Skip to Content
ISO 27001Veelgestelde vragen

Veelgestelde vragen over ISO 27001

Bij het verkennen van ISO 27001  certificering komen steeds dezelfde vragen naar boven. De norm is verkrijgbaar via NEN  en certificering verloopt via een geaccrediteerde instantie . Hieronder vind je uitgebreide antwoorden op de meest gestelde vragen.

Is ISO 27001 verplicht?

ISO 27001 certificering is in Nederland niet wettelijk verplicht voor de meeste organisaties. Het is een vrijwillige norm die je kunt gebruiken om aan te tonen dat je informatiebeveiliging serieus neemt. Er zijn echter situaties waarin certificering de facto verplicht wordt.

Steeds meer organisaties, vooral in de publieke sector en bij grote enterprises, eisen ISO 27001 van hun leveranciers. De Rijksoverheid  hanteert voor bepaalde aanbestedingen ISO 27001 als eis of als sterke voorkeur. Als je diensten levert aan overheden of grote bedrijven, kan het ontbreken van een certificaat betekenen dat je niet in aanmerking komt voor opdrachten.

In bepaalde sectoren wordt certificering ook gestimuleerd door sectorspecifieke regelgeving. De financiële sector kent bijvoorbeeld de DNB Good Practice Informatiebeveiliging , die sterk aansluit bij ISO 27001. Zorgorganisaties die werken met patiëntgegevens worden via de NEN 7510  norm, die is afgeleid van ISO 27001, gestimuleerd om hun informatiebeveiliging op orde te hebben.

De NIS2-richtlijn  van de Europese Unie, die in 2024-2025 wordt geïmplementeerd, legt aanvullende eisen op aan essentiële en belangrijke entiteiten. Hoewel NIS2 geen ISO 27001 certificering eist, sluiten de eisen nauw aan bij wat de norm vraagt. Certificering kan een effectieve manier zijn om NIS2-compliance aan te tonen.

Hoeveel kost ISO 27001 certificering?

De kosten voor ISO 27001 certificering variëren sterk, afhankelijk van de grootte van je organisatie, de complexiteit van je IT-omgeving, en hoeveel je al geregeld hebt op het gebied van informatiebeveiliging.

Voor een klein bedrijf met 1-25 medewerkers liggen de totale kosten in het eerste jaar doorgaans tussen de €11.000 en €30.000. Dit omvat begeleiding en advies, de aanschaf van de norm, eventuele tooling en aanpassingen, de certificeringsaudit, en een externe interne audit.

Middelgrote organisaties met 25-100 medewerkers moeten rekenen op €32.000 tot €85.000 in het eerste jaar. De hogere kosten komen door meer auditdagen, uitgebreidere adviesdagen, en vaak meer investeringen in tooling en technische maatregelen.

Voor grote organisaties met meer dan 100 medewerkers kunnen de kosten oplopen tot €85.000 tot €275.000 of meer, afhankelijk van de complexiteit en het aantal locaties.

Na het eerste jaar zijn er jaarlijkse onderhoudskosten voor surveillance audits, doorlopend onderhoud van het ISMS, en eventuele aanpassingen. Deze liggen typisch op 30-40% van de initiële implementatiekosten.

Lees meer over de kosten en tijdlijn voor een gedetailleerde uitsplitsing per bedrijfsgrootte.

Hoe lang duurt het om ISO 27001 gecertificeerd te worden?

De doorlooptijd hangt af van je startpositie en de beschikbare capaciteit. Een kleine organisatie met een overzichtelijke IT-omgeving en voldoende focus kan in vier tot zes maanden gecertificeerd zijn. Een middelgrote organisatie heeft doorgaans zes tot negen maanden nodig. Grote organisaties met complexe infrastructuur en meerdere locaties doen er vaak negen tot achttien maanden over.

Deze tijdlijnen gaan uit van een redelijke inzet. Als het project “erbij” moet en er weinig capaciteit beschikbaar is, duurt het aanzienlijk langer. De ervaring leert dat organisaties die een dedicated projectleider aanstellen en voldoende managementaandacht krijgen, sneller door het traject gaan.

