Wat kost ISO 27701? Kosten en tijdlijn
De kosten van een ISO 27701-certificaat variëren sterk. Als indicatie: een klein bedrijf dat al ISO 27001 heeft, rekent op €5.000 tot €15.000. Wie standalone start zonder bestaand beveiligingssysteem, zit eerder op €12.000 tot €30.000. Middelgrote en grote organisaties kunnen uitkomen op €25.000 tot €75.000 of meer. Vraag altijd een offerte aan bij een geaccrediteerde certificerende instelling als BSI , DNV of TÜV . De bedragen hieronder zijn indicaties op basis van publieke informatie; er bestaan geen vaste NL-tarieven. Het traject staat stap voor stap op het stappenplan. De norm zelf vind je bij ISO .
Alle bedragen op deze pagina zijn indicaties. Certificeerders werken met maatwerktarieven die afhangen van je organisatiegrootte, scope, aantal locaties en certificeringslichaam. Vraag altijd een offerte aan voordat je budgetten vastlegt.
Indicatieve kosten per situatie
| Situatie | Indicatie totale kosten eerste jaar |
|---|---|
| Klein bedrijf, al ISO 27001-gecertificeerd | €5.000 - €15.000 (uitbreiding) |
| Klein bedrijf, standalone (zonder ISO 27001) | €12.000 - €30.000 |
| Middelgroot of groot | €25.000 - €75.000+ |
Bij een uitbreiding op ISO 27001 zijn de kosten lager omdat je bestaande processen, documentatie en audits hergebruikt. Je voegt alleen de privacy-specifieke onderdelen toe. Bij een standalone traject leg je de beveiligingsbasis ook opnieuw.
Kostenposten uitgesplitst
| Kostenpost | Toelichting |
|---|---|
| Voorbereiding en advies | Nulmeting, begeleiding, opzetten PIMS-documentatie. Vaak de grootste post. |
| Tooling (optioneel) | Software voor verwerkingsregister, documentbeheer. Niet verplicht. |
| Certificeringsaudit fase 1 | Documentatiebeoordeling door geaccrediteerde auditor. |
| Certificeringsaudit fase 2 | Praktijkbeoordeling, meerdere dagdelen. |
| Jaarlijkse controle-audits | Jaar 1 en 2 na certificering, kleiner dan de hoofdaudit. |
| Hercertificering (jaar 3) | Nieuwe volledige audit, vergelijkbaar met de eerste certificering. |
De auditkosten worden bepaald door het certificeringslichaam en hangen af van je organisatiegrootte en het aantal auditdagen. Advieskosten variëren per bureau en aanpak.
Waarom scheelt ISO 27001 zoveel in de kosten?
Met ISO 27001 heb je al een werkend managementsysteem: interne audit, directiebeoordeling, risicoanalyse, verklaring van toepasselijkheid en documentbeheer. Die hoef je niet opnieuw op te zetten.
Voor ISO 27701 voeg je eraan toe: het verwerkingsregister, de privacy-risicoanalyse, procedures voor betrokkenen en de privacy-maatregelen uit Annex A. Dat is aanzienlijk minder werk dan alles van nul opbouwen.
Start je standalone, dan bouw je niet alleen het privacysysteem. Je legt ook de beveiligingsbasis: de 29 informatiebeveiligingsmaatregelen die voor zowel verwerkers als verantwoordelijken gelden. Dat kost extra tijd en geld. Hoe de twee routes zich verhouden staat op ISO 27701 vs. ISO 27001.
Tijdlijn: hoelang duurt het?
De doorlooptijd hangt af van drie factoren: je startpositie, de omvang van je organisatie en hoe snel je interne capaciteit vrijmaakt.
| Situatie | Indicatieve doorlooptijd |
|---|---|
| Al ISO 27001, goede privacybasis | 3-5 maanden |
| Al ISO 27001, privacydocumentatie beperkt | 4-7 maanden |
| Standalone, klein bedrijf | 5-8 maanden |
| Standalone, middelgroot of groot | 7-12 maanden |
Een traject kan niet té snel. De norm verwacht dat je systeem enige tijd heeft gedraaid voordat de auditor komt. Een interne audit en directiebeoordeling moeten hebben plaatsgevonden. Reken op minimaal drie maanden “draaien” na implementatie.
Doorlopende kosten na certificering
Een ISO 27701-certificaat is drie jaar geldig. Maar elk jaar komt er een controle-auditor langs. Die kosten zijn lager dan de eerste certificering, maar nul zijn ze niet.
Reken op twee à drie auditdagen per jaar voor een klein bedrijf. Voor middelgrote organisaties meer. Voeg daarbij de interne inspanning voor het actueel houden van het register, beleid en risicoanalyse.
Na drie jaar volgt hercertificering. Dat is vergelijkbaar met de oorspronkelijke certificeringsaudit. Plan daarvoor een extra budget in jaar drie.
Welke certificeerders zijn actief in Nederland?
Geaccrediteerde instellingen die ISO 27701 in Nederland uitvoeren zijn onder andere BSI , DNV , TÜV NORD , Kiwa en DEKRA . Vraag minimaal twee offertes aan. De auditdag-tarieven en scope-interpretaties kunnen verschillen.
Het certificeringslichaam moet geaccrediteerd zijn door de Raad voor Accreditatie (RvA ) of een gelijkwaardige Europese accreditatie-instelling. Een niet-geaccrediteerd certificaat heeft geen marktwaarde.
Wat vraag je in een offerte?
Vraag certificeerders om een specificatie per auditdag en per fase. Zo kun je offertes vergelijken. Relevante vragen: hoeveel auditdagen rekenen ze in voor fase 1 en fase 2, wat kost een controle-audit in jaar 1 en 2, en wat is hun ervaring met jouw sector? Een adviseur die je begeleidt en de certificerende instelling zijn verschillende partijen. Combineer ze niet uit kostenoverwegingen; onafhankelijkheid is een vereiste.
Voor de organisaties voor wie ISO 27701 relevant is, zie voor wie is ISO 27701. Het volledige implementatietraject staat op het stappenplan.
Volgende stappen
Het volledige traject stap voor stap.
StappenplanWat kost het meeste auditdagen?
Het auditprocesIs ISO 27701 relevant voor jouw organisatie?
Voor wie is het?Vergelijking met ISO 27001-kosten.
ISO 27001 kostenOverzicht ISO 27701.
Terug naar de hubBronnen
- BSI – ISO 27701 in Nederland – Certificerende instelling
- DNV – Certificering – Certificerende instelling
- TÜV NORD Nederland – Certificerende instelling
- NEN – Informatiebeveiliging en privacy – Nederlands Normalisatie-instituut