Juni 2026. ISO 27701 breidt ISO 27001 uit met privacy-controls (PII). Enterprise-klanten en toezicht vragen steeds vaker om geïntegreerde security- én privacy-bewijs — geen aparte mappen die elkaar tegenspreken.
Eén ISMS, extra SoA-sectie
- gebruik één scope/context met privacy-extensie waar PII in scope is;
- SoA: Annex A + ISO 27701 privacy controls met motivatie;
- gedeelde risicoanalyse — tag privacy- en security-risico’s;
- DPO betrokken bij risico, DPIA en incidenten met persoonsgegevens.
AVG overlap
ISO 27701 vervangt geen AVG-compliance. Wel helpt het bij verwerkersovereenkomsten, subverwerkers, DPIA’s en rechten van betrokkenen — mits u evidence koppelt aan controls. Koppel aan AVG hub en ISO 27701.
Praktische route
- Gap: ISO 27001 controls vs 27701 privacy controls voor uw verwerkingen.
- Prioriteer verwerkingen met hoge impact (HR, klantdata, zorg).
- Interne audit steekproef op DPIA + incidentregister privacy.
In 2026 vragen due diligence-partijen expliciet naar PII-scope en DPO-mandaat naast ISO 27001-certificaat. Eén management review-agenda voor beide voorkomt tegenstrijdige boodschappen.
Verwerkers en subverwerkers
ISO 27701 benadrukt PII in de keten: welke subverwerkers, welke landen, welke assurance. Update verwerkersovereenkomsten wanneer ISO 27701-controls nieuwe eisen introduceren — niet alleen bij contractverlenging.
DPIA’s en 27701 risicobehandeling moeten dezelfde verwerkingen refereren. Dubbele beschrijvingen met tegenstrijdige conclusies zijn due diligence-rode vlaggen.
Plan interne audit steekproef op één HR- of klantverwerking per jaar — van DPIA tot technische maatregel en retentie.
Vervolgstappen in uw ISMS
Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.
Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.
Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.
Wat doet u deze week?
Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.
Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.
Bewijs en governance
Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.
Keten en contracten
Veel eisen in 2026 komen via opdrachtgevers en niet alleen via formele wet-scope. Align contract-SLA’s met uw ISMS: incidentmelding, auditrechten, patch-termijnen en exit. Documenteer waar contract strenger is dan interne policy — management review moet die gap expliciet accepteren of investering plannen.
Continu verbeteren
Plan kwartaal een korte review: wat werkte, welke near-miss viel op, welke control heeft extra aandacht nodig? Leg drie verbeteracties vast met eigenaar — dat is precies wat ISO 27001, NIS2 en AVG-toezicht willen zien: PDCA in de praktijk, niet alleen op papier.
Kennisbank en readiness
Voor diepere guidance verwijzen we naar onze kennisbank-pagina’s over ISMS, ISO 27001, NIS2 en AVG. Gebruik het readiness-overzicht om prioriteiten te vergelijken met uw huidige maturiteit. Dit artikel is educatief; voor juridische of auditorische besluiten schakelt u specialisten in.
Bewijs en governance
Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.
Keten en contracten
Veel eisen in 2026 komen via opdrachtgevers en niet alleen via formele wet-scope. Align contract-SLA’s met uw ISMS: incidentmelding, auditrechten, patch-termijnen en exit. Documenteer waar contract strenger is dan interne policy — management review moet die gap expliciet accepteren of investering plannen.
