Zum Inhalt springen
    Blog
    general7 minIntraGPT

    Certificering informatiebeveiliging: Wat het is, hoe het werkt en waarom het telt

    Certificering informatiebeveiliging is een formeel proces waarbij een onafhankelijke, geaccrediteerde partij vaststelt dat een organisatie haar informatiebeveiliging structureel op orde heeft volgens een erkende norm,...

    Certificering informatiebeveiliging: wat het is, hoe het werkt en waarom het telt

    Certificering informatiebeveiliging is een formeel proces waarbij een onafhankelijke, geaccrediteerde partij vaststelt dat een organisatie haar informatiebeveiliging structureel op orde heeft volgens een erkende norm, zoals ISO 27001. Het certificaat bewijst aan klanten, partners en toezichthouders dat gevoelige gegevens aantoonbaar worden beschermd volgens internationale standaarden. Zonder dat bewijs valt een organisatie bij aanbestedingen en due diligence steeds vaker af: onderzoeken tonen aan dat 73% van de Nederlandse opdrachtgevers ISO 27001-certificering nu als contractuele eis stellen.

    Welke types certificering informatiebeveiliging bestaan er?

    Er zijn meerdere erkende normen voor certificering informatiebeveiliging, elk met een ander toepassingsgebied en regelgevingskader. De keuze hangt af van de sector, de klantvereisten en de gewenste reikwijdte van het Information Security Management System (ISMS).

    • ISO 27001: de wereldwijd meest gebruikte norm voor informatiebeveiliging, toepasbaar in elke sector en organisatieomvang. Circa 52.000 organisaties wereldwijd zijn ISO 27001-gecertificeerd.
    • NEN 7510: specifiek voor de Nederlandse zorgsector, gebaseerd op ISO 27001 maar met aanvullende zorgeisen rondom patiëntgegevens en medische systemen.
    • BIO (Baseline Informatiebeveiliging Overheid): verplicht voor Nederlandse overheidsorganisaties en gebaseerd op ISO 27002. Alle Nederlandse rijksoverheidsinstanties moeten tegen 2024 BIO-compliant zijn.
    • SOC 2 Type II: Amerikaans raamwerk, vaak gevraagd door klanten in de VS of bij SaaS-platforms met internationale gebruikers. Audit duurt minimaal 6 maanden.
    • ISAE 3402: gericht op serviceorganisaties die financiële of operationele processen uitvoeren voor andere bedrijven.

    ISO 27001 is voor de meeste Nederlandse organisaties het logische startpunt. Het certificaat wordt wereldwijd erkend en dekt de kern van een degelijk ISMS. Bedrijven in de zorg of bij de overheid hebben bovendien te maken met sectorspecifieke verplichtingen die boven op ISO 27001 komen. Lees meer over de specifieke eisen in ons artikel over informatiebeveiliging en ISO 27001.

    Selectie van het juiste certificeringslichaam

    Het certificeringslichaam dat de audit uitvoert, bepaalt voor een groot deel de geloofwaardigheid van het certificaat. Kies altijd een partij die geaccrediteerd is door de Raad voor Accreditatie (RvA) in Nederland of door een gelijkwaardige nationale accreditatie-instantie die lid is van IAF (International Accreditation Forum).

    In de praktijk kiezen organisaties regelmatig de goedkoopste aanbieder zonder te controleren of de accreditatie geldig is. Een certificaat van een niet-geaccrediteerd lichaam heeft juridisch en commercieel nauwelijks waarde. Een gerichte vraag aan de certificeerder om het accreditatiebewijs te tonen voorkomt later teleurstelling. Bekende geaccrediteerde certificeerders in Nederland zijn Bureau Veritas, Lloyd's Register, DNV en TÜV Rheinland. De tarieven lopen sterk uiteen: een initiële ISO 27001-audit kost doorgaans tussen de 5.000 en 15.000 euro, afhankelijk van de organisatiegrootte en het gekozen lichaam.

