ISO 27701-privacybeheersmaatregelen testen voor GDPR-verantwoordingsplicht

De privacyaudit op vrijdag die het echte probleem blootlegde
Het is vrijdag 15.40 uur wanneer Maria, de CISO van een snelgroeiend SaaS-bedrijf, deelneemt aan een videogesprek met het hoofd Inkoop van een grote zakelijke prospect.
Haar team heeft maanden gewerkt aan het privacy-informatiemanagementsysteem. Het beleid is goedgekeurd. Het verwerkingsregister bestaat. Het bedrijf heeft een ISO 27701-gereedheidsplan. De FG heeft workflows voor verzoeken van betrokkenen ingericht. Juridische Zaken heeft de verwerkersovereenkomsten bijgewerkt. Engineering zegt dat productietoegang is beperkt.
De inkoopverantwoordelijke opent beleefd, maar direct.
“Dank voor de documentatie, Maria. Het certificaat en het beleidspakket zijn een goed vertrekpunt. Ons due-diligenceteam komt volgende maand op locatie. Zij willen uw DSAR-proces in werking zien, beheersmaatregelen voor gegevensminimalisatie op onze testaccounts verifiëren, toegangslogboeken voor productie beoordelen en bewijsmateriaal inspecteren waaruit blijkt dat privacybeheersmaatregelen zijn getest en niet alleen zijn gedocumenteerd.”
Binnen enkele minuten ontvangt Maria nog twee berichten.
De FG vraagt of de nieuwe analyticsfunctie is opgenomen in het verwerkingsregister, de beoordeling van de rechtsgrondslag, het bewaarschema en de doorgelegde verplichtingen richting verwerkers.
De compliancemanager vraagt of de ISO 27701:2025-gereedheidsbeoordeling kan aantonen dat de PIMS-beheersmaatregelen doeltreffend werken.
Dit is het moment waarop veel privacyprogramma’s gaan wankelen. De organisatie heeft privacydocumenten, maar geen bewijs van privacybeheersing. Zij heeft workflows, maar geen steekproefgebaseerd bewijsmateriaal. Zij heeft contracten, maar zwakke registraties van monitoring. Zij heeft intern vertrouwen, maar geen verdedigbare audittrail.
Dat verschil is het verschil tussen naleving op papier en aantoonbare verantwoordingsplicht.
GDPR maakt het probleem expliciet. De verwerkingsverantwoordelijke is verantwoordelijk voor naleving van de beginselen inzake gegevensbescherming en moet die naleving kunnen aantonen. Persoonsgegevens moeten rechtmatig, behoorlijk en transparant worden verwerkt, voor welbepaalde doeleinden, beperkt tot wat noodzakelijk is, juist zijn, niet langer worden bewaard dan nodig is en worden beveiligd met passende technische en organisatorische maatregelen.
ISO 27701:2025 biedt organisaties de structuur voor privacybeheer. ISO/IEC 27001:2022 biedt de ISMS-ruggengraat voor scope, risicobehandeling, operationele beheersing, interne audit, directiebeoordeling en voortdurende verbetering. GDPR legt de juridische verantwoordingsplicht op. NIS2, DORA, NIST CSF 2.0, assurance in COBIT 2019-stijl en beveiligingsbeoordelingen door klanten vergroten de druk om aan te tonen dat beheersmaatregelen werken.
De visie van Clarysec is eenvoudig: het testen van privacybeheersmaatregelen mag geen jaarlijkse zoektocht naar screenshots zijn. Het moet een PIMS-bewijssysteem zijn dat verwerkingsactiviteiten, toepasselijke beheersmaatregelen, risico’s, steekproeven, technische controles, bevindingen, CAPA en directiebeoordeling in één traceerbaar model verbindt.
Daar worden Clarysecs PIMS-beleidsset, Zenith Blueprint: An Auditor’s 30-Step Roadmap en Zenith Controls: The Cross-Compliance Guide operationele hulpmiddelen, geen materiaal voor in de boekenkast.
Toetsing van privacybeheersmaatregelen is de brug tussen beleid en verantwoordingsplicht
Een test van een privacybeheersmaatregel beantwoordt drie praktische vragen:
- Is de beheersmaatregel ontworpen om aan de privacyverplichting te voldoen of het privacyrisico te beperken?
- Is de beheersmaatregel geïmplementeerd in het relevante proces, systeem, team, bij de leverancier of in de productworkflow?
- Werkt de beheersmaatregel in de tijd doeltreffend, met bewijsmateriaal dat een auditor, klant, toezichthouder of bestuurscommissie zou accepteren?
Een SaaS-bedrijf kan zeggen dat het verwijderingsverzoeken ondersteunt. Een ontwerptest controleert of het verwijderingsbeleid, het proces voor identiteitsverificatie, het eigenaarschapsmodel, de coördinatie met verwerkers, uitzonderingen op bewaartermijnen en de omgang met back-ups zijn gedefinieerd. Een test van de doeltreffendheid van de werking neemt een steekproef van afgeronde verwijderingsverzoeken, vergelijkt tijdstempels, controleert goedkeuringen, beoordeelt systeemlogboeken, verifieert meldingen aan downstream-verwerkers en bevestigt afsluitend bewijsmateriaal.
Het PIMS Monitoring, Audit and Improvement Policy maakt hiervan een auditeerbare eis:
[Beide] De interne auditor/compliancebeoordelaar MOET tijdens elke PIMS-audit de implementatiestatus van toepasselijke PIMS-beheersmaatregelen toetsen aan REG03.
