Wat is ISO 27701?
ISO/IEC 27701 is de internationale norm voor een privacy-managementsysteem, internationaal aangeduid als Privacy Information Management System (PIMS). De norm geeft organisaties een gestructureerd kader om de verwerking van persoonsgegevens (in de norm aangeduid als PII, Personally Identifiable Information) verantwoord, transparant en beheerst uit te voeren. Waar ISO 27001 zich richt op informatiebeveiliging in den brede, voegt ISO 27701 daar de privacydimensie aan toe.
Een PIMS volgens ISO 27701 helpt een organisatie om:
- verantwoordelijkheden en governance rond privacy duidelijk te beleggen;
- privacyrisico's structureel te identificeren, te beoordelen en te mitigeren;
- de rechten van betrokkenen, zoals inzage en verwijdering, beheersbaar te maken;
- afspraken met verwerkers en verwerkingsverantwoordelijken aantoonbaar vast te leggen;
- continu te verbeteren op basis van monitoring, audits en incidenten.
De norm maakt onderscheid tussen twee rollen die ook in de AVG centraal staan: de verwerkingsverantwoordelijke (PII controller), die het doel en de middelen van de verwerking bepaalt, en de verwerker (PII processor), die persoonsgegevens namens een ander verwerkt. Voor beide rollen bevat ISO 27701 specifieke beheersmaatregelen.
Wat verandert er met ISO 27701:2025?
Op 14 oktober 2025 publiceerde ISO een grondig herziene editie van de norm. Dit is de belangrijkste update sinds de eerste versie uit 2019 en verandert de manier waarop organisaties met de norm kunnen werken fundamenteel. De kern van de wijziging: ISO 27701 is niet langer een uitbreiding op ISO 27001, maar een zelfstandige norm.
De belangrijkste veranderingen op een rij:
- Op zichzelf staand: organisaties kunnen ISO 27701 nu implementeren en certificeren zonder eerst een volledig ISO 27001-managementsysteem (ISMS) te hebben. Daarmee wordt de norm toegankelijker voor organisaties die privacy als prioriteit willen aanpakken.
- High-Level Structure: de norm volgt nu dezelfde structuur (clausules 4 tot en met 10) als ISO 27001:2022, ISO 9001 en de AI-norm ISO 42001. Integratie met andere managementsystemen wordt daardoor eenvoudiger.
- Herziene beheersmaatregelen: de bijlagen bevatten een geactualiseerde set controls, met afzonderlijke maatregelen voor verwerkingsverantwoordelijken en verwerkers, aangevuld met informatiebeveiligingsmaatregelen die voor beide gelden.
- Bredere reikwijdte: de richtlijnen besteden meer aandacht aan actuele thema's als clouddiensten, AI-gedreven verwerkingen, IoT, biometrie en gezondheidsgegevens.
- Sterkere koppeling met wetgeving: de bijlagen leggen een duidelijker verband tussen de maatregelen en de eisen van de AVG en andere privacywetgeving.
Organisaties die al volgens de versie van 2019 zijn gecertificeerd, krijgen een overgangsperiode. Een transitie-audit moet doorgaans binnen drie jaar na publicatie zijn afgerond, wat neerkomt op een deadline rond oktober 2028. Het is verstandig die overgang niet tot het laatste moment uit te stellen.
| Kenmerk | ISO 27701:2019 | ISO 27701:2025 |
|---|---|---|
| Aard | Uitbreiding op ISO 27001/27002 | Zelfstandige norm (PIMS) |
| ISO 27001 vereist? | Ja, als basis | Nee, niet langer verplicht |
| Structuur | Aanvullende clausules op ISO 27001 | Volledige High-Level Structure (4–10) |
| Reikwijdte richtlijnen | Gericht op klassieke verwerkingen | Inclusief cloud, AI, IoT, biometrie |
| Transitiedeadline | – | Circa oktober 2028 |
ISO 27701 en de AVG
Niets maakt ISO 27701 voor Nederlandse organisaties zo relevant als de AVG (Algemene Verordening Gegevensbescherming). Belangrijk om te begrijpen: een ISO 27701-certificering is geen AVG-certificering en geen wettelijk bewijs van naleving. De AVG is bindende wetgeving, ISO 27701 is een vrijwillige, certificeerbare norm. Toch is de samenhang tussen beide groot.
De beheersmaatregelen van ISO 27701 zijn nadrukkelijk gekoppeld aan de eisen die de AVG stelt aan verwerkingsverantwoordelijken en verwerkers. Denk aan het bijhouden van een verwerkingsregister, het afsluiten van verwerkersovereenkomsten, het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en het waarborgen van de rechten van betrokkenen. Een goed ingericht PIMS levert daarmee precies de documentatie, processen en verantwoordelijkheden die een organisatie nodig heeft om aantoonbaar aan de AVG te voldoen.
Voor toezichthouders, klanten en ketenpartners is een certificaat bovendien een geloofwaardig signaal. Het laat zien dat privacy niet ad hoc wordt geregeld, maar onderdeel is van een beheerst en periodiek getoetst systeem. Voor de Functionaris Gegevensbescherming en de Privacy Officer scheelt dat veel tijd bij het beantwoorden van vragen over compliance.
