Veelgestelde vragen over ISO 27701

Q: Is ISO 27701 een AVG-certificaat?

Nee. Dit is de meest hardnekkige misvatting. ISO 27701 is geen wettelijke AVG-certificering in de zin van artikel 42 van de AVG. Zo'n erkend certificeringsmechanisme moet worden goedgekeurd door de European Data Protection Board (EDPB) en bestaat in de praktijk nog niet. ISO 27701 is een ISO/IEC-norm, gemaakt door normorganisaties. De Autoriteit Persoonsgegevens is geen partij bij de norm en keurt het certificaat niet goed als AVG-bewijs. Wat het wél is: een gestructureerde manier om aantoonbaar aan privacy te werken, met een sterke aansluiting op de AVG via Annex D. De juiste boodschap naar k

Q: Heb ik ISO 27001 nodig om ISO 27701 te halen?

Nee, niet meer. Vóór oktober 2025 was ISO 27701 een uitbreiding op ISO 27001. Je had een geldig ISO 27001-certificaat nodig om ISO 27701 te kunnen halen. Dat is veranderd. Sinds de publicatie van ISO 27701:2025 is de norm zelfstandig. Je kunt direct beginnen met ISO 27701, zonder ISO 27001. De norm heeft nu eigen hoofdstukken 4 tot en met 10. Dat gezegd: als je al ISO 27001 hebt, is de stap naar ISO 27701 kleiner. Je hergebruikt veel processen en de doorlooptijd is korter. Lees het volledige verschil op ISO 27701 vs. ISO 27001.

Q: Is ISO 27701 verplicht?

Niet wettelijk. Er is geen wet of regelgeving die ISO 27701 verplicht stelt. De AVG verplicht je tot passende technische en organisatorische maatregelen, maar schrijft geen specifieke certificering voor. In de praktijk kan het echter wel contractueel of commercieel worden geëist. Enterprise-klanten, overheidsinkopers en partners in gereguleerde sectoren vragen er steeds vaker naar in aanbestedingen en vendor-assessments. Dat maakt het voor veel verwerkers en SaaS-bedrijven een commerciële noodzaak, ook als het juridisch niet verplicht is.

Hieronder vind je antwoorden op de meest gestelde vragen over ISO 27701. Van de verhouding met de AVG tot kosten, verwerkerrollen en de 2025-versie. Veel vragen verwijzen naar diepere uitleg op andere pagina’s in dit cluster. Begin je liever met de basis? Ga naar de hub. De wettekst van de AVG staat bij EUR-Lex . De norm zelf vind je bij ISO en via NEN . Voor de officiële positie van de Nederlandse toezichthouder: Autoriteit Persoonsgegevens .

Is ISO 27701 een AVG-certificaat?

Nee. Dit is de meest hardnekkige misvatting. ISO 27701 is geen wettelijke AVG-certificering in de zin van artikel 42 van de AVG. Zo’n erkend certificeringsmechanisme moet worden goedgekeurd door de European Data Protection Board (EDPB) en bestaat in de praktijk nog niet.

ISO 27701 is een ISO/IEC-norm, gemaakt door normorganisaties. De Autoriteit Persoonsgegevens is geen partij bij de norm en keurt het certificaat niet goed als AVG-bewijs.

Wat het wél is: een gestructureerde manier om aantoonbaar aan privacy te werken, met een sterke aansluiting op de AVG via Annex D. De juiste boodschap naar klanten is: “Wij zijn ISO 27701-gecertificeerd en werken daarmee aantoonbaar gestructureerd aan privacy en de AVG.” Niet: “Wij zijn AVG-gecertificeerd.”

De volledige uitleg staat op AVG en ISO 27701.

Heb ik ISO 27001 nodig om ISO 27701 te halen?

Nee, niet meer. Vóór oktober 2025 was ISO 27701 een uitbreiding op ISO 27001. Je had een geldig ISO 27001-certificaat nodig om ISO 27701 te kunnen halen. Dat is veranderd.

Sinds de publicatie van ISO 27701:2025 is de norm zelfstandig. Je kunt direct beginnen met ISO 27701, zonder ISO 27001. De norm heeft nu eigen hoofdstukken 4 tot en met 10.

Dat gezegd: als je al ISO 27001 hebt, is de stap naar ISO 27701 kleiner. Je hergebruikt veel processen en de doorlooptijd is korter. Lees het volledige verschil op ISO 27701 vs. ISO 27001.

Is ISO 27701 verplicht?

Niet wettelijk. Er is geen wet of regelgeving die ISO 27701 verplicht stelt. De AVG verplicht je tot passende technische en organisatorische maatregelen, maar schrijft geen specifieke certificering voor.

In de praktijk kan het echter wel contractueel of commercieel worden geëist. Enterprise-klanten, overheidsinkopers en partners in gereguleerde sectoren vragen er steeds vaker naar in aanbestedingen en vendor-assessments. Dat maakt het voor veel verwerkers en SaaS-bedrijven een commerciële noodzaak, ook als het juridisch niet verplicht is.

Wat kost ISO 27701?