Uit sectie ‘Intern auditprogramma voor PIMS’, beleidsclausule 4.2.5.
Die formulering, “aan REG03”, is centraal. Toetsing is geen vrijblijvend interview. REG03 fungeert als referentie voor de toepasselijkheid en implementatie van PIMS-beheersmaatregelen. Het laat zien wat van toepassing is, waarom het van toepassing is en welk bewijsmateriaal moet worden vastgelegd.
Hetzelfde beleid voegt toe:
[Beide] De interne auditor/compliancebeoordelaar MOET tijdens elke PIMS-audit de geselecteerde steekproef van bewijsmateriaal voor PII-verwerking in REG12 vastleggen.
Uit sectie ‘Intern auditprogramma voor PIMS’, beleidsclausule 4.2.6.
Dit is de kern van het testen van ISO 27701:2025-privacybeheersmaatregelen. Een PIMS-audit zonder steekproef is een gesprek. Een PIMS-audit met geselecteerd bewijsmateriaal, mapping van beheersmaatregelen, uitzonderingen, corrigerende maatregelen en traceerbaarheid naar de directiebeoordeling is verantwoordingsplicht.
Begin met scope, rol en de werkelijkheid van verwerking
De meeste zwakke privacyaudits mislukken voordat de toetsing begint. Zij selecteren generieke beheersmaatregelen zonder te bevestigen welke persoonsgegevens worden verwerkt, waar die gegevens zich bevinden, welke systemen en leveranciers erbij betrokken zijn en of de organisatie optreedt als verwerkingsverantwoordelijke, verwerker, gezamenlijke verwerkingsverantwoordelijke of subverwerker.
GDPR-verplichtingen hangen sterk af van de rol. Een verwerkingsverantwoordelijke die bepaalt waarom en hoe persoonsgegevens worden verwerkt, heeft andere verplichtingen dan een verwerker die handelt op basis van gedocumenteerde klantinstructies. Ook de gevoeligheid van de gegevens is relevant. Persoonsgegevens van werknemers, klantaccountgegevens, telemetrie, financiële gegevens, biometrische verificatie, gezondheidsgerelateerde gegevens, sanctiescreening en gegevens over strafbare feiten hebben niet hetzelfde risico.
Een sterk ISO 27701:2025-testprogramma begint met scopediscipline.
| Scopevraag | Te inspecteren bewijsmateriaal | Waarom dit relevant is |
|---|---|---|
| Welke PII-verwerkingsactiviteiten vallen binnen de scope? | Verwerkingsregister, gegevensstroomdiagram, systeeminventaris, leveranciersregister | De toetsing moet echte verwerking bemonsteren, geen abstracte beleidsverklaringen |
| Welke PIMS-rol is van toepassing? | Mapping van verwerkingsverantwoordelijke, verwerker, gezamenlijke verwerkingsverantwoordelijke en subverwerker | GDPR-verplichtingen en PIMS-beheersmaatregelen verschillen per rol |
| Welke wettelijke, contractuele en regelgevende verplichtingen zijn van toepassing? | GDPR-beoordeling, klant-DPA’s, sectorspecifieke regels, beoordelingen van doorgiften | De opzet van beheersmaatregelen moet de werkelijke verplichtingen weerspiegelen |
| Welke systemen en leveranciers verwerken PII? | Inventaris van bedrijfsmiddelen, cloudinventaris, lijst van verwerkers, toegangsmatrix | Tests van de werking vereisen technisch bewijsmateriaal en bewijsmateriaal van derden |
| Welke wijzigingen raken PII-verwerking? | Registraties van productwijzigingen, DPIA-triggers, release notes, architectuurbeoordelingen | Privacy by design moet vóór livegang worden getest, niet pas na klachten |
ISO/IEC 27001:2022 ondersteunt deze geïntegreerde aanpak via de eisen voor organisatiecontext, eisen van belanghebbenden, wettelijke en contractuele verplichtingen, scope van het managementsysteem, operationele planning en risicobehandeling. Voor privacy betekent dit dat PII-verwerking niet in een losstaande spreadsheet mag staan. Zij moet onderdeel zijn van het operationele model van het ISMS en PIMS.
Het Privacy Information Management System Policy koppelt privacytoetsing rechtstreeks aan governance:
[Alle] Topmanagement MOET jaarlijks PIMS-prestaties, privacydoelstellingen, open risico’s, non-conformiteiten, corrigerende maatregelen en verbeterbesluiten in REG12 beoordelen.
Uit sectie ‘PIMS-governance’, beleidsclausule 6.1.1.
Als toetsing een privacyhiaat identificeert, is dat niet slechts een auditnotitie. Het is input voor het managementsysteem die invloed moet hebben op risicobehandeling, prioriteiten, middelen en besluiten van de leiding.
Doeltreffendheid van de opzet versus doeltreffendheid van de werking
Wanneer een klant vraagt of privacybeheersmaatregelen worden getest, bedoelt hij meestal de doeltreffendheid van de werking. Auditors onderzoeken echter ook de doeltreffendheid van de opzet.
