Elke organisatie beschikt over persoonsgegevens. Niet omdat ze daarvoor hebben gekozen, maar omdat ze dat moeten.
Een klant meldt zich aan. Een medewerker komt in dienst. Een partner deelt informatie. En plotseling is de organisatie verantwoordelijk voor iets dat veel verder gaat dan alleen het beheren van systemen.
Ze zijn verantwoordelijk voor de gegevens van mensen.
En de meesten beseffen niet helemaal wat die verantwoordelijkheid eigenlijk inhoudt.
Het probleem dat de meeste organisaties niet duidelijk zien
Veel bedrijven denken dat ze ‘gedekt’ zijn als het gaat om gegevensbescherming. Ze hebben misschien enkele beveiligingsmaatregelen. Ze volgen interne beleidsregels. Ze zijn misschien zelfs ISO/IEC 27001-gecertificeerd.
Maar dan rijzen er vragen:
- Weten we echt waar persoonsgegevens naartoe gaan?
- Wie is er bij elke stap verantwoordelijk?
- Verzamelen we meer dan we eigenlijk nodig hebben?
- Kunnen we duidelijk uitleggen hoe gegevens worden gebruikt – als iemand ernaar vraagt?
Dit is waar het vaak onduidelijk wordt. Gegevens beschermen is één ding — er verantwoord mee omgaan is iets anders.
Waar ISO/IEC 27701 om de hoek komt kijken
ISO/IEC 27701 bouwt voort op bestaande beveiligingspraktijken en introduceert iets wat veel organisaties missen: structuur rond privacy.
Het helpt organisaties te definiëren:
- Welke persoonsgegevens ze verwerken
- Waarom ze deze verwerken
- Wie er verantwoordelijk voor is
- Hoe deze gegevens gedurende hun hele levenscyclus moeten worden behandeld
Het zet abstracte privacy verwachtingen om in duidelijke, operationele praktijken.
Wat is er veranderd in ISO/IEC 27701:2025
De update van 2025 was geen kleine herziening, maar veranderde de manier waarop organisaties privacy benaderen volledig.
- Het is nu een op zichzelf staande norm
De belangrijkste verandering:
ISO/IEC 27701:2025 vereist ISO/IEC 27001 niet langer als voorwaarde.
De norm bevat nu een eigen volledige managementsysteemstructuur (clausules 4–10), die het volgende omvat:
- Context van de organisatie
- Leiderschap
- Planning
- Ondersteuning
- Uitvoering
- Prestatie-evaluatie
- Verbetering
Dit is een grote verandering; het neemt een van de grootste belemmeringen weg die de acceptatie voorheen beperkten.
Dit betekent:
- Organisaties kunnen ISO/IEC 27701 zelfstandig implementeren
- Privacy kan direct worden aangepakt, zonder eerst een volledig ISMS te implementeren
- Het wordt toegankelijker voor bedrijven die zich specifiek op privacy richten
Tegelijkertijd sluit het nog steeds op natuurlijke wijze aan bij ISO/IEC 27001 voor degenen die beide willen.
- Duidelijkere afstemming op moderne privacy verwachtingen
De bijgewerkte versie versterkt de afstemming op wereldwijde privacy principes en regelgevende verwachtingen.
Er wordt meer nadruk gelegd op:
- Verantwoordelijkheid
- Transparantie
- Beheer van de gegevenslevenscyclus
- Aantoonbaar bestuur
- Een meer praktische en bruikbare structuur
De nieuwe structuur maakt het gemakkelijker om:
- Te implementeren in echte omgevingen
- Te integreren met bestaande processen
- Toe te passen in organisaties van verschillende omvang
Hoe ISO/IEC 27701 zich verhoudt tot ISO/IEC 27001
Hoewel ISO/IEC 27701 nu een op zichzelf staande norm is, blijft de relatie met ISO/IEC 27001 belangrijk.
Twee mogelijke benaderingen
- Privacy-first-benadering (alleen ISO/IEC 27701)
- Geschikt voor organisaties die privacy vooropstellen
- Lagere instapdrempel
- Snellere implementatie
- Geïntegreerde aanpak (ISO/IEC 27001 + ISO/IEC 27701)
- Combineert beveiliging en privacy
- Sterker algemeen beheer
- Ideaal voor meer volwassen omgevingen
Het belangrijkste verschil
- ISO/IEC 27001 → Beschermt informatie
- ISO/IEC 27701 → Regelt de omgang met persoonsgegevens
Samen vormen ze een completer systeem, maar ze zijn niet langer van elkaar afhankelijk.
Vervangt ISO/IEC 27701 de AVG?
Een veelvoorkomende misvatting:
ISO/IEC 27701 vervangt de AVG niet.
De norm bevat verwijzingen naar de AVG en sluit aan bij veel van de principes ervan, maar dekt niet alle wettelijke vereisten. Certificering alleen is niet voldoende om volledige naleving aan te tonen.
Het speelt echter wel een belangrijke rol.
ISO/IEC 27701 helpt organisaties:
• Privacyprocessen te structureren
• Verantwoordelijkheden duidelijk te definiëren
• Te documenteren hoe persoonsgegevens worden verwerkt
• Zich aan te passen aan de belangrijkste AVG-principes
Hoewel het dus geen complete oplossing is,
biedt het een sterke basis voor organisaties die zich voorbereiden op of werken aan het versterken van hun AVG-naleving.
Het is ook belangrijk om op te merken dat organisaties die internationaal actief zijn, rekening moeten houden met aanvullende privacyregelgeving, zoals:
• CCPA/CPRA (Californië, VS)
• LGPD (Brazilië)
• PIPEDA (Canada)
• PDPA (Singapore, Thailand, enz.)