De certificeringsaudit zelf neemt enkele dagen tot een week in beslag, afhankelijk van de omvang van je organisatie. De International Accreditation Forum (IAF)  heeft richtlijnen voor het minimum aantal auditdagen, gebaseerd op het aantal medewerkers.

Het stappenplan geeft een gedetailleerd overzicht van de fasen en wat je in elke fase kunt verwachten.

Wat is het verschil tussen ISO 27001 en ISO 27002?

ISO 27001 en ISO 27002 zijn nauw verwante normen die samen het ISO 27000-framework vormen, maar ze hebben verschillende doelen.

ISO 27001  is de certificeerbare norm. Deze beschrijft de eisen voor een Information Security Management System (ISMS): wat je moet doen om gecertificeerd te worden. De norm bevat managementeisen in hoofdstuk 4-10 en een lijst van 93 beheersmaatregelen in Annex A.

ISO 27002  is een implementatiegids. Deze norm geeft gedetailleerde richtlijnen voor hoe je de beheersmaatregelen uit Annex A kunt implementeren. Waar ISO 27001 zegt wat je moet doen, legt ISO 27002 uit hoe je het kunt aanpakken.

Je kunt alleen gecertificeerd worden voor ISO 27001, niet voor ISO 27002. Maar ISO 27002 is een waardevolle bron bij het implementeren van de maatregelen. De meeste organisaties kopen beide normen aan via NEN .

Er zijn nog meer normen in de ISO 27000-familie. ISO 27005  geeft richtlijnen voor risicomanagement, ISO 27017  richt zich op cloudbeveiliging, en ISO 27701  voegt privacy-eisen toe aan het ISMS. Afhankelijk van je situatie kunnen deze aanvullende normen relevant zijn.

Wat is het verschil tussen ISO 27001 en NEN 7510?

NEN 7510  is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm is gebaseerd op ISO 27001, maar is specifiek toegespitst op de zorgsector en de bescherming van patiëntgegevens.

Het belangrijkste verschil is de scope. Waar ISO 27001 een algemene norm is die voor elke sector geldt, richt NEN 7510 zich specifiek op de context van zorgorganisaties. De norm houdt rekening met de specifieke risico’s in de zorg, zoals de gevoeligheid van medische gegevens, de noodzaak van beschikbaarheid in noodsituaties, en de complexe keten van zorgverleners.

Inhoudelijk is er veel overlap. Organisaties die ISO 27001 gecertificeerd zijn, hebben een goede basis voor NEN 7510. Omgekeerd geldt hetzelfde: NEN 7510 volgt de structuur van ISO 27001, dus de stap naar ISO 27001 is relatief klein.

Voor zorgorganisaties is NEN 7510 vaak relevanter dan ISO 27001, omdat deze norm expliciet wordt genoemd in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg . Sommige zorgorganisaties kiezen ervoor om beide certificeringen te behalen, bijvoorbeeld omdat ze ook diensten leveren buiten de zorg.

Hoe verhoudt ISO 27001 zich tot de AVG?

De Algemene Verordening Gegevensbescherming (AVG)  en ISO 27001 hebben verschillende, maar aanvullende doelen. De AVG is wetgeving die de bescherming van persoonsgegevens regelt. ISO 27001 is een norm voor informatiebeveiliging in brede zin, die alle soorten informatie omvat.

Er is significante overlap. De AVG eist in artikel 32 dat organisaties “passende technische en organisatorische maatregelen” nemen om persoonsgegevens te beveiligen. ISO 27001 biedt een gestructureerde aanpak om precies dat te doen. Een ISMS dat voldoet aan ISO 27001 helpt je om te voldoen aan de beveiligingseisen van de AVG.

Maar ISO 27001 dekt niet alle AVG-eisen. De AVG stelt ook eisen aan rechtmatigheid van verwerking, transparantie, rechten van betrokkenen, en internationale doorgifte van gegevens. Deze onderwerpen vallen buiten de scope van ISO 27001. Je hebt dus meer nodig dan ISO 27001 om volledig AVG-compliant te zijn.

