Harde certificaateis
De klant vraagt expliciet om een geldig ISO 27001-certificaat. Dan kun je dat niet vervangen met een Bewijsmap.
Wij helpen bepalen of ISO 27001 echt verplicht is, wat je wél kunt aantonen en hoe je eerlijk reageert richting klant — met maatregelen, bewijs en een roadmap waar dat past.
Voor MKB-leveranciers met klantvragen over ISO 27001, NIS2, SC10/SC20, vendor assessments, aanbestedingen of cyberverzekering.
Een Bewijsmap vervangt geen verplicht ISO 27001-certificaat. Wel helpt het om maatregelen, bewijs en open punten professioneel te tonen wanneer aantoonbare beheersing wordt gevraagd.
Eerste Beoordeling vanaf €750
Een klant vraagt ineens om ISO 27001. Of er staat in een vragenlijst, aanbesteding of contract dat je informatiebeveiliging aantoonbaar moet hebben geregeld.
Geen ISO 27001 hebben is niet automatisch het probleem. Het probleem ontstaat pas als je niet kunt uitleggen wat je wél geregeld hebt, wat je kunt aantonen en wat nog openstaat.
Nee, niet altijd. Als een klant of aanbesteding een geldig ISO 27001-certificaat binnen een specifieke scope verplicht stelt, kun je dat niet vervangen met losse documenten of een Bewijsmap.
Maar als de vraag vooral draait om aantoonbare maatregelen, informatiebeveiligingsbeleid, MFA, back-ups, incidenten, leveranciersbeheer of een securityvragenlijst, dan kun je vaak professioneel laten zien wat je wél geregeld hebt.
De eerste vraag is dus niet: “Hebben we ISO?” De eerste vraag is: “Wat vraagt de klant precies, en welk bewijs accepteert hij?”
Deze situatie wordt ook gezocht als ISO 27001 alternatief, ISO 27001 light, security aantonen zonder ISO 27001, informatiebeveiliging aantonen zonder certificering of klant vraagt ISO 27001 maar wij zijn niet gecertificeerd.
Niet elke verwijzing naar ISO 27001 betekent hetzelfde. Soms is het een harde eis. Soms gebruikt de klant ISO als shorthand voor volwassen informatiebeveiliging.
De klant vraagt expliciet om een geldig ISO 27001-certificaat. Dan kun je dat niet vervangen met een Bewijsmap.
Soms is niet alleen het certificaat belangrijk, maar ook of jouw dienst, locatie of proces binnen de scope van het certificaat valt.
Soms noemt de klant ISO 27001 als voorbeeld, maar accepteert hij ook gelijkwaardige onderbouwing of aantoonbare maatregelen.
Vaak vraagt de klant niet letterlijk om certificering, maar om bewijs van maatregelen zoals MFA, back-ups, incidentmanagement en leveranciersbeheer.
Bij aanbestedingen moet je extra voorzichtig zijn. Daar kan ISO 27001 een knock-out eis, gunningscriterium of contracteis zijn.
Veel verwarring ontstaat doordat deze woorden door elkaar worden gebruikt. Voor je antwoordt, moet je weten waar je klant eigenlijk om vraagt.
Een formeel certificaat van een onafhankelijke certificerende partij, binnen een bepaalde scope.
Een referentiekader voor een managementsysteem voor informatiebeveiliging. Je kunt ermee werken zonder direct gecertificeerd te zijn.
Concrete maatregelen zoals MFA, back-ups, logging, beleid, incidentprocedure, toegangsbeheer en leveranciersbeheer.
Documenten, screenshots, exports, procedures of verslagen waarmee je laat zien dat maatregelen bestaan of worden opgevolgd.
Een certificaat is sterker dan losse bewijsstukken als het expliciet verplicht is. Maar bij veel klantvragen gaat het eerst om aantoonbaarheid: wat heb je geregeld en kun je dat laten zien?