Een beheersmaatregel met een doeltreffende opzet kan aan de eis voldoen als hij wordt uitgevoerd zoals bedoeld. Een beheersmaatregel met een doeltreffende werking wordt daadwerkelijk consistent uitgevoerd en ondersteund door bewijsmateriaal.
| Gebied van beheersmaatregelen | Test van de doeltreffendheid van de opzet | Test van de doeltreffendheid van de werking |
|---|---|---|
| Vastlegging van toestemming | Verifieer beleid, toestemmingsformulering, regels voor rechtsgrondslag, UI-eisen en workflow voor intrekking | Neem een steekproef van toestemmingsregistraties en intrekkingen, vergelijk tijdstempels en verifieer uitsluiting na intrekking |
| Doelbinding | Beoordeel RoPA, privacyverklaring, productvereisten, scheiding van toestemming en regels voor gegevensgebruik | Neem een steekproef van gebruikersregistraties, logs, exports en analyticsstromen om te bevestigen dat PII niet voor ongeautoriseerde doeleinden wordt hergebruikt |
| Toegang tot PII | Beoordeel toegangsbeleid, rollenmodel, joiner-mover-leaver-procedure en goedkeuringsworkflow | Neem een steekproef van gebruikers met toegang tot PII en verifieer goedkeuring, zakelijke noodzaak, MFA en recente toegangsbeoordeling |
| Onboarding van verwerkers | Beoordeel due-diligencecriteria, DPA-clausules, regels voor subverwerkers en waarborgen voor doorgiften | Neem een steekproef van een verwerker en inspecteer beoordeling, contract, beveiligingsbeoordeling en bewijsmateriaal van monitoring van subverwerkers |
| Bewaring en verwijdering | Beoordeel bewaarschema, uitzonderingsregels, verwijderingsprocedure en systeemcapaciteit | Neem een steekproef van verwijderde registraties of verwijderingsverzoeken en inspecteer logboeken, tickets en bevestigingen van verwerkers |
| Afhandeling van datalekken | Beoordeel incidentclassificatie, privacy-escalatie en criteria voor melding aan autoriteiten | Neem een steekproef van incidentregistraties en verifieer triage, besluitmotivering, meldingen en geleerde lessen |
Het Audit and Compliance Monitoring Policy formuleert het doel direct:
Valideer de doeltreffendheid van beveiligings- en privacybeheersmaatregelen
Uit sectie ‘Doel’, beleidsclausule 1.1.1.
De mkb-versie hanteert hetzelfde assuranceprincipe in operationele taal. Het Audit and Compliance Monitoring Policy - SME stelt:
Dit beleid stelt de aanpak van de organisatie vast voor het uitvoeren van interne audits, beoordelingen van beveiligingsmaatregelen en nalevingsmonitoring. Het waarborgt dat alle beheersmaatregelen, beleidsdocumenten, systemen en dienstverleners regelmatig en gestructureerd worden beoordeeld.
Uit sectie ‘Doel’, beleidsclausule 1.1.
Gereedheid voor ISO 27701 gaat niet over bedrijfsgrootte. Een SaaS-verwerker met 30 medewerkers heeft mogelijk niet dezelfde audittooling nodig als een wereldwijde bank, maar moet nog steeds aantonen dat toegang, verwijdering, incidentescalatie, governance voor subverwerkers en bewaring van bewijsmateriaal worden beheerst.
De Clarysec-bewijsketen: REG03, REG12, CAPA en beoordeling
Clarysec structureert het testen van privacybeheersmaatregelen rond een eenvoudige bewijsketen.
REG03 definieert toepasselijke PIMS-beheersmaatregelen en implementatiestatus. REG12 legt steekproeven, bewijsmateriaal, bevindingen, traceerbaarheidshiaten, verificatie van corrigerende maatregelen en input voor directiebeoordeling vast. CAPA-registraties zetten bevindingen om in verbeteringen op basis van oorzaakanalyse. Topmanagement beoordeelt PIMS-prestaties, risico’s, non-conformiteiten, corrigerende maatregelen en verbeterbesluiten.
Het PIMS Documented Information and Evidence Management Policy vereist dat kwaliteitsproblemen in bewijsmateriaal worden vastgelegd:
[Alle] De interne auditor/compliancebeoordelaar MOET tijdens elke geplande audit of nalevingsbeoordeling hiaten in volledigheid, juistheid of traceerbaarheid van bewijsmateriaal in REG12 vastleggen.
Uit sectie ‘Creatie, naamgeving en kwaliteit van bewijsmateriaal’, beleidsclausule 4.3.4.
Dit is relevant omdat niet elke bevinding een volledig falen van een beheersmaatregel is. Soms werkte de beheersmaatregel, maar is het bewijsmateriaal onvolledig. Soms is een verwijderingsticket gesloten, maar bewijst geen systeemlogboek de verwijdering. Soms noemt het verwerkingsregister de CRM, maar ontbreekt de export naar het datawarehouse. Soms bestaat er een leverancierscontract, maar ontbreekt doorlopende monitoring.
Het Audit and Compliance Monitoring Policy vereist ook gestructureerde interne audits:
Interne audits moeten een gedocumenteerde procedure volgen die het volgende omvat:
Uit sectie ‘Vereisten voor beleidsimplementatie’, beleidsclausule 6.1.1.
En wanneer bevindingen optreden:
Alle bevindingen moeten leiden tot een gedocumenteerde CAPA die het volgende omvat:
Uit sectie ‘Vereisten voor beleidsimplementatie’, beleidsclausule 6.2.1.
