De aanleiding: klanten verdwijnen zonder certificering

Nieke Tiggelaar en Danny Wijffelaars runnen Connect Your Hosting in Eindhoven. 15 jaar lang ging alles prima zonder certificering. “We doen hosting, cloud en servers voor klanten. Vroeger interesseerde certificering niemand, maar sinds twee jaar merkten we steeds vaker de vraag: hoe is het geregeld met jullie beveiliging?”

Die vragen waren makkelijk te beantwoorden met “ons datacenter is gecertificeerd”. Maar dat bleek niet genoeg. “Juist de leukere klanten, de grotere opdrachten, daar komt die vraag. En als je dan niet zelf ISO 27001 hebt, wordt het lastig. De eerste klant is zelfs weggelopen door het gebrek aan certificering. Toen dachten we: oké, ook al zijn we misschien niet het grootste bedrijf, we moeten er gewoon voor gaan.”

De keuze: interne audit door derde partij als validatie

Met twee personen op de loonlijst en een flexibele schil van ZZP’ers stond het team voor de vraag: kunnen we de verplichte interne audit zelf doen? “Het is eigenlijk een ‘moetje’ volgens de norm,” legt Danny uit. “Omdat we allebei betrokken waren bij het ISMS, was een interne audit door één van ons lastig. Je hebt iemand nodig die onafhankelijk is én verstand heeft van audits.”

Maar het ging om meer dan alleen de norm. “We zijn heel onervaren op dit gebied. We hebben gaandeweg moeten leren hoe het werkt, wat er wordt verwacht. De vraag was simpelweg: doen we het wel goed? We zochten validatie.”

De twijfel over kosten

“Certificering kost serieus geld,” zegt Nieke eerlijk. “In het begin moesten we kijken: past dit in ons budget dit jaar, of moeten we het uitstellen? En dan komt er ook nog een externe interne audit bij…”

Danny: “Die rekensom was uiteindelijk simpel. Als we de interne audit door een kennis laten doen die er geen verstand van heeft, is het risico groot dat we bij de externe audit niet in één keer door komen. Dan duurt het langer, krijg je extra kosten. Dan kunnen we beter de interne audit meteen goed doen. We betalen iets extra’s, maar dan weten we ook dat we goed voorbereid zijn op de externe audit.”

Het traject: meer dan een vinkje

De interne audit duurde anderhalve dag – behandeld als een volwaardige externe audit, maar met ruimte voor praktische tips en uitleg. “Het was echt een prettig gesprek,” vertelt Danny. “Aan de ene kant werden we wel op onze vingers getikt als iets niet klopte, maar het ging allemaal gemoedelijk en gezellig. Niet iets waar ik tegenop zou zien bij een volgende keer.”

Concrete bevindingen die het verschil maakten

Nieke: “Een ding dat eruit sprong was ons datacenter in Rotterdam. We zitten daar al 10 jaar, kennen de mensen, weten hoe het werkt. Aan de ene kant wist ik dat het een risico was. Maar aan de andere kant – als dat de plek is waar je al zo lang vastzit, waar je business staat, dan ga je soms een beetje struisvogel spelen.”

“Maar nu stond het gewoon zwart op wit in het rapport, met de auditor die zei: ‘Hier moet je écht iets mee.’ Dan kun je niet meer wegkijken. Je moet er iets mee, punt. Dat vond ik eigenlijk heel waardevol – die vuist op tafel.”

Ook het incidentproces kreeg aandacht. “Tot de ISO deden we incidenten niet gestructureerd. Oh, incident gehad? Dit is het verhaal. Maar geen strakke RFO (Reason for Outage). Nu pakken we het professioneel op met een vast format. Dat ziet er voor klanten ook veel beter uit – herhaalbaar, betrouwbaar.”

Danny noemt nog een praktisch voorbeeld: “Nieke gaf aan dat hij dagelijks de monitoring bekijkt. Maar toen kwam de vraag: kun je ook bewijzen dat je dat iedere dag doet? Dat soort dingen – dat extra stapje erbij – daar hadden we zelf niet aan gedacht.”

Het resultaat: vlekkeloze externe audit

De interne audit was in mei 2024, de externe audit in oktober. Die drie maanden ertussen gebruikten ze om alle aanbevelingen op te pakken. “We hebben een behoorlijke lijst weggewerkt voor de externe audit,” zegt Nieke. “De dingen die we niet voor die tijd zouden redden, die staan op de planning voor dit jaar.”

