De nieuwe ISO 27701:2025 uitgelegd: dit zijn de belangrijkste wijzigingen
ISO 27701:2025 is uitgegroeid tot een zelfstandige norm voor privacymanagement, met een duidelijke structuur en meer focus op moderne privacyrisico’s zoals cloud en AI. Voor organisaties die nog moeten starten biedt dit een toegankelijk en toekomstbestendig kader om privacy professioneel en aantoonbaar te organiseren.
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlPrivacy staat bij steeds meer organisaties hoog op de agenda. Logisch ook. Je verwerkt meer persoonsgegevens dan ooit en wetgeving zoals de AVG blijft zich ontwikkelen. Die beweging zie je terug in normen. In oktober 2025 verscheen een vernieuwde versie van ISO 27701.
Deze nieuwe ISO 27701 is een belangrijke stap vooruit. Waar de vorige versie vooral een uitbreiding was op ISO 27001, is de norm nu uitgegroeid tot een zelfstandige standaard voor privacymanagement. Maar wat betekent dat concreet? En wat moet je als organisatie weten als je nog moet starten?
Wat is ISO 27701?
ISO 27701 is een internationale norm voor het opzetten en onderhouden van een Privacy Information Management System (PIMS). De norm helpt je om privacy structureel te organiseren binnen je organisatie.
Denk aan:
- het vastleggen van rollen en verantwoordelijkheden
- het beheersen van privacyrisico’s
- het inrichten van processen rondom persoonsgegevens
- het aantoonbaar voldoen aan wetgeving zoals de AVG
De norm is bedoeld voor organisaties die werken met persoonlijk identificeerbare informatie (PII). Zowel als verwerkingsverantwoordelijke als verwerker.
Wat is er nieuw in ISO 27701:2025?
De nieuwe ISO 27701 brengt een aantal fundamentele wijzigingen met zich mee. Dit zijn de belangrijkste.
1. Van extensie naar zelfstandige norm
De grootste verandering is de positionering. ISO 27701:2019 was een uitbreiding op ISO 27001 en ISO 27002. Dat betekende dat je eerst een ISMS nodig had. ISO 27701:2025 is een zelfstandige norm. Dat betekent:
- je kunt direct starten met een PIMS
- ISO 27001 is geen harde voorwaarde meer
- de norm is toegankelijker voor privacygedreven organisaties
2. Een volwaardige managementsysteemstructuur
De norm volgt nu de bekende High Level Structure. Daardoor sluit ISO 27701 beter aan op andere normen zoals:
Nieuw is dat privacy wordt benaderd als een compleet managementsysteem, inclusief:
- context van de organisatie
- leiderschap en governance
- planning en risicomanagement
- ondersteuning en middelen
- operationele processen
- evaluatie en verbetering
3. Nieuwe structuur voor privacycontrols
Ook de controlset is vernieuwd. Waar eerder veel overlap zat met ISO 27001, ligt de focus nu duidelijk op privacy-specifieke maatregelen. De controls zijn ingedeeld naar rollen:
- PII controllers
- PII processors
- gedeelde controls
Dit zorgt voor meer duidelijkheid en betere toepasbaarheid in de praktijk.
4. Meer aandacht voor moderne privacyrisico’s
De digitale wereld is veranderd. En dat zie je terug in de norm. ISO 27701:2025 houdt expliciet rekening met:
- cloudomgevingen
- AI en data-analyse
- IoT-systemen
- internationale datastromen
- complexe leveranciersketens
Hierdoor sluit de norm beter aan op hoe organisaties vandaag de dag werken.
Wat betekent de nieuwe ISO 27701 voor organisaties die nog moeten starten?
Voor organisaties die nog moeten beginnen, maakt de nieuwe norm het eigenlijk eenvoudiger. Je kunt privacy nu los van informatiebeveiliging structureren. Dat is interessant voor organisaties waar privacy al een belangrijk thema is, maar waar nog geen volledig ISMS staat.
Denk aan:
- SaaS-organisaties
- HR-dienstverleners
- marketing- en data-analyseorganisaties
- zorgorganisaties
- IT- en cloudproviders
Tegelijk vraagt de norm wel om een bredere aanpak. Privacy gaat niet alleen over maatregelen, maar ook over:
- governance
- verantwoordelijkheden
- risicomanagement
- continue verbetering
Met andere woorden: je richt privacy in als een volwaardig managementsysteem.
Hoe bereid je je voor op de transitie naar ISO 27701:2025?
De exacte overgangsregels worden nog verder uitgewerkt. Maar de richting is duidelijk. Wil je goed voorbereid zijn? Dan zijn dit logische stappen:
- Verdiep je in de nieuwe norm
Begrijp wat er verandert en wat dat betekent voor jouw organisatie. - Voer een gap-analyse uit
Breng in kaart waar je staat en wat er nog ontbreekt. - Actualiseer je risicoanalyse
Neem moderne risico’s zoals cloud en AI expliciet mee. - Herzie je documentatie en processen
Zorg dat je PIMS aansluit op de nieuwe structuur. - Zorg voor kennis in je organisatie
Betrek medewerkers en maak duidelijk wat er van hen verwacht wordt.
Veelgestelde vragen over ISO 27701
Voor welke organisaties is ISO 27701 relevant?
ISO 27701 is relevant voor elke organisatie die persoonsgegevens verwerkt.
Bijvoorbeeld:
- organisaties met HR- en personeelsdata
- organisaties met klant- of marketingdata
- zorginstellingen en medische organisaties
- financiële dienstverleners
- IT- en cloudproviders
- overheden en onderwijsinstellingen
Zodra je persoonsgegevens verwerkt, is privacy geen bijzaak meer. Dan wil je het goed geregeld hebben.
Kort samengevat: ISO 27701:2025 maakt privacy volwassener, duidelijker en beter toepasbaar. Juist voor organisaties die nog moeten starten, biedt deze nieuwe norm een sterke en toekomstbestendige basis. Wil je aan de slag met ISO 27701 certificering? Of de transitie maken naar de nieuwe ISO 27701:2025 versie? Neem dan gerust contact met ons op. Onze adviseurs denken graag met je mee!
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nl
Privacy structureel organiseren?
Borg het met ISO 27701!
- Voorkom risico's
- Toekomstbestendig
- Vrijblijvende offerte
