Skip to main content

ISO/IEC 27701 Certificering 

Bel ons voor vrijblijvende informatie

Noordbeek Certification is door de Raad voor Accreditatie geaccrediteerd voor ISO/IEC 27701 audits. Dat klinkt formeel, maar het verschil is groot. Je krijgt geen audit van een tussenpartij die ergens een licentie heeft gekocht. Je krijgt een audit van ons, met ons certificaat, dat gewoon erkend wordt. Door opdrachtgevers, inkopers en iedereen die wil weten hoe jij met persoonsgegevens omgaat.

Bel ons voor vrijblijvende informatie of vraag een offerte aan

Privacy verdwijnt niet van de agenda

De AVG bestaat sinds 2018. Sindsdien heeft de Autoriteit Persoonsgegevens in heel Europa boetes uitgedeeld aan organisaties die het niet op orde hadden. En toch lopen veel organisaties nog steeds achter. Ze weten dat er iets moet gebeuren maar weten niet precies wat, of ze wachten tot een klant erom vraagt.

Dat laatste is gevaarlijk. Want op het moment dat een opdrachtgever belt met een aanbesteding en vraagt om een ISO/IEC 27701 certificaat, ben je te laat als je dan pas begint.

In oktober 2025 is ook nog eens een nieuwe versie verschenen: ISO/IEC 27701:2025. Niet zomaar een update. De norm is nu een zelfstandige standaard geworden. Dat betekent concreet dat je geen ISO/IEC 27001 certificaat meer nodig hebt om te starten. Wie al gecertificeerd is op de 2019-versie heeft tot oktober 2028 om over te stappen. Drie jaar klinkt comfortabel. Dat is het zelden.

Heb je te maken met NIS2, of de Cyberbeveiligingswet zoals die in Nederland wordt ingevoerd? Dan sluit ISO/IEC 27701 goed aan. Het geeft structuur aan precies de dingen waar NIS2 ook naar kijkt: hoe ga je om met risicos, wie is verantwoordelijk en wat doe je als het misgaat.

Herken je dit?

Je zit in een verkoopgesprek. Gaat het goed. Dan vraagt de inkoper: hebben jullie een ISO 27701 certificaat? Je zegt dat je AVG-compliant bent. Dat is niet hetzelfde. Je mist de deal.

Of je hebt al ISO/IEC 27001. Prima. Maar een zorginstelling of overheidsklant wil juist iets op het vlak van privacy. Wat is het verschil tussen die twee normen dan precies? En betekent dat een heel nieuw traject?

Misschien verwerk je gewoon klantgegevens, personeelsdata of medische informatie. Je weet dat de AVG er iets over zegt. Maar concreet aan de slag gaan, daar komt het maar niet van.

Dat soort vragen beantwoorden we gewoon. Geen consultancy-taal. Gewoon een eerlijk gesprek over waar je staat.

Wat is ISO/IEC 27701 eigenlijk?

ISO/IEC 27701 is de internationale norm voor een Privacy Information Management System, afgekort PIMS. Simpel gezegd: het beschrijft hoe je privacy niet als losse verplichting behandelt maar als iets wat je echt geregeld hebt in je organisatie. Beleid, processen, rollen, controles en een manier om dat te blijven verbeteren.

De norm werkt met twee rollen. Ben je verwerkingsverantwoordelijke? Dan bepaal je zelf waarvoor en hoe je persoonsgegevens gebruikt. Ben je verwerker? Dan doe je dat in opdracht van een andere partij. Denk aan een salarisverwerker, een IT-leverancier of een hostingbedrijf. ISO/IEC 27701 stelt aan beide rollen andere eisen en die zijn in de 2025-versie scherper en duidelijker dan in de vorige versie.

Had je al ISO/IEC 27001? Dan is er veel overlap. We voegen de audits samen. Dat scheelt een aanzienlijk deel van de kosten en doorlooptijd. Heb je nog geen ISO/IEC 27001? Geen probleem meer. Met de nieuwe norm kun je puur op privacy starten, zonder dat je eerst een volledig informatiebeveiligingssysteem opgebouwd moet hebben.

Voor wie is het?

Niet alleen grote bedrijven met een eigen privacyteam. Eigenlijk voor iedere organisatie die persoonsgegevens bijhoudt, verwerkt of opslaat en dat zijn er meer dan je denkt. Salarisverwerkers en HR-dienstverleners. Softwarebedrijven die klantdata in hun systemen hebben. Marketingbureaus die campagnes draaien op persoonsgegevens. Zorginstellingen. Gemeenten. Accountantskantoren. Cloudaanbieders. Onderwijsinstellingen.

Weet je het niet zeker? Bel ons. We kijken gratis met je mee of het voor jouw organisatie relevant is.

Neem direct contact op

Wat levert het op?

Het meest directe voordeel is toegang tot opdrachten die je nu misloopt. Grote inkopers, zorgverzekeraars, overheidsdiensten, ze vragen steeds vaker om een ISO/IEC 27701 certificaat. Niet als extra wens maar als harde voorwaarde in de eerste selectieronde.

