Informatiebeveiliging

Privacy onder controle met ISO 27001: dit moet je weten

Privacy onder controle met ISO 27001: dit moet je weten
Privacy is geen juridische bijzaak meer. Sinds de AVG is het zelfs wettelijk verplicht. Kortom: het hoort gewoon bij je informatiebeveiliging. Toch blijft het in de praktijk lastig: waar begin je, wat moet je regelen, en hoe bewaar je het overzicht? In deze blog leggen we uit hoe privacy en ISO 27001 zich tot elkaar verhouden, waar het vaak misgaat in de praktijk, en hoe je controle krijgt zonder dat je jurist hoeft te zijn.
Dit artikel is voor het laatst bijgewerkt op
18/8/2025

ISO 27001 vs. AVG

Laten we beginnen met het verschil. ISO 27001 is een internationale norm voor informatiebeveiliging. De AVG (of GDPR) is wetgeving gericht op privacy. Ze hebben elk hun eigen rol, maar versterken elkaar juist en hebben veel met elkaar te maken.

 

De AVG stelt eisen aan hoe je persoonsgegevens verwerkt en beveiligt. ISO 27001 helpt je om daar gestructureerd invulling aan te geven. De AVG zegt wat je moet doen, de ISO zegt hoe je het moet doen.

 

Waar gaat het vaak mis?

We komen bij veel organisaties dezelfde knelpunten tegen. Herken jij er één (of meer)?

❌ Onzekerheid over de scope: welke persoonsgegevens verwerken we eigenlijk?

❌ Verwerkersovereenkomsten zijn incompleet of verouderd.

❌ De privacyrechten van betrokkenen zijn bekend, maar er is geen duidelijke werkwijze om deze ook echt te waarborgen in de dagelijkse praktijk.

❌ DPIA’s? Ja, ooit gedaan… maar niet vastgelegd.

❌ Het privacybeleid staat op papier, maar is niet daadwerkelijk geïmplementeerd.

❌ Datalekken worden gemeld “als we eraan denken”.

❌ Vertrouwen op leveranciers zonder duidelijke afspraken of due diligence (grondig onderzoek).

❌ Internationale verwerkingen zonder helder zicht op wetgeving (EU vs. VS).

❌ Onvoldoende bewustzijn in de organisatie (“dat doet de FG toch?”).

❌ Geen duidelijk zicht op wettelijke verplichtingen (legal register ontbreekt).

 

En misschien wel de grootste valkuil: privacy wordt 'los' gezien van informatiebeveiliging. Maar privacy is juist onderdeel van informatiebeveiliging.

 

Hoe ISO 27001 helpt bij privacy

De ISO 27001:2022 geeft handvatten om privacy te integreren in je informatiebeveiliging. Hieronder bespreken we een paar concrete controls (beheersmaatregelen) uit Annex A die daar direct op ingaan:

 

- A.5.31: Juridische, wettelijke, contractuele verplichtingen

Zorg dat je weet welke wet- en regelgeving op jouw organisatie van toepassing is, inclusief privacywetgeving. Dit is de basis voor compliance.

Voorbeeld uit de praktijk:

  • Leg in je ISMS vast welke privacywetten relevant zijn (bijvoorbeeld de AVG, maar ook sectorregels of internationale wetten, zoals de California Consumer Privacy Act (CCPA) als je zaken doet met de VS).
  • Gebruik een legal register waarin je kort beschrijft: wat is de verplichting, op wie is die van toepassing, en hoe voldoe je eraan?
  • Voeg het verwerkingsregister toe als verplichte bijlage of documenttype binnen je ISMS.
  • Stel een verantwoordelijke aan (bijv. de PO of CISO) en plan minimaal jaarlijkse updates.

 

 

- A.5.34: Privacy en bescherming van Persoonlijk identificeerbare informatie (PII)

Verplicht je organisatie om maatregelen te nemen om persoonsgegevens rechtmatig en veilig te verwerken.

Voorbeeld uit de praktijk:

  • Zorg dat je een privacybeleid hebt dat in lijn is met je informatiebeveiligingsbeleid.
  • Documenteer bijvoorbeeld hoe je toestemming vastlegt, hoe je rechten van betrokkenen verwerkt (zoals inzageverzoeken), en welke grondslagen je gebruikt.
  • Zorg dat er een register van verwerkingen is die informatie bevat over grondslag, bewaartermijnen, ontvangers, en betrokken systemen.

 

- A.6.3: Bewustwording van, opleiding en training in informatiebeveiliging

Zorg dat medewerkers zich bewust zijn van privacyrisico’s en weten hoe ze op een veilige en correcte manier met persoonsgegevens omgaan.

Voorbeeld uit de praktijk:

  • Organiseer regelmatig verplichte trainingen over privacy en gegevensbescherming, zoals het herkennen van privacygevoelige informatie, het juist toepassen van de AVG, en het melden van een datalek. Zorg dat nieuwe medewerkers direct bij indiensttreding een introductietraining over privacy volgen.
  • Verhoog het privacybewustzijn binnen de organisatie door medewerkers structureel te trainen in het veilig en zorgvuldig omgaan met persoonsgegevens. Denk hierbij aan het herkennen van gevoelige gegevens, het voorkomen van datalekken en het naleven van de AVG. Integreer deze kennis in onboarding en herhaal dit regelmatig via e-learnings of klassikale sessies.

 

 

- A.6.6: Geheimhoudingsverklaringen

Zorg dat medewerkers én leveranciers zich contractueel verbinden aan vertrouwelijkheid.

Voorbeeld uit de praktijk:

  • Laat nieuwe medewerkers bij indiensttreding een geheimhoudingsverklaring ondertekenen. Verwijs daarin ook naar je privacybeleid.
  • Zorg dat in je contracten met leveranciers standaard een verwerkersovereenkomst zit met afspraken over vertrouwelijkheid en beveiliging.