De externe auditor was enthousiast

Danny: “Hij vond het een verademing dat er echt iets fatsoenlijks op papier stond van die interne audit. En dat we een externe partij hadden ingehuurd vond hij een pluspunt, want hij zei: ‘Daardoor zien we dat jullie er professioneel mee bezig zijn.'”

De externe audit zelf – drie dagen – verliep vlekkeloos. “Letterlijk alles afgaan, vink, vink, vink,” aldus Nieke. “Dat is wat je wil bij die externe audit: gewoon knallen.”

De voorbereiding had ook een psychologisch effect. “Door die interne audit hadden we al een heel goede indruk van: oh ja, dit is dus hoe een externe audit gaat. Dat gaf rust. We wisten wat ons te wachten stond.”

De investering: dubbel en dwars waard

“Achteraf gezien had ik het niet anders willen doen,” zegt Nieke resoluut. “Met de kennis die ik nu heb: nee, echt niet.”

Danny vult aan: “Het enige nadeel van de interne audit door AmniPro is dat we de externe audit niet door hen hebben kunnen laten doen. Dat is jammer.” [lacht]

Return on Investment

De certificering heeft direct impact op hun business. “Nu slaan we terug met vlag en wimpel,” zegt Nieke. “Als er al een vraag is over beveiliging: alsjeblieft, hier is ons certificaat. Klaar. En eerlijk: tot de dag dat we die certificering in handen hadden, bleven de vragen maar komen van klanten. ‘Hoe staat het ermee? Is het al binnen? Want we hebben het nodig.’ Ook die klanten hebben het nodig. Het is gewoon een must.”

“In de IT-sector is ISO 27001 echt wel hét ding. Als je serieus de toekomst in wil? Je komt er niet meer mee weg als de frietenbakker op de hoek.”

Advies aan andere organisaties

Voor wie is externe interne audit zinvol?

Nieke is duidelijk: “Ga gewoon doen. De enige situatie waar je erover kunt discussiëren is als je een heel groot bedrijf hebt met genoeg capaciteit en iemand met affiniteit die zich erin kan vastbijten. Maar zelfs dan vind ik het bij de eerste ronde eigenlijk nog een no-go, want dan ben je gewoon veel te onervaren.”

“Ook met 20 medewerkers zou ik nog steeds een externe partij aanbevelen voor de interne audit. Je bent jezelf alleen maar in de vingers aan het snijden anders.”

Danny benadrukt de tijdsinvestering: “Om een intern iemand die niks heeft met audits up-to-speed te brengen, alles door te laten lezen en te laten landen – daar ben je als bedrijf veel meer geld en tijd aan kwijt dan een externe partij inhuren die alle (norm)kennis en ervaring al heeft.”

De kracht van ervaring

“We hadden 60 jaar automatiseringservaring aan tafel tijdens die audit,” merkt Nieke op. “Dat krijg je intern niet snel voor elkaar. Dat perspectief, die ervaring – daar pluk je echt de vruchten van.”

In het kort

Organisatie: Connect Your Hosting
Locatie: Eindhoven
Teamgrootte: 2 medewerkers + flexibele schil
Sector: IT / Infrastructuur-as-a-Service (hosting, cloud, VDI)
Certificering: ISO 27001
Traject: Interne audit mei 2024, externe audit oktober 2024
Resultaat: Vlekkeloos gecertificeerd, 0 non-conformiteiten

Belangrijkste lessen:

• Interne audit door externe partij voorkomt verrassingen bij certificering
• Concrete bevindingen (datacenter-risico, incidentproces) voorkomen afkeur
• Externe auditor waardeert professionele voorbereiding
• ROI: directe toegang tot grotere klanten en opdrachten
• Advies: bij eerste certificering altijd externe audit, ook voor kleine teams

“Met de kennis die ik nu heb, had ik het niet anders willen doen. De investering in een externe partij voor de interne audit was dubbel en dwars waard.”
— Nieke Tiggelaar, Connect Your Hosting

Zelfde situatie?

Ook een IT-bedrijf dat ISO 27001 overweegt? Of twijfel je of externe interne audit de investering waard is? Neem contact op voor een vrijblijvend gesprek over jouw situatie.