Wat houden de ISO 27001-, 27017-, 27018- en 27701-certificeringen in?
ISO 27001, 27017, 27018 en 27701 zijn vier afzonderlijke ISO-normen voor informatiebeveiliging en privacybeheer, elk met een eigen focus en toepassingsgebied. ISO 27001 vormt de basis: een breed raamwerk voor informatiebeveiliging dat op vrijwel elke organisatie van toepassing is. De overige drie zijn uitbreidingen die specifiek gericht zijn op clouddiensten, persoonsgegevens in de cloud en privacybeheer. In dit artikel beantwoorden we de meest gestelde vragen over deze normen, zodat je weet welke certificering relevant is voor jouw organisatie.
Wat zijn de verschillen tussen ISO 27001, 27017, 27018 en 27701?
ISO 27001 is de overkoepelende norm voor informatiebeveiliging en de enige waarop een organisatie daadwerkelijk gecertificeerd kan worden. ISO 27017 en 27018 zijn aanvullende richtlijnen, specifiek voor cloudomgevingen, terwijl ISO 27701 een privacyuitbreiding is bovenop ISO 27001, gericht op het beheer van persoonsgegevens.
Concreter uitgelegd:
- ISO 27001 beschrijft eisen voor een Information Security Management System (ISMS) en is de basis voor certificering op het gebied van informatiebeveiliging.
- ISO 27017 biedt aanvullende beveiligingsrichtlijnen specifiek voor cloudservices, zowel voor aanbieders als afnemers.
- ISO 27018 richt zich op de bescherming van persoonsgegevens die worden verwerkt in de cloud en sluit nauw aan bij privacywetgeving zoals de AVG.
- ISO 27701 is een uitbreiding op ISO 27001 en beschrijft eisen voor een Privacy Information Management System (PIMS), gericht op het aantonen van AVG-compliance.
Voor de meeste MKB-organisaties is ISO 27001 het logische vertrekpunt. De andere normen worden pas relevant als je actief werkt met clouddiensten of persoonsgegevens op grote schaal verwerkt, wat in de praktijk steeds vaker het geval is.
Welke organisaties zijn verplicht om een ISO-certificering te behalen?
Geen enkele organisatie is wettelijk verplicht om ISO 27001 of een van de verwante normen te behalen. Toch kan een certificering in de praktijk onvermijdelijk worden: grote opdrachtgevers, aanbestedingen en regelgeving zoals de NIS2-richtlijn maken informatiebeveiliging steeds vaker een harde voorwaarde voor samenwerking of markttoelating.
De druk om te certificeren komt doorgaans uit drie richtingen. Ten eerste vanuit klanten: een grote opdrachtgever vraagt om bewijs van informatiebeveiliging voordat een contract wordt verlengd. Ten tweede vanuit regelgeving: de NIS2-richtlijn verplicht organisaties in kritieke sectoren om aantoonbaar grip te hebben op hun cyberrisico’s, en ISO 27001 is een breed erkende manier om dat aan te tonen. Ten derde vanuit due diligence bij fusies of overnames, waarbij inzicht in de IT-omgeving en beveiliging standaard onderdeel is van het proces.
Voor organisaties in de financiële sector speelt ook DORA een rol: de Digital Operational Resilience Act stelt eisen aan digitale weerbaarheid, waarbij een gestructureerd beveiligingsraamwerk zoals ISO 27001 goed aansluit bij strategische financiële en organisatorische vraagstukken. Kortom, een verplichting staat nergens in de wet, maar de praktijk dwingt steeds vaker in die richting.
Hoe verhouden ISO 27001 en de AVG zich tot elkaar?
ISO 27001 en de AVG overlappen elkaar gedeeltelijk, maar zijn niet uitwisselbaar. ISO 27001 richt zich op informatiebeveiliging in brede zin, terwijl de AVG specifiek gaat over de bescherming van persoonsgegevens. Een ISO 27001-certificering toont aan dat je beveiliging serieus neemt, maar maakt je niet automatisch AVG-compliant.
Toch versterken de twee elkaar. Een goed ingericht ISMS op basis van ISO 27001 dekt veel technische en organisatorische maatregelen die de AVG vereist, zoals toegangscontrole, incidentbeheer en risicoanalyse. Het gat dat overblijft, zit vooral in de juridische en procedurele kant van de AVG: verwerkersovereenkomsten, rechten van betrokkenen en het bijhouden van een verwerkingsregister vallen buiten de scope van ISO 27001.
Wie zowel informatiebeveiliging als privacybeheer wil aantonen, kan overwegen om ISO 27701 toe te voegen aan een bestaande ISO 27001-certificering. Die combinatie biedt een sterk en aantoonbaar fundament voor datalek AVG MKB-vraagstukken en laat zien dat persoonsgegevens structureel en verantwoord worden beheerd, ondersteund door juridisch en compliance advies op maat.
Wat kost het om ISO 27001 gecertificeerd te worden?