ISO 27701  is een uitbreiding op ISO 27001 die specifiek gericht is op privacy. Deze norm voegt privacy-specifieke eisen toe aan het ISMS en helpt bij het aantonen van AVG-compliance. Organisaties die veel persoonsgegevens verwerken, kunnen overwegen om naast ISO 27001 ook ISO 27701 te implementeren.

De Autoriteit Persoonsgegevens  ziet ISO 27001 certificering als een positief signaal, maar certificering alleen is geen bewijs van AVG-compliance. Je moet kunnen aantonen dat je alle aspecten van de AVG naleeft, niet alleen de beveiligingsaspecten.

Kunnen we ISO 27001 combineren met ISO 9001?

ISO 27001 en ISO 9001 kunnen uitstekend gecombineerd worden. Beide normen volgen de High Level Structure (HLS) , wat betekent dat ze dezelfde basisstructuur hebben. Dit maakt integratie relatief eenvoudig.

De gemeenschappelijke elementen zijn substantieel. Beide normen vragen om context van de organisatie, leiderschap en commitment, planning, ondersteuning, uitvoering, evaluatie van prestaties, en verbetering. De directiebeoordeling, interne audit, documentbeheer, en het proces voor corrigerende maatregelen kunnen worden gedeeld.

Praktisch betekent dit dat je één geïntegreerd managementsysteem kunt opzetten. Je hoeft geen twee aparte handboeken te onderhouden. Je kunt één directiebeoordeling houden die beide normen afdekt. Je kunt je interne audits combineren.

Gecombineerde audits zijn ook efficiënter. Als je dezelfde certificerende instantie kiest voor beide normen, kan de auditor beide systemen tegelijk beoordelen. Dit bespaart tijd en kosten vergeleken met twee separate audits.

Het combineren werkt het beste als je beide normen tegelijk implementeert, of als je al één certificaat hebt en het andere toevoegt. Als je al ISO 9001 gecertificeerd bent, heb je een voorsprong: veel van de structuur en processen zijn al op orde. Je kunt dan focussen op de informatiebeveiliging-specifieke elementen.

Wat als we al SOC 2 hebben?

SOC 2  is een attestatiestandaard ontwikkeld door het AICPA (American Institute of Certified Public Accountants), primair gericht op de Amerikaanse markt. ISO 27001 is een internationale norm die wereldwijd wordt erkend.

Er is aanzienlijke overlap tussen beide frameworks. Beide richten zich op informatiebeveiliging en omvatten vergelijkbare controles: toegangsbeheer, change management, incident response, en continuïteit. Als je SOC 2 hebt, heb je waarschijnlijk al veel van de technische maatregelen die ISO 27001 vraagt.

De belangrijkste verschillen zitten in de aanpak en het resultaat. SOC 2 is attestatie-gebaseerd: een auditor beoordeelt of je controles werken en geeft een rapport. ISO 27001 is certificatie-gebaseerd: je krijgt een certificaat dat aantoont dat je ISMS voldoet aan de norm.

ISO 27001 vraagt ook explicieter om een managementsysteem met risicogebaseerd denken, continue verbetering, en managementbetrokkenheid. SOC 2 focust meer op de operationele effectiviteit van controles.

Voor internationale organisaties of organisaties die werken met Europese klanten is ISO 27001 vaak waardevoller dan SOC 2 alleen. Veel Europese klanten herkennen ISO 27001 maar zijn minder bekend met SOC 2. Sommige organisaties kiezen ervoor om beide te hebben: SOC 2 voor de Amerikaanse markt en ISO 27001 voor de rest van de wereld.

Moeten we de norm kopen?

Ja, je moet de officiële normdocumenten  kopen om ze te mogen gebruiken. De ISO 27001 norm is auteursrechtelijk beschermd en wordt in Nederland verkocht via NEN  voor ongeveer €250.

Je kunt de norm niet legaal gratis downloaden. Er circuleren online illegale kopieën, maar het gebruik daarvan is niet alleen onethisch maar ook risicovol: je weet niet of je de actuele versie hebt en je kunt juridische problemen krijgen.

