
Tijdens de overgangsaudit beoordeelt Brand Compliance de toepassing van ISO/IEC 27701:2025 overeenkomstig ISO/IEC 27706:2025.
De audit omvat een beoordeling van:
- De aanpak van uw organisatie voor de overgang
- De analyse van de wijzigingen tussen beide versies
- De gapanalyse waarmee is vastgesteld of wijzigingen in het PIMS noodzakelijk zijn
- De bijgewerkte Verklaring van Toepasselijkheid
- Het bijgewerkte risicobehandelplan
- De implementatie en doeltreffendheid van nieuwe of gewijzigde PIMS-processen
- De interne audit en directiebeoordeling met betrekking tot de nieuwe eisen
Hoe lang duurt de overgangsaudit? #
De overgangsaudit voor ISO 27701:2025 duurt zes uur. Daarnaast worden twee uur gereserveerd voor rapportage en administratieve verwerking.
Waar mogelijk plant Brand Compliance deze activiteiten in combinatie met een reguliere audit.
Afwijkingen tijdens de overgangsaudit #
Tijdens de overgangsaudit kunnen afwijkingen worden vastgesteld. Deze worden als volgt behandeld:
Minder belangrijke afwijkingen: uw organisatie moet een actieplan ter goedkeuring indienen bij Brand Compliance.
Belangrijke afwijkingen: de corrigerende maatregelen moeten volledig zijn geverifieerd voordat het nieuwe certificaat kan worden afgegeven.
Afronding van de overgang naar ISO 27701:2025 #
Nadat de overgangsaudit succesvol is afgerond en eventuele afwijkingen voldoende zijn behandeld, ontvangt uw organisatie een nieuw certificaat op basis van ISO/IEC 27701:2025.
De einddatum van uw huidige certificatiecyclus blijft ongewijzigd. Het afronden van de overgang leidt niet tot de start van een nieuwe certificatiecyclus.
Veelgestelde vragen over ISO 27701:2025 #
Wat is de uiterste datum voor de overgang naar ISO 27701:2025?
De overgangstermijn eindigt op 1 oktober 2028. Na deze datum zijn certificaten op basis van ISO/IEC 27701:2019 niet langer geldig.
Blijft mijn ISO 27701:2019-certificaat geldig?
Ja. Uw bestaande certificaat blijft tijdens de overgangstermijn geldig, mits aan de reguliere certificatie-eisen wordt voldaan. U moet de overgang vóór 1 oktober 2028 hebben afgerond.
Is een overgangsaudit verplicht?
Ja. Organisaties die momenteel zijn gecertificeerd op basis van ISO/IEC 27701:2019 moeten een overgangsaudit afronden om een certificaat op basis van ISO/IEC 27701:2025 te ontvangen.
Kan de overgangsaudit worden gecombineerd met een reguliere audit?
Waar mogelijk combineert Brand Compliance de overgangsaudit met een reguliere controleaudit of hercertificatieaudit.
Start na de overgang een nieuwe certificatiecyclus?
Nee. Na succesvolle afronding van de overgang blijft de einddatum van uw huidige certificatiecyclus ongewijzigd.
Wat gebeurt er wanneer afwijkingen worden vastgesteld?
Bij minder belangrijke afwijkingen moet uw organisatie een actieplan ter goedkeuring indienen. Bij belangrijke afwijkingen moeten de corrigerende maatregelen volledig zijn geverifieerd voordat Brand Compliance het nieuwe certificaat kan afgeven.
Vragen over ISO 27701:2025?
Heeft u vragen over ISO/IEC 27701:2025, de overgangstermijn of de vereiste overgangsaudit? Neem dan contact op met Brand Compliance.