Dat hangt sterk af van je organisatiegrootte, je startpositie en of je al ISO 27001 hebt. Als indicatie:

Situatie	Indicatie
Klein, al ISO 27001-gecertificeerd	€5.000 - €15.000
Klein, standalone zonder ISO 27001	€12.000 - €30.000
Middelgroot tot groot	€25.000 - €75.000+

Dit zijn indicaties op basis van publieke informatie van certificeerders; er bestaan geen vaste NL-tarieven. Vraag altijd een offerte aan bij een geaccrediteerde instelling.

Het volledige kostenoverzicht staat op kosten en tijdlijn.

Hoelang duurt de certificering?

Drie tot negen maanden, afhankelijk van je startpositie. Heb je al ISO 27001 en een redelijke privacybasis, dan zit je aan de onderkant. Start je helemaal opnieuw, dan ben je dichter bij de negen maanden.

Een traject kan niet te snel. De norm verwacht dat het systeem enige tijd heeft gedraaid vóór de audit. Een interne audit en directiebeoordeling moeten hebben plaatsgevonden. Reken op minimaal drie maanden operationeel systeem.

Het volledige traject staat op het stappenplan.

Wat is het verschil tussen verwerker en verwerkingsverantwoordelijke?

Een verwerkingsverantwoordelijke bepaalt waarom en hoe persoonsgegevens worden verwerkt. Een verwerker doet dat in opdracht van een ander, op basis van gedocumenteerde instructies.

Je rol bepaalt welke maatregelen van de 78 uit Annex A op jou van toepassing zijn. Veel organisaties zijn beide tegelijk: een SaaS-bedrijf is verwerker voor klantdata en verantwoordelijke voor eigen medewerkers- en prospectgegevens.

De beslisboom en voorbeelden staan op verwerker of verwerkingsverantwoordelijke.

Wat veranderde er in de 2025-versie?

De grote verandering is dat ISO 27701 nu standalone is. In 2019 was het een uitbreiding op ISO 27001; je had verplicht een ISO 27001-certificaat nodig.

Andere wijzigingen:

Eigen volledige structuur (hoofdstukken 4 tot en met 10)
Maatregelen voor verantwoordelijken en verwerkers samengevoegd in één Annex A
Annex B bevat nu implementatierichtlijnen (nieuw)
Bredere scope: biometrische gegevens, gezondheidsdata, IoT en AI-privacy expliciet opgenomen
Updated mappings naar AVG (Annex D), ISO 29100 (Annex C) en ISO 27018

Lees de volledige vergelijking op ISO 27701 vs. ISO 27001.

Hoeveel maatregelen telt ISO 27701?

In de 2025-versie zijn dat 78 maatregelen, verdeeld over drie groepen:

Groep	Aantal
Maatregelen voor verwerkingsverantwoordelijken	31
Maatregelen voor verwerkers	18
Gedeelde informatiebeveiligingsmaatregelen	29
Totaal	78

Niet alle 78 gelden altijd voor jou. Welke set van toepassing is, hangt af van je rol. Ben je alleen verwerker, dan gelden de 18 plus de 29 gedeelde maatregelen.

Geldt er een overgangsperiode voor 27701:2019?

Ja. Organisaties met een ISO 27701:2019-certificaat hebben een overgangsperiode van drie jaar. De deadline voor de transitie naar de 2025-versie is oktober 2028.

Plan je transitie-audit op tijd in. De meeste certificerende instellingen verwachten dat je het traject voor die deadline hebt afgerond, niet er precies op.

Wat is een PIMS?

PIMS staat voor privacy information management system. Het is geen software, maar een set processen, rollen en afspraken waarmee je grip houdt op alle persoonsgegevens in je organisatie. Denk aan een verwerkingsregister, privacybeleid, procedures voor betrokkenen, verwerkersovereenkomsten en een incidentprocedure.

Het systeem draait op de Plan-Do-Check-Act-cyclus: je plant, voert uit, controleert en verbetert. Het is een levend systeem, geen document dat je eenmalig opstelt.

De volledige uitleg staat op het PIMS uitgelegd.

Is ISO 27701 relevant voor zorgorganisaties?

Ja. De 2025-versie neemt gezondheidsdata en biometrische gegevens expliciet op in de scope. Dat maakt de norm direct relevant voor zorgaanbieders en zorg-IT.

In de zorg combineer je ISO 27701 vaak met NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg. ISO 27701 voegt de privacydimensie toe aan de beveiligingsbasis van NEN 7510.

Mag ik zeggen dat we AVG-gecertificeerd zijn?

Nee. “AVG-gecertificeerd” is misleidend. Een wettelijk erkend AVG-certificeringsmechanisme (artikel 42 AVG) bestaat in de praktijk nog niet. Je mag niet suggereren dat je zo’n certificering hebt.

De juiste formulering: “Wij zijn ISO 27701-gecertificeerd en werken daarmee aantoonbaar gestructureerd aan privacy en de AVG.”

Dat is eerlijk, correct en overtuigend. Klanten en partners begrijpen wat het betekent. Lees de volledige uitleg op AVG en ISO 27701.

De verhouding tot de AVG uitgebreid uitgelegd.

AVG en ISO 27701

Verschil, overlap en wanneer je welke wilt.

ISO 27701 vs. ISO 27001

Wat kost de certificering?

Kosten en tijdlijn

Van nul naar certificaat.

Stappenplan

Overzicht ISO 27701.

Terug naar de hub