Wat is ISO 27701?
ISO/IEC 27701:2019 is een uitbreiding op ISO 27001 en ISO 27002 die specifieke eisen en richtlijnen toevoegt voor een Privacy Information Management System (PIMS). De standaard is ontwikkeld om organisaties te helpen persoonsgegevens op een systematische, transparante en verifieerbare manier te beheren. Het is geen op zichzelf staande norm, maar een aanvulling die voortbouwt op het bestaande ISMS-fundament.
De standaard is ontworpen door ISO/IEC JTC 1/SC 27 en is het resultaat van samenwerking tussen informatiebeveiligingsexperts en privacyspecialisten. Het doel is om de kloof te overbruggen tussen technische beveiligingsmaatregelen en de specifieke vereisten voor de bescherming van persoonsgegevens.
Het PIMS-raamwerk: structuur en opbouw
Het Privacy Information Management System (PIMS) dat ISO 27701 beschrijft, is opgebouwd rond drie kerncomponenten:
- Uitbreiding van ISO 27001-clausules: De standaard voegt privacyspecifieke vereisten toe aan de managementsysteemclausules 4 tot en met 10 van ISO 27001. Dit omvat onder meer de identificatie van de rol van de organisatie (verwerkingsverantwoordelijke, verwerker of beide) en de integratie van privacyrisico's in het risicobeoordelingsproces.
- Uitbreiding van ISO 27002-maatregelen: Bestaande beveiligingsmaatregelen worden aangevuld met privacyspecifieke richtlijnen. Bijvoorbeeld: toegangscontrole wordt uitgebreid met vereisten voor gegevensminimalisatie en doelbinding.
- Aanvullende maatregelen: Bijlagen A en B bevatten specifieke maatregelen voor respectievelijk verwerkingsverantwoordelijken en verwerkers.
Voorwaarden: ISO 27001 als fundament
ISO 27701 kan niet zelfstandig worden geïmplementeerd. Het vereist een bestaand ISO 27001-gecertificeerd ISMS als basis. Dit is een bewuste ontwerpkeuze: informatiebeveiliging en privacybeheer zijn onlosmakelijk verbonden. U kunt geen persoonsgegevens effectief beschermen zonder een solide beveiligingsfundament.
Concreet betekent dit dat de volgende ISO 27001-elementen reeds operationeel moeten zijn:
- Een vastgestelde scope en beleidsdocumentatie voor het ISMS
- Een risicobeoordeling en risicobehandelingsproces conform clausule 6
- Geïmplementeerde beveiligingsmaatregelen uit Annex A
- Een operationeel intern auditprogramma
- Directiebeoordeling en continue verbeteringsprocessen
Als uw organisatie al gecertificeerd is volgens ISO 27001, heeft u een significante voorsprong. De bestaande managementsysteemstructuur vormt de basis waarop het PIMS wordt gebouwd. De aanvullende inspanning richt zich op de privacyspecifieke elementen.
AVG-mapping: van norm naar wetgeving
Een van de krachtigste eigenschappen van ISO 27701 is de directe koppeling met de AVG. Bijlage D van de standaard bevat een gedetailleerde mapping tussen de ISO 27701-maatregelen en de specifieke artikelen van de AVG. Deze mapping maakt het voor organisaties — en voor toezichthouders — inzichtelijk hoe het managementsysteem bijdraagt aan wettelijke naleving.
| AVG-vereiste | ISO 27701-maatregel | Toelichting |
|---|---|---|
| Art. 5 — Beginselen | 7.2.1 – 7.2.8 | Doelbinding, minimalisatie, juistheid, opslagbeperking en integriteit. |
| Art. 6 — Rechtsgrond | 7.2.2 | Identificatie en documentatie van de rechtsgrond per verwerkingsactiviteit. |
| Art. 13-14 — Informatieplicht | 7.3.2 – 7.3.3 | Transparante informatieverstrekking aan betrokkenen. |
| Art. 15-22 — Rechten betrokkenen | 7.3.4 – 7.3.9 | Processen voor inzage, rectificatie, verwijdering, beperking en overdraagbaarheid. |
| Art. 28 — Verwerker | 8.2 – 8.5 | Contractuele vereisten en maatregelen voor verwerkers. |
| Art. 33-34 — Datalekken | 7.2.7, 6.13 | Incidentbeheer specifiek gericht op inbreuken op persoonsgegevens. |
| Art. 35 — DPIA | 7.2.5 | Data Protection Impact Assessment als integraal onderdeel van risicobeheer. |
Verwerkingsverantwoordelijke versus verwerker
ISO 27701 onderscheidt expliciet tussen de rollen van verwerkingsverantwoordelijke (PII controller) en verwerker (PII processor). Dit onderscheid is fundamenteel voor de AVG en bepaalt welke verplichtingen op uw organisatie van toepassing zijn.
Als verwerkingsverantwoordelijke moet uw organisatie voldoen aan Bijlage A van ISO 27701. Dit omvat maatregelen voor het vaststellen van de rechtsgrond, het informeren van betrokkenen, het faciliteren van rechten van betrokkenen, het uitvoeren van DPIA's en het waarborgen van privacy by design en privacy by default.
Als verwerker zijn de maatregelen uit Bijlage B van toepassing. Deze richten zich op het verwerken van persoonsgegevens uitsluitend conform de instructies van de verwerkingsverantwoordelijke, het assisteren bij rechten van betrokkenen, het melden van datalekken en het garanderen van vertrouwelijkheid.
Veel organisaties vervullen beide rollen — bijvoorbeeld als verwerkingsverantwoordelijke voor werknemersgegevens en als verwerker voor klantgegevens. ISO 27701 biedt de flexibiliteit om beide rollen binnen één managementsysteem te adresseren.