Naast ISO 27001 is ISO 27002  aan te raden als aanvullende bron. Deze implementatiegids helpt je bij het concreet invullen van de beheersmaatregelen. De kosten zijn vergelijkbaar met die van ISO 27001.

De investering in de normdocumenten is relatief klein vergeleken met de totale kosten van certificering, maar het is een noodzakelijke basis. Je kunt geen ISMS opzetten zonder te weten wat de norm precies vraagt.

Hebben we een adviseur nodig?

Een externe adviseur is niet verplicht, maar voor de meeste organisaties die voor het eerst certificeren is het wel aan te raden. De norm is complex, en de kans op valkuilen is groot als je geen ervaring hebt.

Een goede adviseur kent de norm door en door, weet wat auditors zoeken, en kan je begeleiden door het hele traject. Dit verkort de doorlooptijd, vermindert frustratie, en vergroot de kans op succes bij de eerste auditpoging.

De kosten voor advies variëren van €5.000 tot €15.000 voor kleine organisaties tot €40.000 tot €100.000 of meer voor grote organisaties. Tarieven liggen typisch tussen de €100 en €200 per uur, afhankelijk van ervaring en specialisatie.

Je kunt ook kiezen voor beperkte ondersteuning: een adviseur die alleen de gap-analyse doet en je op weg helpt, waarna je zelf verder gaat. Dit verlaagt de kosten maar vraagt meer eigen inzet.

Als je al ervaring hebt met andere ISO-managementsystemen zoals ISO 9001, is de stap naar ISO 27001 kleiner. De structuur en aanpak zijn vergelijkbaar, alleen de inhoud is anders. In dat geval kun je mogelijk met minder externe hulp toe.

Kies een adviseur die ervaring heeft in jouw sector. Een adviseur die gewend is aan productiebedrijven begrijpt de context van een softwarebedrijf minder goed. Vraag naar referenties in vergelijkbare organisaties.

Hoe kies ik een certificerende instantie?

Kies altijd een instantie die is geaccrediteerd door de Raad voor Accreditatie (RvA)  of een vergelijkbare nationale accreditatie-instelling die deel uitmaakt van de International Accreditation Forum (IAF) . Accreditatie betekent dat de instantie zelf is gecontroleerd op kwaliteit en onafhankelijkheid.

Een certificaat van een niet-geaccrediteerde instantie wordt door veel klanten en partners niet erkend. Als een klant vraagt of je ISO 27001 gecertificeerd bent, bedoelen ze meestal een certificaat van een geaccrediteerde instantie.

Bekende certificerende instanties in Nederland zijn Kiwa , BSI , TÜV , DNV , Bureau Veritas , en LRQA .

Vergelijk offertes van meerdere instanties. De prijzen kunnen significant verschillen, net als de aanpak. Sommige instanties hebben specialisaties: ervaring in specifieke sectoren, een bepaalde benadering van de audit, of extra diensten zoals pre-assessments.

Let niet alleen op prijs. Een constructieve auditor die meedenkt en je helpt om je ISMS te verbeteren, is waardevoller dan een goedkope auditor die alleen afvinkt. Vraag naar de ervaring van de auditor die je krijgt toegewezen, niet alleen naar de ervaring van de instantie als geheel.

Wat gebeurt er als we zakken voor de audit?

Niet slagen voor de certificeringsaudit is vervelend maar geen ramp. Het betekent dat er werk te doen is, maar de weg naar certificering is nog steeds open.

De uitkomst van de audit hangt af van de ernst van de bevindingen. Bij minor afwijkingen krijg je het certificaat meestal wel, maar moet je de afwijkingen binnen een bepaalde termijn, vaak 90 dagen, oplossen en bewijs leveren aan de certificerende instantie.

Bij major afwijkingen wordt het certificaat niet afgegeven totdat de afwijkingen zijn opgelost en geverifieerd. Dit kan een vervolgbezoek van de auditor vereisen, wat extra kosten betekent.

De meeste organisaties die bij de eerste poging niet slagen, halen het certificaat bij een heraudit wel. Het vraagt extra tijd en geld, maar het is geen definitief oordeel over je organisatie. Gebruik de feedback van de auditor om je ISMS te versterken.

