⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

ISO 27701-privacybeheersmaatregelen testen voor GDPR-verantwoordingsplicht

Igor Petreski
15 min read
Processtroom voor het testen van ISO 27701-privacybeheersmaatregelen en bewijsmateriaal voor verantwoordingsplicht onder GDPR

De privacyaudit op vrijdag die het echte probleem blootlegde

Het is vrijdag 15.40 uur wanneer Maria, de CISO van een snelgroeiend SaaS-bedrijf, deelneemt aan een videogesprek met het hoofd Inkoop van een grote zakelijke prospect.

Haar team heeft maanden gewerkt aan het privacy-informatiemanagementsysteem. Het beleid is goedgekeurd. Het verwerkingsregister bestaat. Het bedrijf heeft een ISO 27701-gereedheidsplan. De FG heeft workflows voor verzoeken van betrokkenen ingericht. Juridische Zaken heeft de verwerkersovereenkomsten bijgewerkt. Engineering zegt dat productietoegang is beperkt.

De inkoopverantwoordelijke opent beleefd, maar direct.

“Dank voor de documentatie, Maria. Het certificaat en het beleidspakket zijn een goed vertrekpunt. Ons due-diligenceteam komt volgende maand op locatie. Zij willen uw DSAR-proces in werking zien, beheersmaatregelen voor gegevensminimalisatie op onze testaccounts verifiëren, toegangslogboeken voor productie beoordelen en bewijsmateriaal inspecteren waaruit blijkt dat privacybeheersmaatregelen zijn getest en niet alleen zijn gedocumenteerd.”

Binnen enkele minuten ontvangt Maria nog twee berichten.

De FG vraagt of de nieuwe analyticsfunctie is opgenomen in het verwerkingsregister, de beoordeling van de rechtsgrondslag, het bewaarschema en de doorgelegde verplichtingen richting verwerkers.

De compliancemanager vraagt of de ISO 27701:2025-gereedheidsbeoordeling kan aantonen dat de PIMS-beheersmaatregelen doeltreffend werken.

Dit is het moment waarop veel privacyprogramma’s gaan wankelen. De organisatie heeft privacydocumenten, maar geen bewijs van privacybeheersing. Zij heeft workflows, maar geen steekproefgebaseerd bewijsmateriaal. Zij heeft contracten, maar zwakke registraties van monitoring. Zij heeft intern vertrouwen, maar geen verdedigbare audittrail.

Dat verschil is het verschil tussen naleving op papier en aantoonbare verantwoordingsplicht.

GDPR maakt het probleem expliciet. De verwerkingsverantwoordelijke is verantwoordelijk voor naleving van de beginselen inzake gegevensbescherming en moet die naleving kunnen aantonen. Persoonsgegevens moeten rechtmatig, behoorlijk en transparant worden verwerkt, voor welbepaalde doeleinden, beperkt tot wat noodzakelijk is, juist zijn, niet langer worden bewaard dan nodig is en worden beveiligd met passende technische en organisatorische maatregelen.

ISO 27701:2025 biedt organisaties de structuur voor privacybeheer. ISO/IEC 27001:2022 biedt de ISMS-ruggengraat voor scope, risicobehandeling, operationele beheersing, interne audit, directiebeoordeling en voortdurende verbetering. GDPR legt de juridische verantwoordingsplicht op. NIS2, DORA, NIST CSF 2.0, assurance in COBIT 2019-stijl en beveiligingsbeoordelingen door klanten vergroten de druk om aan te tonen dat beheersmaatregelen werken.

De visie van Clarysec is eenvoudig: het testen van privacybeheersmaatregelen mag geen jaarlijkse zoektocht naar screenshots zijn. Het moet een PIMS-bewijssysteem zijn dat verwerkingsactiviteiten, toepasselijke beheersmaatregelen, risico’s, steekproeven, technische controles, bevindingen, CAPA en directiebeoordeling in één traceerbaar model verbindt.

Daar worden Clarysecs PIMS-beleidsset, Zenith Blueprint: An Auditor’s 30-Step Roadmap en Zenith Controls: The Cross-Compliance Guide operationele hulpmiddelen, geen materiaal voor in de boekenkast.

Toetsing van privacybeheersmaatregelen is de brug tussen beleid en verantwoordingsplicht

Een test van een privacybeheersmaatregel beantwoordt drie praktische vragen:

  1. Is de beheersmaatregel ontworpen om aan de privacyverplichting te voldoen of het privacyrisico te beperken?
  2. Is de beheersmaatregel geïmplementeerd in het relevante proces, systeem, team, bij de leverancier of in de productworkflow?
  3. Werkt de beheersmaatregel in de tijd doeltreffend, met bewijsmateriaal dat een auditor, klant, toezichthouder of bestuurscommissie zou accepteren?

Een SaaS-bedrijf kan zeggen dat het verwijderingsverzoeken ondersteunt. Een ontwerptest controleert of het verwijderingsbeleid, het proces voor identiteitsverificatie, het eigenaarschapsmodel, de coördinatie met verwerkers, uitzonderingen op bewaartermijnen en de omgang met back-ups zijn gedefinieerd. Een test van de doeltreffendheid van de werking neemt een steekproef van afgeronde verwijderingsverzoeken, vergelijkt tijdstempels, controleert goedkeuringen, beoordeelt systeemlogboeken, verifieert meldingen aan downstream-verwerkers en bevestigt afsluitend bewijsmateriaal.

