Verwerker of verwerkingsverantwoordelijke bij ISO 27701?
Bij ISO 27701 hangt alles af van je rol. Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking van persoonsgegevens. Een verwerker verwerkt die gegevens in opdracht van een ander, op basis van gedocumenteerde instructies. Je rol bepaalt welke maatregelen uit de norm voor jou gelden. De Autoriteit Persoonsgegevens beschrijft de twee rollen in detail. In de AVG vind je ze in artikel 24 (verantwoordelijke) en artikel 28 (verwerker). De precieze eisen per rol staan op eisen van ISO 27701. De norm zelf is beschikbaar via ISO .
Het verschil in één tabel
| Kenmerk | Verwerkingsverantwoordelijke | Verwerker |
|---|---|---|
| Beslist over doel | Ja | Nee |
| Beslist over middelen | Ja | Nee, volgt instructies |
| Wettelijke basis | AVG art. 24 | AVG art. 28 |
| Voorbeeld | Webshop met klantgegevens | Hostingpartij van de webshop |
| Ander voorbeeld | HR-afdeling met werknemersdata | Loonadministrateur in opdracht |
| Maatregelen ISO 27701 | 31 + 29 gedeeld | 18 + 29 gedeeld |
Hoe bepaal je je rol?
Stel jezelf de eerste vraag: bepaal jij waarom de gegevens worden verwerkt?
Beslis jij welke persoonsgegevens worden verzameld en voor welk doel? Dan ben je waarschijnlijk verwerkingsverantwoordelijke.
Voorbeeld: een verzekeringsmaatschappij besluit welke gezondheidsdata ze verzamelen voor risicobeoordeling. Ze bepalen het doel en de middelen. Ze zijn verantwoordelijke.
Tweede vraag: verwerk je data uitsluitend op instructie van een ander?
Voer je verwerkingen uit die een andere partij opdraagt, en mag je zelf niets veranderen aan het doel of de aanpak? Dan ben je verwerker.
Voorbeeld: een hostingbedrijf bewaart data voor de verzekeringsmaatschappij. Het hostingbedrijf verwerkt op instructie, bepaalt niets zelf. Het is verwerker.
Derde vraag: ben je allebei?
Dit is vaker het geval dan je denkt. Veel organisaties zijn verwerker voor klantdata én verantwoordelijke voor eigen medewerkers- en prospectgegevens.
Voorbeeld: een SaaS-HR-platform verwerkt salarisgegevens van medewerkers van opdrachtgevers (verwerker) én de eigen CRM-gegevens van prospects en medewerkers (verantwoordelijke). Beide rollen gelden tegelijk.
Verkeerde rolbepaling heeft gevolgen. Als je je als verwerker beschouwt maar in de praktijk beslissingen neemt over doel en middelen, ben je juridisch verantwoordelijke. Dat betekent andere verplichtingen en andere aansprakelijkheid. Twijfel je? Leg het voor aan een privacyjurist.
Welke maatregelen horen bij welke rol?
ISO 27701 verdeelt de 78 maatregelen uit Annex A in drie groepen op basis van je rol.
| Groep | Aantal | Voor wie |
|---|---|---|
| Controller-maatregelen | 31 | Alleen voor verwerkingsverantwoordelijken |
| Processor-maatregelen | 18 | Alleen voor verwerkers |
| Gedeelde maatregelen | 29 | Beide rollen |
De 31 maatregelen voor verantwoordelijken gaan over zaken zoals: een geldige grondslag hebben voor elke verwerking, transparant zijn naar betrokkenen via een privacyverklaring, omgaan met verzoeken (inzage, correctie, verwijdering), bewaartermijnen naleven, en regels voor het delen van gegevens.
De 18 maatregelen voor verwerkers gaan over: werken op basis van gedocumenteerde instructies van de verantwoordelijke, de verantwoordelijke ondersteunen bij diens verplichtingen jegens betrokkenen, en de vertrouwelijkheid borgen bij subverwerkers.
De 29 gedeelde maatregelen zijn informatiebeveiligingsmaatregelen die voor allebei gelden. Bij standalone-certificering (zonder ISO 27001) leg je deze ook expliciet vast.
Lees de volledige uitwerking op eisen van ISO 27701.
De verwerkersovereenkomst: verplicht bij elke verwerker
Als je persoonsgegevens laat verwerken door een derde partij, ben je wettelijk verplicht een verwerkersovereenkomst te sluiten. Dat staat in artikel 28 van de AVG. Geen overeenkomst, geen rechtsgeldige verwerking.
De verwerkersovereenkomst legt vast:
- Welke categorieën persoonsgegevens worden verwerkt
- Welk doel en welke instructies van toepassing zijn
- Hoe de verwerker omgaat met beveiligingsincidenten
- Welke subverwerkers ingeschakeld mogen worden
- Hoe en wanneer gegevens worden teruggegeven of vernietigd
ISO 27701 maakt van verwerkersovereenkomsten een maatregel: je legt ze vast, je beheert ze, en je controleert periodiek of ze nog kloppen. Veel organisaties missen overeenkomsten met cloudtools en HR-software. Dat is een veelgemaakte fout in de audit.
Wat veranderde er in de 2025-versie?
In ISO 27701:2019 stonden de maatregelen voor verantwoordelijken in Annex A en de maatregelen voor verwerkers in Annex B. In de 2025-versie zijn die samengebracht in één Annex A, in drie duidelijk benoemde groepen.
Annex B bevat nu praktische implementatierichtlijnen in plaats van een aparte maatregelenset. Dat maakt de structuur overzichtelijker. Hoe alle veranderingen zich tot elkaar verhouden, lees je op ISO 27701 vs. ISO 27001.
Volgende stappen
Hoe de norm aansluit op de AVG.
AVG en ISO 27701Hoe richt je het systeem in?
Het PIMS uitgelegdWelke organisaties hebben ISO 27701 nodig?
Voor wie is ISO 27701?De volledige maatregelenstructuur.
Eisen van de normOverzicht ISO 27701.
Terug naar de hubBronnen
- Autoriteit Persoonsgegevens – Nederlandse toezichthouder persoonsgegevens
- AVG – Artikel 28 (EUR-Lex) – Verplichtingen voor verwerkers
- ISO/IEC 27701 bij ISO – International Organization for Standardization