Een Bewijsmap is vooral nuttig als de klant wil zien welke maatregelen je hebt genomen en welk bewijs daarbij hoort.
Bijvoorbeeld over MFA, back-ups, beleid, incidenten, leveranciers of awareness.
Een Bewijsmap helpt antwoorden en bewijsstukken consistent op te bouwen.
Dan moet je laten zien wat er wél geregeld is en waar je grenzen liggen.
Niet alles hoeft direct perfect te zijn, maar open punten moeten realistisch worden benoemd.
Dan wil je niet elke keer opnieuw zoeken naar beleid, screenshots en antwoorden.
Een Bewijsmap kan helpen structuur aan te brengen, zonder te doen alsof het al een ISO-traject is.
Meer over de Bewijsmap? Bekijk Cybersecurity Bewijsmap. Alleen één vragenlijst? Securityvragenlijst Hulp.
Soms is een Bewijsmap niet genoeg. Dan moet je eerlijk zijn en niet proberen een certificaat te vervangen met losse documenten.
Bij aanbestedingen of harde selectie-eisen kan het ontbreken van een certificaat betekenen dat je niet verder komt.
Als certificering letterlijk verplicht is, moet je dat niet presenteren alsof bewijs hetzelfde is.
Als de scope exact benoemd is, moet je certificaat daarop aansluiten.
Als een audit, assurance of certificering vereist is, moet dat via de juiste onafhankelijke partij.
Als certificering strategisch nodig is, hoort daar een apart ISO 27001-traject bij.
InstantSecure helpt je herkennen wanneer bewijs voldoende kan zijn en wanneer formele certificering waarschijnlijk nodig is. Bij aanbestedingseisen is extra voorzichtigheid vaak nodig.
De grootste fout is niet dat je geen ISO-certificaat hebt. De grootste fout is doen alsof je iets hebt wat je niet kunt aantonen.
Dat klinkt alsof je gecertificeerd of formeel getoetst bent, terwijl dat meestal niet klopt.
Een Bewijsmap kan aantoonbaarheid verbeteren, maar vervangt geen verplicht certificaat.
Een los beleidsdocument zonder uitvoering, eigenaar of bewijs is meestal zwak.
Als je iets nog niet kunt aantonen, is een eerlijk antwoord met roadmap vaak sterker.
Technische input is belangrijk, maar jij verklaart richting klant hoe je organisatie werkt.
ISO-vragen raken vaak directie, IT, privacy, operations en contracten. Verzamel input op tijd.
We kijken eerst wat de klant precies vraagt. Daarna bepalen we wat je veilig kunt aantonen, waar je voorzichtig moet formuleren en wat beter als verbeterpunt op de roadmap komt.
We bekijken of het gaat om een harde certificaateis, voorkeur, vragenlijst, vendor assessment of aanbestedingseis.
We maken onderscheid tussen certificaat, norm, scope, maatregelen en bewijs.
We kijken wat al aanwezig is, zoals MFA, back-ups, incidentprocedure, beleid, leveranciersregister of awareness.
Per klantvraag bepalen we welk bewijs bruikbaar is en wat nog ontbreekt.
We helpen een eerlijk antwoord maken dat niet meer belooft dan je kunt aantonen.
Open punten worden vertaald naar realistische vervolgstappen.
De uitkomst wordt herbruikbaar voor volgende klantvragen, assessments of aanbestedingen.
Niet elke ISO-vraag vraagt om hetzelfde antwoord. Daarom kijken we eerst naar de formulering.
Als de klant letterlijk een geldig certificaat eist, kun je dat niet vervangen. Dan kun je alleen eerlijk aangeven dat je niet gecertificeerd bent, eventueel met alternatieve bewijsstukken als de klant die accepteert.
Mogelijke actie: Check of gelijkwaardig bewijs of roadmap wordt geaccepteerd.
Hier kan ruimte zijn om aantoonbare maatregelen, beleid, procedures en bewijsstukken te tonen. Dan is een Bewijsmap juist waardevol.