ISO/IEC 27701 ondersteunt een consistente, wereldwijde aanpak van privacy beheer, maar deze lokale wettelijke vereisten moeten nog steeds afzonderlijk worden beoordeeld en aangepakt.
Waarom organisaties dit eigenlijk nodig hebben
Privacy vereisten komen niet één keer voor, maar overal.
- In regelgeving
- In contracten met partners
- Wat betreft de verwachtingen van klanten
- In de interne besluitvorming
Zonder een gestructureerde aanpak baseren organisaties zich vaak op:
- Aannames
- Versnipperde processen
- Individuele interpretaties
Dit creëert risico’s, die niet altijd zichtbaar zijn, maar wel degelijk reëel.
ISO/IEC 27701 zorgt voor consistentie. Het garandeert dat privacy niet afhankelijk is van individuen, maar verankerd is in de manier waarop de organisatie functioneert.
Wat organisaties eraan hebben
Als ISO/IEC 27701 correct wordt geïmplementeerd, levert het tastbare voordelen op:
- Duidelijkheid — Teams begrijpen welke gegevens ze verwerken en wat er van hen wordt verwacht
- Verantwoordelijkheid — Rollen en verantwoordelijkheden zijn duidelijk gedefinieerd
- Vertrouwen — Beslissingen over gegevensgebruik worden consistenter en beter verdedigbaar
- Vertrouwen — Organisaties kunnen hun werkwijzen uitleggen — en erachter staan
Hoe het de organisatie beschermt
De meeste risico’s rond persoonsgegevens komen niet voort uit geavanceerde aanvallen.
Ze komen voort uit:
- Misverstanden
- Te veel delen
- Gebrek aan zichtbaarheid
- Slechte coördinatie tussen teams
ISO/IEC 27701 vermindert deze risico’s door gegevensverwerking:
- Doelgericht — alleen wat nodig is, wordt verzameld
- Gecontroleerd — toegang is duidelijk gedefinieerd en beperkt
- Transparant — processen kunnen worden uitgelegd en gecontroleerd
Het helpt organisaties niet alleen om op problemen te reageren, maar ook om te voorkomen dat ze überhaupt ontstaan.
Hoelang duurt de implementatie?
Voor de meeste kleine tot middelgrote organisaties duurt de implementatie doorgaans:
6 tot 12 maanden
Dit hangt af van:
- De grootte van de organisatie
- De complexiteit van de gegevensstromen
- Bestaande bestuursstructuren
Aangezien de 2025-versie op zichzelf staat, kan de implementatie flexibeler zijn — vooral voor organisaties die helemaal opnieuw beginnen.
Samenwerken met ervaren professionals kan de inspanning en onzekerheid aanzienlijk verminderen.
Veelvoorkomende uitdagingen
Organisaties worstelen vaak met:
- Beperkt inzicht in de stromen van persoonsgegevens
- Onduidelijke verantwoordelijkheid tussen teams
- Gebrek aan afstemming tussen juridische, IT- en bedrijfsafdelingen
- Privacy behandelen als documentatie in plaats van als praktijk
Waar veel organisaties de fout ingaan
Sommige organisaties benaderen ISO/IEC 27701 als:
- Een reeks documenten
- Een certificeringsdoel
- Een eenmalige inspanning
Maar deze aanpak werkt zelden.
Privacy is niet statisch. Het evolueert met:
- Nieuwe systemen
- Nieuwe diensten
- Nieuwe bedrijfsmodellen
De echte waarde van ISO/IEC 27701 komt pas tot uiting wanneer het onderdeel wordt van de dagelijkse bedrijfsvoering van de organisatie — en niet alleen van de manier waarop deze zich naar buiten toe presenteert.
Praktische tips voor een succesvolle implementatie
- Begin met gegevens – Zorg dat u weet waar persoonsgegevens zich bevinden en hoe deze worden verwerkt.
- Houd het cross functioneel – Betrek juridische, beveiligings- en bedrijfsteams in een vroeg stadium.
- Kies de juiste aanpak – Bepaal of een op zichzelf staande ISO/IEC 27701 of integratie met ISO/IEC 27001 het beste bij uw behoeften past.
- Houd het praktisch – Vermijd te complexe processen die teams niet zullen volgen.
- Ontwerp met het oog op groei – Zorg ervoor dat uw raamwerk meegroeit met uw organisatie.
Een andere manier om ernaar te kijken
In plaats van te vragen:
“Hebben we ISO/IEC 27701 nodig?”
Vraag:
“Begrijpen we volledig hoe we omgaan met persoonsgegevens — en kunnen we dat aantonen?”
Hoe Dadir kan helpen
Bij Dadir ondersteunen we organisaties om ISO/IEC 27701 praktisch toe te passen — niet theoretisch.
Wij helpen u:
- Te begrijpen wat de norm daadwerkelijk voor uw organisatie betekent
- Te beslissen of een op zichzelf staande of geïntegreerde aanpak het beste past
- In kaart te brengen hoe persoonsgegevens daadwerkelijk door uw systemen stromen
- Rollen, verantwoordelijkheden en processen te definiëren die teams daadwerkelijk kunnen volgen
- Privacy te implementeren op een manier die werkt in de dagelijkse praktijk — niet alleen op papier
We ondersteunen ook kennisopbouw binnen uw organisatie.
Via PECB-gecertificeerde zelfstudiecursussen is Nathalie bevoegd om het volgende te geven:
Deze cursussen helpen professionals niet alleen de norm te begrijpen, maar deze ook met vertrouwen toe te passen in de praktijk.
Ons doel is simpel:
Privacy duidelijk en bruikbaar maken, en deze integreren in de werkwijze van uw organisatie.
