Veelgestelde vragen

Alles over ISO, certificering & audits

Antwoord op de vragen die we het vaakst krijgen — over normen, kosten, doorlooptijd en audits. Staat jouw vraag er niet bij? Stel 'm gerust.

Waarom certificeren

Waarom zou mijn organisatie zich laten certificeren voor ISO 27001, NEN 7510 of ISO 9001?

Certificering laat zien dat je organisatie aantoonbaar grip heeft op kwaliteit, informatiebeveiliging en risico's. Dit vergroot het vertrouwen van klanten en toezichthouders, dwingt tot structurele verbeteringen, en is steeds vaker een vereiste in aanbestedingen.

Is certificering verplicht?

Wettelijk meestal niet, maar in de praktijk steeds vaker wel. Klanten, zorgverzekeraars en aanbestedingen stellen dit als eis. Toezichthouders verwachten aantoonbare risicobeheersing.

Wat levert ISO-certificering mij concreet op?

Certificering zorgt voor overzicht, duidelijker verantwoordelijkheden, betere besluitvorming en minder incidenten. Het biedt concurrentievoordeel bij aanbestedingen en ondersteunt gecontroleerde groei.

Wat is de ROI van ISO 27001 certificering?

De terugverdienperiode bedraagt meestal 1-2 jaar, zichtbaar in minder beveiligingsincidenten, lagere verzekeringskosten, toegang tot nieuwe klanten en vermeden boetes van toezichthouders.

Welke norm past bij mij

Wat is het verschil tussen ISO 27001 en NEN 7510?

ISO 27001 is sectoronafhankelijk. NEN 7510 is specifiek gericht op de zorgsector en bouwt voort op ISO 27001 met extra nadruk op logging, autorisaties en privacybescherming.

Is ISO 9001 nog relevant in combinatie met ISO 27001?

Ja, deze normen versterken elkaar. ISO 9001 richt zich op procesbeheersing en klanttevredenheid; ISO 27001 voegt informatiebeveiliging toe. Geïntegreerde implementatie bespaart kosten en inspanning.

Kan ik ISO 27001 combineren met AVG/GDPR compliance?

Absoluut aan te raden. ISO 27001 biedt het managementsysteem voor informatiebeveiliging; AVG stelt privacyverplichtingen. Veel maatregelen ondersteunen beide doelstellingen tegelijk.

Wanneer heb ik ISAE 3000 of ISAE 3402 nodig?

ISAE-rapportages zijn relevant voor dienstverleners. ISAE 3402 richt zich op financiële assurance; ISAE 3000 is breder voor niet-financiële assurance. De keuze hangt af van klantverwachtingen.

Kan ISAE worden gecombineerd met ISO 27001?

Ja, dit gebeurt steeds vaker. ISO 27001 beschrijft het systeem; ISAE-rapportages tonen de werking aan klanten. Afstemming schept synergie en voorkomt dubbel werk.

Traject & doorlooptijd

Hoe lang duurt een ISO 27001- of NEN 7510-traject gemiddeld?

Doorlooptijd ligt meestal tussen de zes en twaalf maanden, afhankelijk van organisatierijpheid en bestaande documentatie. Met een duidelijke roadmap is certificering binnen een jaar haalbaar.

Wat zijn de meest gemaakte fouten bij ISO-implementaties?

Starten met documentatie voordat risico's zijn geanalyseerd; standaardtemplates kopiëren zonder praktijkaansluiting; informatiebeveiliging als IT-aangelegenheid zien in plaats van organisatiebreed.

Moet alles perfect zijn vóór de certificeringsaudit?

Nee, auditors zoeken beheersing, niet perfectie. Het is belangrijker dat keuzes uitlegbaar en consistent zijn dan dat alles volledig is dichtgetimmerd.

Hoe betrek ik management effectief bij ISO-trajecten?

Managementbetrokkenheid is cruciaal. Management moet aantoonbaar sturen op risico's, doelstellingen en verbeteringen, niet alleen beleid goedkeuren.

Hoe voorkom ik dat ISO 'iets van IT' wordt?

Benader ISO als organisatiebreed vraagstuk met focus op processen. Dit geeft HR, sales, operations en directie duidelijke rollen en creëert eigenaarschap.

Is certificering haalbaar voor kleine organisaties?