Het PIMS Monitoring, Audit and Improvement Policy maakt hiervan een auditeerbare eis:

[Beide] De interne auditor/compliancebeoordelaar MOET tijdens elke PIMS-audit de implementatiestatus van toepasselijke PIMS-beheersmaatregelen toetsen aan REG03.

Uit sectie ‘Intern auditprogramma voor PIMS’, beleidsclausule 4.2.5.

Die formulering, “aan REG03”, is centraal. Toetsing is geen vrijblijvend interview. REG03 fungeert als referentie voor de toepasselijkheid en implementatie van PIMS-beheersmaatregelen. Het laat zien wat van toepassing is, waarom het van toepassing is en welk bewijsmateriaal moet worden vastgelegd.

Hetzelfde beleid voegt toe:

[Beide] De interne auditor/compliancebeoordelaar MOET tijdens elke PIMS-audit de geselecteerde steekproef van bewijsmateriaal voor PII-verwerking in REG12 vastleggen.

Uit sectie ‘Intern auditprogramma voor PIMS’, beleidsclausule 4.2.6.

Dit is de kern van het testen van ISO 27701:2025-privacybeheersmaatregelen. Een PIMS-audit zonder steekproef is een gesprek. Een PIMS-audit met geselecteerd bewijsmateriaal, mapping van beheersmaatregelen, uitzonderingen, corrigerende maatregelen en traceerbaarheid naar de directiebeoordeling is verantwoordingsplicht.

Begin met scope, rol en de werkelijkheid van verwerking

De meeste zwakke privacyaudits mislukken voordat de toetsing begint. Zij selecteren generieke beheersmaatregelen zonder te bevestigen welke persoonsgegevens worden verwerkt, waar die gegevens zich bevinden, welke systemen en leveranciers erbij betrokken zijn en of de organisatie optreedt als verwerkingsverantwoordelijke, verwerker, gezamenlijke verwerkingsverantwoordelijke of subverwerker.

GDPR-verplichtingen hangen sterk af van de rol. Een verwerkingsverantwoordelijke die bepaalt waarom en hoe persoonsgegevens worden verwerkt, heeft andere verplichtingen dan een verwerker die handelt op basis van gedocumenteerde klantinstructies. Ook de gevoeligheid van de gegevens is relevant. Persoonsgegevens van werknemers, klantaccountgegevens, telemetrie, financiële gegevens, biometrische verificatie, gezondheidsgerelateerde gegevens, sanctiescreening en gegevens over strafbare feiten hebben niet hetzelfde risico.

Een sterk ISO 27701:2025-testprogramma begint met scopediscipline.

ScopevraagTe inspecteren bewijsmateriaalWaarom dit relevant is
Welke PII-verwerkingsactiviteiten vallen binnen de scope?Verwerkingsregister, gegevensstroomdiagram, systeeminventaris, leveranciersregisterDe toetsing moet echte verwerking bemonsteren, geen abstracte beleidsverklaringen
Welke PIMS-rol is van toepassing?Mapping van verwerkingsverantwoordelijke, verwerker, gezamenlijke verwerkingsverantwoordelijke en subverwerkerGDPR-verplichtingen en PIMS-beheersmaatregelen verschillen per rol
Welke wettelijke, contractuele en regelgevende verplichtingen zijn van toepassing?GDPR-beoordeling, klant-DPA’s, sectorspecifieke regels, beoordelingen van doorgiftenDe opzet van beheersmaatregelen moet de werkelijke verplichtingen weerspiegelen
Welke systemen en leveranciers verwerken PII?Inventaris van bedrijfsmiddelen, cloudinventaris, lijst van verwerkers, toegangsmatrixTests van de werking vereisen technisch bewijsmateriaal en bewijsmateriaal van derden
Welke wijzigingen raken PII-verwerking?Registraties van productwijzigingen, DPIA-triggers, release notes, architectuurbeoordelingenPrivacy by design moet vóór livegang worden getest, niet pas na klachten

ISO/IEC 27001:2022 ondersteunt deze geïntegreerde aanpak via de eisen voor organisatiecontext, eisen van belanghebbenden, wettelijke en contractuele verplichtingen, scope van het managementsysteem, operationele planning en risicobehandeling. Voor privacy betekent dit dat PII-verwerking niet in een losstaande spreadsheet mag staan. Zij moet onderdeel zijn van het operationele model van het ISMS en PIMS.

Het Privacy Information Management System Policy koppelt privacytoetsing rechtstreeks aan governance:

[Alle] Topmanagement MOET jaarlijks PIMS-prestaties, privacydoelstellingen, open risico’s, non-conformiteiten, corrigerende maatregelen en verbeterbesluiten in REG12 beoordelen.

Uit sectie ‘PIMS-governance’, beleidsclausule 6.1.1.

Als toetsing een privacyhiaat identificeert, is dat niet slechts een auditnotitie. Het is input voor het managementsysteem die invloed moet hebben op risicobehandeling, prioriteiten, middelen en besluiten van de leiding.

Doeltreffendheid van de opzet versus doeltreffendheid van de werking

Wanneer een klant vraagt of privacybeheersmaatregelen worden getest, bedoelt hij meestal de doeltreffendheid van de werking. Auditors onderzoeken echter ook de doeltreffendheid van de opzet.

Een beheersmaatregel met een doeltreffende opzet kan aan de eis voldoen als hij wordt uitgevoerd zoals bedoeld. Een beheersmaatregel met een doeltreffende werking wordt daadwerkelijk consistent uitgevoerd en ondersteund door bewijsmateriaal.