Mogelijke actie: Maak zichtbaar welke maatregelen aanwezig zijn en welk bewijs erbij hoort.
Dit vraagt vaak niet direct om certificering, maar om uitleg hoe je informatiebeveiliging organiseert.
Mogelijke actie: Formuleer eerlijk wat je geregeld hebt en waar je nog aan werkt.
Het juiste antwoord hangt af van de exacte tekst van de klantvraag. Eén woord zoals “moet”, “bij voorkeur”, “of gelijkwaardig” of “aantoonbaar” kan veel verschil maken.
Als ISO 27001 niet hard verplicht is, kun je vaak alsnog laten zien welke basismaatregelen aanwezig zijn.
Kort informatiebeveiligingsbeleid, rolverdeling en directiebesluit.
Screenshots, exports of procedures voor MFA, rechtenbeheer en uitdiensttreding.
Back-upbeleid, restore-testverslag of beschrijving van herstelmaatregelen.
Procedure met contactpersonen, escalatie en melding richting klant.
Overzicht van kritieke leveranciers, cloudpartijen en gemaakte afspraken.
Bewijs van security-instructies, training of phishingoefeningen.
Beschrijving van logging, alerting en opvolging.
Overzicht van verbeterpunten, prioriteit, eigenaar en planning.
Bewijs hoeft niet altijd zwaar te zijn. Het moet vooral passen bij de vraag, het risico en wat je organisatie echt doet.
Voor leveranciers die een klantvraag, vragenlijst, aanbestedingseis of contractclausule krijgen waarin ISO 27001 of aantoonbare informatiebeveiliging wordt genoemd. Een ISO-vraag, contractclausule of aanbestedingseis beoordelen valt onder de Eerste Beoordeling klantvraag.
Vanaf €750 excl. btw
Soms is één scherpe beoordeling genoeg. Als er meer nodig is, zoals hulp bij een volledige vragenlijst of Bewijsmap Sprint, zeggen we dat vooraf.
Bij grote vragenlijsten, aanbestedingen, vendor assessments of korte deadlines kan de scope groter worden.
Veel leveranciers beantwoorden ISO-vragen steeds opnieuw. Dat kost tijd en vergroot de kans op tegenstrijdige antwoorden. Wij gebruiken zo'n klantvraag als startpunt voor een herbruikbare Bewijsmap.
Veelgebruikte antwoorden bewaar je op één plek, afgestemd op je echte maatregelen.
Je ziet per eis of klantvraag welk bewijsstuk erbij hoort en waar het staat.
Openstaande punten krijgen prioriteit, eigenaar en vervolgstap.
Niet alles intern hoeft één-op-één naar je klant. We helpen bepalen wat je deelt, samenvat of intern houdt.
Wil je dit niet alleen voor één ISO-vraag, maar structureel opbouwen? Bekijk Cybersecurity Bewijsmap.
Voor leveranciers die geen ISO 27001-certificaat hebben, maar wel serieus willen reageren op klantvragen over security en informatiebeveiliging.
Voor partijen die software, cloud, beheer, support of toegang tot klantomgevingen leveren.
Voor dienstverleners die persoonsgegevens of klantprocessen verwerken.
Voor leveranciers die werken met zorgdata, applicaties of ondersteunende processen.
Voor organisaties die ISO-, BIO-, ICO- of informatiebeveiligingseisen tegenkomen in aanbestedingen of contracten.
Voor leveranciers die door grote klanten of contractverlengingen securitybewijs moeten tonen.
Meer sectoren? Bekijk voor wie. Overzicht van diensten? Bekijk diensten.
Deze hulp is bedoeld om ISO-vragen en aantoonbaarheid scherp te krijgen. Niet als vervanging van certificering of audit.
Wij certificeren niet en vervangen geen certificerende instelling.
Wij geven geen onafhankelijk oordeel of assurance-verklaring.