Het Risk Management Policy - SME versterkt de discipline rond afsluiting:
Voltooiing en doeltreffendheid van behandelmaatregelen moeten worden geverifieerd.
Uit sectie ‘Vereisten voor beleidsimplementatie’, beleidsclausule 6.3.2.
Het PIMS Monitoring, Audit and Improvement Policy sluit de lus:
[Alle] De interne auditor/compliancebeoordelaar MOET de doeltreffendheid van corrigerende maatregelen in REG12 verifiëren binnen 30 dagen na de gemelde afsluiting van de corrigerende maatregel.
Uit sectie ‘Non-conformiteit en corrigerende maatregel’, beleidsclausule 4.4.7.
Dit is het verschil tussen een ticket oplossen en een managementsysteem verbeteren.
Praktijktest 1: verwijderingsverzoeken en verantwoordingsplicht onder GDPR
Verwijderingsverzoeken zijn een van de duidelijkste manieren om te testen of privacyverantwoordingsplicht in de praktijk werkt.
Stel dat een mid-market SaaS-bedrijf optreedt als zowel verwerkingsverantwoordelijke als verwerker. Het beheert werknemersgegevens, marketinggegevens en facturatiegegevens. Het verwerkt eindgebruikersgegevens van klanten namens zakelijke klanten. De organisatie wil testen of de verwijderingsbeheersmaatregelen gereed zijn voor een ISO 27701:2025-audit en voor privacyassurance richting GDPR-klanten.
Stap 1: Selecteer de verwerkingsactiviteit uit REG03
Kies een verwerkingsactiviteit met een reëel privacyrisico, zoals “profielgegevens van eindgebruikers van klanten verwerkt in het SaaS-platform”. Bevestig of de organisatie optreedt als verwerkingsverantwoordelijke, verwerker of beide. Identificeer gekoppelde beheersmaatregelen voor afhandeling van rechten, validatie van verwerkersinstructies, bewaring, verwijdering, toegangscontrole, logging, omgang met back-ups en leverancierscoördinatie.
Stap 2: Definieer een nauwkeurige testdoelstelling
Een bruikbare testdoelstelling is specifiek en bewijsgericht:
“Verifieer dat verwijderingsverzoeken voor profielgegevens van eindgebruikers van klanten worden ontvangen, geauthenticeerd of gevalideerd als instructie, binnen de gedefinieerde workflow worden afgehandeld, gelogd, technisch in productiesystemen worden voltooid, waar vereist worden doorgezet naar relevante subverwerkers en met bewijsmateriaal worden afgesloten.”
Stap 3: Trek een representatieve steekproef
Selecteer vijf verwijderingsverzoeken uit het afgelopen kwartaal. Neem één regulier verzoek op, één verzoek waarbij een klantbeheerder betrokken is, één verzoek op basis van een verwerkersinstructie, één verzoek met een bewaartermijnuitzondering en één verzoek dat betrekking heeft op de omgang met back-ups.
De Zenith Blueprint benadrukt in de fase Audit, Review & Improvement, stap 26: Audit Execution, steekproeven en bewijsverzameling:
✓ Interview relevant personeel: vraag personen die verantwoordelijk zijn voor processen uit te leggen hoe zij aan de eisen voldoen. Vraag bijvoorbeeld de risico-eigenaar naar de laatste risicobeoordeling, of vraag HR hoe nieuwe medewerkers in beveiliging worden getraind (om beheersmaatregel 6.3 over bewustwording af te dekken).
✓ Beoordeel documentatie: controleer of documenten en registraties bestaan en actueel zijn.
✓ Observeer praktijken: doe indien mogelijk een directe observatie.
✓ Neem steekproeven en voer steekproefcontroles uit: u kunt niet alles controleren, gebruik daarom steekproeven.
Uit de fase Audit, Review & Improvement, stap 26: Audit Execution (Conducting an Internal Audit).
Stap 4: Inspecteer het bewijsmateriaal voor elke steekproef
Verzamel voor elk geselecteerd verzoek het intaketicket, de rolclassificatie, identiteitsverificatie of klantautorisatie, het systeemlogboek voor verwijdering, het besluit over de bewaartermijnuitzondering, de uitleg over de omgang met back-ups, de melding aan de subverwerker, de afsluitende communicatie, tijdstempels en goedkeuring door de beoordelaar.
Stap 5: Leg resultaten vast in REG12
Leg de steekproef, bewijsbron, uitkomst van de beheersmaatregel, uitzondering en traceerbaarheidshiaat vast in REG12. Als de verwijdering heeft plaatsgevonden maar er geen productielogboek bestaat, heeft de beheersmaatregel mogelijk gewerkt maar is het bewijsmateriaal zwak. Als het verzoek vertraagd was omdat leveranciersverantwoordelijkheid onduidelijk was, kan de bevinding betrekking hebben op governance van derde partijen en contractuele doorlegging.
Stap 6: Maak een CAPA aan en verifieer de doeltreffendheid
Als de oorzaak onduidelijk eigenaarschap tussen support, Juridische Zaken en engineering is, kan de CAPA bestaan uit een herziene workflow, een bijgewerkte RACI, verplichte bewijsvelden en maandelijkse steekproefcontroles op verwijderingen.
