Privacy

ISO 27701

ISO 27701 is de privacy-uitbreiding op ISO 27001. Met deze norm maak je van je ISMS een Privacy Information Management System (PIMS). De koppeling tussen informatiebeveiliging en privacy wordt daarmee expliciet, en je kunt aantoonbaar voldoen aan AVG-vereisten.

Voor organisaties die al ISO 27001 hebben, is 27701 een logische volgende stap. Geen volledig nieuw systeem, maar een uitbreiding op wat je al doet. Normity ondersteunt beide normen integraal — je legt één keer vast en koppelt aan beide.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity en ISO 27701

Normity helpt je eenvoudig op weg met de ISO 27701. Vanzelfsprekend ondersteunt onze software alles wat je nodig hebt: van normenkaders, dreigingsmodellen, risicoanalyse en documentatie tot het vastleggen van jouw organisatie, het beheren van assets en het plannen van activiteiten. En nog veel meer. Niet voor niets staan wij voor grip op kwaliteit. Daarnaast staan onze adviseurs jou graag bij met hun expertise. Bijvoorbeeld bij het uitvoeren van een nulmeting of interne audit. Wij horen graag van je!

Privacy

ISO 27701 vertaalt de eisen uit de AVG en andere privacywetgeving naar concrete maatregelen binnen je managementsysteem. De norm is opgebouwd als uitbreiding op ISO 27001 en ISO 27002, en voegt eisen toe op het gebied van privacy management voor zowel verwerkingsverantwoordelijken als verwerkers.

Wat de norm jou oplevert:

  • aantoonbare invulling van AVG-eisen, gekoppeld aan een internationaal erkend certificaat
  • duidelijk onderscheid in verantwoordelijkheden tussen verwerkingsverantwoordelijke en verwerker
  • integratie van privacy in je bestaande ISMS — geen tweede systeem ernaast
  • betere positie bij aanbestedingen waarin AVG-compliance expliciet wordt gevraagd
  • structuur voor het beheren van betrokkenen-rechten, datalekken en grensoverschrijdende doorgiftes

Voor verwerkers (bijvoorbeeld SaaS-leveranciers, hostingbedrijven, marketingbureaus) is ISO 27701 vaak commercieel interessant: het biedt een eenduidig antwoord op de vraag "kunnen wij jullie data toevertrouwen?" Voor verwerkingsverantwoordelijken — bijvoorbeeld zorginstellingen of overheden — is het de aantoonbare basis dat je AVG-verplichtingen geborgd zijn.

Nuttig om te weten: 27701 maakt onderscheid tussen "PII Controllers" en "PII Processors" en stelt voor beide rollen specifieke eisen. In Normity koppel je je verwerkingen direct aan de relevante 27701-maatregelen, samen met je verwerkingsgrondslagen en je verwerkingsregister. Allemaal één samenhangend geheel.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by design

Privacy by design is het AVG-principe dat privacy vanaf het ontwerp van een proces, systeem of product wordt meegenomen — niet achteraf erop geplakt. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het concreet toepast in je organisatie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by default

Privacy by default is het AVG-principe dat de standaardinstellingen van een systeem of dienst de meest privacyvriendelijke zijn — gebruikers hoeven zelf geen extra stappen te zetten om hun gegevens te beschermen. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het toepast.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

RAVIB inzetten bij de risicoanalyse

RAVIB is een dreigingsmodel dat je gestructureerd door een risicoanalyse voor informatiebeveiliging loodst, met standaarddreigingen die nauw aansluiten bij ISO 27002 en de BIO. In dit artikel laten we zien hoe je het model inzet, welke stappen je zet van dreiging naar maatregel en wat de voordelen zijn.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Waarom heb je een KMS nodig?

Een kwaliteitsmanagementsysteem (KMS) is een structurele manier om kwaliteit in je organisatie te borgen, meten en verbeteren — via processen, documentatie, audits en de PDCA-cyclus. Waarom heb je er een nodig en wat levert het op? In dit artikel bespreken we het nut en de noodzaak van kwaliteitsmanagement.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Tips voor audits: hoe voorkom je auditangst?

Auditangst is het gevoel van spanning rond een aanstaande interne of externe audit — vaak onterecht, want met goede voorbereiding is het prima te managen. In dit artikel delen we praktische tips om ontspannen en met vertrouwen een audit in te gaan, of het nu je eerste is of niet.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Wat is een audit?

Een audit is een systematisch onderzoek door een onafhankelijke auditor die beoordeelt of je organisatie werkt conform een norm zoals ISO 9001, ISO 27001 of HKZ. Audits kunnen intern of extern zijn en vormen het hart van certificering. In dit artikel lees je wat een audit precies is en hoe auditoren te werk gaan.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

MAPGOOD risicoanalyse

MAPGOOD is een dreigingsmodel voor risicoanalyses op het gebied van informatiebeveiliging, opgebouwd uit zeven categorieën: Mens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Met die structuur werk je systematisch en diepgaand alle relevante risico's af. In dit artikel leggen we uit hoe je MAPGOOD toepast in Normity.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 4 - De links

De vierde en laatste rode vlag in onze phishingserie is de link: kloppen ze, verwijzen ze naar het juiste domein of verstoppen ze een kwaadaardig adres achter een vertrouwde tekst? In dit afsluitende deel leer je hoe je verdachte links herkent vóór je erop klikt — de belangrijkste verdedigingslinie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 3 - De inhoud

De derde rode vlag in onze phishingserie is de inhoud van het bericht: opvallende urgentie, dreigementen, taalfouten of vreemde verzoeken zijn klassieke signalen. In dit derde deel van vier zie je welke inhoudskenmerken je meteen alert moeten maken — en wat je vervolgens het beste kunt doen.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 2 - De aanhef

De tweede rode vlag in onze phishingserie is de aanhef: persoonlijk of generiek, juist gespeld of vreemd geformuleerd? Phishers kennen je naam vaak niet en verraden zich met vage aanhefvormen. In dit tweede deel van vier leer je hoe je aan de aanhef al kunt zien of iets niet klopt.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 1 - De afzender

Phishing herken je vaak al aan de afzender: let op afwijkende domeinnamen, verdachte subdomeinen, vreemde karakters en e-mailadressen die net even niet kloppen. Dit is deel 1 van een vierdelige serie over het herkennen van phishing — we starten bij de afzender, de eerste rode vlag in elk bericht.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wat is een verwerking?

Volgens de AVG is 'verwerken' vrijwel alles wat je met persoonsgegevens kunt doen: verzamelen, opslaan, raadplegen, wijzigen, doorsturen, vernietigen — zelfs het enkel bekijken valt eronder. In dit artikel lichten we toe wat het begrip 'verwerken' precies inhoudt en waarom dit ruime begrip relevant is voor elke organisatie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Clean desk

Clean desk is het principe dat medewerkers aan het einde van de werkdag hun bureau leeg en gedocumenteerd achterlaten — geen papieren, geen USB-sticks, geen notities. Samen met clean screen (een vergrendeld, leeg scherm) is het een eenvoudige maar effectieve informatiebeveiligingsmaatregel. In dit artikel lees je waarom het werkt.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Omgevingsbewust

Thuiswerken vraagt om omgevingsbewustzijn: je werkplek is geen kantoor, dus let op wie er meekijkt of meeluistert, wie je wifi gebruikt en hoe je met vertrouwelijke documenten omgaat. In dit artikel zetten we praktische tips op een rij om ook thuis veilig en bewust met informatie om te gaan.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wachtwoorden

Veilige wachtwoorden zijn lang, uniek, moeilijk te raden en je deelt ze nooit — Kaspersky vergeleek ze niet voor niets met onderbroeken. Toch gebruiken veel mensen nog steeds zwakke of hergebruikte wachtwoorden. In dit artikel lees je hoe je goede wachtwoorden kiest, beheert met een wachtwoordmanager en veilig onthoudt.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Support toegang

Normity is privacy by design: standaard heeft ons supportteam geen toegang tot jouw klantomgeving. Pas als je zelf tijdelijk toegang verleent kunnen wij meekijken, en elke handeling wordt gelogd. In dit artikel leggen we uit hoe support-toegang werkt, hoe je die weer intrekt en waarom we deze keuze bewust maken.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing

Phishing is oplichting via e-mail, WhatsApp of SMS waarin de afzender je probeert te verleiden tot klikken, inloggen of betalen op een nepsite. Het is de meest voorkomende route voor datadiefstal en ransomware. In dit artikel geven we praktische tips om phishing te herkennen en er niet in te trappen.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wifi

Wifi is handig, maar niet altijd veilig: open netwerken kunnen worden afgeluisterd, zwak versleutelde wachtwoorden gekraakt en thuisnetwerken onvoldoende ingesteld. Zeker voor thuiswerkers is dat een risico. In dit artikel geven we tips om je wifi veilig in te richten en veilig te werken op openbare netwerken.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Microsoft Teams

Microsoft Teams is het hart van thuiswerken geworden — maar handig is niet automatisch veilig. Wie kan meekijken, hoe ga je om met bestanden, en wat stel je in om persoonsgegevens te beschermen? In dit artikel delen we praktische tips om veilig samen te werken in Microsoft Teams.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

ISMS

Een ISMS (Information Security Management System) is géén softwarepakket, maar een systematische manier waarop een organisatie informatiebeveiliging borgt — met beleid, processen, maatregelen en continue verbetering volgens PDCA. Software zoals Normity ondersteunt dat, maar ís het niet. In dit artikel lees je wat een ISMS precies is en waarom je er een nodig hebt.

Marcel van Langen

Veelgestelde vragen over ISO 27701

De vragen die we het vaakst krijgen over ISO 27701, met korte en feitelijke antwoorden.

ISO 27701 is de internationale norm voor Privacy Information Management Systems (PIMS). De norm breidt ISO 27001 en ISO 27002 uit met privacy-specifieke eisen en maatregelen, gericht op de verwerking van persoonsgegevens. Organisaties die al ISO 27001-gecertificeerd zijn, kunnen ISO 27701 als uitbreidingscertificering halen.

ISO 27701 is bedoeld voor organisaties die persoonsgegevens verwerken als verwerkingsverantwoordelijke of verwerker — in de praktijk vrijwel iedereen. De norm is vooral waardevol voor cloud-, SaaS- en HR-dienstverleners die aantoonbaar AVG-compliant willen zijn richting opdrachtgevers, en voor organisaties met veel grensoverschrijdende gegevensverwerking.

De AVG is Europese wetgeving met juridische verplichtingen. ISO 27701 is een vrijwillige norm die praktische maatregelen biedt om aan die verplichtingen te voldoen. Een ISO 27701-certificaat bewijst niet automatisch volledige AVG-naleving, maar laat wel zien dat privacy structureel is geborgd in een managementsysteem.

Nee — ISO 27701 is een uitbreiding op ISO 27001. Je moet eerst ISO 27001-gecertificeerd zijn (of gelijktijdig certificeren) voordat je ISO 27701 kunt halen. De twee normen worden vrijwel altijd in één audit-traject door dezelfde geaccrediteerde instelling gecombineerd.

In ISO 27701 zijn PII Controllers (verwerkingsverantwoordelijken) en PII Processors (verwerkers) twee verschillende rollen met elk eigen eisen. De norm kent een basisdeel plus twee aanvullende bijlagen: één voor controllers en één voor processors. Welke bijlage van toepassing is, hangt af van de rol die jouw organisatie speelt.

ISO 27701 vereist onder meer: een DPIA-proces, rechten voor betrokkenen (inzage, verwijdering), transparante verwerkingsdoelen, actuele verwerkingsregisters, privacy by design, meldprocedures voor datalekken en sluitende contracten met sub-verwerkers. Allemaal zaken die ook direct uit de AVG volgen, maar in ISO 27701 systematisch zijn uitgewerkt.

Voor organisaties die al ISO 27001-gecertificeerd zijn, kost de uitbreiding naar ISO 27701 doorgaans drie tot zes maanden extra. Organisaties die beide tegelijk willen halen, kunnen rekenen op een totaal traject van twaalf tot achttien maanden. Het privacymanagementsysteem wordt getoetst in dezelfde audit als het ISMS.

Nee. De AVG voorziet in officiële EU-certificeringsmechanismen (artikel 42), maar die zijn nog niet breed uitgerold. ISO 27701 is internationaal en breed beschikbaar, maar juridisch geen AVG-certificering. Wel geldt ISO 27701 als de sterkste internationaal erkende standaard voor privacy management.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management