Eisen van ISO 27701
ISO/IEC 27701 stelt twee soorten eisen: de eisen aan je managementsysteem (hoofdstukken 4 tot en met 10) en de beheersmaatregelen voor privacy uit Annex A. De managementeisen volgen de High Level Structure, net als ISO 27001. De beheersmaatregelen zijn privacy-specifiek en hangen af van je rol als verwerker of verwerkingsverantwoordelijke. Sinds de revisie van 2025 is de norm zelfstandig: je hoeft niet eerst ISO 27001 te halen. De officiële norm vind je bij ISO en in Nederland via NEN .
Deze pagina legt uit wat de norm inhoudelijk van je vraagt. We lopen eerst door de zeven hoofdstukken met eisen, daarna door de structuur van de beheersmaatregelen. Wil je eerst snappen wat een privacy information management system is? Lees dan het PIMS uitgelegd.
Op deze pagina
De zeven hoofdstukken die je managementsysteem vormgeven.
De managementeisen (4-10)78 privacy-maatregelen, verdeeld over rollen.
De beheersmaatregelen (Annex A)Je rol bepaalt welk maatregelenset van toepassing is.
Welke maatregelen gelden voor jou?De managementeisen: hoofdstukken 4 tot en met 10
De kern van ISO 27701 zit in de hoofdstukken 4 tot en met 10. Die volgen de Plan-Do-Check-Act-cyclus: plannen, uitvoeren, controleren, verbeteren. Dezelfde opbouw ken je van ISO 27001 en ISO 9001.
| Hoofdstuk | Wat de norm vraagt |
|---|---|
| 4. Context | Breng in kaart welke persoonsgegevens je verwerkt, voor wie en waarom. Bepaal je rol en je scope. |
| 5. Leiderschap | De directie stelt een privacybeleid vast en wijst verantwoordelijkheden toe. |
| 6. Planning | Voer een privacy-risicoanalyse uit en stel doelen. |
| 7. Ondersteuning | Regel mensen, middelen, bewustwording en documentatie. |
| 8. Uitvoering | Voer de privacymaatregelen uit en houd verwerkingen bij. |
| 9. Evaluatie | Meet, audit intern en bespreek de resultaten in een directiebeoordeling. |
| 10. Verbetering | Pak afwijkingen aan en verbeter het systeem continu. |
Hoofdstuk 4: context en scope
Je begint met inventariseren. Welke persoonsgegevens stromen door je organisatie? Een voorbeeld: een HR-softwarebedrijf verwerkt namen, salarisgegevens en soms gezondheidsdata van werknemers van klanten. In hoofdstuk 4 leg je vast wat je verwerkt, voor wie, en of je daarbij verwerker of verantwoordelijke bent.
Hoofdstuk 6: privacy-risicoanalyse
Hier kijk je naar wat er mis kan gaan met persoonsgegevens. Niet alleen vanuit jouw belang, maar vanuit het belang van de mensen achter de gegevens. Wat gebeurt er als data uitlekt? Wie wordt daardoor geraakt? Deze blik op de betrokkene is wat een privacy-risicoanalyse onderscheidt van een gewone beveiligingsanalyse.
Een privacy-risicoanalyse lijkt op een data protection impact assessment (DPIA) uit de AVG. ISO 27701 sluit hier bewust op aan. Lees meer over die relatie op AVG en ISO 27701.
De beheersmaatregelen: Annex A
Naast de managementeisen bevat ISO 27701 een lijst met concrete beheersmaatregelen. In de 2025-versie zijn dat 78 maatregelen, opgebouwd uit drie groepen.
| Groep | Aantal | Voor wie |
|---|---|---|
| Maatregelen voor verwerkingsverantwoordelijken | 31 | Wie het doel en de middelen bepaalt |
| Maatregelen voor verwerkers | 18 | Wie in opdracht verwerkt |
| Informatiebeveiligingsmaatregelen | 29 | Beide rollen |
De maatregelen voor verantwoordelijken gaan over zaken als: een geldige grondslag hebben, transparant zijn naar betrokkenen, omgaan met verzoeken (inzage, verwijdering), bewaartermijnen, en regels voor het delen van gegevens. De maatregelen voor verwerkers gaan vooral over werken volgens de instructies van de verantwoordelijke en het ondersteunen bij diens verplichtingen.
In de oude versie (2019) zaten de verantwoordelijke-maatregelen in Annex A en de verwerker-maatregelen in Annex B. In de 2025-versie zijn ze samengebracht in één gestructureerde Annex A. Annex B bevat nu juist praktische implementatierichtlijnen. De verschillen staan op ISO 27701 vs. ISO 27001.
Welke maatregelen gelden voor jou?
Niet alle 78 maatregelen zijn altijd van toepassing. Dat hangt af van je rol. Ben je alleen verwerker, dan kijk je naar de 18 verwerker-maatregelen plus de 29 beveiligingsmaatregelen. Ben je verantwoordelijke, dan gelden de 31 controller-maatregelen plus dezelfde 29.
Veel organisaties zijn beide tegelijk. Een SaaS-bedrijf is verwerker voor klantdata, maar verantwoordelijke voor de eigen werknemers- en prospectgegevens. Dan combineer je beide sets. Hoe je dit bepaalt, lees je op verwerker of verwerkingsverantwoordelijke.
Welke maatregelen je toepast en waarom, leg je vast in een verklaring van toepasselijkheid. Dat werkt hetzelfde als bij ISO 27001: per maatregel motiveer je of je hem toepast en hoe.
Hoe verhouden de eisen zich tot de AVG?
De beheersmaatregelen sluiten bewust aan op de AVG. Annex D van de norm bevat een mapping: per maatregel zie je welk AVG-artikel erbij hoort. Voldoe je aan de maatregel, dan werk je tegelijk aan het bijbehorende AVG-vereiste. Toch is dat geen wettelijk bewijs van compliance. Waarom niet, lees je op AVG en ISO 27701.
Volgende stappen
Bronnen
- ISO/IEC 27701 bij ISO – International Organization for Standardization
- NEN – Informatiebeveiliging en privacy – Nederlands Normalisatie-instituut