AVG en ISO 27701
ISO 27701 helpt je om aantoonbaar te werken aan de Algemene Verordening Gegevensbescherming (AVG) , maar het is géén officieel AVG-certificaat. Dat is het belangrijkste dat je van deze pagina moet onthouden. De norm geeft je een stevige, gestructureerde basis voor privacy. Een wettelijk bewijs van volledige AVG-naleving is het niet. De norm zelf vind je bij ISO , de wettekst bij EUR-Lex , en het toezicht ligt bij de Autoriteit Persoonsgegevens .
Deze pagina legt eerlijk uit hoe ISO 27701 en de AVG zich tot elkaar verhouden. Waar helpt de norm, en waar houdt die hulp op? Wil je eerst weten wat de norm precies vraagt? Lees de eisen van ISO 27701.
ISO 27701 is geen certificering in de zin van artikel 42 AVG. Zo’n erkend AVG-certificeringsmechanisme moet door de European Data Protection Board (EDPB) worden goedgekeurd en bestaat in de praktijk nog niet. Een ISO 27701-certificaat is dus geen juridisch sluitend bewijs dat je de AVG naleeft.
Waarom is ISO 27701 geen AVG-certificaat?
De AVG kent een eigen certificeringsmechanisme. Dat staat in artikel 42 en 43. De bedoeling: organisaties kunnen via een erkend keurmerk aantonen dat ze de AVG naleven. Maar zo’n keurmerk moet worden goedgekeurd door de toezichthouders en de EDPB. Tot nu toe zijn er nauwelijks goedgekeurde AVG-certificeringsmechanismen.
ISO 27701 is iets anders. Het is een internationale norm, gemaakt door ISO en IEC. Die normorganisaties zijn geen privacytoezichthouders. De Autoriteit Persoonsgegevens is geen partij bij de norm en keurt het certificaat niet goed als AVG-bewijs.
Een vergelijking: ISO 27701 is als een rijbewijs van een gerenommeerde rijschool die niet officieel erkend is. Je kunt er prima mee rijden en het toont aan dat je je vak verstaat. Maar het is niet hetzelfde als het officiële document van de overheid.
Waar helpt ISO 27701 dan wél?
De AVG verplicht je tot “passende technische en organisatorische maatregelen” en tot verantwoording (accountability). Je moet kunnen aantonen dat je privacy serieus aanpakt. Precies daar is ISO 27701 sterk.
- Aantoonbaarheid. Een certificaat van een onafhankelijke auditor laat klanten en partners zien dat je privacy structureel regelt.
- Structuur. De norm dwingt je een verwerkingsregister, risicoanalyses en procedures op orde te hebben.
- AVG-mapping. Annex D van de norm koppelt de maatregelen aan AVG-artikelen. Voldoe je aan een maatregel, dan werk je aan het bijbehorende AVG-vereiste.
- Vertrouwen in de keten. Als verwerker toon je opdrachtgevers dat je hun gegevens netjes behandelt.
De Autoriteit Persoonsgegevens en de AVG zien beveiligingsnormen als bewijs dat je je inspant. Een ISO 27701- of ISO 27001-certificaat helpt aantonen dat je passende maatregelen treft, ook al is het geen wettelijk AVG-certificaat.
Hoe ISO 27701 op de AVG aansluit
De norm volgt de logica van de AVG op veel punten. De tabel laat een paar voorbeelden zien.
| AVG-onderwerp | Hoe ISO 27701 dit oppakt |
|---|---|
| Verwerkingsregister (art. 30) | Een verplicht overzicht van alle verwerkingen |
| Rechten van betrokkenen (art. 12-22) | Maatregelen en procedures voor inzage, correctie, verwijdering |
| Data protection impact assessment (art. 35) | De privacy-risicoanalyse uit hoofdstuk 6 |
| Verwerkersovereenkomst (art. 28) | Maatregelen rond instructies en afspraken met verwerkers |
| Datalek melden (art. 33-34) | Procedures voor incidenten met persoonsgegevens |
Deze aansluiting maakt de norm waardevol als je je AVG-huishouding op orde wilt brengen. De DPIA uit de AVG en de privacy-risicoanalyse van ISO 27701 grijpen bijvoorbeeld op elkaar in.
Wat je niet moet beloven
Wees voorzichtig met de boodschap naar klanten. “Wij zijn AVG-gecertificeerd” is misleidend en kan tot problemen leiden. Correct is: “Wij zijn ISO 27701-gecertificeerd en werken daarmee aantoonbaar gestructureerd aan privacy en de AVG.”
De AVG blijft een wet. Naleving betekent: voldoen aan alle artikelen, met of zonder norm. ISO 27701 helpt je daar systematisch naartoe te werken, maar neemt je juridische verantwoordelijkheid niet over.
Privacy, beveiliging en AI samen
De AVG vraagt ook om goede beveiliging. Daar komt ISO 27001 in beeld. Verwerk je persoonsgegevens met AI, dan is ISO 42001 relevant. De combinatie van de drie normen dekt beveiliging, privacy en verantwoorde AI. Het verschil tussen privacy en beveiliging lees je op ISO 27701 vs. ISO 27001.
Volgende stappen
Bronnen
- AVG-tekst (EUR-Lex) – Volledige verordening
- Autoriteit Persoonsgegevens – Nederlandse toezichthouder
- European Data Protection Board – Europees toezicht en certificering (art. 42-43)
- ISO/IEC 27701 bij ISO – International Organization for Standardization