ISO 27701 – Praktisch privacy-management als uitbreiding op ISO 27001

Privacy is geen juridisch bijzaak meer.
Organisaties verwerken steeds meer persoonsgegevens, terwijl toezichthouders, klanten en ketenpartners hogere eisen stellen aan transparantie, beheersing en aantoonbaarheid.

ISO/IEC 27701 helpt organisaties om privacy structureel te organiseren —
niet met extra documentatie, maar als logische uitbreiding op het bestaande ISO 27001-managementsysteem.

Precies daar ligt de kracht van iQomply.

In de kern draait ISO 27701 om vier dingen

Inzicht in persoonsgegevens en verwerkingen
Wat verwerk je, waarom, met welke grondslag en met wie?

Privacyrisico’s expliciet maken en prioriteren
DPIA’s worden onderdeel van risicosturing, niet een los verplicht nummer.

Governance, rollen en accountability
Duidelijkheid over verwerkingsverantwoordelijke, verwerker, FG en management.

Aantoonbaarheid richting keten en toezicht
Niet uitleggen achteraf, maar ingericht vooraf.

Wat is ISO 27701?

ISO/IEC 27701 beschrijft hoe organisaties privacy borgen via een Privacy Information Management System (PIMS), als uitbreiding op ISO 27001.

De norm helpt om:

  • privacyrisico’s expliciet te maken en te prioriteren;
  • AVG-verplichtingen te vertalen naar werkbare processen;
  • rollen en verantwoordelijkheden helder te beleggen;
  • aantoonbaar “in control” te zijn richting toezichthouders, klanten en partners.

ISO 27701 is geen losstaand certificaat en geen alternatief voor de AVG.
Het is het sturingsmechanisme waarmee AVG-compliance duurzaam wordt ingebed.

Waarom dit relevant is

Veel organisaties herkennen dit:

  • AVG-verantwoordelijkheden zijn versnipperd over Legal, IT, Security en operatie.
  • Verwerkingenregisters en DPIA’s bestaan, maar leven los van risicomanagement.
  • Ketenafspraken met verwerkers zijn onvolledig of niet aantoonbaar beheerst.
  • Privacyvraagstukken worden reactief opgepakt — vaak onder tijdsdruk.
  • Bestuur en management missen overzicht en stuurinformatie.

ISO 27701 brengt hier structuur, governance en prioriteit in.
Niet als compliance-laag, maar als integraal onderdeel van het managementsysteem.

Hoe ISO 27701 is opgebouwd

SO 27701 bouwt voort op ISO 27001 en voegt privacy-specifieke eisen toe.

1. Privacy geïntegreerd in het managementsysteem

Privacy wordt onderdeel van:

  • beleid en doelstellingen;
  • risicomanagement;
  • besluitvorming en governance;
  • interne audits en management review;
  • continu verbeteren (PDCA).

Privacy staat daarmee in de sturing, niet ernaast.

2. Privacyrisicomanagement

  • koppeling tussen verwerkingen, risico’s en maatregelen;
  • DPIA’s als verdiepend instrument;
  • samenhang tussen informatiebeveiligings- en privacyrisico’s;
  • structurele opvolging en evaluatie.

3. Rollen en verplichtingen in de keten

ISO 27701 maakt onderscheid tussen:

  • verwerkingsverantwoordelijke;
  • verwerker;
  • gezamenlijke verantwoordelijkheden.

Deze rollen worden vertaald naar concrete afspraken, maatregelen en monitoring.

iQomply’s aanpak – van papier naar praktijk

Wij helpen organisaties privacy zo in te richten dat het werkt in de dagelijkse praktijk.

Geen parallel privacy-systeem.
Geen juridisch overgewicht.
Wel structuur, samenhang en bestuurlijke grip.

1. Privacy in context

We starten bij:

  • organisatiecontext en strategie;
  • processen en ketens;
  • typen persoonsgegevens;
  • risico’s met impact.

Privacy wordt nooit geïsoleerd bekeken.

2. Risicogestuurd, niet documentgedreven

We integreren:

  • DPIA’s;
  • verwerkingenregister;
  • bewaartermijnen;
  • rechten van betrokkenen;
  • ketenafspraken

in één logisch risicokader.

3. Governance en besluitvorming

Wie beslist?
Wie is eigenaar?
Wat ligt bij de FG, wat bij management?

We maken dit expliciet, werkbaar en aantoonbaar.

4. Eén managementsysteem

ISO 27701 wordt volledig geïntegreerd in:

  • ISO 27001;
  • NEN 7510 (waar van toepassing);
  • interne audits;
  • management reviews;
  • continu verbeteren.

5. Eén team, één aanspreekpunt

Je werkt met een vast engagement team: privacy, security, governance en risico.
Eén lead consultant naar buiten, meerdere experts achter de schermen.

Wat het oplevert — concreet en meetbaar

Een privacy-managementsysteem dat:

  • aantoonbaar voldoet aan AVG-principes;
  • privacyrisico’s structureel adresseert;
  • helder maakt wat je rol is in de keten;
  • DPIA’s koppelt aan risicosturing;
  • governance en accountability versterkt;
  • audits eenvoudiger en voorspelbaarder maakt;
  • vertrouwen geeft richting klanten en toezichthouders;
  • meegroeit met organisatie en regelgeving.

Kortom: privacy goed geregeld, zonder bureaucratie.

Voor wie bedoeld

Onze ISO 27701-begeleiding is geschikt voor organisaties die:

  • al ISO 27001 hebben en privacy willen integreren;
  • persoonsgegevens verwerken op schaal;
  • actief zijn in complexe ketens;
  • privacy als volwassenheidsvraagstuk zien, niet als vinkje.

Veelvoorkomende sectoren:

  • zorg en zorg-IT;
  • SaaS en IT-dienstverlening;
  • onderwijs;
  • publieke en semipublieke organisaties.

publieke en semipublieke organisaties.

Klaar voor privacy governance die werkt?

Wil je privacy niet alleen aantoonbaar maken, maar structureel onder controle krijgen?

Plan een vrijblijvende kennismaking.
We kijken samen waar je staat, welke privacyrisico’s ertoe doen en hoe ISO 27701 jouw organisatie sterker maakt.

Vrijblijvend, praktisch en gericht op jouw situatie

Plan een kennismaking

Vrijblijvend, praktisch en gericht op jouw situatie.

Ik zoek contact voor (optioneel)
Privacyverklaring