Voor wie is ISO 27701 relevant?
ISO 27701 is bedoeld voor organisaties die structureel persoonsgegevens verwerken en dat aantoonbaar moeten maken. Denk aan SaaS-bedrijven die klantdata in de cloud verwerken, aan hostingpartijen die namens anderen data beheren, of aan HR-dienstverleners die loonstroken van duizenden mensen verwerken. De Autoriteit Persoonsgegevens verwacht van zulke organisaties dat ze privacynaleving kunnen onderbouwen. De norm zelf vind je bij ISO en via NEN . Welke rol jij hebt in de verwerking, lees je op verwerker of verwerkingsverantwoordelijke.
Doelgroepen per type organisatie
| Type organisatie | Typische rol | Waarom ISO 27701 helpt |
|---|---|---|
| SaaS- en softwarebedrijven | Verwerker voor klantdata | Aantonen in enterprise-deals en aanbestedingen |
| Hosting- en cloudproviders | Verwerker | Voldoen aan verwerkersovereenkomsten en art. 28 AVG |
| Zorg-IT en zorgaanbieders | Verantwoordelijke en/of verwerker | Gezondheidsdata, combineerbaar met NEN 7510 |
| Marketing- en HR-dienstverleners | Verantwoordelijke of verwerker | Grote volumes persoonsgegevens, vertrouwen opdrachtgevers |
| Payrolldienstverleners | Verwerker | Aantoonbare verwerking van salarisgegevens |
| Organisaties in aanbestedingen | Verwerker of verantwoordelijke | Privacyvereisten in vendor-assessments en tenders |
SaaS- en softwarebedrijven
SaaS-bedrijven zijn verwerker voor de data van hun klanten. Enterprise-klanten en overheidsinkopers stellen steeds vaker eisen aan privacycertificering. Een ISO 27701-certificaat maakt het gesprek in een salesproces korter: je hoeft niet elk kwartaal een uitgebreide vragenlijst in te vullen. Je certificaat spreekt voor zich.
Bovendien vraagt artikel 28 van de AVG dat de verantwoordelijke alleen werkt met verwerkers die “voldoende garanties” bieden. Een ISO 27701-certificaat is een sterke invulling van die garantie.
Verwerkers en hostingpartijen
Datacenters, cloudproviders en hostingbedrijven verwerken data van tientallen of honderden opdrachtgevers. Die opdrachtgevers moeten kunnen aantonen dat ze werken met betrouwbare verwerkers. Een geaccrediteerd ISO 27701-certificaat geeft hun die zekerheid.
Lees meer over de verplichtingen die bij jouw rol als verwerker horen op verwerker of verwerkingsverantwoordelijke.
Zorg-IT en zorgaanbieders
Gezondheidsdata is bijzondere categorie data onder de AVG. De kans op hoge boetes bij een lek is groter, en de zorgvuldigheid die verwacht wordt ook. Zorg-IT-bedrijven combineren ISO 27701 vaak met NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg.
ISO 27701 voegt dan de privacydimensie toe: niet alleen beveiliging, maar ook rechtmatige verwerking, rechten van patiënten, en transparantie. In de 2025-versie zijn gezondheidsdata en biometrische gegevens expliciet opgenomen in de scope van de norm.
Werk je in de zorg én met informatiebeveiliging én met privacy? Dan is een geïntegreerd systeem met NEN 7510, ISO 27001 en ISO 27701 efficiënter dan drie losse trajecten. De normen delen dezelfde basisstructuur.
Marketing- en HR-dienstverleners
Bureaus die werven voor opdrachtgevers, uitzendbureaus, loonadministrateurs en HR-platformaanbieders verwerken grote hoeveelheden persoonsgegevens. Namen, burgerservicenummers, salarisgegevens, soms ook gezondheidsdata. De opdrachtgevers zijn verwerkingsverantwoordelijken die moeten kunnen aantonen dat hun verwerkers betrouwbaar zijn.
ISO 27701 geeft HR- en marketingdienstverleners een onafhankelijke bevestiging dat ze hun privacyhuis op orde hebben. Dat is een verkoopargument en een bescherming in geval van incidenten.
Organisaties in aanbestedingen en vendor-assessments
Leveranciers aan de overheid, banken en andere gereguleerde sectoren krijgen steeds vaker vragenlijsten over privacybeheer. Een ISO 27701-certificaat vervangt of vereenvoudigt die vragen. In Europese aanbestedingen wordt het als bewijs van “passende technische en organisatorische maatregelen” geaccepteerd.
Wanneer is ISO 27701 (nog) niet nodig?
Eerlijkheid: niet elke organisatie heeft het nodig.
- Je verwerkt weinig persoonsgegevens, en dat zijn niet-gevoelige gegevens van je eigen medewerkers en een kleine klantenlijst.
- Je krijgt geen externe druk: geen klanten die ernaar vragen, geen aanbestedingen die het eisen.
- Je bent een zelfstandige of klein bureau met beperkte datastromen.
In zulke gevallen is AVG-naleving prima te regelen zonder certificering. De norm helpt wanneer je het wilt aantonen aan derden, niet als intern managementinstrument.
ISO 27701 is geen wettelijk AVG-certificaat. Het toont aantoonbaar gestructureerde privacy aan, maar neemt je juridische verantwoordelijkheid niet over. Lees hoe dat precies zit op AVG en ISO 27701.
ISO 27701 is toegankelijker geworden
Vóór 2025 moest je eerst ISO 27001 hebben om ISO 27701 te kunnen halen. Dat maakte de drempel hoog. Siden de 2025-versie is ISO 27701 een standalone norm. Je kunt direct beginnen. Dat maakt het relevant voor een bredere groep, ook voor organisaties die geen uitgebreid informatiebeveiligingssysteem nodig hebben.
Of ISO 27701 ook bij jouw budget past, lees je op kosten en tijdlijn.
Volgende stappen
Welke rol heb jij?
Verwerker of verantwoordelijke?Hoe verhoudt de norm zich tot de AVG?
AVG en ISO 27701Wat kost het certificaat?
Kosten en tijdlijnCombinatie met informatiebeveiliging.
ISO 27001 (hub)Voor zorgorganisaties.
NEN 7510 (hub)Overzicht ISO 27701.
Terug naar de hubBronnen
- Autoriteit Persoonsgegevens – Nederlandse toezichthouder persoonsgegevens
- NEN – Informatiebeveiliging en privacy – Nederlands Normalisatie-instituut
- ISO/IEC 27701 bij ISO – International Organization for Standardization