Mijn organisatie heeft al een ISMS volgens ISO/IEC 27001. Moeten we dan nog ISO/IEC 27701:2025 implementeren?

Nee, het is niet verplicht, maar wel sterk aan te raden als u met persoonsgegevens werkt en aantoonbaar wilt zijn. ISO 27701 biedt een gestructureerd kader voor privacy-management dat verder gaat dan louter informatiebeveiliging. U kunt het los of aanvullend op ISO/IEC 27001 inzetten om uw privacybeheer te versterken.

Is certificering volgens ISO 27701:2025 verplicht?

Nee, certificering is vrijwillig, maar vormt een sterke meerwaarde wanneer u uw privacy-governance extern wilt aantonen. Belangrijk is dat de certificeringsinstantie werkt conform ISO/IEC 27706:2025 om de audit en certificering geloofwaardig te maken.

Wat is het voordeel van ISO/IEC 27701-certificering voor mijn organisatie?

Een ISO 27701-certificering toont aan dat uw organisatie een serieus, gestructureerd privacy-managementsysteem hanteert dat voldoet aan de GDPR. Het versterkt vertrouwen bij klanten, partners en toezichthouders, en kan een concurrentievoordeel opleveren. Bovendien helpt het om beter voorbereid te zijn op privacytoezicht, data-incidenten en complexe verwerkingsketens.

Hoe kan Mr. Franklin u bijstaan?

Mr. Franklin helpt organisaties bij het behalen van een ISO 27701-certificering door ondersteuning te bieden bij het opzetten van een PIMS en het uitvoeren van interne audits. Met ruime expertise in GDPR-ondersteuning en ISO 27001-certificering zorgt Mr. Franklin voor een vlotte begeleiding en juridisch correcte implementatie.

Certificação RGPD possível com a nova norma ISO 27701?

Olivier Sustronck
24 de out. de 2025
3 min de leitura

Atualizado: 16 de jan.

Esta semana foram publicadas as normas ISO 27701:2025 e ISO 27706:2025. A norma revista torna possível a implementação de um Privacy Information Management System (PIMS) em conformidade com o RGPD, bem como a obtenção de uma certificação que demonstre que a sua empresa opera de acordo com esta norma.

O que é a ISO/IEC 27701:2025?

A norma ISO/IEC 27701:2025 define um enquadramento sistemático para a criação, implementação, manutenção e melhoria contínua de um Privacy Information Management System (PIMS). Esta norma constitui uma revisão da anterior ISO 27701 de 2019. Entre as principais alterações face à versão anterior destacam-se:

A versão de 2025 deixou de ser uma simples “extensão” da ISO/IEC 27001 e passou a ser uma norma autónoma de sistema de gestão.
A ênfase recai, mais do que nunca, sobre governança, liderança, gestão de riscos em matéria de privacidade e avaliação de desempenho, nomeadamente através das cláusulas 4 a 10 da norma.
O conjunto de controlos foi atualizado para ter em conta tratamentos mais modernos, como cloud, SaaS, utilização de IA, transferências internacionais de dados pessoais, entre outros.
As organizações podem obter certificação ao abrigo da ISO/IEC 27701:2025 mesmo sem certificação prévia ISO/IEC 27001, o que torna esta certificação acessível também a pequenas empresas e a organizações fortemente orientadas para a privacidade.

O que é a ISO/IEC 27706:2025?

A norma ISO/IEC 27706:2025 estabelece os requisitos aplicáveis aos organismos de auditoria e certificação que realizam certificações PIMS com base na ISO/IEC 27701. Assim, passou a ser efetivamente possível obter uma certificação reconhecida com base na norma ISO 27701.

Significado prático para as empresas

Para organizações que tratam dados pessoais e pretendem preparar-se para a certificação ou reforçar o seu quadro de privacidade, esta evolução tem implicações concretas:

As certificações RGPD existentes focam-se frequentemente em processos específicos. A ISO 27701 permite certificar toda a organização e as suas atividades, atribuindo-lhe um selo de qualidade baseado no RGPD.
É possível investir mais rapidamente em governança de privacidade sem necessidade de obter previamente um ISMS completo (ISO 27001), tornando a certificação de privacidade mais acessível.
A preparação torna-se essencial: uma gap analysis entre a situação atual e os requisitos da ISO/IEC 27701:2025 é indispensável. O conjunto de controlos, a definição de papéis (responsável pelo tratamento/subcontratante), a delimitação do âmbito, as relações com subcontratantes, transferências internacionais, IA/automação, entre outros aspetos, exigem atenção específica.
A certificação não é um ponto final, mas um ponto de partida: o PIMS exige monitorização, avaliação, melhoria contínua, formação e preparação para auditorias — a privacidade passa a ser gerida de forma transversal em toda a organização.

Por que agir agora?

Com a publicação das normas ISO/IEC 27701:2025 e ISO/IEC 27706:2025, a normalização internacional em matéria de gestão da privacidade entra numa nova fase — a privacidade passa a ser reconhecida como um domínio autónomo de governação, e não apenas como parte da segurança da informação.

Ao iniciar desde já a sua preparação, a sua organização demonstra visão estratégica, reforça a governação interna, aumenta a confiança de clientes, parceiros e autoridades de controlo e encurta o percurso até uma certificação bem estruturada e eficiente.

FAQ

A minha organização já dispõe de um ISMS segundo a ISO/IEC 27001. É necessário implementar também a ISO/IEC 27701:2025?

Não é obrigatório, mas é fortemente recomendado se a sua organização trata dados pessoais e pretende demonstrar conformidade. A ISO 27701 oferece um quadro estruturado de gestão da privacidade que vai além da segurança da informação. Além disso, sendo agora uma norma autónoma, pode ser implementada independentemente da ISO/IEC 27001.

A certificação ISO/IEC 27701:2025 é obrigatória?

Não. A certificação é voluntária, mas constitui uma proposta forte para demonstrar uma governação sólida da privacidade. Importa salientar que o organismo certificador deve operar em conformidade com a ISO/IEC 27706:2025 para garantir a credibilidade da auditoria e da certificação.

Qual é a vantagem da certificação ISO/IEC 27701 para a minha organização?

A certificação demonstra externamente que a sua organização dispõe de um sistema de gestão da privacidade sério e estruturado, em conformidade com o RGPD. Reforça a confiança de clientes, parceiros e autoridades de controlo e pode constituir uma vantagem competitiva. Ajuda também a preparar melhor a organização para fiscalizações, incidentes de dados e cadeias de tratamento complexas.

Como pode a Mr. Franklin ajudá-lo?

A Mr. Franklin pode apoiar a sua organização na obtenção da certificação ISO 27701, prestando assistência na implementação de um PIMS. Pode igualmente atuar como auditor interno. Dispomos de ampla experiência tanto no apoio RGPD às empresas como no acompanhamento de organizações no processo de certificação ISO 27001. Os nossos especialistas ajudam-no a alcançar uma certificação eficiente e bem-sucedida. Contacte-nos sem compromisso para mais informações.