ISO 27001 certificering: kosten, eisen & stappenplan

ISO 27001 certificering: kosten, eisen & stappenplan

Alles over ISO 27001 certificering: wat het is, wat het kost, hoe je je voorbereidt en hoe je de juiste certificeerder kiest. Onafhankelijk advies voor Nederlandse bedrijven.

Laatst bijgewerkt: 1 January 2026 | 13 min leestijd

ISO 27001 is de internationale standaard voor informatiebeveiliging. De norm helpt je om risico’s voor je informatie systematisch te beheersen. Van datalekken tot ransomware, van menselijke fouten tot systeemuitval.

In deze gids lees je alles wat je moet weten: van de basisprincipes tot de kosten, van voorbereiding tot het kiezen van een certificeerder. Geen verkooppraatjes, gewoon heldere informatie.

1. Wat is ISO 27001?

ISO 27001 is een internationale norm voor informatiebeveiliging. De norm beschrijft eisen voor een Information Security Management System (ISMS): een gestructureerde aanpak om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te beschermen.

Kort gezegd: ISO 27001 helpt je om informatiebeveiligingsrisico’s systematisch te identificeren, te beheersen en te verminderen.

Met een ISO 27001-certificaat toon je aan dat je bedrijf een werkend ISMS heeft, risico’s actief beheert en continu verbetert op het gebied van informatiebeveiliging.

1.1 De drie pijlers van informatiebeveiliging

ISO 27001 is gebouwd op drie kernprincipes, vaak de CIA-triad genoemd:

Principe Wat het betekent
Vertrouwelijkheid (Confidentiality) Alleen geautoriseerde personen hebben toegang tot informatie
Integriteit (Integrity) Informatie is correct en volledig, niet ongeoorloofd gewijzigd
Beschikbaarheid (Availability) Informatie is toegankelijk wanneer nodig

De kern: het draait om het beschermen van informatie tegen alle soorten bedreigingen, of die nu technisch, menselijk of fysiek zijn.

1.2 Annex A: de 93 beheersmaatregelen

Een belangrijk onderdeel van ISO 27001 is Annex A. Dit is een catalogus van 93 beheersmaatregelen (controls) verdeeld over vier categorieën:

Categorie Aantal controls Voorbeelden
Organisatorisch 37 Beleid, rollen, risicobeheer, leveranciersbeheer
Menselijk 8 Screening, awareness, thuiswerken, geheimhouding
Fysiek 14 Toegangscontrole, beveiligingsmonitoring, apparatuur
Technologisch 34 Authenticatie, encryptie, netwerkbeveiliging, logging

Je hoeft niet alle 93 controls toe te passen. In je Verklaring van Toepasselijkheid (Statement of Applicability) leg je vast welke controls relevant zijn voor jouw organisatie en waarom.

1.3 Huidige versie: ISO 27001:2022

info

De huidige versie is ISO 27001:2022. Deze vervangt de versie uit 2013. Belangrijkste wijzigingen: een compleet herziene Annex A met 93 controls (was 114) en elf nieuwe maatregelen voor onder andere cloud security en threat intelligence.

Transitiedeadline: 31 oktober 2025. Na die datum zijn alle certificaten op basis van de 2013-versie ongeldig.

2. Waarom ISO 27001 certificeren?

Een certificaat is geen doel op zich. Het is een middel. De vraag is: helpt het jouw bedrijf?

2.1 Vijf concrete voordelen

tip
De belangrijkste reden voor de meeste bedrijven: klanten en opdrachtgevers eisen het. ISO 27001 is steeds vaker een harde eis bij aanbestedingen, vooral in IT, finance en zorg.

Naast toegang tot opdrachten zijn er meer voordelen:

  • Betere risicobeheersing — Je identificeert en beheert systematisch informatiebeveiligingsrisico’s. Het aantal incidenten neemt af.
  • Aantoonbare compliance — Voldoe aantoonbaar aan de AVG en bereid je voor op NIS2. Auditors en toezichthouders waarderen een certificaat.
  • Bescherming van reputatie — Een datalek kan je bedrijf jarenlang achtervolgen. Preventie is goedkoper dan herstel.
  • Vertrouwen van klanten — Je laat zien dat je informatiebeveiliging serieus neemt. Vooral bij gevoelige data maakt dit verschil.
  • Fundament voor uitbreiding — ISO 27001 deelt dezelfde structuur met ISO 9001 (kwaliteit) en ISO 22301 (bedrijfscontinuïteit).

