AVG en ISO 27001: overlap, aanvulling en grenzen
ISO 27001 en de Algemene Verordening Gegevensbescherming (AVG) worden vaak in één adem genoemd. Ze gaan allebei over het beschermen van informatie, maar ze zijn niet hetzelfde. ISO 27001 certificering geeft geen automatische AVG-compliance, maar het helpt wel — aantoonbaar en substantieel. De norm is verkrijgbaar via NEN en werkt nauw samen met de NIS2-richtlijn.
Dit artikel legt uit waar de overlap zit, wat ISO 27001 echt bijdraagt aan je AVG-dossier, en waar de grenzen van de norm liggen.
De AVG-verantwoordingsplicht
Artikel 5(2) AVG verplicht organisaties om te kunnen aantonen dat ze aan de beginselen van de AVG voldoen. Dit heet de verantwoordingsplicht. De Autoriteit Persoonsgegevens ziet dit als een van de kernverplichtingen.
ISO 27001 is een van de sterkste manieren om die verantwoording in te vullen. Het laat zien dat je:
- Systematisch risico’s voor informatiebeveiliging identificeert en aanpakt
- Technische en organisatorische maatregelen hebt getroffen
- Dit aantoonbaar doet via een gecertificeerd systeem
- Continue verbetering borgt
De Autoriteit Persoonsgegevens beschouwt ISO 27001 certificering als een serieuze invulling van “passende technische en organisatorische maatregelen” uit artikel 32 AVG.
Waar ISO 27001 en de AVG overlappen
Beide richten zich op het beschermen van informatie. Onderstaande tabel laat zien welke AVG-verplichtingen ISO 27001 afdekt.
| AVG-verplichting | Bijpassende ISO 27001-maatregel |
|---|---|
| Passende technische en organisatorische maatregelen (art. 32) | Risicobeoordeling + Annex A maatregelen |
| Toegangsbeveiliging (art. 32) | A.5.15-5.18: identiteits- en toegangsbeheer |
| Encryptie en pseudonimisering (art. 32) | A.8.24: cryptografie |
| Vertrouwelijkheid en integriteit (art. 5) | CIA-driehoek als kern van het ISMS |
| Beveiligingsincidenten melden (art. 33-34) | A.5.24-5.28: incidentmanagement |
| Bewustzijn en training (art. 39) | A.6.3: security awareness en training |
| Leveranciersbeheer (verwerkersovereenkomsten, art. 28) | A.5.19-5.23: leveranciersbeheer |
| Regelmatige beoordeling (art. 32) | Jaarlijkse interne audit en directiebeoordeling |
Een ISO 27001 certificaat is geen AVG-certificaat. Het geeft aan dat je informatiebeveiliging systematisch hebt ingericht. De Autoriteit Persoonsgegevens beoordeelt bij een onderzoek of je ook de AVG-specifieke verplichtingen hebt nageleefd.
Wat ISO 27001 NIET regelt
ISO 27001 richt zich op informatiebeveiliging in de brede zin — alle informatie die de organisatie verwerkt. De AVG heeft een smallere focus: persoonsgegevens. Dat verschil leidt tot een aantal AVG-verplichtingen die buiten ISO 27001 vallen.
| AVG-verplichting | Afgedekt door ISO 27001? |
|---|---|
| Register van verwerkingsactiviteiten (art. 30) | Nee — vereist specifieke AVG-documentatie |
| Privacyverklaring (art. 13-14) | Nee — communicatie naar betrokkenen |
| Grondslag voor verwerking (art. 6) | Nee — juridische beoordeling per verwerking |
| Rechten van betrokkenen (art. 15-22) | Nee — processen voor inzage, correctie, verwijdering |
| Functionaris voor gegevensbescherming (art. 37-39) | Nee — rol, geen systeem |
| Data Protection Impact Assessment, DPIA (art. 35) | Deels — risicoanalyse helpt, maar DPIA is breder |
Voor volledige AVG-compliance heb je dus meer dan ISO 27001 nodig. Een privacy officer of jurist helpt bij het invullen van de AVG-specifieke verplichtingen.
Wanneer is ISO 27701 een aanvulling?
ISO 27701 is de privacyextensie op ISO 27001. Het voegt een Privacy Information Management System (PIMS) toe aan het ISMS en biedt een gestructureerde aanpak voor het voldoen aan privacywetgeving zoals de AVG. ISO 27701 is alleen implementeerbaar als je al ISO 27001 hebt — het is een uitbreiding, geen vervanging.
Als je wilt certificeren voor zowel informatiebeveiliging als privacybeheer, is de combinatie ISO 27001 + ISO 27701 de logische keuze. ISO 27701 is in aanbouw op deze site.
ISO 27701 is voor organisaties die hun privacybeheer willen structureren en aantoonbaar maken, naast hun ISO 27001 certificering. Voor de meeste organisaties is ISO 27001 een solide basis voor AVG-verantwoording zonder dat ISO 27701 nodig is.
Praktisch: hoe gebruik je ISO 27001 in je AVG-dossier?
Bij een onderzoek of audit door de Autoriteit Persoonsgegevens kun je je ISO 27001 certificaat inbrengen als bewijs van passende maatregelen. Leg de koppeling expliciet vast:
- Koppel je risicobeoordeling aan persoonsgegevens. Benoem in je risicoregister de risico’s voor vertrouwelijkheid en integriteit van persoonsgegevens apart.
- Verwijs in het verwerkingsregister naar ISMS-maatregelen. “Klantgegevens worden beschermd conform ISO 27001-gecertificeerd ISMS.”
- Gebruik je incidentprocedure ook voor AVG-meldplicht. Je incidentresponsproces (A.5.24-5.28) is het startpunt voor de 72-uursmeldplicht aan de AP bij datalekken.
- Leg de koppeling vast in je SoA. Vermeld bij relevante maatregelen de AVG-grondslag.
Meer informatie
- Het ISMS — Het managementsysteem dat de basis vormt
- Annex A — De beheersmaatregelen inclusief privacyrelevante controls
- NIS2 en ISO 27001 — De andere Europese compliance-eis
- Autoriteit Persoonsgegevens — Toezichthouder AVG
- AVG-tekst (EUR-Lex) — Volledige verordening