Ja, normen zijn schaalbaar. Proportionele interpretatie voorkomt onnodige bureaucratie. AmniPro heeft een speciale documentset ontwikkeld die voldoet aan de eisen maar geen overbodige druk legt.

Hoeveel tijd kost ISO-certificering intern?

Reken op gemiddeld 1-2 dagen per week van de projectleider en enkele uren per maand van anderen. Met goede begeleiding blijft dit beheersbaar zonder leercurve.

Wat als mijn organisatie groeit tijdens het traject?

Geen probleem. Een goed opgezet systeem is schaalbaar. Bij significante groei moet de scope mogelijk worden uitgebreid. Dit overleg je tijdig met de auditor.

Kan ik ISO-certificering zelf doen zonder externe hulp?

Theoretisch wel, maar de praktijk toont dat dit zelden efficiënt is. Zelf doen leidt tot vertraging, foute inrichtingen of afkeur. Externe begeleiding is vrijwel altijd rendabel.

Kosten

Wat kost ISO 27001 certificering gemiddeld?

Voor kleinere organisaties €15.000-€35.000; voor middelgrote €35.000-€75.000. De kosten bestaan uit interne tijd, externe begeleiding en auditkosten.

Wat kost NEN 7510 certificering voor zorgorganisaties?

Vergelijkbaar met ISO 27001, maar het vraagt iets meer tijd. Reken op €20.000-€40.000 voor kleinere zorginstellingen.

Wat zijn de jaarlijkse kosten na certificering?

Hercertificeringsaudits kosten €3.000-€8.000 jaarlijks. Daarnaast interne tijd voor audits en managementreviews. Met een goed systeem blijft de werkdruk beheersbaar.

Audits

Wat verwacht een auditor écht tijdens een audit?

Auditors zoeken samenhang, consistentie en onderbouwing. Ze willen zien dat risico's bekend zijn en maatregelen logisch zijn gekozen.

Wat is het verschil tussen een interne audit en een externe audit?

Een interne audit test of het systeem werkt zoals bedoeld. Een externe audit door de certificeerder leidt tot certificering. Onafhankelijke interne audits verhogen de waarde aanzienlijk.

Hoe vaak moet ik audits laten uitvoeren?

Jaarlijks surveillance audits na de initiële certificering. Na drie jaar een hercertificeringsaudit. Minimaal één interne audit per jaar is vereist.

Wat gebeurt er bij non-conformiteiten tijdens een audit?

Majeure afwijkingen moeten worden opgelost vóór het certificaat; mineure afwijkingen hebben een bepaalde hersteltermijn. Goede voorbereiding voorkomt non-conformiteiten.

Hoe bereid ik mij voor op een hercertificeringsaudit?

De auditor kijkt naar de werking over meerdere jaren. Trends in incidentafhandeling en verbeteracties moeten zichtbaar zijn. Continu sturen op verbetering maakt de audit grotendeels een formaliteit.

Onderhoud

Wat betekent 'onderhoud' van ISO- en NEN-normen?

Certificering is een doorlopend proces met jaarlijks interne audits, managementreviews en surveillance audits. Risicoanalyses en maatregelen moeten actueel blijven.

Kan ik het onderhoud zelf doen zonder externe hulp?

Ja, maar veel organisaties kiezen voor periodieke ondersteuning bij interne audits of updates. Dit voorkomt dat het systeem veroudert. AmniPro biedt flexibele onderhoudscontracten.

Werken met AmniPro

Waarom zou ik AmniPro inschakelen voor ISO 27001 of NEN 7510 certificering?

Omdat ervaring het verschil maakt. AmniPro begeleidt pragmatisch met een 100% slagingspercentage en biedt werkbare oplossingen zonder overbodige documentatie.

Werken jullie ook op locatie of volledig remote?

Beide. Voor Randstad-organisaties graag op locatie; voor elders een hybride aanpak met belangrijke sessies op locatie en dagelijkse begeleiding remote.

Welke certificerende instelling moet ik kiezen?

De keuze hangt af van sector, internationale ambities en budget. AmniPro adviseert welke instelling het beste past en kan de aanvraag faciliteren.

Nog een vraag?

We denken graag pragmatisch met je mee. Binnen twee werkdagen een reactie.

Stel je vraag