2.2 Voor wie is het relevant?

ISO 27001 is relevant voor elke organisatie die informatie verwerkt. Maar sommige sectoren hebben er meer baat bij:

Sector Waarom relevant
IT-dienstverlening Klanten eisen het, verwerken van klantdata
Finance Wettelijke eisen, gevoelige financiële data
Zorg Patiëntgegevens, NEN 7510 als aanvulling
Overheid BIO-normenkader, aanbestedingseisen
E-commerce Klantdata, betalingsgegevens
Leveranciers aan grote bedrijven Ketenverantwoordelijkheid

2.3 Wanneer het misschien niet nodig is

Eerlijk advies: certificering is niet voor iedereen de beste keuze.

Stel jezelf deze vraag: Vragen mijn klanten erom? Verwerk ik gevoelige informatie? Zo nee, weeg dan goed af of de investering het waard is.

Andere situaties waarin je kritisch moet zijn:

  • Eenmanszaken zonder gevoelige klantdata hebben waarschijnlijk niet de ROI
  • Als je alleen een certificaat wilt om het te hebben, zonder de processen echt te verbeteren, heb je er weinig aan
  • Bij zeer kleine organisaties kan de overhead zwaarder wegen dan de voordelen
note
Alternatief voor kleine organisaties: Je kunt ook werken volgens ISO 27001 zonder te certificeren. Je implementeert de aanpak intern, maar slaat de externe audit over. Geen certificaat, wel betere beveiliging.

3. Het ISO 27001 certificeringsproces

Van besluit tot certificaat doorloop je zes stappen. Reken op zes tot achttien maanden, afhankelijk van je startpositie en IT-complexiteit.

3.1 De zes stappen naar certificering

  1. Scope bepalen — Welke delen van je organisatie, systemen en locaties vallen onder het ISMS? Begin eventueel klein en breid later uit.

  2. Risicoanalyse uitvoeren — Identificeer informatiebeveiligingsrisico’s en bepaal welke maatregelen nodig zijn. Dit is het hart van ISO 27001.

  3. ISMS opzetten — Implementeer de beheersmaatregelen, stel beleid op, train medewerkers, en documenteer processen.

  4. Bewijsperiode doorlopen — Werk minimaal drie maanden volgens je ISMS. Auditors willen bewijs dat het systeem in de praktijk werkt.

  5. Interne audit en directiebeoordeling — Controleer zelf of alles werkt en laat de directie het ISMS formeel beoordelen.

  6. Externe audit — De certificeerder voert de audit uit in twee fases. Bij succes ontvang je het certificaat.

3.2 De externe audit: fase een en twee

info

Fase 1 (Stage 1) is een documentatie- en gereedheidscheck. De auditor beoordeelt je ISMS-documentatie, Verklaring van Toepasselijkheid en risicoanalyse. Duurt meestal een tot twee dagen.

Fase 2 (Stage 2) is de praktijkaudit op locatie. De auditor spreekt met medewerkers, controleert processen en verifieert of papier en praktijk overeenkomen. Duurt twee tot vijf dagen.

3.3 Tijdlijn

Jouw situatie Doorlooptijd Audit duur
Al een managementsysteem (bijv. ISO 9001) 5-9 maanden 2-3 dagen
Goede IT-basis, maar nog geen ISMS 6-12 maanden 3-4 dagen
Complexe IT-omgeving of meerdere locaties 12-18 maanden 4-5 dagen

3.4 Wie doet wat?

Partij Rol
Jij Risicoanalyse, ISMS opzetten, interne audits, medewerkers trainen
IT-afdeling Technische maatregelen implementeren, logging, monitoring
Consultant (optioneel) Begeleiding, gap-analyse, templates, training
Certificeerder Audit uitvoeren, certificaat afgeven
Accreditatie-instantie Controleert de certificeerder (RvA, UKAS, etc.)

Goed om te weten: Een consultant is niet verplicht. Veel organisaties met ervaren IT- en compliancemensen doen het zelf.

