Ga naar inhoud

Privacy & data ·

ISO 27701 naast ISO 27001: privacy in hetzelfde ISMS

Juni 2026. ISO 27701 breidt ISO 27001 uit met privacy-controls (PII). Enterprise-klanten en toezicht vragen steeds vaker om geïntegreerde security- én privacy-bewijs — geen aparte mappen die elkaar tegenspreken.

Eén ISMS, extra SoA-sectie

  • gebruik één scope/context met privacy-extensie waar PII in scope is;
  • SoA: Annex A + ISO 27701 privacy controls met motivatie;
  • gedeelde risicoanalyse — tag privacy- en security-risico’s;
  • DPO betrokken bij risico, DPIA en incidenten met persoonsgegevens.

AVG overlap

ISO 27701 vervangt geen AVG-compliance. Wel helpt het bij verwerkersovereenkomsten, subverwerkers, DPIA’s en rechten van betrokkenen — mits u evidence koppelt aan controls. Koppel aan AVG hub en ISO 27701.

Praktische route

  1. Gap: ISO 27001 controls vs 27701 privacy controls voor uw verwerkingen.
  2. Prioriteer verwerkingen met hoge impact (HR, klantdata, zorg).
  3. Interne audit steekproef op DPIA + incidentregister privacy.

In 2026 vragen due diligence-partijen expliciet naar PII-scope en DPO-mandaat naast ISO 27001-certificaat. Eén management review-agenda voor beide voorkomt tegenstrijdige boodschappen.

Verwerkers en subverwerkers

ISO 27701 benadrukt PII in de keten: welke subverwerkers, welke landen, welke assurance. Update verwerkersovereenkomsten wanneer ISO 27701-controls nieuwe eisen introduceren — niet alleen bij contractverlenging.

DPIA’s en 27701 risicobehandeling moeten dezelfde verwerkingen refereren. Dubbele beschrijvingen met tegenstrijdige conclusies zijn due diligence-rode vlaggen.

Plan interne audit steekproef op één HR- of klantverwerking per jaar — van DPIA tot technische maatregel en retentie.

Vervolgstappen in uw ISMS

Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.

Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.

Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.

Wat doet u deze week?

Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.

Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.

Bewijs en governance

Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.

Keten en contracten

Veel eisen in 2026 komen via opdrachtgevers en niet alleen via formele wet-scope. Align contract-SLA’s met uw ISMS: incidentmelding, auditrechten, patch-termijnen en exit. Documenteer waar contract strenger is dan interne policy — management review moet die gap expliciet accepteren of investering plannen.

Continu verbeteren

Plan kwartaal een korte review: wat werkte, welke near-miss viel op, welke control heeft extra aandacht nodig? Leg drie verbeteracties vast met eigenaar — dat is precies wat ISO 27001, NIS2 en AVG-toezicht willen zien: PDCA in de praktijk, niet alleen op papier.

Kennisbank en readiness

Voor diepere guidance verwijzen we naar onze kennisbank-pagina’s over ISMS, ISO 27001, NIS2 en AVG. Gebruik het readiness-overzicht om prioriteiten te vergelijken met uw huidige maturiteit. Dit artikel is educatief; voor juridische of auditorische besluiten schakelt u specialisten in.

Bewijs en governance

Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.

Keten en contracten

Veel eisen in 2026 komen via opdrachtgevers en niet alleen via formele wet-scope. Align contract-SLA’s met uw ISMS: incidentmelding, auditrechten, patch-termijnen en exit. Documenteer waar contract strenger is dan interne policy — management review moet die gap expliciet accepteren of investering plannen.

Verdiep in de kennisbank

Werk verder in ISO Ready

Beheer acties, risico's en bewijs in één lijn richting certificering.

Naar ISO Ready

← Terug naar overzicht