Het auditproces bij ISO 27701
Een ISO 27701-certificaat krijg je via een externe, geaccrediteerde auditor die in twee fasen je systeem beoordeelt. Fase 1 is een documentatiebeoordeling; fase 2 is een praktijkaudit. Daarna volgen jaarlijkse controle-audits, en na drie jaar een hercertificering. De Raad voor Accreditatie (RvA) accrediteert de certificerende instellingen in Nederland. Actieve partijen zijn onder andere BSI , DNV en TÜV NORD . Hoe je je op de audit voorbereidt staat op het stappenplan. Wat de norm precies vraagt staat op eisen van ISO 27701.
Op deze pagina
Adviseur vs. certificerende instelling.
Welke partijen zijn betrokken?Fase 1 en fase 2 uitgelegd.
De certificeringsauditPrivacy-specifieke aandachtspunten.
Wat bekijkt de auditor?Controle-audits en hercertificering.
Na de auditWat er regelmatig misgaat.
Veelgemaakte foutenWelke partijen zijn betrokken?
Er zijn twee typen partijen betrokken bij certificering, en die mag je niet verwarren.
Een adviseur of implementatiepartner helpt je het systeem opbouwen: nulmeting, documentatie, training, voorbereiding op de audit. Deze partij geeft geen certificaat en is bij voorkeur onafhankelijk van de certificerende instelling.
Een certificerende instelling (zoals BSI, DNV of TÜV) voert de audit uit en besluit over het certificaat. Deze instelling is geaccrediteerd door de RvA of een gelijkwaardige Europese accreditatie-instelling. Zonder accreditatie heeft het certificaat geen marktwaarde.
De scheiding tussen adviseur en auditor is bewust. Een auditor die ook advies heeft gegeven, is niet onafhankelijk. Let daar op bij je keuze.
De certificeringsaudit in twee fasen
Fase 1: documentatiebeoordeling
In fase 1 beoordeelt de auditor je documentatie. Heb je de scope duidelijk gedefinieerd? Is de verklaring van toepasselijkheid volledig en intern consistent? Klopt het verwerkingsregister? Zijn beleidsdocumenten aanwezig?
Dit is geen eindoordeel over het systeem, maar een readiness check. De auditor kijkt of je klaar bent voor fase 2. Bevindingen in fase 1 moeten je bijwerken voordat de praktijkaudit begint.
Fase 1 duurt doorgaans één dagdeel tot een dag. De auditor doet dit vaak op afstand, via gedeelde documenten.
Fase 2: implementatie in de praktijk
In fase 2 bezoekt de auditor je organisatie (of werkt volledig op afstand voor kleinere trajecten). De auditor praat met medewerkers, bekijkt hoe processen werken, controleert of afspraken worden nagekomen.
Concrete vragen in fase 2: “Laat me zien hoe jullie omgaan met een verzoek tot inzage van een betrokkene.” Of: “Welke verwerkersovereenkomsten zijn er met jullie cloudleveranciers?” Of: “Hoe hebben jullie medewerkers getraind op privacybewustzijn?”
De duur van fase 2 hangt af van je organisatiegrootte en scope. Een klein bedrijf rekent op één à twee dagen. Grotere organisaties meer.
Wat de auditor bij ISO 27701 specifiek bekijkt
ISO 27701 heeft een eigen focus naast de gebruikelijke managementsysteemeisen. De auditor kijkt in elk geval naar:
| Onderdeel | Wat de auditor controleert |
|---|---|
| Verwerkingsregister | Volledig, actueel, in lijn met de werkelijkheid |
| Rolbepaling | Ben je verwerker, verantwoordelijke, of beide? Klopt de scope hierbij? |
| Privacy-risicoanalyse | Is die uitgevoerd vanuit het perspectief van de betrokkene? |
| Verklaring van toepasselijkheid | Zijn de 78 maatregelen beoordeeld en gemotiveerd? |
| Procedures voor betrokkenen | Werkt de procedure voor inzage, correctie, verwijdering? |
| Verwerkersovereenkomsten | Zijn die aanwezig voor alle derde partijen die persoonsgegevens verwerken? |
| Incidentprocedure | Is er een procedure voor datalekken, en is die getest? |
| Bewustwording | Zijn medewerkers getraind op privacy? |
Bij een standalone-certificering bekijkt de auditor ook de 29 gedeelde informatiebeveiligingsmaatregelen. Die zijn in de 2025-versie voor zowel verwerkers als verantwoordelijken verplicht. Start je zonder ISO 27001, dan is dit een extra toetspunt.
Soorten bevindingen
De auditor werkt met drie categorieën:
| Bevinding | Betekenis |
|---|---|
| Major nonconformity | Een serieuze afwijking. Certificaat wordt niet uitgegeven totdat dit is opgelost. |
| Minor nonconformity | Een kleinere afwijking. Je legt een correctieplan vast en lost het op in de controle-audit. |
| Observatie | Een aandachtspunt of verbetersuggestie. Geen verplichte actie, maar negeer ze niet. |
Een major nonconformity is geen ramp, maar wel een extra ronde werk. Je stelt een plan van aanpak op, voert verbeteringen door, en de auditor beoordeelt het resultaat. Soms volgt een extra (kleine) audit.
Na de audit: jaarlijkse controle en hercertificering
Na de certificeringsaudit ontvang je een certificaat dat drie jaar geldig is. In jaar één en twee volgt een jaarlijkse controle-audit. Die is kleiner dan de certificeringsaudit, maar niet vrijblijvend.
In de controle-audit bekijkt de auditor of het systeem nog steeds functioneert. Zijn er incidenten geweest? Hoe zijn die afgehandeld? Is het verwerkingsregister actueel? Zijn doelen gehaald?
In jaar drie volgt hercertificering: een volledige nieuwe audit, vergelijkbaar met de eerste. Houd je systeem dus continu op orde. Een PIMS dat drie jaar onveranderd in een la ligt, overleeft de hercertificering niet.
Veelgemaakte fouten in de audit
Organisaties lopen regelmatig tegen dezelfde problemen aan:
- Verwerkingsregister klopt niet met de praktijk. Het register is ooit opgesteld maar nooit bijgewerkt na nieuwe diensten.
- Verklaring van toepasselijkheid en het systeem spreken elkaar tegen. Maatregel staat als “van toepassing” maar er is niets voor gedaan.
- Medewerkers kennen de procedures niet. De auditor vraagt een medewerker om het privacybeleid te beschrijven; niemand weet het.
- Verwerkersovereenkomsten ontbreken. Cloud-diensten, HR-tools en andere leveranciers verwerken persoonsgegevens, maar er is niets vastgelegd.
- Privacy-risicoanalyse mist het perspectief van de betrokkene. Er is alleen gekeken naar technische risico’s, niet naar impact op personen.
Lees hoe je de norm correct implementeert op eisen van ISO 27701 en verwerker of verwerkingsverantwoordelijke.
Volgende stappen
Hoe bereik je de audit?
StappenplanWat vraagt de norm precies?
Eisen van de normWat kosten de auditdagen?
Kosten en tijdlijnHetzelfde mechanisme voor informatiebeveiliging.
ISO 27001 auditprocesOverzicht ISO 27701.
Terug naar de hubBronnen
- Raad voor Accreditatie (RvA) – Accreditatie van certificerende instellingen in Nederland
- ISO/IEC 27701 bij ISO – International Organization for Standardization
- BSI – ISO 27701 in Nederland – Certificerende instelling