Home Certificeringen ISO 27001
Norm · Wereldwijd erkend

ISO 27001 —
de internationale
standaard voor aantoonbare
informatiebeveiliging.

ISO/IEC 27001 is wereldwijd de meest gevraagde norm voor informatiebeveiliging. Voor ICT- en SaaS-bedrijven is het inmiddels een commerciële basisvereiste; voor zorginstellingen vormt het het fundament onder NEN 7510. Wij begeleiden je van nulmeting tot certificaat, in 4 tot 9 maanden, met vaste prijs.

Plan een gratis kennismaking Bekijk implementatie-traject
Doorlooptijd
4 — 9 maanden
Geldigheid
3 jaar
Surveillance
Jaarlijks audit
Slagingsgarantie
100%

De norm in één zin

Een risico-gebaseerd managementsysteem voor informatie­beveiliging, gericht op vertrouwelijkheid, integriteit en beschikbaarheid.

Wat je krijgt

Een wereldwijd erkend certificaat dat aantoonbaar grip op risico's bewijst, vaak een directe ontsluiter voor aanbestedingen.

Geldigheid & vorm

3 jaar geldig met jaarlijkse surveillance-audits. Hercertificering na 3 jaar door dezelfde of een nieuwe instantie.

Wat omvat de norm

Twee delen:
het systeem en de maatregelen.

ISO 27001:2022 bestaat uit twee delen: een procesgericht managementsysteem (clausules 4–10) en een set van 93 beveiligings­maatregelen in Annex A. Beide moeten op orde zijn voor certificering.

Clausules 4 — 10 · Het managementsysteem

De PDCA-cyclus toegepast op informatie­beveiliging. Hier draait het om beleid, processen en het kunnen aantonen dat je structureel verbetert.

  • 4 · Context van de organisatie
  • 5 · Leiderschap & beleid
  • 6 · Planning & risicoanalyse
  • 7 · Ondersteuning (resources, awareness, communicatie)
  • 8 · Operationele uitvoering
  • 9 · Prestatiebeoordeling (audits, directiebeoordeling)
  • 10 · Verbetering

Annex A · 93 beveiligings­maatregelen

De controlelijst waaruit je kiest wat van toepassing is op jouw risico's. Sinds 2022 georganiseerd in 4 thema's i.p.v. 14 categorieën.

  • A.5 · Organisatorische maatregelen (37 stuks)
  • A.6 · Maatregelen voor personeel (8 stuks)
  • A.7 · Fysieke maatregelen (14 stuks)
  • A.8 · Technologische maatregelen (34 stuks)

— Welke maatregelen voor jou gelden, leg je vast in de Verklaring van Toepasselijkheid (SoA).

Voor wie relevant

Voor wie ISO 27001
verschil maakt.

Strikt genomen is ISO 27001 nooit wettelijk verplicht, maar voor veel organisaties in zorg en ICT is het commercieel of contractueel een vereiste geworden.

SaaS- en ICT-bedrijven

Klanten vragen het certificaat in leveranciers­vragenlijsten. Zonder ISO 27001 kom je niet door zakelijke inkooptrajecten.

Zorginstellingen

Wettelijk geldt NEN 7510, maar wij raden combinatie aan. ISO 27001 levert internationale erkenning en betere leveranciersacceptatie.

Aanbestedings-deelnemers

Voor publieke aanbestedingen (overheid, semi-publiek) wordt ISO 27001 of NEN 7510 vrijwel altijd als knock-out criterium gevraagd.

NIS2-plichtige organisaties

ISO 27001 dekt ~70% van NIS2 af. Combineren in één traject is veelal de slimste route, voor zowel kostenefficiency als overzicht.

HR & payroll dienstverleners

Verwerkers van persoonsgegevens op grote schaal. Klanten vragen aantoonbare grip via certificering.

Organisaties in groeifase

Voor wie volgende stap zet richting groot­zakelijke klanten of internationalisering. Het certificaat opent deuren.

In combinatie met

Combineer met
een aanvullende norm.

ISO 27001 is het fundament. Voor zorgorganisaties bouw je NEN 7510 erbovenop; voor wie onder NIS2 valt, integreer je NIS2-vereisten in het bestaande managementsysteem.

Zorg-specifiek · Wettelijk

NEN 7510

De Nederlandse norm bovenop ISO 27001, met extra eisen voor zorggegevens. Verplicht voor zorgaanbieders.
EU-richtlijn · Wettelijk

NIS2

De Europese cyberbeveiligings­richtlijn. Verplicht voor essentiële en belangrijke entiteiten. Implementatie loopt via je ISMS.
Veelgestelde vragen

Vragen over
ISO 27001.

Direct iemand spreken?

Binnen één werkdag een senior consultant aan de lijn.

06 53 78 37 47 →
Wat is het verschil tussen ISO 27001 en ISO 27002?

ISO 27001 is de certificeerbare norm: een gestructureerd managementsysteem voor informatie­beveiliging. ISO 27002 is een uitvoerige leidraad bij de 93 maatregelen uit Annex A. Je certificeert tegen 27001 en gebruikt 27002 als toelichting bij de implementatie.

Wat verandert in ISO 27001:2022 t.o.v. 2013?

Het managementsysteem (clausules 4–10) is grotendeels gelijk gebleven. Annex A is hervormd: van 114 controls in 14 categorieën naar 93 controls in 4 thema's. Er zijn 11 nieuwe controls toegevoegd (o.a. threat intelligence, cloud security, secure coding). De overgangstermijn voor bestaande certificaten eindigde 31 oktober 2025. Voor nieuwe implementaties is ISO 27001:2022 de meest recente norm.

Hoeveel kost de certificering door de instantie?

De externe audit zelf staat los van onze begeleiding. Indicatie: €6.000 – €15.000 voor een MKB-organisatie over de driejaarscyclus (eerste audit + 2× surveillance). De keuze van instantie beïnvloedt de prijs sterk. We adviseren tijdens het traject.

Kunnen we de scope beperken tot één afdeling?

Ja, ISO 27001 staat scoping toe, je certificeert bv. alleen de SaaS-divisie of het ECD-platform. Dit verlaagt complexiteit én kosten. Wel moet de scope helder en logisch zijn (interfaces met de rest van de organisatie zijn dan een aandachtspunt).

Wat als we al ISAE 3402 of SOC 2 hebben?

Veel werk overlapt. Je hebt al een controle-framework dat we kunnen mappen naar ISO 27001-eisen. Een gecombineerde aanpak (ISO 27001 + SOC 2 onderhoud) bespaart vaak 30–40% inspanning t.o.v. losse trajecten.

Volgende stap

Klaar voor het
traject?

Plan een kennismaking. We doen een korte intake en geven een eerlijke richtprijs en doorlooptijd voor jouw situatie.

Plan via de agenda → 06 53 78 37 47