De Zenith Blueprint licht in de fase Audit, Review & Improvement, stap 29, de verwachting voor afsluiting toe:
Plan hoe u de doeltreffendheid van elke corrigerende maatregel zult verifiëren. Dit kan betekenen dat u een vervolgaudit of controle plant. Als uw corrigerende maatregel bijvoorbeeld was om IT-medewerkers te trainen in toegangscontrole, kunt u plannen om nieuwe accounts over één maand te beoordelen om te controleren of alle accounts de juiste goedkeuringen hebben (verificatie).
Uit de fase Audit, Review & Improvement, stap 29: Continual Improvement (Corrective Actions & Lessons Learned).
Voor verwijdering kan verificatie betekenen dat de volgende vijf verwijderingsverzoeken na livegang van de herziene workflow worden bemonsterd. Pas daarna mag de CAPA worden afgesloten.
Praktijktest 2: doelbinding en gegevensminimalisatie
Een tweede test met hoge waarde is doelbinding. Deze is vooral nuttig vóór klant-due diligence, analyticslanceringen, AI-verrijking, uitbreiding van het datawarehouse of wijzigingen in marketingautomatisering.
Maria’s SaaS-platform verzamelt gebruikersgegevens van klanten voor dienstverlening. De controledoelstelling is te waarborgen dat PII uitsluitend voor welbepaalde en gerechtvaardigde doeleinden wordt gebruikt en niet opnieuw wordt gebruikt voor marketinganalytics, tenzij de gebruiker waar vereist expliciete, afzonderlijke toestemming heeft gegeven.
| Type bewijsmateriaal | Specifieke artefacten |
|---|---|
| Documentatie | Beleid inzake gegevensbescherming en privacy, RoPA, klant-DPA, privacyverklaringen, registraties voor toestemmingsbeheer |
| Technische configuratie | Regels voor gegevensverwerking in de applicatie, databaseschema’s, API-configuraties, instellingen van ETL-jobs |
| Logboeken en registraties | Toegangslogboeken van applicaties, querylogboeken van databanken, wijzigingshistorie van toestemming, registraties van campagne-exports |
| Personeelsbewijs | Interviews met producteigenaar, lead developer, databankbeheerder en privacy-eigenaar |
Een sterke test van de werking stopt niet bij het beleid. Zij neemt een steekproef van gebruikers die toestemming voor marketing hebben gegeven en gebruikers die dat niet hebben gedaan. Zij traceert of de toestemmingsstatus correct wordt weerspiegeld in kerndatabanken van de applicatie, datawarehousetabellen, campagnetools, dashboards en exports. Als gebruikers zonder toestemming in een marketingdoelgroep verschijnen, heeft de organisatie een concrete non-conformiteit.
Het mkb-Audit and Compliance Monitoring Policy geeft de juiste benadering via een voorbeeld van technische toetsing:
Technische verificatie van beheersmaatregelen (bijv. back-upstatus, toegangscontroleconfiguratie, patchregistraties)
Uit sectie ‘Vereisten voor beleidsimplementatie’, beleidsclausule 6.1.1.2.
Voor privacy omvat technische verificatie van beheersmaatregelen controles op toestemmingssynchronisatie, exports van toegangscontrole, verwijderingslogboeken, encryptie-instellingen, datamaskingtests, DLP-waarschuwingen, back-upbeperkingen, monitoringgebeurtenissen en leveranciersbewijsmateriaal.
Privacytoetsing mappen op ISO/IEC 27001:2022 en Clarysec cross-compliance
Privacybeheersmaatregelen werken niet geïsoleerd. Bescherming van PII hangt af van de inventaris van bedrijfsmiddelen, classificatie, toegangscontrole, cloudgovernance, datamasking, informatieoverdracht, logging, monitoring, verwijdering, bescherming van registraties, leverancierstoezicht en onafhankelijke beoordeling.
In Zenith Controls: The Cross-Compliance Guide wordt ISO/IEC 27001:2022 Annex A-beheersmaatregel 5.34, Privacy en bescherming van PII, gemapt als een preventieve beheersmaatregel die is afgestemd op vertrouwelijkheid, integriteit en beschikbaarheid, met de cybersecurityconcepten Identify en Protect en operationele capaciteiten in informatiebescherming plus Juridische Zaken en compliance.
De relatie met inventarisatie is direct:
Een inventaris van informatieactiva (5.9) moet PII-gegevensverzamelingen omvatten (klantdatabanken, HR-dossiers). Dit ondersteunt 5.34 doordat de organisatie weet welke PII zij heeft en waar die zich bevindt; dat is de eerste stap om deze te beschermen.
Uit Zenith Controls, Privacy and Protection of PII, beheersmaatregel 5.34.
Voor audittests betekent dit dat de privacyauditor niet alleen met de privacyverklaring moet beginnen. Hij moet beginnen met de PII-inventaris, het verwerkingsregister, gegevensstromen, de inventaris van bedrijfsmiddelen en de leveranciersinventaris. Als de inventaris onvolledig is, kunnen downstream-privacybeheersmaatregelen niet volledig betrouwbaar zijn.
De gids mapt ISO/IEC 27001:2022 Annex A-beheersmaatregel 5.34 ook op gerelateerde beheersmaatregelen zoals 5.9 Inventarisatie van informatie en andere bijbehorende bedrijfsmiddelen, 5.12 Classificatie van informatie, 5.14 Informatieoverdracht, 5.15 Toegangscontrole, 5.16 Identiteitsbeheer, 5.23 Informatiebeveiliging voor het gebruik van cloudservices, 5.33 Bescherming van registraties, 8.11 Datamasking, 8.12 Preventie van datalekken en 8.10 Verwijdering van informatie.