Gebied van beheersmaatregelenTest van de doeltreffendheid van de opzetTest van de doeltreffendheid van de werking
Vastlegging van toestemmingVerifieer beleid, toestemmingsformulering, regels voor rechtsgrondslag, UI-eisen en workflow voor intrekkingNeem een steekproef van toestemmingsregistraties en intrekkingen, vergelijk tijdstempels en verifieer uitsluiting na intrekking
DoelbindingBeoordeel RoPA, privacyverklaring, productvereisten, scheiding van toestemming en regels voor gegevensgebruikNeem een steekproef van gebruikersregistraties, logs, exports en analyticsstromen om te bevestigen dat PII niet voor ongeautoriseerde doeleinden wordt hergebruikt
Toegang tot PIIBeoordeel toegangsbeleid, rollenmodel, joiner-mover-leaver-procedure en goedkeuringsworkflowNeem een steekproef van gebruikers met toegang tot PII en verifieer goedkeuring, zakelijke noodzaak, MFA en recente toegangsbeoordeling
Onboarding van verwerkersBeoordeel due-diligencecriteria, DPA-clausules, regels voor subverwerkers en waarborgen voor doorgiftenNeem een steekproef van een verwerker en inspecteer beoordeling, contract, beveiligingsbeoordeling en bewijsmateriaal van monitoring van subverwerkers
Bewaring en verwijderingBeoordeel bewaarschema, uitzonderingsregels, verwijderingsprocedure en systeemcapaciteitNeem een steekproef van verwijderde registraties of verwijderingsverzoeken en inspecteer logboeken, tickets en bevestigingen van verwerkers
Afhandeling van datalekkenBeoordeel incidentclassificatie, privacy-escalatie en criteria voor melding aan autoriteitenNeem een steekproef van incidentregistraties en verifieer triage, besluitmotivering, meldingen en geleerde lessen

Het Audit and Compliance Monitoring Policy formuleert het doel direct:

Valideer de doeltreffendheid van beveiligings- en privacybeheersmaatregelen

Uit sectie ‘Doel’, beleidsclausule 1.1.1.

De mkb-versie hanteert hetzelfde assuranceprincipe in operationele taal. Het Audit and Compliance Monitoring Policy - SME stelt:

Dit beleid stelt de aanpak van de organisatie vast voor het uitvoeren van interne audits, beoordelingen van beveiligingsmaatregelen en nalevingsmonitoring. Het waarborgt dat alle beheersmaatregelen, beleidsdocumenten, systemen en dienstverleners regelmatig en gestructureerd worden beoordeeld.

Uit sectie ‘Doel’, beleidsclausule 1.1.

Gereedheid voor ISO 27701 gaat niet over bedrijfsgrootte. Een SaaS-verwerker met 30 medewerkers heeft mogelijk niet dezelfde audittooling nodig als een wereldwijde bank, maar moet nog steeds aantonen dat toegang, verwijdering, incidentescalatie, governance voor subverwerkers en bewaring van bewijsmateriaal worden beheerst.

De Clarysec-bewijsketen: REG03, REG12, CAPA en beoordeling

Clarysec structureert het testen van privacybeheersmaatregelen rond een eenvoudige bewijsketen.

REG03 definieert toepasselijke PIMS-beheersmaatregelen en implementatiestatus. REG12 legt steekproeven, bewijsmateriaal, bevindingen, traceerbaarheidshiaten, verificatie van corrigerende maatregelen en input voor directiebeoordeling vast. CAPA-registraties zetten bevindingen om in verbeteringen op basis van oorzaakanalyse. Topmanagement beoordeelt PIMS-prestaties, risico’s, non-conformiteiten, corrigerende maatregelen en verbeterbesluiten.

Het PIMS Documented Information and Evidence Management Policy vereist dat kwaliteitsproblemen in bewijsmateriaal worden vastgelegd:

[Alle] De interne auditor/compliancebeoordelaar MOET tijdens elke geplande audit of nalevingsbeoordeling hiaten in volledigheid, juistheid of traceerbaarheid van bewijsmateriaal in REG12 vastleggen.

Uit sectie ‘Creatie, naamgeving en kwaliteit van bewijsmateriaal’, beleidsclausule 4.3.4.

Dit is relevant omdat niet elke bevinding een volledig falen van een beheersmaatregel is. Soms werkte de beheersmaatregel, maar is het bewijsmateriaal onvolledig. Soms is een verwijderingsticket gesloten, maar bewijst geen systeemlogboek de verwijdering. Soms noemt het verwerkingsregister de CRM, maar ontbreekt de export naar het datawarehouse. Soms bestaat er een leverancierscontract, maar ontbreekt doorlopende monitoring.

Het Audit and Compliance Monitoring Policy vereist ook gestructureerde interne audits:

Interne audits moeten een gedocumenteerde procedure volgen die het volgende omvat:

Uit sectie ‘Vereisten voor beleidsimplementatie’, beleidsclausule 6.1.1.

En wanneer bevindingen optreden:

Alle bevindingen moeten leiden tot een gedocumenteerde CAPA die het volgende omvat:

Uit sectie ‘Vereisten voor beleidsimplementatie’, beleidsclausule 6.2.1.

Het Risk Management Policy - SME versterkt de discipline rond afsluiting:

Voltooiing en doeltreffendheid van behandelmaatregelen moeten worden geverifieerd.

