ISO 9001 voor IT-bedrijven

ISO 9001 en IT: het klinkt als een ongemakkelijke combinatie. Waterval-procedures voor agile teams? Dikke handboeken voor developers die in sprints werken? Het kan anders. De norm is verkrijgbaar via NEN en een goed opgezet kwaliteitsmanagementsysteem past prima bij moderne IT-organisaties. Certificering verloopt via een geaccrediteerde instantie .

IT-bedrijven combineren ISO 9001 vaak met ISO 27001 (informatiebeveiliging). Voor softwareontwikkelaars is ook ISO 25010 (software kwaliteit) relevant.

Waarom ISO 9001 voor IT?

De markt vraagt het

Enterprise klanten: Grote bedrijven willen zekerheid over je processen
Overheid: Bij aanbestedingen vaak verplicht
Financiële sector: Banken en verzekeraars eisen het van hun leveranciers
Internationale klanten: ISO 9001 is wereldwijd bekend

Het helpt je bedrijf

Structuur in je processen (zonder bureaucratie)
Duidelijke afspraken met klanten over requirements
Beter inzicht in projectprestaties
Aantoonbaar werken aan klanttevredenheid

Typische processen in een IT-bedrijf

Kernprocessen

Softwareontwikkeling

Voor softwarebedrijven:

Proces	Beschrijving
Sales & presales	Van lead naar contract
Requirements	Wensen en eisen vaststellen
Ontwerp & architectuur	Hoe gaan we het bouwen
Ontwikkeling	Coderen, sprints, builds
Testen	Kwaliteitscontrole
Deployment	Naar productie brengen
Onderhoud & support	Bugs fixen, updates

Proces	Beschrijving
Sales	Nieuwe klanten, offertes
Onboarding	Klant starten
Service delivery	Leveren van diensten
Incident management	Storingen oplossen
Change management	Wijzigingen doorvoeren
Service review	Evaluatie met klant

Proces	Beschrijving
Business development	Opdrachten werven
Opdrachtacceptatie	Kunnen we dit leveren?
Opdracht uitvoering	Het werk doen
Kennismanagement	Kennis borgen en delen
Klantevaluatie	Feedback verzamelen

Ondersteunende processen

HR (werving, ontwikkeling, behoud van talent)
Inkoop (hardware, software, onderaannemers)
Infrastructuur (servers, netwerk, tooling)
Administratie (facturatie, contractbeheer)

ISO 9001 en agile: het kan samen

Veel IT-bedrijven werken agile. De angst is dat ISO 9001 dit onmogelijk maakt. Dat klopt niet.

Wat ISO 9001 vraagt

Processen definiëren: Niet hóe je werkt, maar dát je weet hoe je werkt
Klanteisen vaststellen: Weten wat de klant wil
Controleren of het werkt: Meten en evalueren
Verbeteren: Leren van wat misgaat

Dit past prima bij agile principes.

Hoe je het combineert

ISO 9001 eis	Agile invulling
Processen beschrijven	Sprint ceremonies beschrijven (stand-up, planning, retro)
Klanteisen vaststellen	User stories, acceptance criteria
Ontwerp beheersen	Definition of Ready, Definition of Done
Testen	Automated testing, code reviews
Vrijgave controleren	CI/CD pipeline, release proces
Verbeteren	Retrospectives, velocity tracking

De sleutel is: beschrijf hoe jullie agile werken. Niet een ideaalplaatje uit een boek, maar hoe het écht gaat. De auditor wil zien dat je een systeem hebt en dat het werkt.

Voorbeelden van agile + ISO 9001

Sprint planning = Requirements review

Jullie user stories en acceptance criteria zijn je gedocumenteerde klanteisen. De sprint planning is het moment dat je beoordeelt of je kunt leveren.

Retrospective = Continue verbetering

De retro is precies wat ISO 9001 bedoelt met evaluatie en verbetering. Documenteer de actiepunten en volg ze op.