Twee aanvullende ISO/IEC 27001:2022 Annex A-beheersmaatregelen zijn bijzonder relevant:
| ISO/IEC 27001:2022-beheersmaatregel | Relevantie voor privacytoetsing | Voorbeeld van bewijsmateriaal |
|---|---|---|
| 5.34 Privacy en bescherming van PII | Bevestigt dat eisen voor privacy en PII-bescherming zijn geïmplementeerd op basis van wet- en regelgeving en contracten | Verwerkingsregister, DPIA’s, registraties van rechtsgrondslag, DSR-bewijsmateriaal, bewaartermijnlogboeken |
| 5.35 Onafhankelijke beoordeling van informatiebeveiliging | Biedt objectieve validatie dat beveiligingsinrichtingen, inclusief privacyrelevante beheersmaatregelen, onafhankelijk worden beoordeeld | Interne-auditrapporten, resultaten van externe beoordelingen, REG12-steekproeven, CAPA-registraties |
| 5.36 Naleving van beleid, regels en normen voor informatiebeveiliging | Bevestigt doorlopende naleving van interne regels en normen | Beoordelingen van beleidsnaleving, toegangscontroles, monitoringresultaten, uitzonderingenlogboeken |
Het Data Protection and Privacy Policy vereist:
Jaarlijks of bij majeure organisatorische of regelgevende wijzigingen moet een interne audit op privacynaleving worden uitgevoerd. De auditscope moet het volgende omvatten:
Uit sectie ‘Governancevereisten’, beleidsclausule 5.4.
Het omvat verder:
Doeltreffendheid van technische en organisatorische maatregelen
Uit sectie ‘Governancevereisten’, beleidsclausule 5.4.1.
Het Data Protection and Privacy Policy - SME houdt dezelfde verwachting praktisch:
Regelmatige privacyaudits of controles van beheersmaatregelen moeten worden uitgevoerd en vastgelegd
Uit sectie ‘Governancevereisten’, beleidsclausule 5.3.3.
Waarom verantwoordingsplicht onder GDPR nu een kwestie van cybergovernance is
Privacybewijsmateriaal wordt niet langer alleen door privacyauditors opgevraagd. Hetzelfde bewijs kan worden gevraagd door een ISO 27701:2025-auditor, een ISO/IEC 27001:2022-auditor, een GDPR-beoordelaar, een bevoegde autoriteit onder NIS2, een onder DORA gereguleerde klant, een NIST CSF-assessor of een risicocommissie van het bestuur.
NIS2 Article 21 vereist dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen voor cyberbeveiligingsrisicobeheer implementeren. Article 21(2)(f) omvat expliciet beleid en procedures om de doeltreffendheid van maatregelen voor cyberbeveiligingsrisicobeheer te beoordelen. NIS2 maakt leidinggevende organen ook verantwoordelijk voor het goedkeuren van en toezicht houden op maatregelen voor cyberbeveiligingsrisicobeheer.
DORA is vanaf 17 januari 2025 van toepassing op financiële entiteiten en bevat een gedetailleerd regelgevingskader voor digitale operationele weerbaarheid. Het vereist ICT-risicobeheer, toezicht door het leidinggevend orgaan, interne audit, remediatie van kritieke bevindingen, incidentclassificatie en -rapportage, weerbaarheidstesten, risicobeheer voor derde ICT-dienstverleners, contractuele beheersmaatregelen, registers van ICT-dienstverleningsafspraken en exitstrategieën. ICT-aanbieders die financiële entiteiten bedienen, moeten rekening houden met DORA-gedreven bewijsverzoeken via klantassurance.
NIST CSF 2.0 biedt een nuttige vertaallaag. De GOVERN-functie verwacht dat organisaties verwachtingen van stakeholders, afhankelijkheden en wettelijke, regelgevende, contractuele, privacy- en burgerrechtenverplichtingen begrijpen. De aanpak met Profiles helpt huidige uitkomsten te vergelijken met doeluitkomsten, hiaten te identificeren en actieplannen te prioriteren.
| Druk vanuit vereisten | Wat toetsing van privacybeheersmaatregelen moet opleveren | Clarysec-anker |
|---|---|---|
| Verantwoordingsplicht onder GDPR | Bewijsmateriaal dat beginselen, rechtsgrondslag, rechten, beveiliging, bewaring en verplichtingen van verwerkers aantoonbaar worden nageleefd | PIMS-beleid, REG03, REG12, CAPA |
| Gereedheid voor ISO 27701:2025 | Geteste PIMS-beheersmaatregelen, rolgebaseerde toepasselijkheid, kwaliteit van bewijsmateriaal, interne audit, directiebeoordeling | PIMS Monitoring, Audit and Improvement Policy |
| ISO/IEC 27001:2022-assurance | Traceerbaarheid van risicobehandeling, SoA-motivering, operationele beheersing, audit, beoordeling, verbetering | Zenith Blueprint, Zenith Controls cross-compliance guide |
| NIS2-governance | Beoordeling van doeltreffendheid, incidentparaatheid, leveranciersbeheersmaatregelen, toezicht door management | Mapping van ISO/IEC 27001:2022 Annex A-beheersmaatregelen 5.35 en 5.36 |
| DORA-assurance | Toetsing van ICT-beheersmaatregelen, weerbaarheidstesten, bewijsmateriaal van derden, registraties van de incidentlevenscyclus | Cross-gemapt auditbewijsmateriaalmodel |
| NIST CSF 2.0 | Huidig profiel, doelprofiel, hiaatanalyse, geprioriteerde verbetering | Zenith Blueprint stappen 24, 26, 29 |
De Zenith Blueprint versterkt traceerbaarheid in stap 24:
Uw SoA moet consistent zijn met uw risicoregister en risicobehandelingsplan. Controleer nogmaals dat elke beheersmaatregel die u als risicobehandeling hebt gekozen, in de SoA als “Toepasselijk” is gemarkeerd. Omgekeerd geldt: als een beheersmaatregel in de SoA als “Toepasselijk” is gemarkeerd, moet u daarvoor een motivering hebben – meestal een gemapt risico, een wettelijke/regelgevende eis of een zakelijke behoefte.