Uit sectie ‘Vereisten voor beleidsimplementatie’, beleidsclausule 6.3.2.

Het PIMS Monitoring, Audit and Improvement Policy sluit de lus:

[Alle] De interne auditor/compliancebeoordelaar MOET de doeltreffendheid van corrigerende maatregelen in REG12 verifiëren binnen 30 dagen na de gemelde afsluiting van de corrigerende maatregel.

Uit sectie ‘Non-conformiteit en corrigerende maatregel’, beleidsclausule 4.4.7.

Dit is het verschil tussen een ticket oplossen en een managementsysteem verbeteren.

Praktijktest 1: verwijderingsverzoeken en verantwoordingsplicht onder GDPR

Verwijderingsverzoeken zijn een van de duidelijkste manieren om te testen of privacyverantwoordingsplicht in de praktijk werkt.

Stel dat een mid-market SaaS-bedrijf optreedt als zowel verwerkingsverantwoordelijke als verwerker. Het beheert werknemersgegevens, marketinggegevens en facturatiegegevens. Het verwerkt eindgebruikersgegevens van klanten namens zakelijke klanten. De organisatie wil testen of de verwijderingsbeheersmaatregelen gereed zijn voor een ISO 27701:2025-audit en voor privacyassurance richting GDPR-klanten.

Stap 1: Selecteer de verwerkingsactiviteit uit REG03

Kies een verwerkingsactiviteit met een reëel privacyrisico, zoals “profielgegevens van eindgebruikers van klanten verwerkt in het SaaS-platform”. Bevestig of de organisatie optreedt als verwerkingsverantwoordelijke, verwerker of beide. Identificeer gekoppelde beheersmaatregelen voor afhandeling van rechten, validatie van verwerkersinstructies, bewaring, verwijdering, toegangscontrole, logging, omgang met back-ups en leverancierscoördinatie.

Stap 2: Definieer een nauwkeurige testdoelstelling

Een bruikbare testdoelstelling is specifiek en bewijsgericht:

“Verifieer dat verwijderingsverzoeken voor profielgegevens van eindgebruikers van klanten worden ontvangen, geauthenticeerd of gevalideerd als instructie, binnen de gedefinieerde workflow worden afgehandeld, gelogd, technisch in productiesystemen worden voltooid, waar vereist worden doorgezet naar relevante subverwerkers en met bewijsmateriaal worden afgesloten.”

Stap 3: Trek een representatieve steekproef

Selecteer vijf verwijderingsverzoeken uit het afgelopen kwartaal. Neem één regulier verzoek op, één verzoek waarbij een klantbeheerder betrokken is, één verzoek op basis van een verwerkersinstructie, één verzoek met een bewaartermijnuitzondering en één verzoek dat betrekking heeft op de omgang met back-ups.

De Zenith Blueprint benadrukt in de fase Audit, Review & Improvement, stap 26: Audit Execution, steekproeven en bewijsverzameling:

✓ Interview relevant personeel: vraag personen die verantwoordelijk zijn voor processen uit te leggen hoe zij aan de eisen voldoen. Vraag bijvoorbeeld de risico-eigenaar naar de laatste risicobeoordeling, of vraag HR hoe nieuwe medewerkers in beveiliging worden getraind (om beheersmaatregel 6.3 over bewustwording af te dekken).
✓ Beoordeel documentatie: controleer of documenten en registraties bestaan en actueel zijn.
✓ Observeer praktijken: doe indien mogelijk een directe observatie.
✓ Neem steekproeven en voer steekproefcontroles uit: u kunt niet alles controleren, gebruik daarom steekproeven.

Uit de fase Audit, Review & Improvement, stap 26: Audit Execution (Conducting an Internal Audit).

Stap 4: Inspecteer het bewijsmateriaal voor elke steekproef

Verzamel voor elk geselecteerd verzoek het intaketicket, de rolclassificatie, identiteitsverificatie of klantautorisatie, het systeemlogboek voor verwijdering, het besluit over de bewaartermijnuitzondering, de uitleg over de omgang met back-ups, de melding aan de subverwerker, de afsluitende communicatie, tijdstempels en goedkeuring door de beoordelaar.

Stap 5: Leg resultaten vast in REG12

Leg de steekproef, bewijsbron, uitkomst van de beheersmaatregel, uitzondering en traceerbaarheidshiaat vast in REG12. Als de verwijdering heeft plaatsgevonden maar er geen productielogboek bestaat, heeft de beheersmaatregel mogelijk gewerkt maar is het bewijsmateriaal zwak. Als het verzoek vertraagd was omdat leveranciersverantwoordelijkheid onduidelijk was, kan de bevinding betrekking hebben op governance van derde partijen en contractuele doorlegging.

Stap 6: Maak een CAPA aan en verifieer de doeltreffendheid

Als de oorzaak onduidelijk eigenaarschap tussen support, Juridische Zaken en engineering is, kan de CAPA bestaan uit een herziene workflow, een bijgewerkte RACI, verplichte bewijsvelden en maandelijkse steekproefcontroles op verwijderingen.

De Zenith Blueprint licht in de fase Audit, Review & Improvement, stap 29, de verwachting voor afsluiting toe:

Plan hoe u de doeltreffendheid van elke corrigerende maatregel zult verifiëren. Dit kan betekenen dat u een vervolgaudit of controle plant. Als uw corrigerende maatregel bijvoorbeeld was om IT-medewerkers te trainen in toegangscontrole, kunt u plannen om nieuwe accounts over één maand te beoordelen om te controleren of alle accounts de juiste goedkeuringen hebben (verificatie).