Definition of Done = Vrijgave controle

Je DoD beschrijft wanneer iets “af” is. Dat is je controle voordat je oplevert.

Code reviews = Kwaliteitscontrole

Peer reviews zijn een erkende manier om kwaliteit te borgen.

Specifieke aandachtspunten voor IT

1. Requirements management

IT-projecten mislukken vaak door onduidelijke requirements. ISO 9001 vraagt dat je klanteisen vaststelt en beoordeelt.

Praktisch:

Documenteer requirements (user stories, specificaties)
Laat de klant bevestigen (akkoord, sign-off)
Beheer wijzigingen (change requests)
Traceer requirements naar oplossing (traceability)

2. Configuratiebeheer

Software bestaat uit veel componenten die moeten samenwerken.

Wat je moet beheersen:

Versiebeheer (Git, SVN)
Dependency management
Environment configuratie
Release management

3. Testen

ISO 9001 vraagt dat je controleert of output voldoet aan eisen.

Testvormen:

Unit tests
Integratietests
Systeemtests
Acceptatietests (UAT)
Performance tests
Security tests

Documentatie: Niet elk testgeval hoeft gedocumenteerd, maar je teststrategie en -resultaten wel.

4. Incidenten en bugs

Bugs zijn afwijkingen. ISO 9001 vraagt dat je ze registreert, analyseert en oplost.

Praktisch:

Ticketsysteem (Jira, Azure DevOps, etc.)
Prioritering (severity, impact)
Root cause analysis bij herhalende problemen
Meting: hoeveel bugs, tijd tot oplossing

5. Uitbesteding en cloud

IT-bedrijven gebruiken veel externe diensten: cloud providers, SaaS tools, freelancers.

Wat ISO 9001 vraagt:

Selectiecriteria (hoe kies je een leverancier?)
Afspraken (SLA’s, contracten)
Monitoring (voldoen ze aan afspraken?)
Evaluatie (periodiek beoordelen)

Typische kwaliteitsdoelstellingen

Doelstelling	KPI	Streefwaarde
Klanttevredenheid	NPS of CSAT score	≥ 40 (NPS) of ≥ 8 (CSAT)
Leverbetrouwbaarheid	% sprints/releases op tijd	≥ 90%
Defect rate	Bugs per release	Dalende trend
Uptime	Beschikbaarheid productie	≥ 99,5%
Incident response	Tijd tot eerste reactie	≤ 1 uur (kritiek)
Code quality	Test coverage	≥ 80%

Documentatie voor IT-bedrijven

Minimaal nodig

Kwaliteitsbeleid - Kort en krachtig
Procesoverzicht - Hoe jullie software maken/diensten leveren
Development proces - Van idee tot productie
Test strategie - Hoe je kwaliteit borgt
Incident proces - Hoe je omgaat met bugs en storingen
Klachtenprocedure - Hoe je klantklachten afhandelt

Waar je documentatie kunt houden

Je hoeft geen Word-documenten te maken. Opties:

Confluence/Notion - Veel IT-bedrijven gebruiken dit al
GitHub/GitLab wiki - Dicht bij de code
Interne docs-site - Eigen documentatieplatform
README’s - Per project/repo de specifieke afspraken

Wat je ook kiest: zorg dat het vindbaar en actueel is. De auditor wil zien dat medewerkers weten waar ze informatie vinden.

Combinatie met ISO 27001

Voor IT-bedrijven is de combinatie met ISO 27001 (informatiebeveiliging) vaak logisch.

Waarom combineren?

