Jouw privacy, bewezen op papier met ISO 27701.
ISO 27701 is de internationale norm voor privacybeheer. Het is een managementsysteem dat aantoont dat jouw organisatie op structurele en aantoonbare manier omgaat met persoonsgegevens.
- Internationaal erkend
- Auditeerbaar
- Standalone certificaat
Wat is ISO27701?
ISO 27701 is de internationale norm voor een Privacy Information Management System, of korter “PIMS”. Waar een gewoon privacybeleid beschrijft wat een organisatie zou moeten doen, gaat een PIMS een stap verder: het bewijst dat je het ook effectief doet.
Kort door de bocht, een privacybeleid is een eenvoudiger document. Een PIMS daarentegen is een managementsysteem met processen, controles en aantoonbare opvolging. We zien vaak dat organisaties met mature privacyprocessen, zo’n PIMS implementeren. Bij een certificatieaudit kom je niet weg met enkel mooie beleidsdocumenten. Je moet kunnen bewijzen dat die policies ook in de praktijk nageleefd worden en onderdeel zijn van de cultuur.
ISO 27701 is een kader dat je kan helpen om hiermee van start te gaan.
Nieuw in 2025: ISO 27701 staat op eigen benen.
Tot 2025 was ISO 27701 gekoppeld aan ISO 27001, de norm voor informatiebeveiliging. Privacy en gegevensbescherming viel daarmee onder het grotere geheel van beveiliging, maar dat deed de realiteit geen eer aan. Een organisatie kan uitstekend scoren op beveiliging en toch ernstige tekortkomingen hebben op het vlak van gegevensbescherming. Andersom geldt net hetzelfde.
Daarom werd de norm in oktober 2025 grondig herzien: ISO 27701 is sindsdien een volwaardige, zelfstandige norm. Je hebt geen ISO 27001-certificaat meer nodig om ISO 27701 te behalen.
Wie certifieert?
ISO 27701 is een certificeerbare norm waarvan de audit wordt uitgevoerd door geaccrediteerde certificatie-instellingen. In België worden deze instellingen geaccrediteerd door BELAC, de nationale accreditatie-instantie. Via de BELAC-zoekmodule vind je een actueel overzicht van welke instellingen bevoegd zijn om ISO 27701-audits uit te voeren. Zij beoordelen onafhankelijk of jouw privacybeheer voldoet aan de eisen van de norm.
CRANIUM doet zelf geen externe audit, maar we helpen je vanaf de zijlijn. We begeleiden en bereiden je voor op elke stap, zodat je zonder verrassingen de auditruimte binnenstapt.
Voor wie is ISO27701 relevant?
ISO 27701 is relevant voor elke organisatie die met persoonsgegevens werkt. Maar in de praktijk zijn er sectoren en contexten waar de norm bijzonder veel waarde toevoegt.
01 - Softwareontwikkelaars en dienstverleners.
Organisaties die software of diensten leveren aan grote klanten, zoals multinationals of overheidsinstellingen, krijgen steeds vaker te maken met strenge compliancevereisten. Een ISO 27701-certificaat toont aan dat je, in welke rol je ook persoonsgegevens verwerkt, daar correct mee omgaat. Dat geeft vertrouwen, en kan een verschil maken bij een aanbesteding.
02 - Zorgsector en healthtech.
Medische gegevens behoren tot de meest gevoelige categorie persoonsgegevens. Voor organisaties die werken met patiëntgegevens, wearables of gezondheidsapplicaties, is een PIMS een extra teken van vertrouwen. Het is een signaal naar ziekenhuizen, verzekeraars en patiënten dat privacy en gegevensbescherming bij jou structureel verankerd is.
03 - Onderzoeksbureaus en databedrijven.
Organisaties die grootschalig persoonsgegevens verwerken voor marktonderzoek of datagedreven diensten, kunnen met ISO 27701 aantonen dat ze dat op een verantwoorde manier doen. Dat is een sterk argument richting klanten en partners.
04 - Internationaal actieve organisaties.
De GDPR is de gouden standaard voor privacywetgeving, maar geldt niet overal ter wereld. Voor organisaties die buiten Europa actief zijn, biedt ISO 27701 een internationaal erkend kader om privacybeheer consistent toe te passen, zonder telkens te moeten verwijzen naar Europese wetgeving.
