ISO en AVG: twee aparte kaders
Veel organisaties beschikken over een ISO-certificaat zoals ISO 27001 of ISO 9001. Hoewel dit waardevol is voor het aantonen van kwaliteit en informatiebeveiliging, ontstaat er vaak verwarring: is een ISO-certificaat ook een bewijs van AVG-compliance?
Het korte antwoord: nee.
ISO en AVG: twee aparte kaders
Een ISO-certificering toont aan dat een organisatie voldoet aan bepaalde standaarden – bijvoorbeeld ISO 27001 voor informatiebeveiliging. De AVG daarentegen is een Europese privacywet die expliciete eisen stelt aan de omgang met persoonsgegevens.
Deze verplichtingen omvatten transparantie, dataminimalisatie en het recht op inzage of verwijdering. Deze verplichtingen worden niet of slechts beperkt afgedekt in ISO-normen.
Waarom ISO 27001 geen AVG-certificering is
ISO 27001 richt zich op risicomanagement en het opzetten van een Information Security Management System (ISMS). Dat is belangrijk, maar de AVG stelt aanvullende eisen:
- Transparantieplicht: Organisaties moeten helder communiceren over hoe persoonsgegevens worden verwerkt.
- Toestemming: Persoonsgegevens mogen alleen worden verzameld met expliciete toestemming.
- Rechten van betrokkenen: Denk aan het recht op inzage, correctie of verwijdering van gegevens.
- DPIA-verplichting: In sommige gevallen vereist de AVG een Data Protection Impact Assessment. ISO 27001 noemt dit niet expliciet.
- Verwerkersovereenkomsten: De AVG vereist gedetailleerde afspraken met externe verwerkers van persoonsgegevens. ISO-normen stellen minder strikte eisen.
Praktijkvoorbeeld: waarom ISO niet voldoende is
Stel, een bedrijf heeft ISO 27001 en denkt dat dit voldoende is voor een AVG-audit. Tijdens de audit blijkt echter dat:
- Er geen register van verwerkingsactiviteiten is bijgehouden.
- Betrokkenen niet goed zijn geïnformeerd.
- Er geen expliciete toestemming is vastgelegd voor marketingdoeleinden.
- De organisatie niet kan aantonen dat risico’s zijn beoordeeld volgens de AVG-criteria.
Gevolg: het bedrijf is alsnog in overtreding en riskeert sancties.
Wat moet je dan wél doen?
ISO-certificering kan zeker bijdragen aan informatiebeveiliging, maar is slechts een deel van het verhaal. Wil je volledig AVG-compliant zijn, dan moet je:
- Een AVG-register bijhouden
- DPIA’s uitvoeren waar nodig
- Verwerkersovereenkomsten opstellen
- Transparant zijn richting betrokkenen
- Interne processen periodiek toetsen op AVG-naleving
RealCob: jouw totaaloplossing voor AVG én NIS2
RealCob is ontwikkeld met het oog op álle wettelijke verplichtingen op het gebied van privacy én cybersecurity. De software:
- Checkt en borgt zowel de organisatorische als technische veiligheid (AVG + NIS2)
- Is geschikt voor zowel MKB als grotere organisaties
- Genereert direct rapportages, adviezen en compliance-certificaten
- Ondersteunt DPIA’s en ISO-checks optioneel
- Een certificaat van naleving na voltooiing
Dit alles zonder dat je een juridische of technische achtergrond nodig hebt.
Conclusie: compliance begint waar ISO ophoudt
ISO-certificering is geen vervanging voor AVG-compliance. Het is een waardevolle basis, maar geen eindstation. Voor een complete aanpak heb je een oplossing nodig die beide domeinen afdekt – zoals RealCob.