De kosten voor ISO 27001-certificering variëren sterk en hangen af van de omvang van de organisatie, de volwassenheid van de bestaande beveiliging en de keuze voor externe begeleiding. Voor een MKB-organisatie moet je rekening houden met kosten in de breedte van enkele duizenden tot tientallen duizenden euro’s in totaal.
De kostenposten bestaan globaal uit drie onderdelen: de voorbereiding (intern of met externe ondersteuning), de certificeringsaudit door een geaccrediteerde certificeringsinstelling, en de jaarlijkse surveillance-audits om de certificering te behouden. De voorbereidingskosten zijn doorgaans het hoogst, zeker als de organisatie nog geen formeel beveiligingsbeleid heeft.
Een eerlijk beeld: de investering betaalt zich terug als de certificering deuren opent bij klanten of aanbestedingen, als het de organisatie beschermt tegen incidenten, of als het voldoen aan de NIS2-richtlijn MKB een concrete bedrijfsnoodzaak is. Wie de kosten als pure overhead ziet, heeft de strategische waarde van gestructureerde informatiebeveiliging MKB nog niet volledig doorgrond, ook niet in relatie tot een solide financiële en administratieve bedrijfsvoering.
Welke ISO-certificering past het beste bij jouw organisatie?
De juiste ISO-certificering hangt af van wat je wilt aantonen, aan wie, en in welke context je opereert. Voor de meeste organisaties is ISO 27001 de logische eerste stap, omdat het de brede basis legt voor informatiebeveiliging en de enige norm is waarop je formeel gecertificeerd kunt worden.
Daarna is de keuze voor aanvullende normen afhankelijk van je activiteiten. Werk je als cloudaanbieder of maak je intensief gebruik van cloudoplossingen? Dan voegt ISO 27017 concrete houvast toe. Verwerk je persoonsgegevens van klanten of medewerkers via cloudplatforms? Dan is ISO 27018 relevant. Wil je AVG-compliance structureel aantoonbaar maken richting klanten of toezichthouders? Dan biedt ISO 27701 de meest directe aanvulling.
Voor een MKB-organisatie die nu nog geen enkele certificering heeft, is de volgorde vrijwel altijd: begin met ISO 27001, bouw het ISMS op, en voeg daarna gericht uitbreidingen toe op basis van klantbehoeften of regelgeving. Stap voor stap is duurzamer dan alles tegelijk.
Hoe lang duurt een ISO 27001-certificeringstraject?
Een ISO 27001-certificeringstraject duurt voor de meeste MKB-organisaties tussen de zes en achttien maanden. De doorlooptijd hangt sterk af van de startpositie: een organisatie die al beleid, procedures en bewustzijn heeft opgebouwd, kan sneller certificeren dan een organisatie die vrijwel vanaf nul begint.
Het traject kent drie herkenbare fasen. Eerst de gap-analyse: in kaart brengen wat er al is en wat er nog ontbreekt ten opzichte van de norm. Daarna de implementatiefase: beleid opstellen, maatregelen inrichten, medewerkers trainen en processen documenteren. Tot slot de certificeringsaudit: een externe, geaccrediteerde partij beoordeelt of de organisatie daadwerkelijk voldoet aan de eisen van ISO 27001.
Een realistisch tijdpad is geen teken van traagheid, maar van zorgvuldigheid. Certificering die te snel wordt doorlopen zonder dat de organisatie de maatregelen echt heeft geïnternaliseerd, houdt geen stand bij de jaarlijkse surveillance-audits. Het gaat niet om het papiertje, maar om de werkelijke grip op cybersecurity beleid opstellen en het borgen ervan in de dagelijkse praktijk, ondersteund door IT Audit & Cyber Services.
Hoe Auren u helpt met ISO-certificering en informatiebeveiliging
Wij begrijpen dat ISO-certificering voor veel MKB-ondernemers aanvoelt als een complex en kostbaar traject. Dat hoeft het niet te zijn, mits je met de juiste partner werkt die de weg kent en jouw situatie serieus neemt.
Ontdek Auren en hoe wij organisaties ondersteunen op het snijvlak van audit, assurance en informatiebeveiliging. Concreet betekent dat:
- We brengen samen met jou de huidige staat van je informatiebeveiliging in kaart via een heldere gap-analyse.
- We adviseren welke ISO-norm of combinatie van normen aansluit bij jouw klanten, sector en regelgeving zoals de NIS2-richtlijn.
- We begeleiden het implementatietraject met oog voor wat haalbaar en werkbaar is voor jouw organisatie.
- We verzorgen onafhankelijke Audit & Assurance diensten die jou en jouw stakeholders het benodigde vertrouwen geven.
Wil je weten waar jouw organisatie nu staat en wat een certificeringstraject voor jou zou betekenen? Neem contact op met Auren voor een vrijblijvend gesprek. We denken graag met je mee, zonder jargon en zonder omwegen.