05 - En kleinere organisaties?
De drempel voor ISO 27701 is lager dan die voor ISO 27001. De scope van het certificaat kan beperkt worden tot een specifieke afdeling, dienst of product. Dat maakt de norm ook haalbaar voor kmo’s.
De echte drempel is niet de norm zelf, maar wel het goed implementeren en naleven van de GDPR zelf: wie zijn privacyverplichtingen serieus neemt en dit als een continu proces beschouwd, heeft al een stevige basis om op verder te bouwen.
Hoe ziet een ISO 27701-traject eruit?
Een ISO 27701-traject volgt een vaste stramien, maar ziet er voor elke organisatie anders uit. De scope, de sector en de mate waarin je al bezig bent met privacy bepalen mee hoe intensief het traject is.
In grote lijnen doorloop je deze fasen:
- Context en scope bepalen van je organisatie
- Inventaris opmaken van de persoonsgegevens die je verwerkt
- Risico’s analyseren
- Maatregelen en beleidslijnen uitwerken
- Aantoonbare naleving organiseren
- Interne audit en managementreview
- Externe certificatieaudit
Belangrijk om te weten: ISO 27701 werkt volgens de gekende Certificatie is geen eindpunt, maar het begin van een continu verbeterproces.
Waarom kiezen voor ISO 27701?
Een certificaat behalen kost tijd en energie. Wat levert het op?
-
Vertrouwen dat je kan aantonen.
Privacy is voor veel organisaties een abstracte belofte. Met een ISO 27701-certificaat maak je die belofte concreet en visibel. Je toont klanten, partners en leveranciers dat je persoonsgegevens niet alleen serieus neemt, maar dat dit ook onafhankelijk is geverifieerd. Dat is een sterk signaal, zeker in sectoren waar gevoelige persoonsgegevens centraal staan.
-
Een voordeel bij aanbestedingen.
Steeds meer organisaties vragen bij aanbestedingen naar bewijs van een degelijk privacybeheer. Een ISO 27701-certificaat geeft je een voorsprong op concurrenten die dat bewijs niet kunnen leveren. De norm is nog niet overal een vereiste, maar wie er vroeg bij is, positioneert zich sterk voor wanneer dat wel het geval wordt.
-
Structuur die intern loont.
Een PIMS opbouwen dwingt je om goed zicht te krijgen op welke persoonsgegevens je verwerkt, hoe lang je ze bewaart, wie er toegang toe heeft en wat de risico's zijn. Die oefening heeft waarde los van het certificaat. Organisaties die het traject serieus nemen, ontdekken bijna altijd blinde vlekken die ze daarvoor over het hoofd zagen.
-
Internationaal inzetbaar.
De GDPR geldt binnen Europa en voor organisaties die services of goederen aanbieden aan Europese mensen. Maar voor organisaties die ook buiten de EU actief zijn, biedt ISO 27701 een internationaal erkend kader om privacybeheer consistent toe te passen. Je hoeft je aanpak niet telkens opnieuw uit te leggen aan internationale partners of klanten. Heb je bovendien al een ISO 27001 certificaat? Dan kan je voortbouwen op processen die je al hebt opgezet.
-
Peace of mind bij onderzoek van de autoriteit
Een certificaat is geen garantie dat de autoriteiten nooit bij je komen aankloppen en het vervangt GDPR-compliance zeker niet. Maar het toont wel aan dat je privacybeheer structureel verankerd is. Je zal kunnen aantonen wat je doet, en dat kan het verschil maken.
Ontmoet de CRANIUM specialisten
Marja Lubbers
Business Manager & Principal Privacy Consultant
Gwenna Chavatte
Principal Privacy & Digital Law Consultant
SIMON GEENS
Senior Privacy & Digital Law Consultant
Veelgestelde vragen
Wat is het verschil tussen ISO 27701 en ISO 27001?
ISO 27001 gaat over informatiebeveiliging: het beschermen van gegevens tegen ongeoorloofde toegang, verlies of misbruik. Onze zusterorganisatie Cingulum is hierin gespecialiseerd en kan je begeleiden bij het behalen van dit certificaat.
