Naar inhoud

Wat is ISO 27001 en heb je het nodig?

ISO 27001 komt langs in aanbestedingen, in contracten en in de vragenlijsten van grote opdrachtgevers. Maar wat is het nu precies, en heb jij het echt nodig? Hier lees je in gewone taal wat de norm inhoudt, wanneer die loont en hoe je slim begint.

Informatiebeveiliging volgens ISO 27001
Aantoonbaar veilig
WatISO 27001 is de internationale norm voor informatiebeveiliging. Hij beschrijft hoe je je beveiliging structureel regelt en aantoonbaar op orde houdt.
Voor wieBedrijven die willen laten zien dat ze het serieus nemen, vaak omdat een opdrachtgever of aanbesteding erom vraagt.
Eerste stapBreng je basisbeveiliging op orde en kijk of een volledig certificaat echt nodig is of dat aantoonbaar werken al genoeg is.

Gepubliceerd op 14 juli 2026 door het team van CloudDock.

Wat is ISO 27001?

ISO 27001 is de internationale norm voor informatiebeveiliging. Hij beschrijft niet welk product je moet kopen, maar hoe je als bedrijf grip houdt op de veiligheid van je gegevens. De kern is een ISMS, wat staat voor Information Security Management System. Dat klinkt zwaar, maar in gewone taal is het gewoon een vaste manier van werken: je bepaalt welke risico's je loopt, je neemt maatregelen, je legt vast wie waarvoor verantwoordelijk is en je controleert regelmatig of het nog klopt.

Het draait om drie dingen die je met je informatie wilt beschermen:

  • Vertrouwelijkheid: alleen wie het nodig heeft, kan bij de gegevens.
  • Integriteit: je gegevens kloppen en zijn niet ongemerkt aangepast.
  • Beschikbaarheid: je kunt erbij wanneer je het nodig hebt.

Een certificaat betekent dat een onafhankelijke partij heeft gecontroleerd dat je dit systeem echt gebruikt. Het is dus geen eenmalige actie, maar een manier van werken die je jaar na jaar volhoudt.

Van losse maatregelen naar één aanpak die je kunt aantonen.

Aantoonbaar veilig

Wanneer loont ISO 27001?

Niet elk bedrijf heeft een certificaat nodig. Het loont vooral als anderen erom vragen of als je met gevoelige gegevens werkt. In de praktijk zien we het vaak terugkomen bij:

  • Opdrachtgevers die eisen dat hun leveranciers aantoonbaar veilig werken.
  • Aanbestedingen waarin een certificaat punten oplevert of gewoon verplicht is.
  • Werk met veel klantgegevens, waar een lek meteen vertrouwen kost.

Zit je in die situatie, dan is een certificaat geen papieren verplichting maar een streepje voor. Je hoeft bij een vragenlijst niet meer te zweten en je laat in één keer zien dat je het serieus neemt. Zit je er niet in, dan hoef je niet meteen het volledige traject in. Vaak is aantoonbaar volgens de norm werken al genoeg om opdrachtgevers gerust te stellen.

Beveiliging op orde brengen Streepje voor

Het verschil met NIS2, en hoe je begint

ISO 27001 en NIS2 worden vaak in één adem genoemd, maar ze zijn niet hetzelfde. NIS2 is een wet: hij verplicht bepaalde bedrijven hun beveiliging op orde te hebben en incidenten te melden. ISO 27001 is een norm die je vrijwillig kiest om aan te tonen dat je het goed geregeld hebt. Ze bijten elkaar niet. Sterker nog, wie volgens ISO 27001 werkt, heeft de basis voor de NIS2-eisen al grotendeels op orde. Wil je weten of NIS2 voor jou geldt, lees dan eerst dat artikel.

Beginnen doe je niet met het certificaat, maar met de basis. Die is voor bijna elk bedrijf hetzelfde:

  • MFA aan op alle accounts, te beginnen bij e-mail.
  • Backups die je ook echt kunt terugzetten.
  • Updates en beheer die bijgehouden worden.
  • Overzicht van wie bij welke gegevens kan.
  • Duidelijke afspraken voor als er een incident is.

Daarna kijk je pas of het volledige certificaat de moeite waard is. Omdat beveiliging bij ons standaard in het beheer zit, ligt die basis er bij onze klanten meestal al. We kijken graag nuchter met je mee wat in jouw geval echt nodig is, zonder je meteen een dik traject in te praten.

Veelgestelde vragen over ISO 27001

Is ISO 27001 verplicht?

Nee, de norm is niet wettelijk verplicht. Wat wel gebeurt, is dat opdrachtgevers en aanbestedingen er steeds vaker om vragen. Voor hen is het een verplichting, en zo wordt het via de keten ook voor jou belangrijk.

Wat is het verschil tussen ISO 27001 en NIS2?

NIS2 is een wet die bepaalde bedrijven verplicht hun beveiliging op orde te hebben. ISO 27001 is een norm die je zelf kiest om aan te tonen dat je het goed geregeld hebt. Wie volgens de norm werkt, heeft de basis voor NIS2 al grotendeels klaar.

Hoeveel werk is een certificaat?

Dat hangt af van hoe je nu werkt. Ligt de basis er al, dan gaat het vooral om vastleggen en aantonen. Ligt die er nog niet, dan begin je daar. Wij brengen eerst nuchter in kaart waar je staat, zodat je niet meer doet dan nodig is.

Weten of ISO 27001 iets voor jou is?

Geen verplicht verhaal, gewoon een nuchtere check door een vast team uit Elspeet. Je weet daarna precies wat wel en niet nodig is.