De aanleiding: klanten vragen expliciet naar certificering

QMonkeys is een networking- en cybersecurity integrator uit Valkenswaard en bestaat nu zo’n 2,5 jaar. “We bedienen klanten van 200 tot 2000 medewerkers — organisaties die op een serieus niveau zitten als het gaat om IT en cybersecurity,” vertelt Rudi van de Pas. “Binnen een jaar kregen we al de vraag: OK, mooi verhaal QMonkeys, maar ISO — hoe staan jullie daarin? Hebben jullie ISO 9001, ISO 27001 en NEN 7510?”

Het antwoord was toen simpel: nee. “Maar we merkten dat juist de klanten waar wij onze meerwaarde kunnen laten zien, daar expliciet naar vragen. Dat was voor ons echt de trigger.”

De strategische keuze

“We zijn een jong bedrijf met zeven mensen. Dan kun je het maar beter meteen goed oppakken,” redeneert Rudi. “Ten eerste wil je dit gewoon borgen richting de toekomst. Ten tweede: als je het op orde hebt, kun je klanten bedienen die het als eis stellen — het wordt dan nooit een showstopper. En ten derde is het gewoon een volgende fase in de volwassenheid van je organisatie.”

De zoektocht: pragmatisch boven wollig

Na intern onderzoek bleek al snel dat het complex was. “We kwamen tot de conclusie: dit is heel veel materie. En het was voor ons niet meteen duidelijk waar we moesten beginnen — zowel bij ISO 9001, ISO 27001 als NEN 7510.”

Het team sprak met drie partijen. “Wat we zochten was inhoudelijk sterke begeleiding, maar wel pragmatisch. Niet wollig en niet complexer maken dan nodig. Of zoals Peter altijd zegt: Niet lullen maar poetsen.”

De klik moet er zijn

“Wat ons opviel in de zoektocht: er lopen best wat ‘wollige’ personen rond in die ISO-wereld,” zegt Rudi eerlijk. “Dat hielp ons niet. We dachten: als dit de materie is én dit het type begeleiding, dan wordt dit een heel lang traject.”

Toen kwam het kennismakingsgesprek met Peter. “Vanaf dag één hadden we zoiets van: dit klikt. Die klik kun je ook niet forceren — die is er of die is er niet. En als die er niet is, gaat die er ook nooit komen.”

Het traject:

“Wat mij positief opviel was het plat slaan van de materie,” vertelt Rudi. “Zoals Peter het uitlegde: dit moeten we doen, daar moeten we eindigen en zo komen we er. We knippen het in brokken en vertalen het naar concreet huiswerk.”

De leercurve

“Gaandeweg werd de samenhang steeds duidelijker. We bouwden stap voor stap het ISMS en het KMS. Maar het heeft echt tijd nodig gehad — achteraf denk ik dat we 4 à 5 maanden nodig hadden om het echt goed onder de knie te krijgen.”

De combinatie van meerdere normen

De focus lag primair op ISO 27001 en NEN 7510. ISO 9001 kwam later in het traject via een andere begeleider. “Peters focus lag in eerste instantie ISO 27001 en NEN 7510, en precies op waar het ons om ging: zorgen dat er een oplossing komt. En dat is ook goed gelukt.”

De interne audit: een spiegel

De interne audit werd uitgevoerd door een externe partij. “Dat was voor ons een meer norm gedreven ISO-professional,” herinnert Rudi zich. “Wouter was professioneel — kritisch. Hij keek echt onafhankelijk en schoot scherp. Dat was prettig, want dan krijg je gevoel bij: hoe gaat zo’n audit nou echt?”

De waarde van externe verificatie

“Als je lang samenwerkt, zeg je op een gegeven moment: ja, dat zal wel. Maar als een interne auditor na een half jaar werk meekijkt, dan wordt het tastbaar. Ik zou dat iedereen aanraden.”

De interne audit werkte motiverend voor het team. “De laatste twee maanden hebben we echt nog een paar tandjes bijgezet. We zagen: dit komt terug, dit wordt gevraagd. De juiste toon in je managementsystemen.” 

De externe audit: begeleiding maakt het verschil

Tijdens de certificeringsaudit was Peter als begeleider aanwezig. “Dat heeft ons zeker geholpen,” bevestigt Rudi. “Het was ook precies de reden dat we hem erbij wilden hebben: het was voor ons allemaal nieuw.” 

De toegevoegde waarde in het moment

“Wat ik uit de interne audit meeneem: stel de vraag opnieuw — wat vraag je nou eigenlijk? Waar ben je naar op zoek? Ik ken ons team: als we het gevoel hebben van ja maar…, dan haken we af.”

“Als de begeleider dan zegt: Ze bedoelen dit en hij wijst de goede richting, dan denken we: oh, dát bedoelt de auditor. Dan kunnen wij door. Met techneuten erbij — je weet hoe die zijn — is dat gewoon heel goed geweest.”

Het resultaat: 100% geslaagd binnen deadline – alle drie tegelijk

QMonkeys startte in februari 2025 met een harde deadline: 31 december 2025 moest het klaar zijn. Die deadline is gehaald – en niet voor één, maar voor alle drie de certificeringen tegelijk.

