Q&A

Algemeen over ISO-certificering 

Waarom zou mijn organisatie zich laten certificeren voor ISO 27001, NEN 7510 of ISO 9001?

Certificering laat zien dat je organisatie aantoonbaar grip heeft op kwaliteit, informatiebeveiliging en risico’s. Het vergroot het vertrouwen van klanten, toezichthouders en ketenpartners. Daarnaast dwingt het je om processen structureel te verbeteren in plaats van ad-hoc te reageren op incidenten. In aanbestedingen en contracten is certificering steeds vaker een harde eis. Met de juiste begeleiding wordt certificering geen papieren exercitie, maar een praktisch instrument dat daadwerkelijk bijdraagt aan betere bedrijfsvoering.

Is certificering verplicht?

Wettelijk meestal niet, maar in de praktijk steeds vaker wel. Klanten, zorgverzekeraars en aanbestedende diensten stellen certificering als eis. Ook toezichthouders zoals de Autoriteit Persoonsgegevens verwachten aantoonbare beheersing van risico’s. Organisaties die wachten tot het verplicht wordt, zijn vaak te laat. Proactieve certificering biedt een strategisch voordeel en opent deuren bij aanbestedingen.

Wat levert ISO-certificering mij concreet op?

Certificering zorgt voor overzicht, rust en voorspelbaarheid in je organisatie. Risico’s worden inzichtelijk en verantwoordelijkheden duidelijker. Besluitvorming wordt beter onderbouwd en incidenten nemen vaak af. Daarnaast ondersteunt certificering gecontroleerde groei en geeft het een concurrentievoordeel bij aanbestedingen. Mits goed ingericht werkt het systeem vóór de organisatie, niet ertegen.

Wat is de ROI van ISO 27001 certificering?

De return on investment zie je terug in minder beveiligingsincidenten, lagere verzekeringskosten, toegang tot nieuwe klanten en kortere verkooptrajecten. Veel organisaties verdienen hun investering binnen 1-2 jaar terug. Daarnaast voorkom je boetes van toezichthouders en reputatieschade door datalekken. Het belangrijkste rendement zit in structureel betere bedrijfsvoering en risicobeheersing.

ISO-normen: verschillen en combinaties

Wat is het verschil tussen ISO 27001 en NEN 7510?

ISO 27001 is een internationale norm voor informatiebeveiliging die sectoronafhankelijk toepasbaar is. NEN 7510 is specifiek gericht op de zorgsector en bouwt voort op ISO 27001 met aanvullende eisen rondom medische en persoonsgegevens. In de praktijk betekent dit dat NEN 7510 meer nadruk legt op logging, autorisaties en privacybescherming. Veel zorgorganisaties in Amsterdam, Rotterdam, Utrecht en andere steden onderschatten deze extra diepgang. Begeleiding door een expert die beide normen goed kent voorkomt interpretatiefouten en onnodig dubbel werk.

Is ISO 9001 nog relevant in combinatie met ISO 27001?

Ja, deze normen versterken elkaar juist. ISO 9001 richt zich op procesbeheersing, klanttevredenheid en continue verbetering. ISO 27001 voegt daar risicogestuurde informatiebeveiliging aan toe. Samen vormen ze een robuust geïntegreerd managementsysteem dat zowel kwaliteit als veiligheid borgt. Organisaties die beide normen geïntegreerd implementeren besparen tijd, auditkosten en interne inspanning. Dit vraagt wel om ervaring met het opzetten van geïntegreerde managementsystemen.

Kan ik ISO 27001 combineren met AVG/GDPR compliance?

Absoluut, en dat is zelfs zeer aan te raden. ISO 27001 biedt een managementsysteem voor informatiebeveiliging, terwijl de AVG specifieke privacyverplichtingen stelt. Veel beheersmaatregelen uit ISO 27001 ondersteunen direct je AVG-compliance. Door beide te integreren vermijd je dubbel werk en creëer je één samenhangend systeem voor informatie- en privacybescherming. Dit wordt steeds belangrijker nu toezichthouders strenger handhaven.

Wanneer heb ik ISAE 3000 of ISAE 3402 nodig?

