Veelgestelde vragen over ISO-audits
Korte, eerlijke antwoorden op de vragen die organisaties ons het vaakst stellen over ISO 27001, NEN 7510 en ISO 9001 audits — van kosten en doorlooptijd tot certificering, interne audits en het inhuren van een onafhankelijke Lead Auditor in Nederland.
ISO-audits: de basis
Een ISO-audit is een systematische, bewijsgerichte beoordeling waarbij een auditor toetst of uw managementsysteem voldoet aan een ISO-norm (zoals ISO 27001 of ISO 9001) én of het in de praktijk werkt. De auditor verzamelt bewijs via documenten, interviews en steekproeven, vergelijkt dit met de eisen van de norm en rapporteert bevindingen. Audits worden uitgevoerd volgens de richtlijnen van ISO 19011.
Grofweg zijn er drie soorten. Een first-party audit is een interne audit die u zelf (of via een ingehuurde auditor) uitvoert. Een second-party audit voert u uit bij een leverancier of partner. Een third-party audit wordt uitgevoerd door een onafhankelijke certificerende instelling en leidt tot een certificaat. Daarnaast bestaan voorbereidende vormen zoals de gap-analyse en de pre-audit.
Een interne audit voert u zelf of via een ingehuurde auditor uit als verplicht onderdeel van uw managementsysteem (ISO 27001 clausule 9.2). Een certificatieaudit wordt uitgevoerd door een geaccrediteerde certificerende instelling en leidt tot het officiële certificaat. Een goede interne audit en pre-audit maken de certificatieaudit aanzienlijk soepeler, omdat u afwijkingen vooraf herstelt.
Een gap-analyse is een nulmeting aan het begin van uw traject: de auditor brengt in kaart waar u nu staat ten opzichte van de norm, welke maatregelen en documenten ontbreken en wat realistisch nodig is richting certificering. Het resultaat is een concrete prioriteitenlijst, zodat u gericht en zonder verspilling aan de slag kunt.
Een pre-audit is een generale repetitie vlak vóór de certificatieaudit. We auditen zoals de certificerende instelling dat doet en signaleren afwijkingen die u nog op tijd kunt herstellen. Zo gaat u met vertrouwen en zonder verrassingen de echte audit in. Een pre-audit is vooral waardevol bij een eerste certificering of na grote veranderingen.
Een Lead Auditor leidt het volledige audittraject volgens ISO 19011: hij bepaalt samen met u de scope, stelt het auditplan op, voert interviews en steekproeven uit, weegt bevindingen objectief en rapporteert helder. Een goede Lead Auditor combineert normkennis met praktijkervaring en spreekt zowel de taal van de techniek als die van de directie.
Een externe Lead Auditor brengt onafhankelijkheid, normkennis en een frisse blik die intern vaak ontbreekt. Hij kan uw verplichte interne audit objectief uitvoeren, met een pre-audit verrassingen wegnemen vóór de certificatieaudit, en via een gap-analyse uw startpositie bepalen. Bovendien neemt hij vergelijkingsmateriaal mee uit andere organisaties en sectoren. Lees meer over inhuren.
Ja. Secrotec audit voor buitenlandse bedrijven met een vestiging, klanten of leveranciers in Nederland, en voor internationale organisaties die ISO 27001, NEN 7510 of ISO 9001 in de Nederlandse context willen toetsen. We werken op locatie of remote en rapporteren in het Nederlands, Engels, Duits of Frans. Neem contact op om uw situatie te bespreken.
Beide. Veel auditactiviteiten — documentbeoordeling, interviews en steekproeven — kunnen prima remote via videogesprekken en veilige documentdeling. Voor bepaalde onderdelen, zoals fysieke beveiliging of een rondgang op locatie, is een bezoek waardevol. We stemmen de mix vooraf met u af, passend bij uw scope, locaties en planning.
ISO 27001
Een ISO 27001-audit toetst of uw managementsysteem voor informatiebeveiliging (ISMS) voldoet aan ISO 27001 en in de praktijk werkt. De auditor beoordeelt onder meer de risicoanalyse, de Verklaring van Toepasselijkheid, de beheersmaatregelen, het beleid, de interne audits en de directiebeoordeling, en rapporteert bevindingen en verbeterpunten.