    Let bij de selectie op de volgende criteria:

    • Geldig RvA- of IAF-accreditatiebewijs voor de betreffende norm.
    • Sectorervaring: een certificeerder met ervaring in jouw branche begrijpt de specifieke risico's beter en vermijdt auditpunten op irrelevante gebieden.
    • Beschikbaarheid van auditoren: planningsdrukte kan de doorlooptijd met maanden verlengen.
    • Nazorgbeleid bij afwijkingen: vraag hoe het lichaam omgaat met minor en major non-conformities na de audit.

    Voorbereiding op de audit

    De voorbereiding op een ISO 27001-certificering duurt gemiddeld 6 tot 18 maanden, afhankelijk van de volwassenheid van de bestaande beveiliging. Wie goed voorbereidt, vermijdt een kostbaar hersteltraject achteraf.

    De eerste stap is een gap-analyse: een gestructureerde vergelijking van de huidige situatie met de eisen van de norm. Uit die analyse volgt een projectplan met prioriteiten. Vervolgens documenteer je het ISMS, stel je een risicobeoordelingsproces op en implementeer je de benodigde technische en organisatorische maatregelen uit Annex A van ISO 27001. Die annex bevat 93 beveiligingsbeheersmaatregelen, verdeeld over vier categorieën: organisatorisch, menselijk, fysiek en technologisch.

    De Statement of Applicability (SoA) is het document dat de auditor het meest kritisch leest. Elke beheersmaatregel moet daarin worden opgenomen, met een expliciete onderbouwing waarom hij van toepassing is of bewust buiten scope valt. In de praktijk zien we dat organisaties vaak 50-60% van de 93 maatregelen daadwerkelijk implementeren en rechtvaardigen; niet alle maatregelen zijn relevant voor elke organisatie. Een SoA met onvoldoende motivatie leidt direct tot een non-conformity, ook als alle technische maatregelen op orde zijn. Begin vroeg met dit document en laat het intern reviewen door iemand met auditervaring.

    Het audit- en certificeringsproces stap voor stap

    Het certificeringsproces voor ISO 27001 bestaat uit twee afzonderlijke auditfasen, gevolgd door een beslissing van het certificeringslichaam.

    1. Stage 1-audit (documentatiereview): de auditor beoordeelt de documentatie van het ISMS, waaronder het beleid, de risicoanalyse en de SoA. Deze audit vindt vaak op afstand plaats en duurt een tot twee dagen. Non-conformities op Stage 1 betekenen dat je niet door mag naar Stage 2.
    2. Stage 2-audit (implementatieaudit): de auditor toetst of de gedocumenteerde processen ook daadwerkelijk worden uitgevoerd. Dit vraagt interviews met medewerkers, inzage in logboeken en technische controles. Duur: twee tot vijf dagen, afhankelijk van de omvang.
    3. Beoordeling en certificaatverstrekking: na een positieve Stage 2 beoordeelt een onafhankelijk comité bij het certificeringslichaam de bevindingen. Bij geen of alleen minor non-conformities wordt het certificaat verstrekt. Het ISO 27001-certificaat is drie jaar geldig en moet daarna opnieuw worden behaald.

    Tussen Stage 1 en Stage 2 zit doorgaans een periode van vier tot acht weken. Die tijd gebruik je om de bevindingen uit Stage 1 op te lossen. Organisaties die die tijd goed benutten, halen Stage 2 aanzienlijk soepeler door. Bekijk ook onze pagina over ISO-certificering voor een volledig overzicht van het traject dat wij begeleiden.

    Onderhoud van de certificering na de audit

    Een ISO 27001-certificaat is geen eindpunt, het is een cyclisch proces. Na de initiële certificering volgen jaarlijkse surveillanceaudits in jaar 1 en jaar 2, en een volledige hercertificering in jaar 3. Wie het onderhoud verwaarloost, riskeert intrekking van het certificaat bij de eerstvolgende audit.

