Nederlands
Nederlands English Deutsch Français
Privacy & PIMS

ISO 27701 privacy audit voor organisaties die aantoonbaar compliant willen zijn

Een ISO 27701 privacy audit toetst uw Privacy Information Management System (PIMS): de uitbreiding op ISO 27001 die privacy en AVG/GDPR aantoonbaar beheersbaar maakt. Een onafhankelijke auditor beoordeelt rollen rond persoonsgegevens (verwerkingsverantwoordelijke en verwerker), het verwerkingsregister, DPIA's, verwerkersovereenkomsten, bewaartermijnen en de rechten van betrokkenen. U krijgt een helder rapport met bevindingen en een praktisch verbeterplan, zodat privacy niet op papier blijft maar aantoonbaar werkt.

Vraag een audit-scan aan

Wat is ISO 27701?

ISO 27701 is de internationale norm voor een PIMS en breidt uw ISO 27001 ISMS uit met privacy-specifieke beheersmaatregelen. Het koppelt informatiebeveiliging aan privacy governance en helpt u AVG/GDPR aantoonbaar te beheersen.

Voor wie is een ISO 27701 audit relevant?

Voor organisaties die veel persoonsgegevens verwerken — SaaS-bedrijven, zorg, HR, marketing — en die richting klanten of toezichthouder willen aantonen dat privacy beheerst is. Ook voor wie al ISO 27001 heeft en privacy als logische volgende stap ziet.

Veelvoorkomende problemen

  • Verwerkingsregister dat niet actueel of compleet is.
  • DPIA's die ontbreken of niet worden opgevolgd.
  • Verwerkersovereenkomsten zonder controle op naleving.
  • Onduidelijke rolverdeling tussen controller en processor.

Onze aanpak in 5 stappen

  1. Scope en privacy-rollen bepalen.
  2. Documentreview: register, beleid, DPIA's, overeenkomsten.
  3. Interviews & steekproeven op de praktijk.
  4. Bevindingenrapport met privacyrisico's.
  5. Verbeterplan en follow-up richting compliance.

Wat u krijgt

  • Onafhankelijke PIMS-beoordeling.
  • Gap-overzicht richting ISO 27701 en AVG.
  • Prioriteiten en een concreet verbeterplan.
  • Advies over een combi-audit met ISO 27001.

ISO/IEC 27701 — officiële normpagina (officiële bron).

FAQ

Veelgestelde vragen

Korte, directe antwoorden — geschreven voor mensen én voor AI-zoekfuncties.

ISO 27701 is de internationale norm voor een Privacy Information Management System (PIMS). Het is een uitbreiding op ISO 27001 die specifieke eisen en richtlijnen toevoegt voor het beheersen van privacy en de verwerking van persoonsgegevens. Met ISO 27701 toont u aantoonbaar aan dat u privacyrisico's beheerst en ondersteunt u uw AVG/GDPR-compliance vanuit een gestructureerd managementsysteem.

ISO 27001 richt zich op informatiebeveiliging in brede zin via een ISMS. ISO 27701 bouwt daarop voort en voegt een privacylaag toe: het PIMS. Waar ISO 27001 vraagt hoe u informatie beveiligt, vraagt ISO 27701 hoe u persoonsgegevens en privacyrisico's beheerst. U kunt ISO 27701 niet losstaand certificeren; het vereist altijd een onderliggend ISO 27001 ISMS.

Ja. ISO 27701 vertaalt veel AVG-verplichtingen naar concrete beheersmaatregelen: verwerkingsregister, rechten van betrokkenen, DPIA's, verwerkersovereenkomsten en bewaartermijnen. Het maakt compliance aantoonbaar en herhaalbaar in plaats van eenmalig. Het is geen automatische garantie dat u volledig AVG-compliant bent, maar het geeft een sterk, controleerbaar raamwerk dat dit grotendeels afdekt.

Nee. ISO 27701 is een uitbreiding op ISO 27001 en kan niet zonder een onderliggend ISO 27001 ISMS worden gecertificeerd. In de praktijk implementeren organisaties beide normen samen, vaak in één geïntegreerd managementsysteem en één combi-audit, omdat informatiebeveiliging en privacy sterk overlappen.

De auditor beoordeelt of privacy aantoonbaar wordt beheerst. Hij kijkt naar de rolverdeling tussen verwerkingsverantwoordelijke en verwerker, het verwerkingsregister, DPIA's, verwerkersovereenkomsten, bewaartermijnen, de afhandeling van verzoeken van betrokkenen en de datalekprocedure. Net als bij ISO 27001 zoekt hij bewijs dat beleid in de praktijk wordt toegepast, niet alleen dat het op papier bestaat.

Een privacy gap-analyse vergelijkt uw huidige privacypraktijk met de eisen van ISO 27701 en de AVG. U krijgt inzicht in welke documenten, processen en maatregelen al op orde zijn en waar de hiaten zitten. Het resultaat is een prioriteitenlijst en routekaart, zodat u gericht kunt verbeteren voordat een formele audit of certificering plaatsvindt.

Onder meer een actueel verwerkingsregister, privacybeleid, DPIA's voor risicovolle verwerkingen, verwerkersovereenkomsten met leveranciers, een procedure voor de rechten van betrokkenen, een datalekprocedure en vastgestelde bewaartermijnen. De auditor controleert niet alleen of deze bestaan, maar ook of ze actueel zijn en daadwerkelijk worden gebruikt.

Voor SaaS-aanbieders die als verwerker grote hoeveelheden persoonsgegevens van klanten verwerken, is ISO 27701 vaak een sterk verkoopargument. Het toont zakelijke klanten aantoonbaar aan dat privacy beheerst is, vereenvoudigt due diligence en verwerkersbeoordelingen, en sluit naadloos aan op een bestaand ISO 27001-certificaat.

Gerelateerd

Lees verder

ISO 27001 ISMS audit

De basis waarop ISO 27701 voortbouwt.

Combi-audit

ISO 27001 en 27701 in één traject.

ISO 27001 en NIS2

Privacy en security in regelgeving.

Klaar om privacy aantoonbaar te maken?

Plan een privacy audit-scan en ontdek waar uw PIMS staat richting ISO 27701 en de AVG.

Vraag een audit-scan aan

Vertrouwd door organisaties

Certe Groep Certe Assuradeuren Chatbot Soluck Wattse Nextech Muast