ISAE-rapportages zijn vooral relevant voor dienstverleners die processen uitvoeren voor klanten, zoals hosting providers, salarisverwerkers of cloudleveranciers. ISAE 3402 richt zich op beheersmaatregelen die relevant zijn voor de financiële verantwoording van klanten. ISAE 3000 is breder en wordt gebruikt voor niet-financiële assurance. De juiste keuze hangt af van klantverwachtingen en contractuele eisen. Verkeerde keuzes leiden tot onnodige kosten of onvoldoende assurance.

Kan ISAE worden gecombineerd met ISO 27001?

Ja, en dit gebeurt steeds vaker. ISO 27001 beschrijft het managementsysteem, terwijl ISAE-rapportages de werking van specifieke beheersmaatregelen aantonen aan klanten. Door beide trajecten op elkaar af te stemmen ontstaat synergie in documentatie en controles. Zonder ervaring worden deze trajecten vaak los van elkaar opgezet, wat leidt tot dubbel werk. Integratie bespaart tijd en voorkomt inconsistenties.

Implementatie en trajectduur

Hoe lang duurt een ISO 27001- of NEN 7510-traject gemiddeld?

De doorlooptijd ligt meestal tussen de zes en twaalf maanden. Dit is afhankelijk van de volwassenheid van je organisatie, bestaande documentatie en betrokkenheid van het management. Zonder duidelijke structuur lopen trajecten vaak uit door herwerk en onduidelijke keuzes. Met een heldere roadmap en pragmatische aanpak is certificering binnen een jaar goed haalbaar. Wij begeleiden organisaties door heel Nederland met realistische planning die vertraging voorkomt.

Wat zijn de meest gemaakte fouten bij ISO-implementaties?

Een veelgemaakte fout is starten met documentatie voordat risico’s en processen goed zijn geanalyseerd. Ook worden vaak standaardtemplates gekopieerd zonder aansluiting op de praktijk. Daarnaast wordt informatiebeveiliging regelmatig gezien als een IT-aangelegenheid, terwijl het organisatiebreed is. Dit leidt tot weerstand en onvoldoende draagvlak. Goede begeleiding helpt focus aan te brengen en voorkomt over-compliance die je organisatie juist vertraagt.

Moet alles perfect zijn vóór de certificeringsaudit?

Nee, de normen vragen niet om perfectie maar om beheersing. Auditors kijken of risico’s bekend zijn en of maatregelen logisch en onderbouwd zijn gekozen. Het is belangrijker dat keuzes uitlegbaar en consistent zijn dan dat alles volledig is dichtgetimmerd. Wat vaak ontbreekt, is het verhaal achter deze keuzes. Wij helpen je om dit verhaal auditproof te maken, zodat je met vertrouwen de audit ingaat.

Hoe betrek ik management effectief bij ISO-trajecten?

Managementbetrokkenheid is cruciaal en wordt door auditors expliciet getoetst. Het gaat verder dan alleen het goedkeuren van beleid. Management moet aantoonbaar sturen op risico’s, doelstellingen en verbeteringen. Veel bestuurders vinden deze rol lastig in te vullen. Gerichte begeleiding maakt hun verantwoordelijkheden concreet en praktisch uitvoerbaar, zonder dat het een enorme tijdsinvestering vraagt.

Hoe voorkom ik dat ISO ‘iets van IT’ wordt?

Door ISO vanaf het begin te benaderen als een organisatiebreed vraagstuk. Niet techniek, maar processen staan centraal. Daardoor krijgen HR, sales, operations en directie een duidelijke rol en ontstaat daadwerkelijk eigenaarschap. Dat eigenaarschap zorgt voor breed draagvlak, waardoor medewerkers de werkwijze makkelijker accepteren en toepassen. De norm gaat zo werken voor de organisatie, in plaats van dat de organisatie zich krampachtig aanpast aan de norm.

Is certificering haalbaar voor kleine organisaties?

Ja, de normen zijn schaalbaar en bedoeld voor organisaties van elke omvang. Wel vraagt dit om een proportionele interpretatie van de eisen. Kleine organisaties lopen het risico te zwaar in te richten met onnodige bureaucratie. Een pragmatische aanpak voorkomt dit. Juist kleinere mkb-bedrijven profiteren sterk van ervaren begeleiding die maatwerk levert zonder overkill. Voor relatief kleine organisatie past de ” niet lullen maar poetsen aanpak”  als een handschoen. AmniPro heeft hiervoor een speciale documentset ontwikkeld die voldoet aan de eisen maar geen overbodige druk op de organisatie legt.

