Jouw privacy, bewezen op papier met ISO 27701.

ISO 27701 is de internationale norm voor privacybeheer. Het is een managementsysteem dat aantoont dat jouw organisatie op structurele en aantoonbare manier omgaat met persoonsgegevens.

Serious strategizing. Shot of two handsome businessmen having a

Wat is
ISO27701?

ISO 27701 is de internationale norm voor een Privacy Information Management System, of korter “PIMS”. Waar een gewoon privacybeleid beschrijft wat een organisatie zou moeten doen, gaat een PIMS een stap verder: het bewijst dat je het ook effectief doet.
Kort door de bocht, een privacybeleid is een eenvoudiger document. Een PIMS daarentegen is een managementsysteem met processen, controles en aantoonbare opvolging. We zien vaak dat organisaties met mature privacyprocessen, zo’n PIMS implementeren. Bij een certificatieaudit kom je niet weg met enkel mooie beleidsdocumenten. Je moet kunnen bewijzen dat die policies ook in de praktijk nageleefd worden en onderdeel zijn van de cultuur.


ISO 27701 is een kader dat je kan helpen om hiermee van start te gaan.

Nieuw in 2025: ISO 27701 staat op eigen benen.

Tot 2025 was ISO 27701 gekoppeld aan ISO 27001, de norm voor informatiebeveiliging. Privacy en gegevensbescherming viel daarmee onder het grotere geheel van beveiliging, maar dat deed de realiteit geen eer aan. Een organisatie kan uitstekend scoren op beveiliging en toch ernstige tekortkomingen hebben op het vlak van gegevensbescherming. Andersom geldt net hetzelfde.

Daarom werd de norm in oktober 2025 grondig herzien: ISO 27701 is sindsdien een volwaardige, zelfstandige norm. Je hebt geen ISO 27001-certificaat meer nodig om ISO 27701 te behalen.

Wie certifieert?

ISO 27701 is een certificeerbare norm waarvan de audit wordt uitgevoerd door geaccrediteerde certificatie-instellingen. In België worden deze instellingen geaccrediteerd door BELAC, de nationale accreditatie-instantie. Via de BELAC-zoekmodule vind je een actueel overzicht van welke instellingen bevoegd zijn om ISO 27701-audits uit te voeren. Zij beoordelen onafhankelijk of jouw privacybeheer voldoet aan de eisen van de norm.


CRANIUM doet zelf geen externe audit, maar we helpen je vanaf de zijlijn. We begeleiden en bereiden je voor op elke stap, zodat je zonder verrassingen de auditruimte binnenstapt.

Voor wie is ISO27701 relevant?

ISO 27701 is relevant voor elke organisatie die met persoonsgegevens werkt. Maar in de praktijk zijn er sectoren en contexten waar de norm bijzonder veel waarde toevoegt.

01 - Softwareontwikkelaars en dienstverleners.

Organisaties die software of diensten leveren aan grote klanten, zoals multinationals of overheidsinstellingen, krijgen steeds vaker te maken met strenge compliancevereisten. Een ISO 27701-certificaat toont aan dat je, in welke rol je ook persoonsgegevens verwerkt, daar correct mee omgaat. Dat geeft vertrouwen, en kan een verschil maken bij een aanbesteding.

Hoe ziet een ISO 27701-traject eruit?

Een ISO 27701-traject volgt een vaste stramien, maar ziet er voor elke organisatie anders uit. De scope, de sector en de mate waarin je al bezig bent met privacy bepalen mee hoe intensief het traject is.

In grote lijnen doorloop je deze fasen:

Belangrijk om te weten: ISO 27701 werkt volgens de gekende Certificatie is geen eindpunt, maar het begin van een continu verbeterproces.

PCDA cycle

Waarom kiezen voor ISO 27701?

Een certificaat behalen kost tijd en energie. Wat levert het op?

  • Vertrouwen dat je kan aantonen.

    Privacy is voor veel organisaties een abstracte belofte. Met een ISO 27701-certificaat maak je die belofte concreet en visibel. Je toont klanten, partners en leveranciers dat je persoonsgegevens niet alleen serieus neemt, maar dat dit ook onafhankelijk is geverifieerd. Dat is een sterk signaal, zeker in sectoren waar gevoelige persoonsgegevens centraal staan.

