top of page
logo.png
rood vlak

GDPR certificering mogelijk met de nieuwe ISO27701 norm?

  • Foto van schrijver: Olivier Sustronck
    Olivier Sustronck
  • 4 uur geleden
  • 3 minuten om te lezen

Deze week werd de ISO27701:2025 en de ISO27706:2025 norm gepubliceerd. De vernieuwde norm maakt het mogelijk om een Privacy Information Management System (PIMS) te implementeren overeenkomstig de GDPR en hiervoor een certificering te bekomen die aantoont dat uw onderneming conform de norm werkt.


'privacy please' bord

Wat is ISO/IEC 27701:2025?


De norm ISO/IEC 27701:2025 definieert een systematisch kader voor het opzetten, implementeren, onderhouden en continu verbeteren van een Privacy Information Management System (PIMS). De norm is een aanpassing van de vroegere ISO27701 norm uit 2019. Belangrijke veranderingen ten opzichte van de vroegere versie zijn onder meer:


  • De versie van 2025 is geen louter “uitbreiding van” ISO/IEC 27001 meer, maar een stand-alone managementsysteemnorm geworden. 

  • De nadruk ligt meer dan ooit op governance, leiderschap, privacy-risicobeheer, en prestatie-evaluatie — onder meer via clausules 4 t/m 10 van de norm. 

  • De controleset is geactualiseerd om rekening te houden met modernere verwerkingen: cloud, SaaS, AI-gebruik, internationale doorgifte van persoonsgegevens, enzovoort. 

  • Organisaties kunnen zich – ook zonder reeds ISO/IEC 27001-certificering – richten op een certificering via ISO/IEC 27701:2025, wat zowel kleinere ondernemingen als privacy-gerichte organisaties toegang geeft tot een erkenning voor privacy­management. 



Wat is ISO/IEC 27706:2025?


De norm ISO/IEC 27706:2025 legt de vereisten vast voor de audit- en certificeringsinstanties die een PIMS‐certificering uitvoeren op basis van ISO/IEC 27701. Het is dus vanaf nu mogelijk om een certificering te behalen op basis van de ISO27701 norm.



Praktische betekenis voor ondernemingen


Voor organisaties die persoonsgegevens verwerken en zich willen voorbereiden op certificering of een beter privacy-framework willen uitbouwen, zijn er concrete implicaties:


  • Bestaande GDPR-certificeringen focussen op certificeren van specifieke bedrijfsprocessen. Door de ISO27701-norm is het voor ondernemingen mogelijk om de volledige onderneming en haar handelingen te laten certificeren en een kwaliteitslabel te geven die gebaseerd is op de GDPR.

  • U kunt sneller inzetten op privacy-governance zonder eerst een uitgebreid ISMS (ISO27001) te behalen. Daardoor is privacy-certificering toegankelijker.

  • Voorbereiding wordt belangrijker: een gap-analyse tussen de huidige situatie en de eisen van ISO/IEC 27701:2025 is een must. De controleset, rolverdeling (controller/verwerker), scope-afbakening, verwerkersrelaties, internationale doorgifte-scenario’s, AI/automatisering, enzovoort: allemaal aspecten die aandacht vereisen. 

  • Certificering is niet het eindpunt, maar startpunt: het PIMS vraagt monitoring, evaluatie, verbetering, training en auditbereidheid — privacy wordt organisatiebreed bestuurd.


profiel Facebook

Waarom nu handelen?


Met de publicatie van ISO/IEC 27701:2025 (en ISO/IEC 27706:2025) heeft de internationale standaardisering op privacy-management een nieuwe fase bereikt — privacy wordt erkend als een zelfstandig bestuursdomein, niet langer uitsluitend onderdeel van informatiebeveiliging.  Door vroeg te starten met uw voorbereiding toont u aan dat u vooruitloopt, versterkt u inter­ne governance, bouwt u vertrouwen – bij klanten, partners én toezichthouders – en brengt u het pad naar certificering korter en beter georkestreerd.



FAQ


Mijn organisatie heeft al een ISMS volgens ISO/IEC 27001. Moeten we dan nog ISO/IEC 27701:2025 implementeren?

Nee, u moet het niet verplicht, maar het is wel sterk aan te raden als u met persoonsgegevens werkt en aantoonbaar wilt zijn. ISO27701 biedt een gestructureerd kader voor privacy-management dat verder gaat dan enkel informatiebeveiliging. Bovendien is het nu stand-alone, dus u kunt het los van ISO/IEC 27001 inzetten.


Is certificering volgens ISO27701:2025 verplicht?

Nee, certificering is vrijwillig — maar een sterke propositie als u uw privacy-governance wilt aantonen. Wat wel van belang is: de certificeringsinstantie moet werken conform ISO/IEC 27706:2025 om de audit en certificering geloofwaardig te maken.


Wat is het voordeel van ISO/IEC 27701-certificering voor mijn organisatie?

Een certificering toont extern aan dat u een serieus, gestructureerd privacy-managementsysteem hebt conform de GDPR. Het versterkt het vertrouwen van klanten, partners, toezichthouders en kan ook een concurrentieel voordeel geven. Het helpt u bovendien beter voorbereid te zijn op privacy-toezicht, data-incidenten en complexe verwerkingsketens.


Hoe kan Mr. Franklin u bijstaan?

Mr. Franklin kan helpen bij het behalen van een ISO27701 certificering door het ondersteunen van het opzetten van een PIMS. Teven kan Mr. Franklin u bijstaan als interene auditor. Mr. Franklin heeft ruime expertise in zowel GDPR-ondersteuning van ondernemingen als in het bijstaan van ondernemingen bij het behalen van een ISO27001 certificaat. Onze specialisten helpen u om een vlotte certificering te behalen. Contacteer ons vrijblijvend voor meer informatie.

bottom of page