Kosten en investering

Wat kost ISO 27001 certificering gemiddeld?

De kosten bestaan uit interne tijd, externe begeleiding en auditkosten van de certificerende instelling. Voor kleinere organisaties ligt dit vaak tussen €15.000 en €35.000 voor het complete traject. Middelgrote organisaties rekenen meestal op €35.000 tot €75.000. Zonder goede begeleiding kunnen kosten oplopen door vertraging en extra audits. Door vooraf slimme keuzes te maken blijft het traject beheersbaar en voorspelbaar. Transparantie over kosten en inspanning is daarbij essentieel.

Wat kost NEN 7510 certificering voor zorgorganisaties?

NEN 7510 certificering ligt qua kosten vergelijkbaar met ISO 27001, maar vraagt vaak iets meer tijd vanwege de extra zorg-specifieke eisen. Reken op €20.000 tot €40.000 voor kleinere zorginstellingen. De investering betaalt zich terug via toegang tot zorgverzekeraars, contracten met ziekenhuizen en verhoogd vertrouwen van patiënten. Veel zorgorganisaties in de Randstad en daarbuiten kiezen voor gecombineerde trajecten met AVG-compliance.

Wat zijn de jaarlijkse kosten na certificering?

Na certificering zijn jaarlijks hercertificeringsaudits (surveillance audits) nodig. Deze kosten zijn lager dan de initiële certificering, meestal €3.000 tot €8.000 per jaar afhankelijk van organisatiegrootte. Daarnaast moet je rekenen op interne tijd voor audits, managementreviews en onderhoud van het systeem. Met een goed opgezet systeem is dit beheersbaar en valt de werkdruk mee. AmniPro kan hierin begeleiden om zo kennis over te dragen en het proces zo efficient mogelijk te laten verlopen.

Audits en certificering

Wat verwacht een auditor écht tijdens een audit?

Auditors zoeken samenhang, consistentie en onderbouwing. Ze willen zien dat risico’s bekend zijn en dat maatregelen logisch zijn gekozen op basis van risicoanalyse. Perfecte documenten zonder praktijkwerking vallen snel door de mand. Een goede auditvoorbereiding richt zich daarom op verhaal en samenhang tussen beleid, risico’s en dagelijkse praktijk. Onze ervaring met honderden audits maakt hier het verschil.

Wat is het verschil tussen een interne audit en een externe audit?

Een interne audit voer je “zelf”  uit om te toetsen of het managementsysteem werkt zoals bedoeld. Een externe audit wordt uitgevoerd door een certificerende instelling en leidt tot certificering. Interne audits zijn idealiter kritisch en inhoudelijk sterk. In de praktijk zijn ze vaak te oppervlakkig of te voorzichtig. Een onafhankelijke en ervaren auditor verhoogt de waarde van interne audits aanzienlijk en is vaak nodig om aan de norm te voldoen.

Hoe vaak moet ik audits laten uitvoeren?

Na initiële certificering volgen jaarlijkse surveillance audits (tussentijdse audits). Na drie jaar is er een hercertificeringsaudit waarbij het volledige systeem opnieuw wordt beoordeeld. Daarnaast moet je minimaal één interne audit per jaar uitvoeren volgens de normen. Deze frequentie zorgt ervoor dat je managementsysteem actueel blijft en continu verbetert.

Wat gebeurt er bij non-conformiteiten tijdens een audit?

Non-conformiteiten zijn afwijkingen van de norm die de auditor constateert. Er zijn majeure (ernstige) en mineure (lichte) afwijkingen. Bij majeure non-conformiteiten krijg je geen certificaat tot deze zijn opgelost. Mineure afwijkingen moeten binnen een bepaalde termijn worden hersteld. Met goede voorbereiding zijn non-conformiteiten te voorkomen of blijven ze beperkt tot kleine mineure punten die snel op te lossen zijn.

Hoe bereid ik mij voor op een hercertificeringsaudit?

Bij hercertificering kijkt de auditor nadrukkelijk naar de werking over meerdere jaren. Er wordt verwacht dat trends zichtbaar zijn, zoals incidentafhandeling, verbeteracties en besluitvorming. Ad-hoc documentatie vlak voor de audit wordt snel herkend en afgekeurd. Door het hele jaar aantoonbaar te sturen op verbetering wordt de audit grotendeels een formaliteit. Structurele begeleiding helpt je om continu auditproof te blijven.