Op zoek naar een privacy functie?
Vind de beste IT compliance, security en privacy vacatures in Nederland. Van junior tot management niveau.
Bekijk Privacy VacaturesDe opbouw van de norm
ISO 27701:2025 bestaat uit een hoofdtekst met de eisen aan het managementsysteem, aangevuld met bijlagen die de concrete beheersmaatregelen en richtlijnen bevatten. De kern draait om een aantal terugkerende thema's die elke organisatie moet adresseren.
Context en leiderschap:
De organisatie bepaalt de scope van haar privacy-activiteiten, brengt de relevante belanghebbenden in kaart en belegt de verantwoordelijkheid voor privacy-governance expliciet bij het management. Net als bij een ISO 27001-traject is betrokkenheid van de directie een randvoorwaarde voor succes.
Risicobeoordeling en impactanalyse:
De organisatie beoordeelt de risico's voor de bescherming van persoonsgegevens en kijkt nadrukkelijk naar de gevolgen voor betrokkenen. Dit sluit aan op het instrument van de DPIA uit de AVG, waarmee de impact van risicovolle verwerkingen vooraf in beeld wordt gebracht.
Beheersmaatregelen voor de hele levenscyclus:
De norm beschrijft maatregelen voor het volledige traject van gegevensverwerking: van het verzamelen en vastleggen van een grondslag, via opslag en gebruik, tot bewaartermijnen en verwijdering. Daarbij komen onderwerpen aan bod als dataminimalisatie, transparantie naar betrokkenen, beveiliging en de afspraken in de keten tussen verantwoordelijke en verwerker.
Continue verbetering:
Via interne audits, managementreviews en het opvolgen van datalekken en incidenten houdt de organisatie het PIMS actueel. Privacy is immers geen eenmalig project: wetgeving, technologie en verwerkingen veranderen voortdurend.
Het certificeringstraject in de praktijk
Het behalen van een ISO 27701-certificering verloopt grotendeels zoals bij andere ISO-normen. Een organisatie richt eerst het managementsysteem in, voert vervolgens interne audits uit en laat zich daarna toetsen door een onafhankelijke, geaccrediteerde certificerende instelling. Globaal bestaat het traject uit de volgende stappen:
| Fase | Activiteit |
|---|---|
| 1. Gap-analyse | In kaart brengen waar de organisatie staat ten opzichte van de norm |
| 2. Inrichting PIMS | Beleid, processen, rollen en beheersmaatregelen opzetten |
| 3. Implementatie | Het managementsysteem in de praktijk laten werken |
| 4. Interne audit | Zelf toetsen of het systeem aan de eisen voldoet |
| 5. Certificeringsaudit | Toetsing in twee fasen door een geaccrediteerde instelling |
| 6. Onderhoud | Periodieke controle-audits en continue verbetering |
De doorlooptijd hangt sterk af van de omvang van de organisatie en de volwassenheid van de bestaande governance. Organisaties die al ISO 27001-gecertificeerd zijn, hebben een voorsprong omdat veel processen, zoals risicomanagement en interne audits, al aanwezig zijn. Toch is dat met de versie van 2025 geen voorwaarde meer: ook organisaties zonder ISMS kunnen het PIMS-traject zelfstandig doorlopen. Voor IT auditors en GRC-managers is kennis van dit traject in 2026 een steeds gevraagdere vaardigheid.
Wat ISO 27701 betekent voor jouw carriere
De toegenomen aandacht voor privacy en de komst van de zelfstandige PIMS-norm verbreden bestaande functies binnen het privacy- en compliance-werkveld. Werkgevers vragen in toenemende mate om professionals die de brug kunnen slaan tussen juridische eisen, techniek en organisatie. Kennis van ISO 27701 is daarbij een onderscheidende toevoeging op je profiel.
De norm raakt verschillende functies binnen het vakgebied:
- Functionaris Gegevensbescherming: het PIMS levert het kader waarmee de FG aantoonbaar toezicht houdt op de naleving van de AVG;
- Privacy Officer: betrokken bij het opzetten, implementeren en onderhouden van het privacy-managementsysteem;
- CISO: privacy en informatiebeveiliging komen samen, zeker nu ISO 27701 en ISO 27001 dezelfde structuur volgen;
- IT auditor: de vraag naar auditors die een PIMS kunnen toetsen groeit met de nieuwe norm;
- Compliance- en GRC-manager: privacy wordt een vast onderdeel van de bredere risico- en compliance-agenda.
Voor professionals die zich willen onderscheiden, is investeren in privacy-governance een logische stap. Wie zijn kennis verder wil verdiepen met een persoonlijke certificering, kan kijken naar de CIPP/E certificering, die zich richt op de Europese privacywetgeving. Net zoals ISO 27001 al jaren onmisbaar is voor security-professionals, wordt ISO 27701 in de komende jaren naar verwachting een belangrijke aanvulling voor privacy- en compliance-functies. Wil je weten hoe de arbeidsmarkt zich verder ontwikkelt? Lees dan ook onze salaristrends voor 2026.