Skip to content

ISO 27701 certificering

Privacy waarborgen met internationaal erkend systeem

ISO 27701 maakt zichtbaar dat privacybescherming structureel is geborgd binnen de organisatie. Deze certificering toont aan dat verwerking van persoonsgegevens op een veilige en transparante manier gebeurt, in lijn met wet- en regelgeving zoals de AVG. Vraag direct een offerte aan en versterk het vertrouwen van klanten, partners en toezichthouders.

Vraag certificering aan

Voor wie is dit bedoeld?

ISO 27701 is toepasbaar op alle organisaties die Persoonlijk Identificeerbare Informatie (PII) verwerken, zowel als verwerkingsverantwoordelijke als verwerker. Dit omvat:

  • Organisaties die persoonsgegevens beheren in HR-processen, marketingcampagnes, klantendatabases of financiële administratie.
  • Zorginstellingen, ziekenhuizen en andere partijen die medische gegevens of patiëntendossiers verwerken.
  • Overheidsinstanties, onderwijsinstellingen en non-profitorganisaties die burgers-, leden- of studentengegevens verwerken.
  • IT- en cloudserviceproviders die namens klanten persoonsgegevens opslaan of verwerken, inclusief datacenters en SaaS-aanbieders.
  • Financiële dienstverleners zoals banken, verzekeraars en pensioenfondsen die gevoelige klantgegevens verwerken.

Wat houdt het in?

Wat is ISO 27701?

ISO 27701 is een internationale norm die richtlijnen biedt voor het beschermen van privacygevoelige gegevens. De norm beschrijft aanvullende eisen en maatregelen voor het beschermen van persoonsgegevens, gericht op zowel verwerkingsverantwoordelijken als verwerkers. 
De norm vormt een uitbreiding op ISO 27001 en ISO 27002, maar wordt vanaf 2025 een zelfstandige standaard. Kernpunten zijn:

  • Integratie van privacybeheer binnen informatiebeveiliging.
  • Richtlijnen voor verantwoordelijkheden, rollen en processen bij verwerking van persoonsgegevens.
  • Risicogebaseerde aanpak voor zowel controllers als processors.

Waarom ISO 27701 certificering?

Met een ISO 27701 certificering wordt zichtbaar dat privacybescherming structureel is geïntegreerd in de organisatie. Dit biedt:

  • Aantoonbare naleving van privacywet- en regelgeving, inclusief AVG.
  • Beperking van risico’s op privacy-inbreuken en mogelijke sancties.
  • Integratie van privacybeheer in het bestaande Informatiebeveiligingsmanagementsysteem (ISMS).
  • Versterking van vertrouwen bij klanten, partners en toezichthouders.
  • Internationale erkenning van de privacy- en beveiligingsaanpak.

Hoe verloopt de certificering?

Het certificeringstraject voor ISO 27701 bestaat uit:

  • Fase 1 - Documentatiecontrole
    Beoordeling van het Informatiebeveiligingsmanagementsysteem (ISMS), het privacybeleid en het verwerkersregister.
  • Fase 2 - Audit op locatie
    Interviews met medewerkers, toetsing van gegevensverwerking, beoordeling van DPIA’s (Data Protection Impact Assessments) en controle op contractmanagement.
  • Certificaat en opvolging
    Bij een positief resultaat wordt een certificaat met driejarige geldigheid afgegeven. Jaarlijks vinden surveillance-audits plaats om naleving en verbeteringen te toetsen.

Wat zijn de toetsingscriteria?

  • Privacy governance: beleid, rollen en verantwoordelijkheden, verwerkersregister
  • Persoonsgegevensverwerking: rechtmatige grondslag, doelbinding, DPIA’s
  • Privacymaatregelen: dataminimalisatie, encryptie/versleuteling, bewaartermijnen (dataretentie)
  • Externe relaties: gegevensoverdracht, contractbeheer, incidentrespons
  • Borging en verbetering: monitoring, interne audits, management reviews en verantwoording

Waarom kiezen voor TÜV NORD?

  • Onafhankelijke, internationaal erkende certificering
  • Auditoren met jarenlange expertise in auditen van ISMS en PIMS.
  • Transparante rapportages gericht op privacyklare maatregelen
  • Integreerbare audits met met ISO 27001 of NEN 7510.
  • Flexibele planning en heldere communicatie

Veelgestelde vragen

Antwoorden op veelgestelde vragen

De norm is niet wettelijk verplicht, maar biedt een gestructureerde manier om aan de AVG en internationale privacywetgeving te voldoen en wordt steeds vaker gevraagd door klanten en partners.

SaaS-leveranciers, HR‑afdelingen, gemeenten, zorg‑ICT, e‑commerce bedrijven en organisaties met verwerkersrollen.

Belangrijke documenten zijn onder andere het privacybeleid, verwerkersregister, Data Protection Impact Assessments (DPIA’s), contracten met verwerkers, procedures voor dataminimalisatie en bewaartermijnen, en bewijs van monitoring en interne audits.

Meestal 3–6 maanden, afhankelijk van organisatiegrootte en complexiteit. Fase 1 en fase 2 en voorbereiding zijn inbegrepen.
Het certificaat heeft een geldigheid van drie jaar, met jaarlijkse surveillance-audits om naleving en verbeteringen te beoordelen.

Ja, het is een wereldwijd erkende norm en wordt gezien als best practice voor privacybeheer.

Ja, TÜV NORD biedt integrale trajecten aan met ISO 27001, 27018 en ISO 9001.

Nu nog wel, maar vanaf 2025 wordt ISO 27701 een zelfstandige norm.

ISO 27001 richt zich op informatiebeveiliging in brede zin, terwijl ISO 27701 specifiek privacybeheer toevoegt en richtlijnen biedt voor het verwerken van persoonsgegevens (PII).

Ja, maar de norm is ontworpen als uitbreiding op ISO 27001. In de meeste gevallen worden beide normen samen geïmplementeerd voor maximale effectiviteit en efficiëntie.

Een ISMS richt zich op informatiebeveiliging in brede zin, een PIMS specifiek op het beheren en beschermen van persoonsgegevens

Wat is ISO 27701-certificering?

ISO 27701-certificering toont aan dat een organisatie persoonsgegevens beheert volgens AVG en internationale privacybest practices. Het vormt een uitbreiding op ISO 27001 en betreft zowel verwerkers als verwerkingsverantwoordelijken. TÜV NORD beoordeelt onafhankelijk of het privacygerichte PIMS voldoet aan alle eisen.

Toelichting:
ISO/IEC 27701:2019 stelt aanvullende eisen voor het beschermen van persoonsgegevens, zoals governance, verwerkersregisters, DPIA en contractuele afspraken. Gebaseerd op ISO 27001, integreert het zowel organisatorische als technische maatregelen. Certificering biedt aantoonbare privacybeheersing richting klanten, toezichthouders en partners, en ondersteunt AVG-compliance. TÜV NORD beoordeelt zowel documentatie als de daadwerkelijke verwerking en bewijsvoering.

Bron: www.iso.org

Heb je een vraag over deze certificering?

Wil je weten wat ISO 27701 betekent voor jouw organisatie? Stel je vraag via het formulier. Wij reageren snel en duidelijk.

Stel je vraag