Uit de fase Audit, Review & Improvement, stap 24: Audit, Review & Improvement.
Voor toetsing van privacybeheersmaatregelen geldt hetzelfde principe voor PIMS-toepasselijkheid. Elke toepasselijke privacybeheersmaatregel moet traceerbaar zijn naar een verwerkingsrisico, wettelijke verplichting, klanteis of zakelijke behoefte. Elke test moet naar die beheersmaatregel terug te voeren zijn.
Hoe verschillende auditors dezelfde beheersmaatregel beoordelen
Een sterk privacytestprogramma anticipeert op het perspectief van de auditor. Dezelfde verwijderingsbeheersmaatregel, toegangscontrole of beheersmaatregel voor onboarding van verwerkers wordt verschillend geïnterpreteerd afhankelijk van de beoordelingscontext.
| Auditorperspectief | Waarschijnlijke auditvraag | Verwacht bewijsmateriaal |
|---|---|---|
| ISO 27701:2025-auditor | Zijn rolgebaseerde PIMS-beheersmaatregelen geïmplementeerd, geëvalueerd en verbeterd? | REG03-toepasselijkheid, REG12-steekproeven, verwerkingsregister, beleidsmapping, auditresultaten |
| ISO/IEC 27001:2022-auditor | Is de privacygerelateerde beheersmaatregel geïntegreerd in risicobehandeling, SoA, operationele beheersing, interne audit en directiebeoordeling? | Risicoregister, SoA-motivering, behandelplan, bewijsmateriaal voor beheersmaatregelen, notulen van directiebeoordeling |
| GDPR-beoordelaar | Kan de verwerkingsverantwoordelijke naleving van GDPR-beginselen en -verplichtingen aantonen? | Rechtsgrondslag, privacyverklaringen, DSR-logboeken, DPIA’s, contracten, registraties van datalekken, bewijsmateriaal voor bewaring |
| NIST CSF-assessor | Kent de organisatie haar verplichtingen, definieert zij doeluitkomsten, meet zij hiaten en verbetert zij? | Huidig profiel en doelprofiel, hiaatplan, risicoprioritering, governanceregistraties |
| DORA-georiënteerde klant of toezichthouder | Worden ICT-beheersmaatregelen getest, incidenten geclassificeerd, leveranciers gemonitord en kritieke diensten weerbaar gemaakt? | Testprogramma, incidentregistraties, leveranciersregister, contracten, exitplannen |
| ISACA- of COBIT 2019-stijl auditor | Zijn doelstellingen, eigenaarschap, metrieken, afsluiting van issues en governancetoezicht doeltreffend? | RACI, KPI’s, issuelogboeken, CAPA-verificatie, managementrapportage |
Daarom is REG12 zo waardevol. Het zet privacynaleving om in auditeerbaar governancebewijsmateriaal.
Veelvoorkomende bevindingen bij toetsing van PIMS-beheersmaatregelen
Clarysec ziet herhaaldelijk dezelfde bevindingen in privacyaudits bij organisaties die zich voorbereiden op ISO 27701:2025-certificering, GDPR-klantassurance of enterprise-due diligence.
Het verwerkingsregister sluit niet aan op de systeemwerkelijkheid
Het verwerkingsregister noemt CRM- en supportplatformen, maar engineers hebben analytics-exports, observability-logboeken, AI-tooling en datawarehousetabellen toegevoegd.
Testrespons: neem een steekproef van systemen uit de inventaris van bedrijfsmiddelen en de cloudinventaris en stem deze vervolgens af met het verwerkingsregister. Gebruik de relatie tussen ISO/IEC 27001:2022 Annex A-beheersmaatregelen 5.9 en 5.34 als auditmotivering.
PII-toegang is goedgekeurd, maar wordt niet periodiek beoordeeld
Initiële goedkeuringen bestaan, maar beoordelingen van geprivilegieerde toegang omvatten geen support-impersonatietools, productiedatabanken, BI-dashboards of noodaccounts.
Testrespons: neem een steekproef van actieve gebruikers met toegang tot PII en vergelijk rol, zakelijke behoefte, goedkeuring, MFA-status, laatste aanmelding en beoordelingsbewijsmateriaal.
Verwerkerscontracten bestaan, maar monitoring is zwak
De DPA is ondertekend, maar de leveranciersvragenlijst is verouderd. Niemand heeft wijzigingen bij subverwerkers, gegevenslocaties, risicopositie op het gebied van informatiebeveiliging of incidentmeldingsverplichtingen beoordeeld.
