Home Normen ✦ AI Offerte →
HomeNormen → ISO/IEC 27701

ISO/IEC 27701 — Privacybescherming

De internationale norm voor privacy-informatiemanagementsystemen (PIMS), als uitbreiding op ISO 27001. ISO 27701-certificering toont aan dat uw organisatie persoonsgegevens beschermt conform de AVG, LGPD en andere privacywetgeving wereldwijd.

ISO 27701:2019 PIMS AVG-afstemming Uitbreiding op ISO 27001

Wat is ISO/IEC 27701?

ISO/IEC 27701 is een uitbreiding op ISO 27001 en ISO 27002 die specifieke eisen en richtlijnen vaststelt voor het opzetten, implementeren en onderhouden van een privacy-informatiemanagementsysteem (PIMS). De norm biedt een raamwerk voor het beheer van persoonsgegevens dat zowel door verwerkingsverantwoordelijken als verwerkers kan worden gebruikt.

De norm maakt een mapping naar de AVG (GDPR), waardoor organisaties compliance met Europese privacywetgeving structureel kunnen aantonen via een gecertificeerd managementsysteem.

Wie heeft ISO 27701 nodig?

  • Organisaties die persoonsgegevens verwerken als verwerkingsverantwoordelijke of verwerker
  • SaaS-bedrijven en cloudproviders die klantgegevens beheren
  • Gezondheidszorgorganisaties met gevoelige patiëntgegevens
  • Financiële instellingen die AVG- en sectorale privacyeisen moeten naleven
  • Organisaties die internationaal opereren en met meerdere privacywetten te maken hebben
  • Bedrijven die privacywaarborgen willen aantonen aan klanten en toezichthouders

Relatie met ISO 27001

ISO 27701 is geen zelfstandige norm — het is een uitbreiding die bovenop een bestaand ISO 27001 ISMS wordt geïmplementeerd. Organisaties moeten eerst ISO 27001-gecertificeerd zijn (of gelijktijdig certificeren) voordat ISO 27701 kan worden toegevoegd. Dit maakt geïntegreerde implementatie bijzonder efficiënt.

Belangrijkste elementen van ISO 27701

  • Aanvullende eisen bovenop ISO 27001 clausules 4–10 specifiek voor privacy
  • Uitgebreide beheersmaatregelen voor verwerkingsverantwoordelijken (Annex A)
  • Uitgebreide beheersmaatregelen voor verwerkers (Annex B)
  • Mapping naar AVG (Annex D), ISO 29100 en ISO 27018
  • Privacy-impactbeoordeling (PIA) en gegevensbeschermingseffectbeoordeling (DPIA)

Het BALTUM-proces: stap voor stap

  • Stap 1 — Privacy-gap-analyse: Beoordeling van bestaande ISO 27001-implementatie en identificatie van privacy-specifieke gaps. Gegevensstroominventarisatie.
  • Stap 2 — PIMS-documentatie: Privacybeleid, verwerkingsregisters, PIA-methodologie, procedures voor betrokkenenrechten en datalekbeheer.
  • Stap 3 — Implementatiebegeleiding: Invoering van privacy-beheersmaatregelen, bewustwordingstraining en interne audit.
  • Stap 4 — Certificeringsaudit: Geïntegreerde audit samen met ISO 27001 door een geaccrediteerde certificatie-instelling.
  • Stap 5 — Doorlopend beheer: Surveillance-audits, bijwerking van verwerkingsregisters en continue compliance-monitoring.

Typische doorlooptijd

Voor organisaties die al ISO 27001-gecertificeerd zijn: 2–4 maanden om de PIMS-uitbreiding toe te voegen. Bij gelijktijdige implementatie met ISO 27001: 4–7 maanden totaal. BALTUM biedt geïntegreerde trajecten die kosten en doorlooptijd minimaliseren.

Integratie met andere normen

  • ISO 27701 + ISO 27001 (verplichte basis)
  • ISO 27701 + ISO 42001 (AI en privacy)
  • ISO 27701 + SOC 2 Privacy-criterium
  • ISO 27701 + HITRUST (gezondheidszorg-privacy)