Uit de fase Audit, Review & Improvement, stap 29: Continual Improvement (Corrective Actions & Lessons Learned).

Voor verwijdering kan verificatie betekenen dat de volgende vijf verwijderingsverzoeken na livegang van de herziene workflow worden bemonsterd. Pas daarna mag de CAPA worden afgesloten.

Praktijktest 2: doelbinding en gegevensminimalisatie

Een tweede test met hoge waarde is doelbinding. Deze is vooral nuttig vóór klant-due diligence, analyticslanceringen, AI-verrijking, uitbreiding van het datawarehouse of wijzigingen in marketingautomatisering.

Maria’s SaaS-platform verzamelt gebruikersgegevens van klanten voor dienstverlening. De controledoelstelling is te waarborgen dat PII uitsluitend voor welbepaalde en gerechtvaardigde doeleinden wordt gebruikt en niet opnieuw wordt gebruikt voor marketinganalytics, tenzij de gebruiker waar vereist expliciete, afzonderlijke toestemming heeft gegeven.

Type bewijsmateriaalSpecifieke artefacten
DocumentatieBeleid inzake gegevensbescherming en privacy, RoPA, klant-DPA, privacyverklaringen, registraties voor toestemmingsbeheer
Technische configuratieRegels voor gegevensverwerking in de applicatie, databaseschema’s, API-configuraties, instellingen van ETL-jobs
Logboeken en registratiesToegangslogboeken van applicaties, querylogboeken van databanken, wijzigingshistorie van toestemming, registraties van campagne-exports
PersoneelsbewijsInterviews met producteigenaar, lead developer, databankbeheerder en privacy-eigenaar

Een sterke test van de werking stopt niet bij het beleid. Zij neemt een steekproef van gebruikers die toestemming voor marketing hebben gegeven en gebruikers die dat niet hebben gedaan. Zij traceert of de toestemmingsstatus correct wordt weerspiegeld in kerndatabanken van de applicatie, datawarehousetabellen, campagnetools, dashboards en exports. Als gebruikers zonder toestemming in een marketingdoelgroep verschijnen, heeft de organisatie een concrete non-conformiteit.

Het mkb-Audit and Compliance Monitoring Policy geeft de juiste benadering via een voorbeeld van technische toetsing:

Technische verificatie van beheersmaatregelen (bijv. back-upstatus, toegangscontroleconfiguratie, patchregistraties)

Uit sectie ‘Vereisten voor beleidsimplementatie’, beleidsclausule 6.1.1.2.

Voor privacy omvat technische verificatie van beheersmaatregelen controles op toestemmingssynchronisatie, exports van toegangscontrole, verwijderingslogboeken, encryptie-instellingen, datamaskingtests, DLP-waarschuwingen, back-upbeperkingen, monitoringgebeurtenissen en leveranciersbewijsmateriaal.

Privacytoetsing mappen op ISO/IEC 27001:2022 en Clarysec cross-compliance

Privacybeheersmaatregelen werken niet geïsoleerd. Bescherming van PII hangt af van de inventaris van bedrijfsmiddelen, classificatie, toegangscontrole, cloudgovernance, datamasking, informatieoverdracht, logging, monitoring, verwijdering, bescherming van registraties, leverancierstoezicht en onafhankelijke beoordeling.

In Zenith Controls: The Cross-Compliance Guide wordt ISO/IEC 27001:2022 Annex A-beheersmaatregel 5.34, Privacy en bescherming van PII, gemapt als een preventieve beheersmaatregel die is afgestemd op vertrouwelijkheid, integriteit en beschikbaarheid, met de cybersecurityconcepten Identify en Protect en operationele capaciteiten in informatiebescherming plus Juridische Zaken en compliance.

De relatie met inventarisatie is direct:

Een inventaris van informatieactiva (5.9) moet PII-gegevensverzamelingen omvatten (klantdatabanken, HR-dossiers). Dit ondersteunt 5.34 doordat de organisatie weet welke PII zij heeft en waar die zich bevindt; dat is de eerste stap om deze te beschermen.

Uit Zenith Controls, Privacy and Protection of PII, beheersmaatregel 5.34.

Voor audittests betekent dit dat de privacyauditor niet alleen met de privacyverklaring moet beginnen. Hij moet beginnen met de PII-inventaris, het verwerkingsregister, gegevensstromen, de inventaris van bedrijfsmiddelen en de leveranciersinventaris. Als de inventaris onvolledig is, kunnen downstream-privacybeheersmaatregelen niet volledig betrouwbaar zijn.

De gids mapt ISO/IEC 27001:2022 Annex A-beheersmaatregel 5.34 ook op gerelateerde beheersmaatregelen zoals 5.9 Inventarisatie van informatie en andere bijbehorende bedrijfsmiddelen, 5.12 Classificatie van informatie, 5.14 Informatieoverdracht, 5.15 Toegangscontrole, 5.16 Identiteitsbeheer, 5.23 Informatiebeveiliging voor het gebruik van cloudservices, 5.33 Bescherming van registraties, 8.11 Datamasking, 8.12 Preventie van datalekken en 8.10 Verwijdering van informatie.

