ISO 27701 vs. ISO 27001
ISO 27701 en ISO 27001 horen bij dezelfde familie, maar gaan over iets anders. ISO 27001 draait om informatiebeveiliging: het beschermen van álle informatie tegen verlies, diefstal en uitval. ISO 27701 richt zich specifiek op privacy: het beschermen van persoonsgegevens en de rechten van de mensen achter die gegevens. Sinds de revisie van oktober 2025 is ISO 27701 een zelfstandige norm; daarvoor was het een uitbreiding op ISO 27001. In Nederland zijn beide normen verkrijgbaar via NEN .
Deze pagina legt uit waar de normen overlappen, waar ze verschillen, en welke je nodig hebt. Wil je eerst de basis van ISO 27701? Begin op de hub of bij de eisen.
ISO 27701 vs. ISO 27001 in één tabel
| Kenmerk | ISO 27001 | ISO 27701 |
|---|---|---|
| Onderwerp | Informatiebeveiliging (alle informatie) | Privacy (persoonsgegevens) |
| Systeem | ISMS (information security management system) | PIMS (privacy information management system) |
| Maatregelen | 93 in Annex A | 78 in Annex A (31 + 18 + 29) |
| Standalone? | Ja | Ja, sinds de 2025-versie |
| Relatie AVG | Indirect (beveiliging) | Direct (privacy en AVG) |
| Geldigheid | 3 jaar | 3 jaar |
Wat is het kernverschil?
Het kernverschil zit in de vraag die elke norm beantwoordt. ISO 27001 vraagt: is je informatie veilig? ISO 27701 vraagt: ga je netjes en rechtmatig om met persoonsgegevens?
Een voorbeeld maakt het concreet. Stel je hebt een goed beveiligde database met klantgegevens. Versleuteld, toegang beperkt, back-ups op orde. Dat is informatiebeveiliging: ISO 27001-terrein. Maar verzamel je die gegevens wel met een geldige reden? Mag de klant ze laten verwijderen? Bewaar je ze niet te lang? Dat zijn privacyvragen: ISO 27701-terrein.
Beveiliging en privacy overlappen, maar zijn niet hetzelfde. Je kunt persoonsgegevens perfect beveiligen en toch de privacywet overtreden, bijvoorbeeld door gegevens te verzamelen zonder grondslag. Andersom kun je een keurige grondslag hebben en de data slecht beveiligen.
Dezelfde structuur, makkelijk te combineren
Beide normen volgen de High Level Structure: dezelfde hoofdstukindeling 4 tot en met 10. Daardoor combineer je ze eenvoudig in één geïntegreerd managementsysteem. Heb je al ISO 27001, dan hergebruik je veel:
- De directiebeoordeling en interne audit
- Het documentbeheer en het risicoproces
- De verklaring van toepasselijkheid (je breidt hem uit met privacymaatregelen)
- Het ISMS zelf als fundament voor je PIMS
Je voegt dan de privacy-specifieke onderdelen toe: het verwerkingsregister, de privacy-risicoanalyse, en de maatregelen voor je rol als verwerker of verantwoordelijke.
Wat veranderde er in 2025?
De grootste verandering in de 2025-versie: ISO 27701 is nu standalone. In de versie van 2019 was het een uitbreiding. Je kon alleen ISO 27701 halen als je óók een ISO 27001-certificaat had. Dat is voorbij.
| Aspect | ISO 27701:2019 | ISO 27701:2025 |
|---|---|---|
| Status | Uitbreiding op ISO 27001/27002 | Zelfstandige, certificeerbare norm |
| ISO 27001 vereist? | Ja | Nee |
| Structuur | Aanvullende eisen op 27001 | Volledige eigen hoofdstukken 4-10 |
| Maatregelen | Annex A (controller) + Annex B (processor) | Annex A samengevoegd, Annex B = implementatiegids |
| Scope | Privacy bij persoonsgegevens | Plus biometrie, gezondheid, IoT en AI-privacy |
Heb je al een 27701:2019-certificaat? Dan geldt een overgangsperiode van drie jaar, tot oktober 2028. Plan je transitie-audit ruim op tijd in.
Welke heb je nodig?
Dat hangt af van wat je wilt aantonen.
- Alleen beveiliging aantonen? ISO 27001 volstaat. Veel klanten en aanbestedingen vragen hier specifiek om.
- Vooral privacy aantonen, weinig met beveiliging-eisen? Sinds 2025 kun je ISO 27701 standalone halen. Handig voor organisaties die om hun privacypositie worden bevraagd.
- Beide? De combinatie is de sterkste papieren. Je dekt beveiliging én privacy, en deelt veel processen. Voor de meeste SaaS-bedrijven en verwerkers is dit de logische route.
Ook met ISO 27701 ben je niet automatisch AVG-compliant. De norm is geen wettelijke AVG-certificering. Lees waarom op AVG en ISO 27701.
En ISO 42001 voor AI?
Werk je met AI die persoonsgegevens verwerkt? Dan komt ISO 42001 in beeld, de norm voor AI-managementsystemen. ISO 42001, ISO 27001 en ISO 27701 vullen elkaar aan: beveiliging, privacy en verantwoorde AI. Alle drie volgen ze dezelfde structuur, dus combineren is goed te doen.
Volgende stappen
Bronnen
- ISO/IEC 27701 bij ISO – International Organization for Standardization
- ISO/IEC 27001 bij ISO – International Organization for Standardization
- NEN – Informatiebeveiliging en privacy – Nederlands Normalisatie-instituut