Onderhoud van certificering

Wat betekent ‘onderhoud’ van ISO- en NEN-normen?

Certificering is geen eenmalig project maar een doorlopend proces. Jaarlijks zijn interne audits, managementreviews en surveillance audits vereist. Daarnaast moeten risicoanalyses, beleid en maatregelen actueel blijven bij veranderingen in je organisatie of dreigingslandschap. Veel organisaties onderschatten dit structurele karakter. Met een duidelijke jaarplanning en vaste verantwoordelijkheden wordt onderhoud overzichtelijk en beheersbaar.

Kan ik het onderhoud zelf doen zonder externe hulp?

Ja, maar veel organisaties kiezen voor periodieke ondersteuning bij interne audits, managementreviews of updates van risicoanalyses. Dit voorkomt dat je systeem veroudert of dat je verrast wordt tijdens externe audits. Wij bieden flexibele onderhoudscontracten waarbij je naar behoefte ondersteuning krijgt zonder vaste maandlasten.

Hulp en begeleiding

Kan ik ISO-certificering zelf doen zonder externe hulp?

In theorie wel, maar in de praktijk blijkt dit zelden efficiënt. Organisaties onderschatten vaak de interpretatie van normen en de benodigde tijd. Zelf doen leidt regelmatig tot vertraging, foute inrichtingen of zelfs afkeur door de auditor. Externe begeleiding versnelt het traject en vergroot de slagingskans aanzienlijk. Vooral bij een eerste certificering is professionele hulp vrijwel altijd rendabel.

Waarom zou ik AmniPro inschakelen voor ISO 27001 of NEN 7510 certificering?

Omdat ervaring het verschil maakt tussen nét voldoen en duurzaam beheersen. Wij begeleiden organisaties pragmatisch, met oog voor zowel norm als praktijk. Geen overbodige documentatie, maar werkbare en auditproof oplossingen die passen bij jouw organisatie. Met een bewezen trackrecord en een 100% slagingspercentage weet je vooraf waar je aan toe bent.

Vanuit onze basis in de Randstad bedienen wij klanten door heel Nederland, België en Duitsland. Of je nu in Amsterdam, Rotterdam, Utrecht, Eindhoven, Antwerpen of Düsseldorf zit – wij zorgen dat jouw certificeringstraject soepel verloopt. Dat geeft rust, zekerheid en focus op de kern van je organisatie.

Werken jullie ook op locatie of volledig remote?

Beide. Voor organisaties in de Randstad (Amsterdam, Rotterdam, Den Haag, Utrecht) komen we graag op locatie voor kickoff-meetings, workshops en auditvoorbereiding. Voor klanten elders in Nederland of in België en Duitsland werken we hybride: belangrijke sessies op locatie, dagelijkse begeleiding remote. Dit houdt kosten beheersbaar zonder in te leveren op kwaliteit.

Veelgestelde praktijkvragen

Welke certificerende instelling moet ik kiezen?

De keuze hangt af van jouw sector, internationale ambities en budget. Wij adviseren graag welke instelling het beste past bij jouw situatie en kunnen de aanvraag faciliteren. Een goede match voorkomt latere problemen en zorgt voor soepele audits.

Hoeveel tijd kost ISO-certificering intern?

Reken op gemiddeld 1-2 dagen per week van een projectleider en enkele uren per maand van andere medewerkers. Bij de audit zelf zijn meerdere medewerkers betrokken voor interviews. Deze tijdsinvestering lijkt veel, maar met goede begeleiding blijft het beheersbaar en zit er geen ‘leercurve’ in die tijd kost.

Wat als mijn organisatie groeit tijdens het traject?

Geen probleem. Een goed opgezet managementsysteem is schaalbaar en groeit mee met je organisatie. Bij significante groei (nieuwe vestigingen, veel nieuwe medewerkers) moet de scope mogelijk worden uitgebreid. Dit overleg je tijdig met je auditor. Wij helpen je om flexibiliteit in te bouwen zodat groei geen probleem wordt.

Heb je nog vragen over ISO 27001, NEN 7510 of ISO 9001 certificering?

Neem contact met ons op voor een vrijblijvend gesprek over jouw situatie. We denken graag met je mee over de beste aanpak voor jouw organisatie.