Klanten vragen beide (vooral enterprise, overheid, financieel)
Veel overlap in structuur (beide HLS)
Informatiebeveiliging hoort bij kwaliteit

Wat ISO 27001 toevoegt

Information Security Management System (ISMS)
Risicobeoordeling voor informatiebeveiliging
93 security controls (Annex A)
Aandacht voor vertrouwelijkheid, integriteit, beschikbaarheid

Praktische integratie

Aspect	ISO 9001	ISO 27001
Beleid	Kwaliteitsbeleid	+ Informatiebeveiligingsbeleid
Risico’s	Kwaliteitsrisico’s	+ Beveiligingsrisico’s
Competenties	Vakinhoudelijk	+ Security awareness
Leveranciers	Kwaliteitseisen	+ Beveiligingseisen
Incidenten	Bugs, klachten	+ Security incidents

Veelvoorkomende afwijkingen bij IT-audits

Minor afwijkingen

Requirements niet getraceerd naar tests
Wijzigingen niet gedocumenteerd (change requests)
Geen evaluatie van externe dienstverleners (cloud, SaaS)
Testresultaten niet vastgelegd
Klanttevredenheid niet gemeten

Major afwijkingen

Geen gedefinieerd ontwikkelproces
Geen interne audits uitgevoerd
Geen beheer van productieomgeving
Geen traceerbaarheid bij incidenten

Tips van IT-bedrijven

”Begin bij wat je al doet”

“We werkten al met Jira en Confluence. We hoefden alleen te beschrijven hoe we die tools gebruiken en waarom."

"Automatiseer waar mogelijk”

“Onze CI/CD pipeline is gedocumenteerd als ons releaseproces. Automated tests zijn onze kwaliteitscontroles."

"Gebruik je bestaande tooling”

“We hebben geen apart kwaliteitssysteem. Alles zit in onze normale tools: GitHub voor code, Jira voor issues, Confluence voor docs."

"Maak het developer-friendly”

“Developers haten bureaucratie. We hebben het systeem zo ingericht dat het minimale extra werk kost.”

Kosten voor IT-bedrijven

Startup (1-10)

Kleine IT-organisatie (1-10 medewerkers)

Kostenpost	Indicatie
Begeleiding	€2.000 - €4.000
Certificeringsaudit	€1.500 - €2.500
Interne audit	€500 - €1.000
Totaal eerste jaar	€4.000 - €7.500

Jaarlijks onderhoud: €1.500 - €2.500

Kostenpost	Indicatie
Begeleiding	€4.000 - €8.000
Certificeringsaudit	€3.000 - €5.000
Interne audit	€1.000 - €2.000
Totaal eerste jaar	€8.000 - €15.000

Kostenpost	Indicatie
Begeleiding	€10.000 - €20.000
Certificeringsaudit	€5.000 - €10.000
Interne audit	€2.500 - €5.000
Totaal eerste jaar	€17.500 - €35.000

Veelgestelde vragen

Past ISO 9001 bij onze agile werkwijze?

Ja. ISO 9001 schrijft niet voor hóé je werkt, alleen dát je een beheerst proces hebt. Agile ceremonies (planning, stand-up, retro) passen prima.

Moeten we alles documenteren?

Nee. Documenteer wat nodig is om te laten zien dat je systeem werkt. User stories in Jira tellen als documentatie. Geautomatiseerde tests tellen als kwaliteitscontrole.

Moet ons hele bedrijf gecertificeerd?

Nee. Je kunt de scope beperken tot bijvoorbeeld je SaaS-product of je consultancydiensten. De scope moet wel logisch zijn.

Is ISO 9001 genoeg, of moeten we ook ISO 27001?

Dat hangt van je klanten af. Enterprise klanten en overheid vragen steeds vaker ISO 27001. Als je met gevoelige data werkt, is ISO 27001 verstandig.

Hoelang duurt het traject?

Voor een gemiddeld IT-bedrijf 3-6 maanden. Je moet kunnen aantonen dat je systeem een tijdje werkt (minimaal een paar sprints/releases).

Meer informatie

ISO 9001 stappenplan - Van start tot certificaat
Kosten en tijdlijn - Gedetailleerd kostenoverzicht
Combineren met andere normen - ISO 27001 en meer
ISO 27001 - Informatiebeveiliging