Je kunt de kans op zakken verkleinen door je goed voor te bereiden. Een grondige interne audit vooraf, waarin je dezelfde kritische blik hanteert als de externe auditor, helpt je om problemen te ontdekken en op te lossen voordat ze een issue worden bij de certificeringsaudit.

Lees meer over het auditproces en hoe je je kunt voorbereiden.

Hoe lang is het certificaat geldig?

Een ISO 27001 certificaat is drie jaar geldig. Na drie jaar volgt een hercertificeringsaudit, vergelijkbaar met de initiële certificeringsaudit, waarbij het hele ISMS opnieuw wordt beoordeeld.

Gedurende de driejarige cyclus komt de certificerende instantie elk jaar langs voor een surveillance audit. Deze jaarlijkse audits zijn korter dan de initiële audit en de hercertificeringsaudit, maar ze zijn wel verplicht om het certificaat geldig te houden.

Als je de surveillance audit niet laat uitvoeren of als er ernstige tekortkomingen worden gevonden die niet worden opgelost, kan het certificaat worden geschorst of ingetrokken.

Het certificaat is ook niet automatisch geldig als je organisatie significant verandert. Bij grote wijzigingen, zoals een overname, een fundamentele verandering in de scope, of een verhuizing, moet je de certificerende instantie informeren. In sommige gevallen is een tussentijdse audit nodig om te verifiëren dat het ISMS nog steeds werkt.

Wat als we meerdere locaties hebben?

Organisaties met meerdere locaties kunnen op verschillende manieren omgaan met certificering. De keuze hangt af van hoe uniform de processen zijn tussen locaties en wat je doel is met het certificaat.

Als alle locaties onder hetzelfde ISMS vallen en dezelfde processen volgen, kun je één certificaat hebben dat alle locaties dekt. De auditor bezoekt dan bij elke audit een selectie van locaties, niet allemaal tegelijk. De IAF  heeft richtlijnen voor hoe de steekproef van locaties wordt bepaald.

Je kunt er ook voor kiezen om te beginnen met een beperkte scope, bijvoorbeeld alleen het hoofdkantoor, en later uit te breiden naar andere locaties. Dit verlaagt de initiële complexiteit en kosten, maar betekent wel dat je certificaat aanvankelijk niet alle locaties dekt.

Bij zeer verschillende locaties, bijvoorbeeld door acquisities of verschillende bedrijfsonderdelen, kan het soms praktischer zijn om aparte certificaten te hebben. Dit hangt af van de mate waarin processen geïntegreerd zijn.

Bespreek de opties met je certificerende instantie. Zij kunnen adviseren over de meest efficiënte aanpak voor jouw situatie.

Is ISO 27001:2022 anders dan de vorige versie?

ISO 27001:2022 is de huidige versie van de norm, gepubliceerd in oktober 2022. De vorige versie was ISO 27001:2013. Organisaties hadden tot oktober 2025 de tijd om over te stappen naar de nieuwe versie.

De belangrijkste wijziging zit in Annex A, de lijst met beheersmaatregelen. Deze is grondig herzien en gereorganiseerd. De oude versie had 114 controls in 14 categorieën; de nieuwe versie heeft 93 controls in 4 categorieën. Er zijn 11 nieuwe controls toegevoegd die actuele thema’s adresseren, zoals threat intelligence, cloudbeveiliging, en secure coding.

De managementeisen in hoofdstuk 4-10 zijn minder drastisch veranderd. Er zijn verduidelijkingen en kleine aanpassingen, maar de fundamentele aanpak blijft hetzelfde. Organisaties die al gecertificeerd waren voor de 2013-versie hoefden hun ISMS niet volledig opnieuw op te bouwen.

Als je nu start met implementatie, werk je met de 2022-versie. Zorg dat je de actuele normdocumenten hebt en dat eventuele adviseurs of tools die je gebruikt ook up-to-date zijn met de 2022-versie.

Meer informatie

NIS2-richtlijnWat is ISO 42001?