Twee aanvullende ISO/IEC 27001:2022 Annex A-beheersmaatregelen zijn bijzonder relevant:

ISO/IEC 27001:2022-beheersmaatregelRelevantie voor privacytoetsingVoorbeeld van bewijsmateriaal
5.34 Privacy en bescherming van PIIBevestigt dat eisen voor privacy en PII-bescherming zijn geïmplementeerd op basis van wet- en regelgeving en contractenVerwerkingsregister, DPIA’s, registraties van rechtsgrondslag, DSR-bewijsmateriaal, bewaartermijnlogboeken
5.35 Onafhankelijke beoordeling van informatiebeveiligingBiedt objectieve validatie dat beveiligingsinrichtingen, inclusief privacyrelevante beheersmaatregelen, onafhankelijk worden beoordeeldInterne-auditrapporten, resultaten van externe beoordelingen, REG12-steekproeven, CAPA-registraties
5.36 Naleving van beleid, regels en normen voor informatiebeveiligingBevestigt doorlopende naleving van interne regels en normenBeoordelingen van beleidsnaleving, toegangscontroles, monitoringresultaten, uitzonderingenlogboeken

Het Data Protection and Privacy Policy vereist:

Jaarlijks of bij majeure organisatorische of regelgevende wijzigingen moet een interne audit op privacynaleving worden uitgevoerd. De auditscope moet het volgende omvatten:

Uit sectie ‘Governancevereisten’, beleidsclausule 5.4.

Het omvat verder:

Doeltreffendheid van technische en organisatorische maatregelen

Uit sectie ‘Governancevereisten’, beleidsclausule 5.4.1.

Het Data Protection and Privacy Policy - SME houdt dezelfde verwachting praktisch:

Regelmatige privacyaudits of controles van beheersmaatregelen moeten worden uitgevoerd en vastgelegd

Uit sectie ‘Governancevereisten’, beleidsclausule 5.3.3.

Waarom verantwoordingsplicht onder GDPR nu een kwestie van cybergovernance is

Privacybewijsmateriaal wordt niet langer alleen door privacyauditors opgevraagd. Hetzelfde bewijs kan worden gevraagd door een ISO 27701:2025-auditor, een ISO/IEC 27001:2022-auditor, een GDPR-beoordelaar, een bevoegde autoriteit onder NIS2, een onder DORA gereguleerde klant, een NIST CSF-assessor of een risicocommissie van het bestuur.

NIS2 Article 21 vereist dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen voor cyberbeveiligingsrisicobeheer implementeren. Article 21(2)(f) omvat expliciet beleid en procedures om de doeltreffendheid van maatregelen voor cyberbeveiligingsrisicobeheer te beoordelen. NIS2 maakt leidinggevende organen ook verantwoordelijk voor het goedkeuren van en toezicht houden op maatregelen voor cyberbeveiligingsrisicobeheer.

DORA is vanaf 17 januari 2025 van toepassing op financiële entiteiten en bevat een gedetailleerd regelgevingskader voor digitale operationele weerbaarheid. Het vereist ICT-risicobeheer, toezicht door het leidinggevend orgaan, interne audit, remediatie van kritieke bevindingen, incidentclassificatie en -rapportage, weerbaarheidstesten, risicobeheer voor derde ICT-dienstverleners, contractuele beheersmaatregelen, registers van ICT-dienstverleningsafspraken en exitstrategieën. ICT-aanbieders die financiële entiteiten bedienen, moeten rekening houden met DORA-gedreven bewijsverzoeken via klantassurance.

NIST CSF 2.0 biedt een nuttige vertaallaag. De GOVERN-functie verwacht dat organisaties verwachtingen van stakeholders, afhankelijkheden en wettelijke, regelgevende, contractuele, privacy- en burgerrechtenverplichtingen begrijpen. De aanpak met Profiles helpt huidige uitkomsten te vergelijken met doeluitkomsten, hiaten te identificeren en actieplannen te prioriteren.

Druk vanuit vereistenWat toetsing van privacybeheersmaatregelen moet opleverenClarysec-anker
Verantwoordingsplicht onder GDPRBewijsmateriaal dat beginselen, rechtsgrondslag, rechten, beveiliging, bewaring en verplichtingen van verwerkers aantoonbaar worden nageleefdPIMS-beleid, REG03, REG12, CAPA
Gereedheid voor ISO 27701:2025Geteste PIMS-beheersmaatregelen, rolgebaseerde toepasselijkheid, kwaliteit van bewijsmateriaal, interne audit, directiebeoordelingPIMS Monitoring, Audit and Improvement Policy
ISO/IEC 27001:2022-assuranceTraceerbaarheid van risicobehandeling, SoA-motivering, operationele beheersing, audit, beoordeling, verbeteringZenith Blueprint, Zenith Controls cross-compliance guide
NIS2-governanceBeoordeling van doeltreffendheid, incidentparaatheid, leveranciersbeheersmaatregelen, toezicht door managementMapping van ISO/IEC 27001:2022 Annex A-beheersmaatregelen 5.35 en 5.36
DORA-assuranceToetsing van ICT-beheersmaatregelen, weerbaarheidstesten, bewijsmateriaal van derden, registraties van de incidentlevenscyclusCross-gemapt auditbewijsmateriaalmodel
NIST CSF 2.0Huidig profiel, doelprofiel, hiaatanalyse, geprioriteerde verbeteringZenith Blueprint stappen 24, 26, 29

De Zenith Blueprint versterkt traceerbaarheid in stap 24:

Uw SoA moet consistent zijn met uw risicoregister en risicobehandelingsplan. Controleer nogmaals dat elke beheersmaatregel die u als risicobehandeling hebt gekozen, in de SoA als “Toepasselijk” is gemarkeerd. Omgekeerd geldt: als een beheersmaatregel in de SoA als “Toepasselijk” is gemarkeerd, moet u daarvoor een motivering hebben – meestal een gemapt risico, een wettelijke/regelgevende eis of een zakelijke behoefte.