Bij aanbestedingen helpen we de security-inhoud duiden, maar geven geen juridisch eindoordeel.
We helpen je onderbouwen wat er is, wat ontbreekt en wat de volgende stap is.
Een ISO-vraag raakt vaak sales, directie, IT, privacy en operations tegelijk. Wij helpen de vertaalslag maken tussen klantvraag, technische werkelijkheid en een antwoord dat klopt.
We helpen uitleggen wat geregeld is, wat gedeeltelijk geregeld is en wat nog verbeterd moet worden.
Een antwoord wordt sterker als er een document, screenshot, export of procedure achter zit.
We doen niet alsof een Bewijsmap hetzelfde is als ISO-certificering.
Niet elk bedrijf heeft een volwassen ISMS. We kijken wat passend, eerlijk en verdedigbaar is.
Wat we nu uitzoeken, gebruik je later opnieuw bij andere klantvragen.
Ja, soms wel. Als de klant vooral wil zien welke maatregelen en bewijsstukken je hebt, kan dat zonder certificaat. Als een geldig ISO 27001-certificaat verplicht is, kun je dat niet vervangen.
Nee. Een Bewijsmap vervangt geen ISO 27001-certificering. Het helpt wel om bestaande maatregelen, bewijsstukken en verbeterpunten duidelijk te tonen.
Dan moet je dat serieus nemen. We kijken of het echt een harde certificaateis is, of dat er ruimte is voor gelijkwaardig bewijs of een roadmap.
Dat kan betekenen dat de klant ook andere vormen van aantoonbare beheersing accepteert. De exacte ruimte hangt af van de klantvraag of aanbestedingstekst.
Ja. We helpen met analyse, conceptantwoord, bewijsstukken en open punten. De organisatie blijft zelf verantwoordelijk voor het definitieve antwoord.
Nee. We geven geen juridisch oordeel over contracten of aanbestedingen. We helpen de security-inhoud en aantoonbaarheid scherp te krijgen.
Dat hangt af van je klanten, sector, risico's en commerciële doelen. Soms is een Bewijsmap genoeg als eerste stap. Soms is certificering strategisch nodig.
Een Eerste Beoordeling klantvraag start vanaf €750 excl. btw. Bij grotere vragenlijsten, aanbestedingen of vendor assessments maken we vooraf duidelijk of de scope groter wordt.
Veel klanten starten met één concrete vraag. Deze pagina's helpen je sneller de juiste aanpak te kiezen.
Eén concrete vragenlijst invullen met veilige antwoorden en bewijs.
Securityvragenlijst invullenSecurity-eisen in tender beoordelen, bewijs koppelen, verdedigbaar formuleren.
Aanbesteding informatiebeveiligingBewijs hergebruiken voor meerdere klanten en ketenvragen.
Cybersecurity BewijsmapKlant beoordeelt jullie als leverancier — antwoorden en herbruikbaar klantbewijs.
Vendor assessment hulpKennisbank
Praktische uitleg bij klantvragen, bewijsstukken en veilige formuleringen.
Zonder ISO 27001Vraagt je klant om ISO 27001, maar heb je geen certificaat? Lees wanneer ISO echt verplicht is en hoe je veilig antwoordt met bewijs en roadmap.
Bewijsmap en bewijsstukkenVoorbeelden van bewijsstukken voor MFA, back-ups, incidentrespons, toegangsbeheer, logging, leveranciers en roadmap.
SecurityvragenlijstSoms is ja te hard en nee te zwak. Lees hoe je gedeeltelijk ingerichte securitymaatregelen veilig toelicht met bewijs en roadmap.
Stuur de klantvraag, vragenlijst of aanbestedingseis door. We kijken of ISO echt verplicht lijkt, welk bewijs je wél kunt tonen en waar je voorzichtig moet formuleren.
Geen verplicht traject. Eerst scherp krijgen wat de klant precies vraagt.