Testrespons: neem een steekproef van kritieke verwerkers en inspecteer due diligence, contractuele bepalingen, wijzigingen bij subverwerkers, waarborgen voor doorgifte en registraties van monitoring. Dit ondersteunt GDPR, NIS2-verwachtingen voor de toeleveringsketen en DORA-verwachtingen voor risico’s van derden.
Incidentrespons bestaat, maar privacyclassificatie is inconsistent
Beveiligingsincidenten worden gelogd, maar de privacy-impact wordt niet altijd beoordeeld. Criteria voor datalekken onder GDPR worden niet consistent gedocumenteerd. Meldplichten richting klanten worden informeel afgehandeld.
Testrespons: neem een steekproef van incidenten waarbij sprake is van gegevensblootstelling en inspecteer classificatie, privacy-escalatie, juridische toetsing, meldingsbesluiten, bewaring van bewijsmateriaal, oorzaak en geleerde lessen.
CAPA wordt gesloten zonder verificatie van doeltreffendheid
Een procedure wordt bijgewerkt en de bevinding wordt gesloten. Niemand test of de volgende steekproef is verbeterd.
Testrespons: verifieer de doeltreffendheid van corrigerende maatregelen in REG12 binnen 30 dagen na gemelde afsluiting, zoals vereist door het PIMS Monitoring, Audit and Improvement Policy.
Een sprint van 90 dagen voor toetsing van privacybeheersmaatregelen
Voor organisaties die toewerken naar gereedheid voor ISO 27701:2025, klant-due diligence of een beoordeling van verantwoordingsplicht onder GDPR, adviseert Clarysec een gerichte sprint van 90 dagen.
| Tijdlijn | Focus | Outputs |
|---|---|---|
| Dag 1 tot en met 15 | Scope en bewijsmodel | PIMS-rollen, verwerkingsregister, REG03-toepasselijkheid, prioritaire risico’s, wettelijke verplichtingen, leveranciersafhankelijkheden, regels voor bewijsnaamgeving |
| Dag 16 tot en met 35 | Toetsing van de opzet | Beleidsbeoordeling, RACI, privacyverklaringen, rechtsgrondslag, DPIA-triggers, DSR-workflows, incidentclassificatie, bewaarschema’s, leveranciersbeheersmaatregelen |
| Dag 36 tot en met 65 | Toetsing van de werking | Steekproeven voor toegang, verwijdering, incidenten, verwerkers, doorgiften, bewaring, training, technische monitoring, REG12-bewijsmateriaal |
| Dag 66 tot en met 80 | CAPA en risicobehandeling | Oorzaak, corrigerende maatregel, eigenaar, vervaldatum, restrisico, verificatiemethode |
| Dag 81 tot en met 90 | Voorbereiding op directiebeoordeling | PIMS-prestatiepakket, doelstellingen, open risico’s, non-conformiteiten, corrigerende maatregelen, leverancierskwesties, verbeterbesluiten |
Aan het einde van de sprint moet de organisatie de vragen kunnen beantwoorden die auditors daadwerkelijk stellen:
- Welke PII verwerkt u?
- In welke rol?
- Welke beheersmaatregelen zijn van toepassing?
- Waarom zijn zij van toepassing?
- Welk bewijsmateriaal bewijst dat zij zijn geïmplementeerd?
- Welke steekproef bewijst dat zij werken?
- Welke hiaten zijn gevonden?
- Welke corrigerende maatregelen zijn genomen?
- Wie heeft de doeltreffendheid geverifieerd?
- Wat heeft topmanagement beoordeeld en besloten?
Van privacy op papier naar aantoonbare verantwoordingsplicht
Een ISO 27701-certificaat is waardevol, maar het is niet het eindpunt. Klanten, toezichthouders, besturen en auditors verwachten steeds vaker bewijs dat privacybeheersmaatregelen zijn ontworpen, geïmplementeerd, gemonitord, gecorrigeerd en bestuurd.
Privacynaleving faalt wanneer zij als documentatieproject wordt behandeld. Zij doorstaat toetsing wanneer zij een getest bewijssysteem wordt.
Clarysec helpt organisaties van gestelde naleving naar aantoonbare verantwoordingsplicht te gaan door PIMS-beleid, REG03-toepasselijkheid, REG12-bewijssteekproeven, CAPA-verificatie, directiebeoordeling en mapping over meerdere raamwerken te verbinden via Zenith Blueprint: An Auditor’s 30-Step Roadmap en Zenith Controls: The Cross-Compliance Guide.
Als uw organisatie zich voorbereidt op ISO 27701:2025-certificering, een beoordeling van verantwoordingsplicht onder GDPR, privacyassurance richting klanten, governancebewijsmateriaal voor NIS2 of DORA-gedreven due diligence van leveranciers, begin dan met een gerichte workshop voor toetsing van privacybeheersmaatregelen.
Clarysec kan u helpen REG03-toepasselijkheid te mappen, REG12-auditsteekproeven op te bouwen, prioritaire PIMS-beheersmaatregelen te testen, bevindingen aan CAPA te koppelen en outputs voor directiebeoordeling voor te bereiden die toetsing kunnen doorstaan.
Uw volgende privacyaudit mag geen zoektocht naar screenshots zijn. Het moet een overtuigende demonstratie zijn dat privacy werkt, met bewijsmateriaal is onderbouwd, wordt beoordeeld en voortdurend wordt verbeterd.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