Het certificeringsproces in detail
Het certificeringstraject voor ISO 27701 verloopt parallel aan of als uitbreiding van de ISO 27001-certificering. Hieronder beschrijven wij elke stap in detail:
Stap 1 — Gap-analyse: Beoordeel de huidige status van uw privacybeheer ten opzichte van de ISO 27701-vereisten. Identificeer welke processen, maatregelen en documentatie ontbreken of moeten worden aangepast. Besteed bijzondere aandacht aan de mapping van bestaande privacyprocessen naar de specifieke maatregelen in Bijlagen A en B.
Stap 2 — Scopebepaling: Definieer de scope van het PIMS. Bepaal welke verwerkingsactiviteiten, bedrijfsprocessen en organisatieonderdelen binnen de scope vallen. Stel vast of uw organisatie optreedt als verwerkingsverantwoordelijke, verwerker of beide — dit bepaalt welke maatregelen van toepassing zijn.
Stap 3 — Implementatie: Ontwikkel en implementeer de benodigde privacymaatregelen. Dit omvat:
- Opstellen van een privacybeleid en een verwerkingsregister
- Inrichten van processen voor rechten van betrokkenen (inzage, rectificatie, verwijdering, overdraagbaarheid)
- Integratie van DPIA's in het risicobeoordeling- en risicobehandelingsproces
- Training van medewerkers in privacybewustzijn en -verantwoordelijkheden
- Inrichten van datalekprocedures conform AVG-vereisten voor meldingstermijnen
Stap 4 — Interne audit: Voer een interne audit uit die zowel de ISO 27001- als de ISO 27701-vereisten dekt. Stel vast of het PIMS effectief functioneert en identificeer verbeterpunten. De interne auditors moeten beschikken over kennis van zowel informatiebeveiliging als privacywetgeving.
Stap 5 — Directiebeoordeling: Het topmanagement beoordeelt de prestaties van het PIMS, inclusief de resultaten van de interne audit, incidenten, de status van corrigerende maatregelen en wijzigingen in het privacylandschap.
Stap 6 — Certificeringsaudit: Een geaccrediteerde certificeringsinstantie voert een tweeledige audit uit: een documentatiereview (fase 1) gevolgd door een implementatieverificatie (fase 2). Bij succesvolle afronding wordt het ISO 27701-certificaat uitgereikt als uitbreiding op het bestaande ISO 27001-certificaat.
Onderhoud: Na certificering volgen jaarlijkse toezichtaudits en een hercertificering om de drie jaar, parallel aan het ISO 27001-certificeringsschema.
Een ISO 27701-certificering is geen garantie voor volledige AVG-naleving, maar biedt een sterke, verifieerbare basis om aan te tonen dat de organisatie persoonsgegevens systematisch en in overeenstemming met de beginselen van de AVG beheert.
Voordelen voor de functionaris gegevensbescherming (FG/DPO)
Voor de functionaris gegevensbescherming biedt ISO 27701 concrete voordelen:
- Gestructureerd overzicht: Het PIMS biedt een volledig, gestructureerd overzicht van alle verwerkingsactiviteiten, maatregelen en verantwoordelijkheden.
- Verifieerbaar bewijs: De certificering levert onafhankelijk bewijs dat de organisatie systematisch aan privacybeheer doet — essentieel bij toezichtbezoeken.
- Efficiënte rapportage: De managementsysteemstructuur vergemakkelijkt rapportage aan het bestuur en aan toezichthouders.
- Continue verbetering: Het PDCA-cyclus (Plan-Do-Check-Act) waarborgt dat het privacybeheer continu wordt geëvalueerd en verbeterd.
- Aantoonbare verantwoording: ISO 27701 adresseert direct het verantwoordingsbeginsel (accountability) uit artikel 5, lid 2 van de AVG.
Voordelen voor uw organisatie
De implementatie van ISO 27701 levert concrete en meetbare voordelen op voor organisaties van elke omvang:
- Versterkt vertrouwen: Klanten, partners en toezichthouders krijgen onafhankelijk bewijs dat uw organisatie persoonsgegevens zorgvuldig beheert.
- Verifieerbare AVG-naleving: De certificering biedt een onafhankelijke, door een derde partij geverifieerde basis voor het aantonen van AVG-naleving.
- Verminderd risico: Een systemische aanpak vermindert het risico op datalekken, boetes en reputatieschade aanzienlijk.
- Concurrentievoordeel: Bij aanbestedingen en partnerselectie wordt een ISO 27701-certificering steeds vaker als onderscheidend criterium gehanteerd.
- Efficiënte integratie: De uitbreiding op het bestaande ISO 27001-managementsysteem voorkomt dubbel werk en benut bestaande processen.
- Duidelijke verantwoordelijkheden: Het PIMS creëert heldere rollen en verantwoordelijkheden voor persoonsgegevensbescherming door de gehele organisatie.
- Internationale erkenning: ISO 27701 wordt wereldwijd erkend, wat bijzonder waardevol is voor organisaties die persoonsgegevens over landsgrenzen heen verwerken.
Hoe BALTUM uw ISO 27701-traject ondersteunt
Het internationale netwerk van consultants en auditors van BALTUM ondersteunt organisaties gedurende de gehele ISO 27701-reis. Onze diensten omvatten gap-analyse ten opzichte van de ISO 27701-vereisten, ontwikkeling van het PIMS-raamwerk, training van interne auditors op privacyspecifieke aspecten, ondersteuning bij de AVG-mapping en begeleiding tijdens de certificeringsaudit.
Neem contact met ons op voor een gratis initiële consultatie om te bespreken hoe ISO 27701 uw organisatie kan helpen bij het structureel verankeren van privacybeheer.