De auditor controleert zowel de opzet als de werking: het ISMS-beleid en de scope, de risicobeoordeling en -behandeling, de Verklaring van Toepasselijkheid, de beheersmaatregelen uit bijlage A, bewustwording en training, leveranciersbeheer, incidentbeheer, logging en monitoring, interne audits, directiebeoordeling en continue verbetering. Per onderdeel zoekt hij bewijs dat het écht gebeurt. Lees ook wat een auditor controleert.
Dat hangt af van de scope, het aantal medewerkers en vestigingen en de complexiteit. Een interne audit bij een kleinere organisatie kan vaak in één tot enkele dagen, terwijl een certificatieaudit (fase 1 plus fase 2) bij grotere organisaties meer dagen vraagt. Certificerende instellingen gebruiken hiervoor richtlijnen op basis van uw omvang. We geven u vooraf een realistische inschatting.
De kosten hangen af van de scope, het aantal vestigingen, de volwassenheid van het ISMS en het type audit (gap-analyse, interne audit of pre-audit). Inhuur per audittraject is doorgaans voordeliger en flexibeler dan een vaste interne auditor in dienst nemen: u betaalt alleen voor de audits die u nodig heeft. Vraag een vrijblijvende inschatting aan voor uw situatie.
Veelvoorkomende afwijkingen zijn: een risicobeoordeling die niet aansluit op de praktijk, een Verklaring van Toepasselijkheid die niet klopt met de geïmplementeerde maatregelen, ontbrekende of oppervlakkige interne audits en directiebeoordelingen, zwak leveranciers- en toegangsbeheer, onvoldoende bewijs van bewustwording, en correctieve acties die niet worden afgerond. De rode draad: beleid op papier dat in de praktijk niet aantoonbaar werkt.
Een major (kritieke) afwijking is een ernstig of systematisch gebrek dat aantoont dat een norm-eis niet wordt vervuld — bijvoorbeeld het volledig ontbreken van een verplicht proces. Die moet zijn opgelost vóór certificering. Een minor afwijking is een kleinere, op zichzelf staande tekortkoming; u krijgt tijd om die met een correctief actieplan te herstellen. Veel minors samen kunnen samen als een major wegen.
Ja, zeker. ISO 27001 is risicogebaseerd en schaalt mee met uw omvang: een klein bedrijf hoeft niet dezelfde hoeveelheid documentatie als een multinational. De kunst is om de maatregelen passend en haalbaar te houden, zonder vaste security-afdeling. Veel mkb-bedrijven halen het certificaat juist om enterprise-klanten of aanbestedingen binnen te halen. Zie ISO 27001 voor het MKB.
Voor de meeste organisaties duurt het traject van start tot certificaat ongeveer drie tot negen maanden, afhankelijk van uw beginsituatie, beschikbare capaciteit en complexiteit. Het ISMS moet bovendien een periode aantoonbaar draaien (inclusief minstens één interne audit en directiebeoordeling) voordat de certificatieaudit zinvol is. Een gap-analyse aan het begin helpt om een realistische planning te maken.
Een ISMS (Information Security Management System) is het geheel van beleid, processen, mensen en maatregelen waarmee u informatiebeveiliging structureel beheerst. Het is geen softwarepakket maar een werkwijze: u bepaalt risico's, kiest passende maatregelen, voert ze uit, meet of ze werken en verbetert continu (de plan-do-check-act-cyclus). ISO 27001 stelt de eisen aan zo'n ISMS. Lees wat een ISMS is.
De Verklaring van Toepasselijkheid (SoA) is een verplicht kerndocument waarin u per beheersmaatregel uit bijlage A van ISO 27001 vastlegt of die van toepassing is, waarom wel of niet, en hoe die is geïmplementeerd. De SoA verbindt uw risicobeoordeling met de gekozen maatregelen en is een van de eerste documenten die een auditor opvraagt. Hij moet kloppen met de werkelijkheid.
De risicobeoordeling is het hart van ISO 27001. U identificeert risico's voor de vertrouwelijkheid, integriteit en beschikbaarheid van informatie, schat kans en impact in, en bepaalt welke risico's u accepteert, vermindert, overdraagt of vermijdt. De gekozen behandeling vertaalt u naar concrete maatregelen, die u vastlegt in de Verklaring van Toepasselijkheid. De auditor controleert of dit proces logisch, herhaalbaar en actueel is.