Maar daar stopt het niet. Veel van wat de AVG van je vraagt zit al in de norm verwerkt. Je werkt dus tegelijk aan je privacybeheer en aan je compliance, zonder twee aparte trajecten. Een goed ingericht PIMS dwingt je ook om na te denken over wat er mis kan gaan. Wat zijn de risicos? Wie heeft toegang tot welke data? Wat doe je als er een datalek is? Organisaties die dat goed geregeld hebben betalen minder herstelkosten bij incidenten.

Klanten en partners merken het ook. Niet omdat jij het zegt maar omdat een onafhankelijke partij heeft gecheckt of het klopt.

Hoe werkt het bij ons?

Vijf stappen. Zonder verrassingen onderweg.

Stap 1 - Intake Een uur, gratis, vrijblijvend. We kijken samen naar jouw organisatie: wat doe je, wat heb je al, wat moet er nog. Daarna krijg je een offerte op maat. Geen standaardbedrag, want twee organisaties zijn nooit hetzelfde.

Stap 2 - Documentbeoordeling Een auditor kijkt naar je privacybeleid, je procedures, je risicoanalyse, je verwerkersregisters en je verklaring van toepasselijkheid. Je krijgt een rapport terug met precies wat er nog niet klopt zodat je dat kunt aanpassen voor de praktijkaudit.

Stap 3 - Praktijkaudit We komen langs. Gesprekken met mensen, kijken naar systemen, processen bekijken. De kern van de vraag is altijd: komt wat op papier staat ook overeen met hoe het in de praktijk gaat?

Stap 4 - Certificeringscommissie Drie senior auditors beoordelen het dossier. Onafhankelijk van elkaar. Een persoon beslist nooit alleen. Zo blijft de waarde van ons certificaat overeind.

Stap 5 - Certificaat Drie jaar geldig. Daarna hercertificering. Tussendoor elk jaar een surveillance-audit, een lichtere controle of het PIMS nog steeds werkt zoals het moet.

Plan een intakegesprek ISO/IEC 27701 certificering, vrijblijvend en gratis

Wat kost het?

Dat hangt af van hoe groot je organisatie is, wat de scope is en hoe ver je al bent. Er is geen vaste prijs. Vraag een offerte aan. Dan weet je waar je aan toe bent zonder dat je ergens aan vasthoudt.

Waarom Noordbeek?

We zijn klein. Dat is bewust. Je praat altijd met dezelfde auditor, niet met een wisselend team dat je dossier de avond van tevoren heeft opengeslagen. Onze accreditatie is afgegeven door de Raad voor Accreditatie, die onderdeel is van het internationale IAF-MLA netwerk. Dat betekent dat ons certificaat ook buiten Nederland gewoon erkend wordt.

Onze auditors kennen ISO/IEC 27701 goed, ook de 2025-versie. Ze weten wat er speelt bij een SaaS-bedrijf of een HR-dienstverlener en ze stellen vragen die verder gaan dan een checklistje afvinken.

Je belt gewoon een mens. Geen wachtrij, geen ticketnummer. En voor je begint weet je wat het kost.

Veelgestelde vragen

Hoe lang duurt zo'n traject?

Als je al iets hebt zoals beleid, verwerkersregisters en een risicoanalyse, dan zit je vaak op drie tot zes maanden. Heb je echt nog niets op orde, dan wordt het zes tot negen maanden voorbereiding. Een gap-analyse aan het begin scheelt veel vertraging achteraf. Die doen we samen tijdens de intake.

Heb ik ISO/IEC 27001 nodig?

Vroeger wel. Maar met ISO/IEC 27701:2025 is dat veranderd. Je kunt nu puur op privacy certificeren zonder dat je eerst een volledig informatiebeveiligingssysteem opgebouwd hebt. Heb je ISO/IEC 27001 al? Dan combineren we de audits. Scheelt je geld en tijd.

Is dit hetzelfde als AVG-compliance?

Nee. Maar ze overlappen sterk. ISO/IEC 27701 geeft je een systeem dat aansluit op wat de AVG vraagt. Een certificaat is geen juridisch bewijs van naleving van de AVG maar het is het sterkste teken dat je het serieus aanpakt. De Autoriteit Persoonsgegevens ziet certificering als positief bewijs van verantwoord privacybeheer.

Ik heb een certificaat op de 2019-versie. Wat moet ik doen?

Voorlopig niets verplicht. Je hebt tot oktober 2028 om over te stappen. Maar begin niet te laat met de gap-analyse. De structuur van de norm is veranderd en dat vraagt aanpassingen in je documentatie en je Statement of Applicability. We adviseren ruim op tijd te starten.

Kan ik dit combineren met ISO/IEC 27001 of NEN 7510?

Ja. Als er overlap is combineren we de audits. Je hoeft niet apart te betalen voor drie losse trajecten.

Wat als we de audit niet halen?

Dan krijg je een rapport met de punten die niet kloppen. Je krijgt de kans om die op te lossen. Daarna volgt een hercontrole op alleen die specifieke punten. Je betaalt uitsluitend de extra uren die daarvoor nodig zijn.

Eerste stap?

De intake kost je niets. Geen verplichting, geen verkoopverhaal. Gewoon een eerlijk gesprek over waar je nu staat en wat het kost om gecertificeerd te raken.

Neem direct contact op met uw specialist

IT Audits
Contact

Noordbeek Certification B.V.
Rijndijk 235
2394 CD Hazerswoude
KvK 80529585

071 3416911 

Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

© Noordbeek Certification B.V. All rights reserved.