4. Wat kost ISO 27001?

De kosten variëren sterk. Ze hangen af van je bedrijfsgrootte, IT-complexiteit en of je een consultant inschakelt. ISO 27001 is over het algemeen duurder dan ISO 9001 vanwege de intensievere audit.

Vuistregel voor MKB: Reken op €5.000 - €15.000 in het eerste jaar, daarna €2.000 - €5.000 per jaar.

4.1 Kostenposten overzicht

Kostenpost Indicatie
Certificeringsaudit (jaar 1) €4.000 - €10.000
Surveillance-audit (per jaar) €2.000 - €5.000
Hercertificering (elke drie jaar) €3.500 - €8.000
Consultant (optioneel) €10.000 - €25.000
Tooling/software (optioneel) €1.000 - €5.000 per jaar
Interne uren 150 - 300+ uur

4.2 Prijsindicatie per bedrijfsgrootte

Bedrijfsgrootte Eerste jaar Jaarlijks daarna
Klein (tot 10 fte) €4.000 - €8.000 €2.000 - €3.500
Middelgroot (10-50 fte) €6.000 - €15.000 €3.000 - €6.000
Groot (50-250 fte) €10.000 - €25.000 €5.000 - €10.000
Enterprise (250+ fte) €20.000 - €50.000+ €8.000 - €15.000+

Prijzen indicatief, excl. btw, excl. consultant en interne uren.

4.3 Wat beïnvloedt de prijs?

Vijf factoren bepalen je kosten:

  1. Aantal medewerkers (meer = meer audittijd)
  2. IT-complexiteit (eigen ontwikkeling, cloud, datacenters)
  3. Aantal locaties (elke locatie wordt beoordeeld)
  4. Huidige volwassenheid (vanaf nul is duurder dan optimaliseren)
  5. Keuze certificeerder (prijzen verschillen 20-40%)
tip
Bespaar door te vergelijken. Vraag altijd offertes bij minimaal drie certificeerders. Let niet alleen op prijs, maar ook op sectorervaring en de klik met de auditor. Alle geaccrediteerde certificeerders leveren een geldig certificaat.

5. Voorbereiding op ISO 27001

Goede voorbereiding is het halve werk. De meeste tijd gaat zitten in de risicoanalyse en het opzetten van je ISMS, niet in de audit zelf.

5.1 Wat moet je intern regelen?

note
Eerste stap: Zorg voor commitment van de directie. Informatiebeveiliging is een managementverantwoordelijkheid. Zonder steun van boven wordt certificering een moeizaam traject.

Daarna volgen deze stappen:

  • Projectleider aanwijzen — Iemand met mandaat, IT-kennis en tijd die het trekt
  • Scope bepalen — Welke systemen, processen en locaties vallen onder het ISMS?
  • Risicoanalyse uitvoeren — Identificeer bedreigingen, kwetsbaarheden en risico’s
  • Maatregelen implementeren — Technisch en organisatorisch, gebaseerd op de risicoanalyse
  • Awareness creëren — Medewerkers trainen, phishing-testen, beleid communiceren
  • Bewijsperiode starten — Minimaal drie maanden werken volgens het ISMS
  • Interne audit uitvoeren — Test of alles werkt voordat de certificeerder komt

5.2 Welke documentatie is nodig?

De norm vereist minimaal:

Document Wat het is
Informatiebeveiligingsbeleid Jouw visie en doelstellingen op het gebied van informatiebeveiliging
Scope van het ISMS Welke delen van je organisatie gecertificeerd worden
Risicoanalyse en -behandelplan Geïdentificeerde risico’s en gekozen maatregelen
Verklaring van Toepasselijkheid (SoA) Welke controls je toepast en welke niet, met onderbouwing
Procesbeschrijvingen Hoe je werkt (incidentbeheer, toegangsbeheer, wijzigingsbeheer)
Registraties Bewijs dat je doet wat je zegt (audits, incidenten, trainingen)

Geen dik handboek nodig. Veel organisaties werken met een digitaal systeem of compacte documenten. De vorm is vrij, zolang het actueel en toegankelijk is.

5.3 Drie veelgemaakte fouten

warning
Fout 1: Te technisch focussen. ISO 27001 gaat niet alleen over IT. Organisatorische en menselijke maatregelen zijn minstens zo belangrijk. Denk aan beleid, awareness en leveranciersbeheer.

Fout 2: Papieren tijger

Je documenten moeten kloppen met de praktijk. Als je opschrijft dat je wekelijks logs controleert, moet je dat ook echt doen. Auditors vragen om bewijs.

Fout 3: Te laat starten met de bewijsperiode

Je moet minimaal drie maanden volgens je ISMS hebben gewerkt voordat de externe audit kan plaatsvinden. Plan dit in, anders schuift je certificeringsdatum op.

6. De ISO 27001 audit

De externe audit is het moment van de waarheid. Spannend, maar als je goed voorbereid bent is er weinig om je zorgen over te maken.

6.1 Fase een en twee

De audit bestaat uit twee delen:

Fase 1: Documentatie- en gereedheidscheck (vaak deels op afstand)

De auditor beoordeelt je ISMS-documentatie: beleid, risicoanalyse, Verklaring van Toepasselijkheid. Is alles aanwezig en consistent? Ben je klaar voor de praktijkaudit? Na fase een krijg je feedback en tijd om bij te sturen.

Fase 2: Praktijkaudit (op locatie)

Nu komt de auditor langs. Hij of zij spreekt met medewerkers op alle niveaus, bekijkt systemen en processen, controleert logs en registraties, en verifieert of papier en praktijk overeenkomen.

De kern: De auditor zoekt bewijs dat je ISMS effectief is. Niet alleen dat procedures bestaan, maar dat ze werken en risico’s daadwerkelijk beheersen.

6.2 Mogelijke uitkomsten

Uitkomst Wat gebeurt er?
Certificaat Je voldoet aan de eisen
Kleine afwijkingen Certificaat, maar punten oplossen voor volgende audit
Grote afwijkingen Eerst oplossen, dan heraudit binnen 90 dagen
Niet voldaan Traject opnieuw starten
info
De meeste goed voorbereide organisaties halen het certificaat in een keer. Kleine afwijkingen komen vaak voor en zijn geen ramp — ze wijzen op verbeterpunten.

6.3 Tips voor een vlotte audit

  1. Ken je eigen systeem — Weet waar je documenten staan en hoe je processen werken
  2. Bereid medewerkers voor — Vertel wat ze kunnen verwachten. Ze hoeven de norm niet te kennen, wel hun eigen taken
  3. Wees eerlijk — Probeer niets te verbergen. Auditors waarderen openheid meer dan perfectie
  4. Heb bewijs paraat — Logs, registraties, trainingsrecords. Zorg dat je snel kunt laten zien wat de auditor vraagt
  5. Zie het als kans — Een goede auditor geeft waardevolle feedback. Gebruik het om echt te verbeteren

7. Een ISO 27001 certificeerder kiezen

Er zijn ruim 25 certificeerders actief in Nederland voor ISO 27001. Ze verschillen in prijs, aanpak en specialisatie. Hoe kies je de juiste?

7.1 Vijf criteria om op te letten

Criterium Waarom belangrijk
Accreditatie Niet-geaccrediteerde certificaten worden vaak niet erkend
Sectorervaring Een auditor die IT en security snapt, voegt meer waarde toe
Prijs Verschillen van 20-40% zijn normaal
Service Vaste contactpersoon? Snelle reacties? Flexibiliteit?
Klik met auditor Je werkt minstens drie jaar samen
warning
Let op accreditatie. Kies altijd een geaccrediteerde certificeerder. Niet-geaccrediteerde certificaten worden vaak niet erkend door opdrachtgevers. Accreditatie kan bij de RvA (Nederland), UKAS (UK), DAkkS (Duitsland) of andere IAF-leden zijn — die zijn onderling erkend.

7.2 Wat is accreditatie?

Accreditatie-instanties controleren certificeerders. Ze checken of auditors gekwalificeerd zijn voor ISO 27001, of de certificeerder onafhankelijk werkt, en of de audit correct wordt uitgevoerd.

Elk land heeft een eigen instantie: de RvA in Nederland, UKAS in het Verenigd Koninkrijk, DAkkS in Duitsland. Via het IAF (International Accreditation Forum) erkennen ze elkaars certificaten. Een certificaat van een UKAS-geaccrediteerde certificeerder is dus even geldig als een van een RvA-geaccrediteerde.

7.3 Vragen om te stellen

Voordat je kiest, stel deze vragen aan potentiële certificeerders:

  • Bent u geaccrediteerd voor ISO 27001? Bij welke instantie?
  • Wat is uw ervaring in mijn sector (IT, finance, zorg)?
  • Heeft de auditor ervaring met onze technologie (cloud, development, specifieke systemen)?
  • Wie wordt mijn auditor? Kan ik diegene vooraf spreken?
  • Wat is de doorlooptijd van offerte tot certificaat?
  • Wat zijn de totale kosten voor drie jaar (inclusief surveillance)?
  • Hoe gaat u om met afwijkingen tijdens de audit?

De juiste keuze is niet per se de goedkoopste. Een auditor die jouw IT-omgeving begrijpt en constructieve feedback geeft, is meer waard dan een paar honderd euro besparing.

note

Klaar om te vergelijken? Bekijk ons overzicht van alle certificeerders in Nederland en vind de partij die bij jouw bedrijf past.

Vergelijk certificeerders →

8. Veelgestelde vragen over ISO 27001

Wat kost ISO 27001 certificering?

Voor een MKB-bedrijf (10-50 medewerkers): €5.000 - €15.000 in het eerste jaar, daarna €2.000 - €5.000 per jaar. ISO 27001 is duurder dan ISO 9001 vanwege de intensievere audit en technische component. De exacte prijs hangt af van bedrijfsgrootte, IT-complexiteit en aantal locaties.

Hoe lang duurt certificering?

Met een bestaand managementsysteem (bijv. ISO 9001): vijf tot negen maanden. Vanaf nul: zes tot twaalf maanden. Complexe IT-omgevingen: twaalf tot achttien maanden. De audit zelf duurt twee tot vijf dagen.

Is ISO 27001 verplicht?

Nee, het is vrijwillig. Maar veel opdrachtgevers en sectoren eisen het wel — vooral in IT-dienstverlening, finance, zorg en overheid. Het helpt ook bij compliance met de AVG en NIS2.

Wat verandert er in ISO 27001:2022?

De Annex A is volledig herzien. Waar de oude versie 114 controls in veertien categorieën had, zijn er nu 93 controls in vier categorieën (organisatorisch, menselijk, fysiek, technologisch). Er zijn elf nieuwe controls toegevoegd, onder andere voor threat intelligence, cloud security en data-lekkagepreventie. Transitiedeadline: 31 oktober 2025.

Kan ik het zonder consultant?

Ja. Vooral als je al ervaring hebt met managementsystemen of een sterke IT-afdeling hebt. Een consultant kan versnellen en valkuilen voorkomen, maar is niet verplicht.

Wat is accreditatie?

Accreditatie-instanties (zoals RvA, UKAS, DAkkS) controleren certificeerders. Via het IAF zijn hun certificaten internationaal erkend. Kies altijd een geaccrediteerde certificeerder.

Hoe vaak is een audit na certificering?

Elk jaar een surveillance-audit (controle). Elke drie jaar een volledige hercertificering. Je certificaat is drie jaar geldig, mits je de jaarlijkse audits succesvol doorloopt.

Kan ik overstappen van certificeerder?

Ja, op elk moment. Je nieuwe certificeerder neemt je dossier over en plant een transfer-audit. Je certificaat blijft geldig tijdens de overstap. Veel organisaties stappen over vanwege prijs, service of een betere klik met de auditor.

Wat is het verschil tussen ISO 27001 en NEN 7510?

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Het is gebaseerd op ISO 27001 maar bevat aanvullende eisen specifiek voor de zorgsector. Vaak worden beide normen gecombineerd in een audit.

Meer weten? Lees onze complete gids over NEN 7510 certificering.

Helpt ISO 27001 bij de AVG?

Ja. ISO 27001 helpt aantoonbaar te voldoen aan de eis van “passende technische en organisatorische maatregelen” uit de AVG. Het is geen garantie voor volledige AVG-compliance, maar dekt een groot deel van de beveiligingseisen.

Deze gids wordt regelmatig bijgewerkt. Laatst gecontroleerd: december 2025.

Klaar om certificeerders te vergelijken?

Vind de certificeerder die bij jouw bedrijf past. Onafhankelijk en gratis.

Vergelijk certificeerders