In de versie 2022 is vooral bijlage A herzien: de maatregelen zijn teruggebracht naar 93 controls, gegroepeerd in vier thema's (organisatorisch, mensen, fysiek en technologisch), met elf nieuwe maatregelen zoals threat intelligence, cloudbeveiliging en data leakage prevention. De kerneisen (hoofdstukken 4 tot 10) bleven grotendeels gelijk. Bestaande gecertificeerde organisaties moesten binnen de overgangstermijn migreren. Lees wat er is veranderd.
ISO 27001 schrijft geen vaste frequentie voor, maar eist dat interne audits met geplande tussenpozen plaatsvinden (clausule 9.2). In de praktijk betekent dit minimaal één keer per jaar, waarbij over een certificatiecyclus de volledige scope aan bod komt. Bij hogere risico's of grote veranderingen auditeert u vaker of gerichter. Een meerjaren-auditprogramma helpt om dat aantoonbaar te plannen.
Een certificatieaudit verloopt in twee fasen. In fase 1 beoordeelt de certificerende instelling vooral uw documentatie en of het ISMS klaar is voor de echte toets (een readiness review). In fase 2 toetst de auditor de werking in de praktijk via interviews, observatie en steekproeven, en stelt eventuele afwijkingen vast. Na succesvolle afronding en het sluiten van afwijkingen volgt het certificaat, gevolgd door jaarlijkse controleaudits.
ISO 27001 is op zichzelf niet wettelijk verplicht. In de praktijk wordt het certificaat echter vaak contractueel of in aanbestedingen geëist door klanten, partners en de overheid. Daarnaast helpt het aantoonbaar te voldoen aan wettelijke kaders zoals de AVG en NIS2. Voor veel organisaties is ISO 27001 dus 'de facto' verplicht om zaken te kunnen doen, ook al staat het niet in de wet.
ISO 27001 en de AVG overlappen sterk, maar zijn niet hetzelfde. ISO 27001 richt zich op informatiebeveiliging in brede zin; de AVG op de bescherming van persoonsgegevens. Een goed ISMS levert veel bewijs dat ook voor de AVG nuttig is (toegangsbeheer, incidentbeheer, verwerkersbeheer). Voor volledige privacy-dekking is de uitbreiding ISO 27701 of een gerichte AVG- en ISO 27001-aanpak aan te raden.
NIS2 is Europese wetgeving die essentiële en belangrijke organisaties verplicht tot risicobeheersing, incidentmelding en bestuurlijke verantwoordelijkheid op het gebied van cybersecurity. ISO 27001 is geen wettelijke vervanging van NIS2, maar een uitstekend fundament: een werkend ISMS dekt een groot deel van de NIS2-verplichtingen aantoonbaar af. Lees meer over NIS2 en compliance. Zie ook het NCSC.
NEN 7510 (zorg)
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm bouwt voort op ISO 27001 en ISO 27002, maar voegt eisen toe die specifiek zijn voor het beschermen van patiëntgegevens en andere gezondheidsinformatie. Organisaties die persoonlijke gezondheidsgegevens verwerken, gebruiken NEN 7510 om aantoonbaar zorgvuldig met die gevoelige data om te gaan. Bekijk onze NEN 7510-audit.
NEN 7510 is in Nederland in de praktijk verplicht voor zorgaanbieders en andere partijen die persoonlijke gezondheidsgegevens verwerken: de norm is wettelijk aangewezen als de te hanteren standaard voor informatiebeveiliging in de zorg. Toezichthouders verwachten dat zorgorganisaties aantoonbaar aan NEN 7510 voldoen. Raadpleeg de actuele eisen via NEN en uw eigen juridische adviseur.
Beide normen delen dezelfde basis (managementsysteem voor informatiebeveiliging), maar NEN 7510 is toegespitst op de zorg. Waar ISO 27001 sectorneutraal is, voegt NEN 7510 zorgspecifieke beheersmaatregelen en eisen toe rond patiëntgegevens, toegang tot medische dossiers en logging. In de praktijk kunt u beide goed combineren: een ISO 27001-conform ISMS is een uitstekende basis voor NEN 7510. Lees ISO 27001 en NEN 7510.
NEN 7510 geldt voor alle organisaties die persoonlijke gezondheidsgegevens verwerken: ziekenhuizen, huisartsen, ggz- en zorginstellingen, maar ook tandartsen, apotheken en zorgverleners. Daarnaast wordt de norm steeds vaker geëist van leveranciers van de zorg, zoals softwareleveranciers, hostingpartijen en verwerkers die met medische data werken. Twijfelt u of het op u van toepassing is? Wij denken graag mee.