  • Een voordeel bij aanbestedingen.

    Steeds meer organisaties vragen bij aanbestedingen naar bewijs van een degelijk privacybeheer. Een ISO 27701-certificaat geeft je een voorsprong op concurrenten die dat bewijs niet kunnen leveren. De norm is nog niet overal een vereiste, maar wie er vroeg bij is, positioneert zich sterk voor wanneer dat wel het geval wordt.

  • Structuur die intern loont.

    Een PIMS opbouwen dwingt je om goed zicht te krijgen op welke persoonsgegevens je verwerkt, hoe lang je ze bewaart, wie er toegang toe heeft en wat de risico's zijn. Die oefening heeft waarde los van het certificaat. Organisaties die het traject serieus nemen, ontdekken bijna altijd blinde vlekken die ze daarvoor over het hoofd zagen.

  • Internationaal inzetbaar.

    De GDPR geldt binnen Europa en voor organisaties die services of goederen aanbieden aan Europese mensen. Maar voor organisaties die ook buiten de EU actief zijn, biedt ISO 27701 een internationaal erkend kader om privacybeheer consistent toe te passen. Je hoeft je aanpak niet telkens opnieuw uit te leggen aan internationale partners of klanten. Heb je bovendien al een ISO 27001 certificaat? Dan kan je voortbouwen op processen die je al hebt opgezet.

  • Peace of mind bij onderzoek van de autoriteit

    Een certificaat is geen garantie dat de autoriteiten nooit bij je komen aankloppen en het vervangt GDPR-compliance zeker niet. Maar het toont wel aan dat je privacybeheer structureel verankerd is. Je zal kunnen aantonen wat je doet, en dat kan het verschil maken.

Ontmoet de CRANIUM specialisten

Marja Lubbers

Marja Lubbers

Business Manager & Principal Privacy Consultant

Female Avatar

Gwenna Chavatte

Principal Privacy & Digital Law Consultant

Simon Geens

SIMON GEENS

Senior Privacy & Digital Law Consultant

Veelgestelde vragen

Wat is het verschil tussen ISO 27701 en ISO 27001?

ISO 27001 gaat over informatiebeveiliging: het beschermen van gegevens tegen ongeoorloofde toegang, verlies of misbruik. Onze zusterorganisatie Cingulum is hierin gespecialiseerd en kan je begeleiden bij het behalen van dit certificaat.


ISO 27701 gaat over privacy: hoe je als organisatie omgaat met persoonsgegevens in de brede zin. Denk aan rechtsgronden, bewaartermijnen en de rechten van betrokkenen. Vroeger was ISO 27701 een uitbreiding op ISO 27001, maar sinds de herziening in 2025 is het een volledig zelfstandige norm. Je hebt geen ISO 27001-certificaat nodig om ISO 27701 te behalen.


Toch is er overlap tussen de twee normen. Beide werken met een vergelijkbare managementsysteemstructuur en vereisen processen zoals risicobeheer, interne audits en managementreviews. Heb je al een ISO 27001-certificaat, dan heb je dat fundament al staan: je weet hoe je risico’s in kaart brengt, hoe je beleidslijnen uitwerkt en hoe je naleving aantoont. Voor ISO 27701 vul je dat aan met privacy-specifieke vereisten, zoals het bijhouden van rechtsgronden voor verwerking, bewaartermijnen en de rechten van betrokkenen. Daardoor is ISO 27701 voor organisaties met een ISO 27001-certificaat vaak een haalbare volgende stap, in plaats van een volledig nieuw traject.

Start vandaag met ISO 27701

Begin vandaag nog met uw ISO 27701-certificering. Neem contact op met ons team voor begeleiding en ondersteuning.

Start the conversation here


We care about your privacy. Unless you sign op to join our community, we will use this data solely to answer your request. For more information on how we process and care for your data, you can read our privacy statement.
  • Oplossingen
  • Expertise
  • Resources
  • Werken bij
  • Over