Wat is ISO 27701?
ISO/IEC 27701 is de internationale norm voor een privacy information management system (PIMS): een managementsysteem waarmee je het verwerken van persoonsgegevens aantoonbaar onder controle hebt. De norm is ontwikkeld door de International Organization for Standardization (ISO) en de International Electrotechnical Commission (IEC). Sinds de revisie van oktober 2025 is ISO 27701 een zelfstandige norm. Je kunt nu certificeren zonder eerst ISO 27001 te halen, al sluit het daar nog steeds nauw op aan. In Nederland is de norm verkrijgbaar via NEN .
Waar ISO 27001 draait om informatiebeveiliging, richt ISO 27701 zich specifiek op privacy: hoe ga je om met persoonsgegevens, en hoe respecteer je de rechten van de mensen achter die gegevens? De norm helpt je om aantoonbaar te werken aan de Algemene Verordening Gegevensbescherming (AVG) . Let op: het is geen officieel AVG-certificaat. Hoe dat precies zit, lees je op AVG en ISO 27701.
ISO 27701 is geen wettelijke AVG-certificering in de zin van artikel 42 AVG. Zo’n certificeringsmechanisme moet door de European Data Protection Board worden goedgekeurd en bestaat nog niet. ISO 27701 toont aan dat je privacy serieus en gestructureerd aanpakt, maar het is geen juridisch bewijs van volledige AVG-naleving.
ISO/IEC 27701 in het kort
| Onderwerp | Wat je moet weten |
|---|---|
| Volledige naam | ISO/IEC 27701:2025, het privacy information management system (PIMS) |
| Gepubliceerd | 14 oktober 2025, een grote revisie van de versie uit 2019 |
| Standalone? | Ja. Sinds 2025 zelfstandig certificeerbaar, ISO 27001 niet meer verplicht |
| Opbouw | High Level Structure, eisen in hoofdstukken 4 tot en met 10 |
| Annex A | 78 maatregelen: 31 voor verantwoordelijken, 18 voor verwerkers, 29 voor beide |
| Relatie AVG | Stevige basis, maar geen wettelijk AVG-certificaat |
| Geldigheid certificaat | 3 jaar, met jaarlijkse controle-audit |
Wat is een PIMS?
PIMS staat voor privacy information management system. Dat klinkt abstract, maar het is simpel: een vaste manier van werken waarmee je grip houdt op alle persoonsgegevens die door je organisatie gaan. Welke gegevens verwerk je, waarom, voor wie, en hoe bescherm je ze?
Een PIMS is geen softwarepakket. Het is een set processen, rollen en afspraken. Denk aan: een register van verwerkingen, een procedure voor verzoeken van betrokkenen, afspraken met je leveranciers, en een vaste cyclus om alles te controleren en te verbeteren. Lees de volledige uitleg op het PIMS uitgelegd.
Wat is er veranderd in de 2025-versie?
De revisie van oktober 2025 is geen kleine update. De belangrijkste verandering: ISO 27701 is nu een standalone norm. In de versie van 2019 was het een uitbreiding op ISO 27001. Je kon alleen ISO 27701 halen als je óók ISO 27001 had. Dat is voorbij.
De norm heeft nu een eigen volledige structuur met hoofdstukken 4 tot en met 10. De beheersmaatregelen zijn opnieuw geordend. Ook de scope is breder: biometrische gegevens, gezondheidsdata, IoT en privacy bij AI komen nu expliciet aan bod. Een nieuwe Annex B geeft praktische implementatierichtlijnen.
Heb je al een ISO 27701:2019-certificaat? Dan geldt een overgangsperiode van drie jaar, tot oktober 2028. De volledige vergelijking staat op ISO 27701 vs. ISO 27001.
Verwerker of verwerkingsverantwoordelijke?
ISO 27701 maakt een scherp onderscheid tussen twee rollen. Een verwerkingsverantwoordelijke bepaalt waarom en hoe persoonsgegevens worden verwerkt. Een verwerker doet dat in opdracht van een ander. Een webshop is verantwoordelijke voor klantgegevens. De hostingpartij die de webshop draait, is verwerker.
Welke maatregelen voor jou gelden, hangt af van je rol. Soms ben je beide tegelijk. De norm geeft 31 maatregelen voor verantwoordelijken en 18 voor verwerkers, plus 29 die voor allebei gelden. Lees hoe je je rol bepaalt op verwerker of verwerkingsverantwoordelijke.
Voor wie is ISO 27701 relevant?
ISO 27701 is vooral interessant voor organisaties die veel persoonsgegevens verwerken en dat aan klanten of toezichthouders moeten kunnen aantonen.
- SaaS- en softwarebedrijven die data van klanten verwerken in de cloud
- Verwerkers en hostingpartijen die namens anderen persoonsgegevens beheren
- Zorg-IT en zorgaanbieders die met gezondheidsgegevens werken (vaak naast NEN 7510)
- Marketing- en HR-dienstverleners die grote hoeveelheden persoonsgegevens verwerken
Een uitgebreid overzicht per type organisatie staat op voor wie is ISO 27701.
Wat kost ISO 27701 certificering?
De kosten hangen af van je organisatiegrootte, je rol en hoeveel je al geregeld hebt. Heb je al ISO 27001, dan is de stap naar ISO 27701 kleiner. De grootste posten zijn de voorbereiding en de certificeringsaudit door een geaccrediteerde instantie zoals BSI , DNV of TÜV .
| Situatie | Indicatie totale kosten eerste jaar |
|---|---|
| Klein, al ISO 27001-gecertificeerd | €5.000 - €15.000 (uitbreiding) |
| Klein, zonder ISO 27001 (standalone) | €12.000 - €30.000 |
| Middelgroot tot groot | €25.000 - €75.000+ |
Dit zijn indicaties op basis van publieke informatie van certificeerders; vraag altijd een offerte. De volledige opbouw staat op kosten en tijdlijn.
Hoe begin je met ISO 27701?
Een realistisch traject duurt drie tot negen maanden, afhankelijk van je startpositie. Je begint met een nulmeting, bouwt je PIMS op, en draait het systeem een tijd voordat de auditor komt. Het volledige traject staat in het stappenplan, en het auditproces lees je op het auditproces.
Belangrijke links
Bronnen
- ISO/IEC 27701 bij ISO – International Organization for Standardization
- NEN – Informatiebeveiliging en privacy – Nederlands Normalisatie-instituut
- Autoriteit Persoonsgegevens – De AVG in het kort – Toezichthouder persoonsgegevens
- European Data Protection Board – Europees toezicht en certificering