Ja. Omdat NEN 7510 op dezelfde structuur als ISO 27001 is gebaseerd, is een gecombineerde aanpak efficiënt: u toetst de gedeelde basis één keer en besteedt extra aandacht aan de zorgspecifieke eisen. Dat scheelt tijd, dubbel werk en kosten. Bekijk onze combi-audit voor meer normen tegelijk.
Begin met een risicobeoordeling die echt aansluit op uw zorgprocessen, en zorg dat toegang tot medische gegevens strikt is geregeld en wordt gelogd. Veelvoorkomende struikelpunten zijn autorisatiebeheer, logging van inzage in dossiers en afspraken met verwerkers. Een interne audit of pre-audit vooraf brengt deze punten op tijd aan het licht. Onze NEN 7510-aanpak helpt u gericht voorbereiden.
ISO 9001
Een ISO 9001-audit toetst uw kwaliteitsmanagementsysteem: voldoet uw organisatie aantoonbaar aan de eisen van klanten en wet- en regelgeving, en verbetert u continu? De auditor beoordeelt onder meer de context en doelen, processen, klanttevredenheid, risicogebaseerd denken, beheersing van afwijkingen en de directiebeoordeling, en zoekt bewijs dat het in de praktijk werkt.
ISO 9001 gaat over kwaliteitsmanagement — consistent leveren wat klanten verwachten en continu verbeteren. ISO 27001 gaat over informatiebeveiliging — risico's voor de vertrouwelijkheid, integriteit en beschikbaarheid van informatie beheersen. Beide delen dezelfde managementsysteemstructuur (High Level Structure), waardoor ze goed naast elkaar of gecombineerd te implementeren en auditen zijn.
Vaak gaat het mis bij: doelstellingen die niet meetbaar zijn of niet worden opgevolgd, processen die anders lopen dan beschreven, zwakke beheersing van afwijkingen en correctieve acties, onvoldoende analyse van klanttevredenheid, en directiebeoordelingen die te oppervlakkig zijn. Net als bij ISO 27001 is de rode draad het verschil tussen het systeem op papier en hoe er echt wordt gewerkt.
Risicogebaseerd denken betekent dat u risico's en kansen die de kwaliteit van uw producten of diensten beïnvloeden, vooraf in beeld brengt en er gericht op stuurt — in plaats van pas achteraf te reageren op problemen. Sinds ISO 9001:2015 is dit een rode draad door de hele norm. De auditor verwacht geen zwaar risicoregister, maar wel dat u aantoonbaar nadenkt over wat er mis kan gaan en wat u eraan doet.
Ja. Dankzij de gedeelde managementsysteemstructuur kunt u ISO 9001 en ISO 27001 (en bijvoorbeeld NEN 7510) goed combineren in één geïntegreerd traject. Een combi-audit toetst de gemeenschappelijke onderdelen — context, leiderschap, doelen, interne audit, directiebeoordeling — in één keer en behandelt de normspecifieke eisen apart. Dat bespaart tijd en voorkomt dubbel werk.
Het auditproces & samenwerken met Secrotec
Zorg dat uw documentatie actueel is en aansluit op de praktijk, dat verplichte onderdelen aantoonbaar zijn uitgevoerd (risicobeoordeling, interne audit, directiebeoordeling, correctieve acties) en dat medewerkers weten wat er van hen wordt verwacht. Verzamel bewijs vooraf, niet tijdens de audit. Een interne audit of pre-audit is de beste generale repetitie. Bekijk ons stappenplan voor voorbereiding.
Voor ISO 27001 gaat het onder meer om: de scope van het ISMS, het informatiebeveiligingsbeleid, de risicobeoordeling en het risicobehandelplan, de Verklaring van Toepasselijkheid, bewijs van de beheersmaatregelen, de resultaten van interne audits en de directiebeoordeling, en het overzicht van afwijkingen en correctieve acties. Andere normen vragen vergelijkbare kerndocumenten. We sturen u vooraf een heldere checklist.
U ontvangt een helder auditrapport met de bevindingen, geprioriteerd naar risico en impact, plus een concreet verbeterplan met haalbare vervolgstappen. We rapporteren in twee lagen: een managementsamenvatting voor de directie en gedetailleerde bevindingen voor de uitvoerende teams. U weet daarna precies waar u staat, wat er nog moet gebeuren en in welke volgorde u verbetert.
