ISO 27001 voor SaaS-bedrijven
Als SaaS-bedrijf loop je er vroeg of laat tegenaan: een potentiële enterprise-klant stelt ISO 27001 als voorwaarde, of je krijgt een security questionnaire met 150 vragen. ISO 27001 is de internationale norm voor informatiebeveiliging, verkrijgbaar via NEN , en het is hét bewijs waarmee je klanten laat zien dat je hun data serieus neemt. Voor kleine en middelgrote SaaS-bedrijven is het certificaat haalbaar: reken op €11.000 tot €30.000 in het eerste jaar.
Voor SaaS-bedrijven die net beginnen met beveiliging, is ISO 27001 voor kleine bedrijven de beste startpagina.
Waarom enterprise-klanten ISO 27001 eisen
Enterprise-klanten kopen geen software; ze kopen een vertrouwensrelatie. Jouw SaaS-platform verwerkt hun klantgegevens, hun financiële data, of hun bedrijfsinformatie. Als jij een datalek hebt, zijn zij de klos — ook reputationeel.
ISO 27001 certificering geeft hen drie dingen:
- Onafhankelijke verificatie. Een geaccrediteerde auditor heeft gecontroleerd of je ISMS werkt. Dat is iets anders dan jouw eigen whitepaper over “enterprise-grade security”.
- Aantoonbare compliance. Veel enterprise-inkopers zijn zelf ISO 27001-gecertificeerd of vallen onder NIS2. Ze zijn verplicht hun leveranciers te controleren.
- Minder due diligence. Een certificaat vervangt honderden vragen in een security questionnaire.
Grote bedrijven gebruiken platforms als OneTrust of Vanta om leveranciers te beoordelen. Een ISO 27001 certificaat wordt automatisch ingevoerd als bewijs. Zonder certificaat beantwoord je handmatig elke vraag, keer op keer voor elke nieuwe klant.
Security questionnaires: wat ze vragen en hoe ISO 27001 helpt
Security questionnaires zijn standaarddocumenten waarmee inkopers de beveiligingspositie van leveranciers beoordelen. De meest gebruikte zijn de CAIQ (Consensus Assessments Initiative Questionnaire) van de Cloud Security Alliance en de SIG (Standard Information Gathering) van Shared Assessments.
Een typische questionnaire bevat vragen over:
| Categorie | Voorbeeldvragen | Dekkend door ISO 27001? |
|---|---|---|
| Toegangsbeheer | Gebruik je MFA? Hoe beheer je toegangsrechten? | Ja — A.5.15-5.18, A.8.5 |
| Encryptie | Versleutel je data in transit en at rest? | Ja — A.8.24 |
| Incidentrespons | Hoe meld je datalekken? Wat is je SLA? | Ja — A.5.24-5.28 |
| Leveranciersbeheer | Hoe beoordeel je subverwerkers? | Ja — A.5.19-5.23 |
| Continuïteit | Heb je een BCP? Wat is je RTO/RPO? | Gedeeltelijk — A.5.29-5.30 |
| Penetratietesten | Hoe vaak test je je omgeving? | Gedeeltelijk — hangt van je SoA af |
| Compliancecertificering | Ben je ISO 27001 of SOC 2 gecertificeerd? | Ja — directe vraag |
Met een ISO 27001 certificaat kun je de meeste vragen beantwoorden met een verwijzing naar je certificaat en je SoA. Dat bespaart uren per klant per jaar.
ISO 27001 of SOC 2 — of beide?
Dit is de meest gestelde vraag bij SaaS-bedrijven. Het antwoord hangt af van je doelmarkt.
| Kenmerk | ISO 27001 | SOC 2 |
|---|---|---|
| Standaard van | ISO/IEC (internationaal) | AICPA (Amerikaans) |
| Meest gevraagd in | Europa, overheid, enterprise | VS, technologie, venture-backed |
| Certificering mogelijk | Ja | Type 1 en Type 2 |
| Scope | Breed (ISMS als geheel) | Specifieke Trust Services Criteria |
| Auditor | Geaccrediteerde CB | CPA-kantoor |
Lever je primair aan Europese klanten? ISO 27001 is de standaard. Vrijwel elke enterprise-klant en overheidsinstelling in Nederland en Europa accepteert het.
Lever je aan Amerikaanse klanten of aan bedrijven in de SaaS-keten? Dan kom je SOC 2 tegen als aanvullende eis. Sommige klanten willen beide.
Wil je beide? De overlapping is groot. Met een goed opgezet ISMS voor ISO 27001 heb je het meeste werk voor SOC 2 al gedaan. Veel platforms (zoals Vanta of Drata) ondersteunen beide frameworks tegelijk.
Sommige SaaS-bedrijven beginnen met SOC 2 voor de Amerikaanse markt en behalen daarna ISO 27001. Anderen doen het omgekeerd. Als je twijfelt: vraag je drie grootste potentiële klanten wat zij verwachten. Dat geeft de doorslag.
Scope voor een SaaS-bedrijf
De scope van je ISMS bepaal je zelf. Voor een SaaS-bedrijf is de logische scope: de ontwikkeling, levering en ondersteuning van het SaaS-platform, inclusief de productie-infrastructuur.
Typische elementen in scope:
- Productie-omgeving (AWS, Azure, GCP of eigen hosting)
- Softwareontwikkelingsproces (CI/CD, code review, securitytesten)
- Klantondersteuning en toegang tot klantdata
- Identiteits- en toegangsbeheer
Typisch buiten scope (maar goed te onderbouwen):
- Interne HR- en financiële systemen, mits strikt gescheiden van het platform
- Marketingactiviteiten zonder toegang tot klantdata
Lees meer over het afbakenen van de scope op de pagina scope bepalen.
Aanpak: van nul naar certificaat als SaaS-bedrijf
- Scope afbakenen. Bepaal welk platform gecertificeerd wordt. Begin smal; je kunt later uitbreiden.
- Nulmeting uitvoeren. Wat heb je al? Veel SaaS-bedrijven hebben informele beveiligingsmaatregelen die alleen gedocumenteerd hoeven te worden. Zie nulmeting en gap-analyse.
- Risicobeoordeling. Focus op de risico’s voor klantdata: toegang, continuïteit, datalekken.
- SoA opstellen. Selecteer relevante maatregelen en onderbouw je keuzes.
- Implementeer wat ontbreekt. MFA, logging, change management, incidentrespons.
- Drie maanden draaien. Verzamel bewijs dat het systeem werkt.
- Interne audit, directiebeoordeling, certificeringsaudit.
Een gedetailleerd traject staat in het stappenplan. Kosten voor een SaaS-bedrijf van 5-25 medewerkers liggen doorgaans in de range van €11.000 tot €30.000 voor het eerste jaar.
Meer informatie
- ISO 27001 voor een klein bedrijf — Kosten en aanpak voor mkb
- ISO 27001 vs. SOC 2 — Wat kies je voor welke markt?
- Kosten en tijdlijn — Compleet kostenoverzicht
- Scope bepalen — Hoe baken je de scope af?
- Annex A — De 93 beheersmaatregelen