Hulp nodig bij privacyvraagstukken? We helpen je graag verder. Lees meer.

 

 

- A.8.10: Verwijderen van informatie

Regel wanneer en hoe persoonsgegevens veilig worden verwijderd.

Voorbeeld uit de praktijk:

  • Richt een proces in waarbij klantgegevens automatisch worden verwijderd na een bepaalde termijn (bijvoorbeeld 2 jaar na het laatste contact).
  • Laat IT een verwijderlogboek bijhouden, of bouw een workflow in je CRM waarin dat automatisch gebeurt.

Let op: sommige persoonsgegevens moeten juist een minimale tijd worden bewaard, bijvoorbeeld vanwege fiscale of juridische verplichtingen. Denk daarom goed na over de juiste bewaartermijn per type gegeven.

We schreven eerder een blog over hoe je zorgvuldig omgaat met bewaartermijnen. Die vind je hier!

 

 

- A.8.11: Data masking

Een techniek om gevoelige data te beschermen bij bijvoorbeeld testen of training.

Voorbeeld uit de praktijk:

  • In je testomgeving werk je met echte klantdata? Niet doen. Gebruik in plaats daarvan gemaskeerde data, zoals fictieve namen en adressen.
  • Supportmedewerkers kunnen alleen het laatste deel van een BSN of rekeningnummer zien, tenzij ze expliciete toegang krijgen.

 

 

- A.8.12: Data leakage prevention

Voorkom dat persoonsgegevens onbedoeld uitlekken door technische maatregelen.

Voorbeeld uit de praktijk:

  • Beperk het versturen van persoonsgegevens via e-mail door technische limieten in te stellen, zoals maximale bestandsgrootte, toegestane bestandstypen of het blokkeren van bijlagen naar externe e-mailadressen. Gebruik daarnaast een Data Loss Prevention (DLP) oplossing die automatisch voorkomt dat medewerkers persoonsgegevens naar een privé-e-mailadres sturen.
  • Implementeer automatische schijfversleuteling op laptops (zoals BitLocker voor Windows of FileVault voor macOS) zodat bij verlies of diefstal van het apparaat de opgeslagen persoonsgegevens niet toegankelijk zijn.

 

➡️ Deze controls zijn geen “checklist”, maar helpen je wel om AVG-verplichtingen te vertalen naar praktische maatregelen.

 

Wat kun je doen zonder jurist of privacyteam?

Je hoeft geen specialist te zijn om stappen te zetten. Met een goede basis in je ISMS kom je al een heel eind. Denk bijvoorbeeld aan:

  • Verwerkingsregister op orde: begin simpel, breng in kaart welke persoonsgegevens je verwerkt en waarom.
  • Datalekprocedure testen: weet iedereen wanneer er sprake is van een datalek? En wat je dan moet doen? Maak het bespreekbaar.
  • Bewustzijn creëren: niet alleen met e-learnings, maar ook via teamgesprekken of incidentbesprekingen.
  • Verwerkers beoordelen: vraag je leveranciers (zoals softwareleveranciers of clouddiensten) actief om aan te tonen hoe zij omgaan met privacy en beveiliging. Denk aan documenten zoals een verwerkersovereenkomst, een recente beveiligingsverklaring, DPIA, of informatie over hoe zij datalekken en risico’s aanpakken.
  • Privacybeleid koppelen aan je ISMS: zorg dat het privacybeleid geen los document is dat ergens in een map staat, maar actief wordt toegepast binnen je organisatie. Bijvoorbeeld door het te koppelen aan je risicoanalyse of te verwijzen naar het privacybeleid.

 

En misschien wel het belangrijkste: leg beslissingen vast. Een DPIA hoeft geen dik boekwerk te zijn, zolang je maar laat zien dat je hebt nagedacht over risico’s en maatregelen.

 

Privacy structureel meenemen: hoe dan?

Een paar concrete adviezen voor een doeltreffende aanpak:

  1. Begin bij je processen: kijk waar persoonsgegevens verwerkt worden en wie erbij kan.
  2. Koppel privacy aan risicoanalyse: voeg privacyrisico’s toe aan je reguliere ISO 27001-risicoanalyse.
  3. Borg AVG-eisen in je ISMS: bijvoorbeeld in je change management, leveranciersbeheer of bewustzijnsprogramma.
  4. Vergeet je privacyverklaring niet: zorg dat wat je opschrijft ook klopt met de praktijk.
  5. Zorg dat het leeft: alleen beleid opschrijven is niet genoeg. Laat het terugkomen in gedrag, bewustwording én audits.

 

Privacy hoeft geen hoofdpijn te geven. ISO 27001 helpt je juist om orde te scheppen in de wirwar van regels, processen en documentatie. Je hoeft geen jurist te zijn om privacy serieus te nemen, als je maar weet waar je moet beginnen. En dat is precies waar wij je bij kunnen helpen.

 

Wil je meer grip op privacy in jouw ISO-aanpak? Neem gerust contact met ons op voor praktische ondersteuning (zoals een AVG-scan) of een vrijblijvende check op jouw privacyprocessen.

Mathijs Oppelaar
Operationeel Manager
085 773 60 05
Naar nieuwsoverzicht

Gerelateerde artikelen

Nieuws
Nieuwe samenwerking vanwege de NIS2: Fendix x Samen Digitaal Veilig
lees meer
Nieuws
Fendix sluit zich aan bij IBP Platform: samen voor veilig digitaal onderwijs
lees meer
KAM Certificeringen is nu Fendix

Wij zijn partner van

SGS
BSI
TUV
DEKRA
KIWA
Brand Compliance
LRQA
DNV
Digitrust