Alles wat u moet weten over de update van de ISO 27701:2025-norm

De Internationale Organisatie voor Standaardisatie (ISO) heeft de bijgewerkte versie van de ISO/IEC 27701-norm voor privacy-informatiebeheer in oktober 2025. Voorheen een uitbreiding op ISO 27001 en ISO 27002, de ISO 27701:2025-update stelt ISO 27701 als onafhankelijke norm.

In deze blog onderzoeken we de verschillen tussen ISO 27701:2025 en de versie uit 2019 en bespreken we wat deze voor uw bedrijf betekenen.

Wat is er veranderd in de ISO 27701:2025-norm?

De verandering van ISO 27701 van extensie naar een volwaardige standaard gaat gepaard met een nieuwe titel; Informatiebeveiliging, cyberbeveiliging en privacybescherming – Privacy-informatiebeheersystemen, wat de nieuwe status weerspiegelt. Dit vervangt de vorige titel, Beveiligingstechnieken — Uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacy-informatiebeheer.

Wijzigingen op het hoogste niveau zijn onder meer:

• ISO 27701 is nu een standaard in plaats van een uitbreiding van ISO 27001
• De beheersclausules 4.1 tot en met 10.2 zijn toegevoegd
• Bijlagen zijn hernoemd en hernummerd
• De privacycontroles blijven hetzelfde, met dezelfde vereisten
• Er is een nieuwe bijlage toegevoegd met 29 informatiebeveiligingscontroles
• Nieuwe maatregelen voor informatiebeveiliging vervangen clausule 6 van ISO 27701:2019.

We gaan dieper in op deze veranderingen.

Herstructurering van de clausule ISO 27701:2019 naar ISO 27701:2025

De norm is herzien, waarbij de beheerclausules 4.1 tot en met 10.2 zijn ingevoerd in overeenstemming met ISO 27001 en ISO 27002.

De vorige versie van de norm, ISO 27701:2019, bevatte clausules waarin PIMS-specifieke (Privacy Information Management System) vereisten in relatie tot ISO 27001, PIMS-specifieke vereisten in relatie tot ISO 27002, aanvullende richtlijnen voor PII-beheerders (persoonlijk identificeerbare informatie) en aanvullende richtlijnen voor PII-verwerkers werden beschreven.

Artikel 1, reikwijdte, verwijst nu naar de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een zelfstandig Privacy Information Management-systeem (PIMS) in plaats van het opzetten van een PIMS als uitbreiding op ISO 27001 en ISO 27002.

Artikel 2, normatieve verwijzingen, Bevat een kortere lijst met referenties, omdat ISO 27701 nu als standaard bestaat in plaats van als uitbreiding. De update van 2025 verwijst alleen naar ISO/IEC 29100. Informatietechnologie — Beveiligingstechnieken — Privacykader.

Verwijderde referenties uit de editie van 2019 zijn onder meer:

• ISO/IEC 27000, Informatietechnologie — Beveiligingstechnieken — Informatiebeveiligingsmanagementsystemen — Overzicht en woordenschat
• ISO/IEC 27001:2013, Informatietechnologie — Beveiligingstechnieken — Informatiebeveiligingsmanagementsystemen — Eisen
• ISO/IEC 27002:2013, Informatietechnologie — Beveiligingstechnieken — Praktijkcode voor informatiebeveiligingsmaatregelen.

Artikel 3, termen, definities en afkortingen, is uitgebreid vanwege de bredere reikwijdte van de norm en bevat nu verwijzingen naar doelstellingen, belanghebbenden, enz. in overeenstemming met andere ISO-normen.

Artikel 4 nu context van de organisatie. Deze clausule vereist dat organisaties interne en externe kwesties vaststellen die relevant zijn voor het behalen van de beoogde resultaten van hun PIMS. Ze moeten ook de behoeften en verwachtingen van belanghebbenden vaststellen, de reikwijdte van hun PIMS bepalen en vervolgens hun PIMS opzetten, implementeren, onderhouden en verbeteren.

Artikel 5 nu leidinggevende, ter vervanging van de PIMS-specifieke vereisten met betrekking tot ISO 27001 uit de norm van 2019. Deze clausule is bedoeld om ervoor te zorgen dat het topmanagement leiderschap en betrokkenheid toont met betrekking tot hun PIMS, een passend privacybeleid vaststelt en rollen, verantwoordelijkheden en bevoegdheden op de juiste manier delegeert.

Artikel 6 nu planning, ter vervanging van de PIMS-specifieke eisen met betrekking tot ISO 27002 uit de norm van 2019. Deze clausule richt zich op acties om risico's en kansen aan te pakken, waaronder de beoordeling en behandeling van privacyrisico's. Organisaties moeten ook privacydoelstellingen vaststellen en plannen hoe ze deze kunnen bereiken, en rekening houden met wijzigingen in het PIMS.

Artikel 7 nu support, Vervangt de aanvullende ISO 27002-richtlijnen voor PII-beheerders. Deze clausule vereist dat organisaties ervoor zorgen dat er voldoende middelen, competenties, bewustzijn, communicatie en gedocumenteerde informatie beschikbaar zijn voor het opzetten, implementeren, onderhouden en continu verbeteren van het PIMS.

Artikel 8 nu operatie, ter vervanging van de aanvullende ISO 27002-richtlijn voor PII-verwerkers. De clausule vereist dat organisaties de processen plannen, implementeren en beheersen die nodig zijn om te voldoen aan de nalevingsvereisten. Het vereist ook dat organisaties privacyrisicobeoordelingen uitvoeren en privacyrisicobehandelingen implementeren.

Artikel 9, prestatiebeoordeling is een nieuwe toevoeging aan de norm. Deze clausule richt zich op monitoring, meting, analyse en evaluatie, inclusief interne audits en managementreviews.

Artikel 10, verbetering, is ook een nieuwe toevoeging aan de standaard. Het vereist dat organisaties maatregelen nemen om hun PIMS continu te verbeteren.

Artikel 11, nadere informatie over bijlagen, is nieuw en geeft informatie over Bijlage C, D, E en F.

Wijzigingen in bijlagen

De bijlagen van ISO 27701 zijn hernoemd en hernummerd, maar de privacymaatregelen blijven hetzelfde en bevatten dezelfde eisen. Bijlage A is samengevoegd tot één bijlage, waar het voorheen twee afzonderlijke bijlagen waren voor PII-verwerkers en PII-beheerders.

Er zijn echter nieuwe maatregelen voor informatiebeveiliging toegevoegd.

Nieuwe informatiebeveiligingscontroles

De 29 nieuwe informatiebeveiligingsmaatregelen zijn te vinden in Tabel A.3 – Controledoelstellingen en -maatregelen voor PII-beheerders en PII-verwerkers. De maatregelen omvatten:

• Beleid voor informatiebeveiliging
• Classificatie van informatie
• Identiteitsbeheer
• Toegangsrechten
• Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
• Bewustzijn, opleiding en training op het gebied van informatiebeveiliging

En meer.

Ik ben al ISO 27701-gecertificeerd, wat betekent dit voor mij?

De deadline voor de overstap naar de nieuwe ISO 27701-norm is oktober 2028. Veel van de informatiebeveiligingsmaatregelen in de nieuwe ISO 27701:2025-update zijn echter direct afgestemd op de eisen voor ISO 27001. Hierdoor zullen organisaties die al gecertificeerd zijn volgens ISO 27701 als uitbreiding op ISO 27001, de overstap naar ISO 27701:2025 als aparte norm relatief soepel laten verlopen.

Versterk vandaag nog uw privacybeleid

Dataprivacy is een belangrijk onderdeel van de compliance-cyclus van IO: informatiebeveiliging, dataprivacy en AI-governance, die allemaal de veerkracht van organisaties ondersteunen. Organisaties die cyberweerbaarheid inbouwen, ontwikkelen zich snel tot leiders in hun branche en behalen een concurrentievoordeel. De bijgewerkte ISO 27701 ondersteunt het opzetten van een privacy-informatiemanagementsysteem en het holistisch verbeteren van dataprivacypraktijken.

Het IO-platform en de tools staan ​​klaar om u nu te ondersteunen: van het begrijpen van de veranderingen en het controleren van de impact op de doelstellingen van uw organisatie op het gebied van dataprivacy tot implementatiebegeleiding en de overgang van uw certificering. Profiteer vandaag nog van uw compliancevoordeel – Boek uw demo!