Uit de fase Audit, Review & Improvement, stap 24: Audit, Review & Improvement.

Voor toetsing van privacybeheersmaatregelen geldt hetzelfde principe voor PIMS-toepasselijkheid. Elke toepasselijke privacybeheersmaatregel moet traceerbaar zijn naar een verwerkingsrisico, wettelijke verplichting, klanteis of zakelijke behoefte. Elke test moet naar die beheersmaatregel terug te voeren zijn.

Hoe verschillende auditors dezelfde beheersmaatregel beoordelen

Een sterk privacytestprogramma anticipeert op het perspectief van de auditor. Dezelfde verwijderingsbeheersmaatregel, toegangscontrole of beheersmaatregel voor onboarding van verwerkers wordt verschillend geïnterpreteerd afhankelijk van de beoordelingscontext.

AuditorperspectiefWaarschijnlijke auditvraagVerwacht bewijsmateriaal
ISO 27701:2025-auditorZijn rolgebaseerde PIMS-beheersmaatregelen geïmplementeerd, geëvalueerd en verbeterd?REG03-toepasselijkheid, REG12-steekproeven, verwerkingsregister, beleidsmapping, auditresultaten
ISO/IEC 27001:2022-auditorIs de privacygerelateerde beheersmaatregel geïntegreerd in risicobehandeling, SoA, operationele beheersing, interne audit en directiebeoordeling?Risicoregister, SoA-motivering, behandelplan, bewijsmateriaal voor beheersmaatregelen, notulen van directiebeoordeling
GDPR-beoordelaarKan de verwerkingsverantwoordelijke naleving van GDPR-beginselen en -verplichtingen aantonen?Rechtsgrondslag, privacyverklaringen, DSR-logboeken, DPIA’s, contracten, registraties van datalekken, bewijsmateriaal voor bewaring
NIST CSF-assessorKent de organisatie haar verplichtingen, definieert zij doeluitkomsten, meet zij hiaten en verbetert zij?Huidig profiel en doelprofiel, hiaatplan, risicoprioritering, governanceregistraties
DORA-georiënteerde klant of toezichthouderWorden ICT-beheersmaatregelen getest, incidenten geclassificeerd, leveranciers gemonitord en kritieke diensten weerbaar gemaakt?Testprogramma, incidentregistraties, leveranciersregister, contracten, exitplannen
ISACA- of COBIT 2019-stijl auditorZijn doelstellingen, eigenaarschap, metrieken, afsluiting van issues en governancetoezicht doeltreffend?RACI, KPI’s, issuelogboeken, CAPA-verificatie, managementrapportage

Daarom is REG12 zo waardevol. Het zet privacynaleving om in auditeerbaar governancebewijsmateriaal.

Veelvoorkomende bevindingen bij toetsing van PIMS-beheersmaatregelen

Clarysec ziet herhaaldelijk dezelfde bevindingen in privacyaudits bij organisaties die zich voorbereiden op ISO 27701:2025-certificering, GDPR-klantassurance of enterprise-due diligence.

Het verwerkingsregister sluit niet aan op de systeemwerkelijkheid

Het verwerkingsregister noemt CRM- en supportplatformen, maar engineers hebben analytics-exports, observability-logboeken, AI-tooling en datawarehousetabellen toegevoegd.

Testrespons: neem een steekproef van systemen uit de inventaris van bedrijfsmiddelen en de cloudinventaris en stem deze vervolgens af met het verwerkingsregister. Gebruik de relatie tussen ISO/IEC 27001:2022 Annex A-beheersmaatregelen 5.9 en 5.34 als auditmotivering.

PII-toegang is goedgekeurd, maar wordt niet periodiek beoordeeld

Initiële goedkeuringen bestaan, maar beoordelingen van geprivilegieerde toegang omvatten geen support-impersonatietools, productiedatabanken, BI-dashboards of noodaccounts.

Testrespons: neem een steekproef van actieve gebruikers met toegang tot PII en vergelijk rol, zakelijke behoefte, goedkeuring, MFA-status, laatste aanmelding en beoordelingsbewijsmateriaal.

Verwerkerscontracten bestaan, maar monitoring is zwak

De DPA is ondertekend, maar de leveranciersvragenlijst is verouderd. Niemand heeft wijzigingen bij subverwerkers, gegevenslocaties, risicopositie op het gebied van informatiebeveiliging of incidentmeldingsverplichtingen beoordeeld.

Testrespons: neem een steekproef van kritieke verwerkers en inspecteer due diligence, contractuele bepalingen, wijzigingen bij subverwerkers, waarborgen voor doorgifte en registraties van monitoring. Dit ondersteunt GDPR, NIS2-verwachtingen voor de toeleveringsketen en DORA-verwachtingen voor risico’s van derden.

Incidentrespons bestaat, maar privacyclassificatie is inconsistent

Beveiligingsincidenten worden gelogd, maar de privacy-impact wordt niet altijd beoordeeld. Criteria voor datalekken onder GDPR worden niet consistent gedocumenteerd. Meldplichten richting klanten worden informeel afgehandeld.