“Achteraf kijkend waren de obstakels die we tegenkwamen gedurende het jaar beheersbaar. En het eindresultaat is 100% voor álle drie de normen – daar mogen we beiden trots op zijn.  Zeker als je bedenkt dat veel organisaties dit gefaseerd doen over meerdere jaren. “

Financieel perspectief

“De verhouding tussen het financiële aspect en wat je ervoor krijgt is in een certificaat moeilijk tastbaar te maken,” geeft Rudi eerlijk toe. “Het is serieus geld als je ziet wat dat gekost heeft in een jaar tijd. Maar als je door die ISO-certificering een bepaald project wint, waardoor de initiële investering terugverdiend kan worden, dan is het allemaal de moeite waard geweest.”

“Belangrijk vind ik ook dat je van tevoren een prijs afspreekt. Daar nemen we dan de beslissing op: hier zijn we mee akkoord, hiervoor willen wij dit gaan doen. En als dat dan binnen dat bedrag blijft – dat is belangrijk. Er zijn achteraf geen extra facturen gekomen van ‘oh, we hebben toch nog uren tekort’. We zijn zelfs onder budget gebleven.”

De impact: volgende level van volwassenheid

“Het zegt vooral iets over de volwassenheid van ons bedrijf — en dat mag ook iets kosten,” stelt Rudi. “Het helpt ons bovendien in de acquisitie. De posts die we nu plaatsen over deze certificeringen op LinkedIn laten zien: we staan niet stil, we investeren actief in groei.”

“Sommige mensen kennen ons vooral als ‘dat bedrijf bestaat nog maar een paar jaar, misschien zijn ze nog wat onvolwassen’. Maar als ze dan zien: ISO 9001, ISO 27001 en NEN 7510 — en dat allemaal binnen één jaar — dan denken ze: die bouwen echt iets op. Ze timmeren aan de weg. En dat is óók wat waard.”

De kracht van de combinatie

Voor een networking- en cybersecurity integrator die zowel algemene bedrijven als zorgorganisaties bedient, is de combinatie van ISO 27001 (algemene informatiebeveiliging), NEN 7510 (zorg-specifiek) en ISO 9001 (kwaliteit) strategisch slim.

“We kunnen nu alle klanten bedienen, ongeacht hun sector of eisen. Dat opent deuren.”

Advies aan anderen: neem de tijd (zelfs als je het in één jaar doet)

“Neem de tijd,” benadrukt Rudi. “Wij zijn afgelopen jaar omzettechnisch maal drie gegaan. Kun je je voorstellen wat dat in de winkel met zich meebrengt? Die winkel was continu open — en daarnaast deden we óók nog het ISO-traject met drie normen: ISO 27001, NEN 7510 en ISO 9001.”

“Dat was wel veel. Korter dan een jaar zou ik niemand aanraden — en dat geldt zelfs al voor één certificering. Voor drie tegelijk? Dan is een jaar écht het minimum. Maar als je pragmatisch bent en je wilt het gewoon goed doen én effectief tempo maken, dan is het realistisch. En dan is het ook belangrijk om samen een duidelijke deadline te zetten. Dan móét het klaar zijn.”

Realisme en hard werken

“Wij vinden het niet erg om hard te werken, maar het moet wel realistisch blijven. Het traject zoals het is verlopen hebben we als heel prettig ervaren; het resultaat is super. En drie normen tegelijk, naast een organisatie die zo snel groeit — dat vraagt om goede planning en strakke begeleiding.”

De kritische succesfactor

“Het belangrijkste? Je moet een klik hebben met de persoon die je intensief begeleidt. Als die klik er niet is, wordt het geen succesvol project.”

“Zoek je een bureaucratische aanpak? Dan moet je niet bij AmniPro zijn. Maar zoek je een proactieve, pragmatische organisatie die je helpt om het gewoon goed en werkbaar neer te zetten? Dan wel.”

In het kort

Organisatie: QMonkeys
Locatie: Valkenswaard
Teamgrootte: 7 medewerkers
Sector: Networking- en cybersecurity integration
Certificering: ISO 27001 + NEN 7510 + ISO 9001
Traject: Start februari 2025, certificering december 2025
Doorlooptijd: 11 maanden
Resultaat: 100% geslaagd binnen deadline en budget

Belangrijkste lessen:

• De klik met je begeleider is cruciaal voor succes
• Pragmatische aanpak werkt beter dan wollige theorie
• Interne audit door externe partij geeft essentiële voorbereiding
• Plan minimaal een jaar voor drievoudige certificering
• Certificering zegt iets over volwassenheid van de organisatie
• Combinatie ISO 27001 + NEN 7510 ideaal voor cybersecurity-sector

“Veel organisaties pakken certificering gefaseerd aan, uitgesmeerd over meerdere jaren. Dat wij ISO 27001, NEN 7510 én ISO 9001 in één traject hebben gerealiseerd, daar zijn we echt trots op. Zoek je een pragmatische organisatie die complexe materie kan terugbrengen tot de essentie? Dan moet je bij AmniPro zijn.”
— Rudi van de Pas, QMonkeys

Ook toe aan volwassenheid?

Ook een jonge organisatie die snel wil groeien maar certificering nodig heeft? Of twijfel je hoe je ISO 27001, NEN 7510 en ISO 9001 combineert? Neem contact op voor een vrijblijvend gesprek.