    Het onderhoud omvat minimaal: jaarlijkse interne audits van het ISMS, periodieke managementreviews minimum twee keer per jaar, bijwerking van de risicoanalyse na organisatorische of technische wijzigingen, en opvolging van beveiligingsincidenten via een gedocumenteerd proces. Uit auditervaringen blijkt dat organisaties de interne audit het vaakst overslaan onder tijdsdruk. Dat is risicovol: de surveillanceauditor zoekt specifiek naar bewijs van die interne cyclus.

    Bij IntraGPT draaien we zelf op ISO 27001-gecertificeerde infrastructuur met volledige data-isolatie op Nederlandse servers. Dat geeft onze klanten direct een aantoonbaar beveiligingsniveau, los van hun eigen certificeringstraject. Meer weten over hoe AI en informatiebeveiliging samengaan? Lees dan ons blogbericht over ISO 27001 en informatiebeveiliging.

    Veelgestelde vragen over certificering informatiebeveiliging

    Wat is certificering informatiebeveiliging precies?

    Certificering informatiebeveiliging is een onafhankelijke, formele beoordeling waarbij een geaccrediteerde derde partij vaststelt dat een organisatie haar informatiebeveiliging beheert volgens een erkende norm, meestal ISO 27001. Het certificaat toont aan dat vertrouwelijkheid, integriteit en beschikbaarheid van informatie structureel zijn geborgd door gedocumenteerde processen, niet incidenteel of willekeurig.

    Hoe lang duurt een ISO 27001-certificeringstraject?

    De doorlooptijd van een ISO 27001-certificeringstraject ligt gemiddeld tussen de 6 en 18 maanden. Organisaties met een bestaand kwaliteitsmanagementsysteem zoals ISO 9001, of al gedocumenteerd beveiligingsbeleid, halen dit sneller. De externe auditfase zelf duurt slechts enkele dagen (Stage 1: 1-2 dagen, Stage 2: 2-5 dagen); de voorbereiding en implementatie van maatregelen kosten de meeste tijd.

    Wat kost een certificering informatiebeveiliging gemiddeld?

    De totale kosten voor een ISO 27001-certificering lopen uiteen van circa 15.000 tot meer dan 80.000 euro, afhankelijk van organisatiegrootte, externe consultants en certificeringslichaam. De auditkosten zelf bedragen 5.000 tot 15.000 euro voor initiële certificering. Jaarlijkse surveillanceaudits kosten doorgaans 2.000 tot 5.000 euro.

    Is een certificering informatiebeveiliging verplicht?

    Voor overheidsorganisaties is de BIO verplicht; voor zorginstellingen geldt NEN 7510 als de-facto standaard. Voor het bedrijfsleven is ISO 27001 niet wettelijk verplicht, maar 73% van de Nederlandse opdrachtgevers eisen het inmiddels als contractuele voorwaarde. Dat maakt het voor veel organisaties in de praktijk functioneel verplicht, ook zonder wettelijke grondslag.

    Wat is het verschil tussen ISO 27001 en NEN 7510?

    ISO 27001 is de internationale norm voor informatiebeveiliging die in alle sectoren wordt toegepast. NEN 7510 is de Nederlandse sectorstandaard voor de zorg, gebaseerd op ISO 27001 maar aangevuld met zorgsector-specifieke eisen rondom patiëntgegevens, medische systemen en medische dossiers. Een zorginstelling die NEN 7510-gecertificeerd is, voldoet daarmee ook grotendeels aan ISO 27001.

    Certificering als aantoonbaar fundament

    Certificering informatiebeveiliging geeft organisaties een onafhankelijk, extern geverifieerd bewijs dat hun beveiligingspraktijk klopt. Het traject vraagt investering in tijd en middelen, maar de opbrengst is concreet: een lagere kans op incidenten, een sterkere positie bij aanbestedingen en een beheerproces dat structureel werkt. Start met een gap-analyse, kies een geaccrediteerd certificeringslichaam en behandel de SoA als het centrale document van je ISMS. Wil je weten hoe IntraGPT dit traject ondersteunt binnen een AVG-conforme AI-omgeving? Neem dan contact met ons op voor een gesprek zonder verplichtingen.