ISO 27701 gaat over privacy: hoe je als organisatie omgaat met persoonsgegevens in de brede zin. Denk aan rechtsgronden, bewaartermijnen en de rechten van betrokkenen. Vroeger was ISO 27701 een uitbreiding op ISO 27001, maar sinds de herziening in 2025 is het een volledig zelfstandige norm. Je hebt geen ISO 27001-certificaat nodig om ISO 27701 te behalen.
Toch is er overlap tussen de twee normen. Beide werken met een vergelijkbare managementsysteemstructuur en vereisen processen zoals risicobeheer, interne audits en managementreviews. Heb je al een ISO 27001-certificaat, dan heb je dat fundament al staan: je weet hoe je risico’s in kaart brengt, hoe je beleidslijnen uitwerkt en hoe je naleving aantoont. Voor ISO 27701 vul je dat aan met privacy-specifieke vereisten, zoals het bijhouden van rechtsgronden voor verwerking, bewaartermijnen en de rechten van betrokkenen. Daardoor is ISO 27701 voor organisaties met een ISO 27001-certificaat vaak een haalbare volgende stap, in plaats van een volledig nieuw traject.
Staat het ISO 27701-certificaat gelijk aan GDPR-compliance?
Nee, ISO 27701 ondersteunt je GDPR-compliance en helpt je aantonen dat je privacybeheer structureel op orde is, maar het certificaat is geen juridisch bewijs van GDPR-compliance. Een organisatie volledig GDPR-compliant verklaren bestaat niet: compliance is een continu proces. Het certificaat toont wel aan dat je er serieus mee bezig bent, en dat kan een USP zijn voor jouw organisatie.
Moet ik al ISO 27001-gecertificeerd zijn om ISO 27701 te behalen?
Nee, niet meer. Sinds de update van oktober 2025 staat ISO 27701 volledig op eigen benen. Je kan het certificaat behalen zonder eerst ISO 27001 te doorlopen.
Is ISO 27701 ook zinvol voor kleinere organisaties?
Ja. De scope van het certificaat kan beperkt worden tot een specifieke afdeling, dienst of product, waardoor het traject beheersbaar blijft. De drempel ligt niet bij de norm zelf, maar bij de GDPR: wie zijn privacyverplichtingen al serieus neemt, heeft een stevige basis om op verder te bouwen.
Welke rollen zijn typisch betrokken bij een ISO 27701-traject?
Een succesvol traject vraagt betrokkenheid van verschillende mensen binnen de organisatie. De kern bestaat meestal uit een data protection officer (DPO), privacy officer, iemand van IT en iemand van informatiebeveiliging. Daarnaast zijn afdelingen zoals HR, finance en legal belangrijk, omdat daar veel persoonsgegevens circuleren. Cruciaal is ook een vertegenwoordiger van het management: de norm vereist dat je kunt aantonen dat privacy gedragen wordt op het hoogste niveau.
Hoelang duurt een implementatietraject?
Dat hangt sterk af van de omvang van je organisatie, de gekozen scope en hoever je al staat met je privacybeheer. Wie al een stevige GDPR-basis heeft, kan sneller schakelen. Wie van nul begint, heeft meer tijd nodig. Een realistische planning houdt rekening met ongveer 3 tot 6 maanden voor de voorbereidende fase, gevolgd door zo een 3 tot 9 maanden voor implementatie en opvolging, voor je klaar bent voor de externe audit.
Helpt ISO 27701 bij internationale activiteiten?
Ja. De GDPR geldt binnen en naar Europa, maar is niet overal van toepassing. Het is wel de gouden standaard. ISO 27701 vindt haar basis in GDPR en biedt een internationaal erkend kader voor privacybeheer dat je consistent kan toepassen, ook buiten de EU. Dat maakt de norm bijzonder nuttig voor organisaties die actief zijn in meerdere regio’s of werken met internationale klanten en partners.
Wordt ISO 27701 al gevraagd bij aanbestedingen?
Nog niet structureel, maar het komt voor. De norm is minder ingeburgerd dan ISO 27001, maar dat verandert stilaan. Organisaties die nu certificeren, positioneren zich sterk voor wanneer de verwachting breder wordt. Bovendien kan een certificaat vandaag al het verschil maken bij klanten die privacy belangrijk vinden.
Start vandaag met ISO 27701
Begin vandaag nog met uw ISO 27701-certificering. Neem contact op met ons team voor begeleiding en ondersteuning.