Testrespons: neem een steekproef van incidenten waarbij sprake is van gegevensblootstelling en inspecteer classificatie, privacy-escalatie, juridische toetsing, meldingsbesluiten, bewaring van bewijsmateriaal, oorzaak en geleerde lessen.

CAPA wordt gesloten zonder verificatie van doeltreffendheid

Een procedure wordt bijgewerkt en de bevinding wordt gesloten. Niemand test of de volgende steekproef is verbeterd.

Testrespons: verifieer de doeltreffendheid van corrigerende maatregelen in REG12 binnen 30 dagen na gemelde afsluiting, zoals vereist door het PIMS Monitoring, Audit and Improvement Policy.

Een sprint van 90 dagen voor toetsing van privacybeheersmaatregelen

Voor organisaties die toewerken naar gereedheid voor ISO 27701:2025, klant-due diligence of een beoordeling van verantwoordingsplicht onder GDPR, adviseert Clarysec een gerichte sprint van 90 dagen.

TijdlijnFocusOutputs
Dag 1 tot en met 15Scope en bewijsmodelPIMS-rollen, verwerkingsregister, REG03-toepasselijkheid, prioritaire risico’s, wettelijke verplichtingen, leveranciersafhankelijkheden, regels voor bewijsnaamgeving
Dag 16 tot en met 35Toetsing van de opzetBeleidsbeoordeling, RACI, privacyverklaringen, rechtsgrondslag, DPIA-triggers, DSR-workflows, incidentclassificatie, bewaarschema’s, leveranciersbeheersmaatregelen
Dag 36 tot en met 65Toetsing van de werkingSteekproeven voor toegang, verwijdering, incidenten, verwerkers, doorgiften, bewaring, training, technische monitoring, REG12-bewijsmateriaal
Dag 66 tot en met 80CAPA en risicobehandelingOorzaak, corrigerende maatregel, eigenaar, vervaldatum, restrisico, verificatiemethode
Dag 81 tot en met 90Voorbereiding op directiebeoordelingPIMS-prestatiepakket, doelstellingen, open risico’s, non-conformiteiten, corrigerende maatregelen, leverancierskwesties, verbeterbesluiten

Aan het einde van de sprint moet de organisatie de vragen kunnen beantwoorden die auditors daadwerkelijk stellen:

  • Welke PII verwerkt u?
  • In welke rol?
  • Welke beheersmaatregelen zijn van toepassing?
  • Waarom zijn zij van toepassing?
  • Welk bewijsmateriaal bewijst dat zij zijn geïmplementeerd?
  • Welke steekproef bewijst dat zij werken?
  • Welke hiaten zijn gevonden?
  • Welke corrigerende maatregelen zijn genomen?
  • Wie heeft de doeltreffendheid geverifieerd?
  • Wat heeft topmanagement beoordeeld en besloten?

Van privacy op papier naar aantoonbare verantwoordingsplicht

Een ISO 27701-certificaat is waardevol, maar het is niet het eindpunt. Klanten, toezichthouders, besturen en auditors verwachten steeds vaker bewijs dat privacybeheersmaatregelen zijn ontworpen, geïmplementeerd, gemonitord, gecorrigeerd en bestuurd.

Privacynaleving faalt wanneer zij als documentatieproject wordt behandeld. Zij doorstaat toetsing wanneer zij een getest bewijssysteem wordt.

Clarysec helpt organisaties van gestelde naleving naar aantoonbare verantwoordingsplicht te gaan door PIMS-beleid, REG03-toepasselijkheid, REG12-bewijssteekproeven, CAPA-verificatie, directiebeoordeling en mapping over meerdere raamwerken te verbinden via Zenith Blueprint: An Auditor’s 30-Step Roadmap en Zenith Controls: The Cross-Compliance Guide.

Als uw organisatie zich voorbereidt op ISO 27701:2025-certificering, een beoordeling van verantwoordingsplicht onder GDPR, privacyassurance richting klanten, governancebewijsmateriaal voor NIS2 of DORA-gedreven due diligence van leveranciers, begin dan met een gerichte workshop voor toetsing van privacybeheersmaatregelen.

Clarysec kan u helpen REG03-toepasselijkheid te mappen, REG12-auditsteekproeven op te bouwen, prioritaire PIMS-beheersmaatregelen te testen, bevindingen aan CAPA te koppelen en outputs voor directiebeoordeling voor te bereiden die toetsing kunnen doorstaan.

Uw volgende privacyaudit mag geen zoektocht naar screenshots zijn. Het moet een overtuigende demonstratie zijn dat privacy werkt, met bewijsmateriaal is onderbouwd, wordt beoordeeld en voortdurend wordt verbeterd.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

NIST-mapping voor incidentrespons bij audits in 2026

NIST-mapping voor incidentrespons bij audits in 2026

Een praktische CISO-gids voor het koppelen van incidentrespons volgens NIST SP 800-61 en NIST CSF 2.0 aan bewijsmateriaal voor ISO/IEC 27001:2022, NIS2, DORA en GDPR. Inclusief beleidsclausules, auditmappings, rapportagetermijnen, bewijsdossiers en richtlijnen voor de Clarysec-toolkit.

CRA 2026: productbeveiligingsdossier met ISO 27001

CRA 2026: productbeveiligingsdossier met ISO 27001

Een praktische roadmap voor het opbouwen van een CRA-productbeveiligingsdossier met ISO/IEC 27001:2022, SBOM-governance, gecoördineerde openbaarmaking van kwetsbaarheden, leveranciersbewijsmateriaal en monitoring na het in de handel brengen.