Een bevinding is het algemene resultaat van het toetsen van bewijs aan de norm. Een afwijking (nonconformity) is een bevinding waarbij een norm-eis aantoonbaar niet wordt vervuld; die moet u corrigeren. Een observatie of verbeterpunt is geen afwijking, maar een kans om iets te versterken of een waarschuwing voor een mogelijke toekomstige afwijking. Goede auditrapporten maken dit onderscheid expliciet.
Nee. Alleen een geaccrediteerde certificerende instelling mag het officiële ISO-certificaat afgeven. Secrotec is een onafhankelijke Lead Auditor en voert gap-analyses, interne audits, pre-audits en leveranciersaudits uit. Juist omdat we niet certificeren én geen werk beoordelen dat we zelf hebben geïmplementeerd, blijft ons oordeel onpartijdig en bruikbaar voor uw certificerende instelling. Wij bereiden u optimaal voor; zij geven het certificaat af.
Ja. Onafhankelijkheid is de kern van een bruikbaar auditoordeel. We beoordelen geen advies- of implementatiewerk dat we zelf hebben geleverd, en we werken volgens de objectiviteits- en onpartijdigheidsprincipes van ISO 19011. Daardoor voldoet onze interne audit aan het onpartijdigheidsvereiste van ISO 27001 (clausule 9.2) en is ons oordeel bruikbaar in de aanloop naar uw certificatie.
Vaak binnen enkele weken, afhankelijk van de scope en uw planning. Een vrijblijvende kennismaking kan meestal op korte termijn. Daarin bepalen we samen de scope, de juiste auditvorm en een realistische planning. Heeft u een deadline vanuit een klant of aanbesteding? Geef dat aan, dan houden we daar rekening mee. Neem contact op om een datum te prikken.
Secrotec werkt onder meer voor IT- en SaaS-bedrijven, zorginstellingen (ook NEN 7510), het MKB en leveranciers van de overheid en grote opdrachtgevers. Voor IT/SaaS sluiten we aan op cloud en development; in de zorg op patiëntgegevens; voor het MKB houden we de aanpak licht en haalbaar zonder vaste security-afdeling. We stemmen scope en diepgang altijd af op uw omvang, risico's en sector.
Als onafhankelijke auditor mogen we geen werk implementeren dat we daarna zelf zouden beoordelen — dat zou de onpartijdigheid aantasten. Wat we wél doen, is uw bevindingen helder en geprioriteerd opleveren met een concreet, uitvoerbaar verbeterplan, zodat uw eigen team of een aparte adviespartij er direct mee aan de slag kan. Zo houdt u de regie en blijft het auditoordeel zuiver.
Een surveillance-audit is een periodieke controleaudit door de certificerende instelling, meestal jaarlijks, tussen de driejaarlijkse hercertificaties in. Hierin wordt steekproefsgewijs gecontroleerd of uw managementsysteem nog steeds voldoet en blijft verbeteren. Met goede interne audits en een werkend ISMS verlopen surveillance-audits doorgaans soepel, omdat u continu 'audit-ready' blijft.
Bij een leveranciersaudit toetst u namens uw organisatie de informatiebeveiliging van een leverancier of verwerker, bijvoorbeeld tegen ISO 27001 of uw eigen eisenkader. Dat is steeds belangrijker nu veel risico's in de keten zitten: cloud, hosting en software van derden. Secrotec voert deze audits onafhankelijk voor u uit en geeft u een helder, onderbouwd oordeel over de leverancier.
We voeren audits uit en rapporteren in het Nederlands en Engels, en op aanvraag ook in het Duits of Frans. Voor internationale organisaties leveren we het auditrapport in het Engels, zodat hoofdkantoor en lokale teams hetzelfde document kunnen gebruiken. Geef bij de aanvraag aan welke taal uw voorkeur heeft.
Eenvoudig: neem contact op via het formulier, e-mail of telefoon en beschrijf kort uw situatie (norm, omvang, doel en eventuele deadline). We plannen een vrijblijvende audit-scan, geven u op basis daarvan een passende inschatting en stellen de juiste auditvorm voor. U zit nergens aan vast tot u akkoord geeft.
Staat uw vraag er niet bij?
Plan een vrijblijvende audit-scan. In één gesprek weet u waar u staat, welke auditvorm past en wat de volgende stap is.
Officiële bronnen
Wilt u de normen en kaders zelf nalezen? Dit zijn de gezaghebbende bronnen achter onze antwoorden:
