Direct naar inhoud
Vragenlijstklaar
Hoe het werkt Prijs Veelgestelde vragen
Gratis triage

Je klant vraagt om ISO 27001 - moet je nu gecertificeerd zijn?

Het staat in steeds meer inkoopvoorwaarden en leveranciersvragenlijsten: "Is uw organisatie ISO 27001-gecertificeerd?" Voor veel mkb-leveranciers voelt dat als een dichte deur - certificeren is een traject van maanden en een investering van vele duizenden euro's. Het goede nieuws: die deur is meestal minder dicht dan hij lijkt.

Wat je klant écht nodig heeft

ISO 27001 is een norm voor informatiebeveiligingsbeheer. Jouw klant gebruikt de vraag ernaar als een snelle toets: heeft deze leverancier zijn beveiliging aantoonbaar op orde? Een certificaat beantwoordt die vraag in één keer - maar het is zelden de enige geaccepteerde route. In de praktijk accepteren de meeste klanten ook een goed ingevulde en onderbouwde beveiligingsvragenlijst: per vraag een eerlijk antwoord met verwijzing naar je eigen beleid, instellingen en afspraken.

Vandaar dat de certificeringsvraag vrijwel nooit alleen komt: hij is meestal onderdeel van een bredere vragenlijst. En "nee" op de certificeringsvraag betekent níet dat de rest van de lijst er niet meer toe doet - integendeel, juist dan doen je andere antwoorden het werk.

Je opties als het antwoord "nee" is

  • Antwoord eerlijk en vul aan. "Nee, wij zijn niet gecertificeerd. Wel hebben wij [beleid, maatregelen, afspraken] - zie de onderbouwing per vraag hieronder." Dit is doorgaans het sterkste antwoord.
  • Verwijs naar wat je wél hebt. Werk je met gecertificeerde onderaannemers of hosting (bijvoorbeeld een ISO 27001-gecertificeerd datacenter)? Benoem dat precies - en claim de certificering van je leverancier nooit als die van jezelf.
  • Overweeg certificering als businessbeslissing, niet als paniekreactie. Vragen meerdere grote klanten erom en groei je in die markt? Dan kan certificeren op termijn lonen. Maar laat één vragenlijst je niet een traject van maanden in duwen dat voor deze deal niet nodig is.

Waar je op moet letten bij het invullen

ISO-gebaseerde vragenlijsten volgen vaak de thema's van de norm: beleid, risicobeheer, toegangsbeveiliging, fysieke beveiliging, incidenten, continuïteit en leveranciersbeheer. De valkuilen zijn dezelfde als bij elke beveiligingsvragenlijst: overclaimen, gaten verstoppen en antwoorden zonder bewijs. Eén bijzonderheid verdient nadruk: zeg nooit "ja" op de certificeringsvraag als het niet zo is - ook niet "bijna" of "wij werken volgens ISO 27001" zonder onderbouwing. Dat is het eerste wat een beoordelaar controleert, in openbare registers nog wel.

Vragenlijst binnen en geen tijd?

Mail 'm naar ons voor een gratis triage: de vijf lastigste vragen, één uitgewerkt voorbeeldantwoord en een eerlijke inschatting - ook van hoe je er zonder certificaat sterk uitkomt. Invullen kost daarna €295 excl. btw, klaar binnen 2 werkdagen na een complete intake. Voor de volledigheid: wij zijn geen certificerende instantie en geven geen juridisch advies; wij leveren onderbouwde antwoorden en jij controleert, blijft eigenaar en dient zelf in.

Mail je vragenlijst - gratis triage

← Terug naar de startpagina

Vragenlijstklaar

Algemene voorwaarden & disclaimer [email protected]

© 2026 Vragenlijstklaar · vragenlijstklaar.nl