Terug naar kennisbankZonder ISO 27001

Klant vraagt ISO 27001, maar je hebt geen certificaat: wat nu?

Vraagt je klant om ISO 27001, maar heb je geen certificaat? Lees wanneer ISO echt verplicht is en hoe je veilig antwoordt met bewijs en roadmap.

InstantSecureBijgewerktBijgewerkt 8 juli 202612 min
Securitybewijs en roadmap wanneer een klant ISO 27001 vraagt maar er geen certificaat is

Kort antwoord

Krijg je van een klant de vraag om ISO 27001, terwijl je geen certificaat hebt? Antwoord dan niet meteen met “ja”, “nee” of “wij zijn compliant”. Controleer eerst of de klant echt een geldig ISO/IEC 27001-certificaat eist, of vooral wil weten welke maatregelen, bewijsstukken en verbeterpunten je kunt aantonen.

Let op: dit artikel is praktische duiding voor leveranciers. Het is geen juridisch advies, geen auditadvies en geen vervanging van ISO/IEC 27001-certificering.

Laatst gecontroleerd: 8 juli 2026.

Voor wie is dit artikel?

Dit artikel is bedoeld voor MKB-leveranciers die een klantvraag krijgen zoals:

  • “Zijn jullie ISO 27001-gecertificeerd?”
  • “Upload jullie ISO 27001-certificaat.”
  • “Are you ISO 27001 certified or equivalent?”
  • “Describe your information security management system.”
  • “Do you have an ISMS?”
  • “Welke maatregelen hebben jullie ingericht volgens ISO 27001?”
  • “Leg uit waarom jullie geen ISO 27001-certificaat hebben.”

Vooral SaaS-leveranciers, IT-dienstverleners, marketingbureaus, webbouwers, detacheerders, consultancybedrijven en andere B2B-leveranciers krijgen dit soort vragen steeds vaker. Soms via een securityvragenlijst, soms via procurement, soms in een aanbesteding en soms als voorwaarde om leverancier te blijven.

Heb je een concrete vragenlijst ontvangen? Bekijk ook securityvragenlijst van klant invullen.

Eerst dit onderscheid maken

De belangrijkste vraag is niet: “Hebben we ISO 27001 of niet?”

De belangrijkste vraag is:

“Vraagt de klant formeel om een certificaat, of vraagt de klant om aantoonbare beheersing van informatiebeveiliging?”

Dat verschil bepaalt bijna alles.

KlantvraagBetekenisWat kun je doen?
“Upload a valid ISO/IEC 27001 certificate”Waarschijnlijk formele certificaateisControleer scope, geldigheid en of alternatieven toegestaan zijn. Zonder certificaat kun je dit niet vervangen met losse bewijsstukken.
“ISO 27001 certified or equivalent”Mogelijk ruimte voor gelijkwaardige onderbouwingVraag wat de klant onder “equivalent” accepteert en lever maatregelen, bewijs en roadmap aan.
“Do you have an ISMS?”Vaak bewijs van managementsysteem, niet per se certificaatBeschrijf beleid, rollen, risicoaanpak, maatregelen, reviews en verbetercyclus.
“Controls based on ISO 27001”ISO als referentiekaderMap bestaande maatregelen naar gevraagde thema’s en benoem open punten.
“Explain if not certified”Ruimte voor toelichtingLeg eerlijk uit wat wel is ingericht, wat ontbreekt en welke roadmap er is.

Als je klant een harde certificaateis stelt, is een Cybersecurity Bewijsmap geen vervanging van ISO-certificering. Als de klant vooral wil weten welke maatregelen je hebt ingericht, kan een Bewijsmap juist helpen om je bewijs professioneel te ordenen.

Wat is ISO/IEC 27001 eigenlijk?

ISO/IEC 27001 is een internationale norm voor een information security management system, vaak afgekort als ISMS. De norm beschrijft eisen aan het opzetten, onderhouden en verbeteren van een managementsysteem voor informatiebeveiliging. Het gaat dus niet alleen om technische maatregelen zoals MFA of back-ups, maar ook om risico’s, beleid, rollen, procedures, monitoring, audits en verbetering.

Belangrijk: ISO/IEC 27001 is de officiële naam. In klantvragen staat vaak kortweg “ISO 27001”. Dat bedoelt meestal dezelfde norm, maar in formele context is de volledige aanduiding belangrijk.

Een organisatie kan het ISMS laten certificeren door een bevoegde certificerende instelling. InstantSecure is geen certificerende instelling en levert geen ISO/IEC 27001-certificaat. We helpen wel om klantvragen te begrijpen en bewijsstukken veilig te structureren wanneer een klant om informatiebeveiliging vraagt.

Wanneer is ISO 27001 echt hard verplicht?

Soms is er geen ruimte voor interpretatie. Dan moet je serieus nemen dat je zonder certificaat mogelijk niet voldoet aan de klant- of aanbestedingseis.

Let vooral op deze signalen:

FormuleringWaarschijnlijk gewichtActie
“Must hold a valid ISO/IEC 27001 certificate”Harde eisZonder geldig certificaat niet als “ja” beantwoorden. Vraag of alternatieven toegestaan zijn.
“Certificate required before contract award”Knock-out of contractvoorwaardeLaat dit beoordelen voordat je inschrijft of akkoord geeft.
“Provide certificate number and scope”Formele certificaatcontroleAlleen invullen als je echt gecertificeerd bent binnen passende scope.
“ISO 27001 or equivalent controls”Mogelijk ruimteVraag welke vorm van bewijs of gelijkwaardigheid wordt geaccepteerd.
“Describe your information security controls”BewijsverzoekBeschrijf maatregelen, bewijsstukken en roadmap.

Staat de ISO-eis in een aanbesteding? Dan is extra voorzichtigheid nodig. Bekijk ook aanbesteding informatiebeveiliging beoordelen.

Wanneer kun je zonder certificaat toch professioneel antwoorden?

Zonder ISO-certificaat ben je niet automatisch kansloos. Je bent vooral kwetsbaar als je niet kunt uitleggen wat je wél geregeld hebt.

Je kunt vaak professioneel antwoorden als:

  • de klant geen geldig certificaat als harde eis noemt;
  • de vraag onderdeel is van een securityvragenlijst of vendor assessment;
  • er ruimte is voor “equivalent controls”, toelichting of roadmap;
  • de klant vooral bewijs wil van maatregelen zoals MFA, back-ups, incidentprocedure of toegangsbeheer;
  • je eerlijk kunt aangeven welke onderdelen ingericht zijn en welke nog openstaan.

In zo’n situatie draait het om aantoonbaarheid. Je laat zien:

  1. welke maatregelen bestaan;
  2. voor welke scope ze gelden;
  3. welk bewijs je veilig kunt delen;
  4. welke punten nog niet volledig zijn ingericht;
  5. welke roadmap of verbeteractie gepland staat.

Dat is precies de route van zonder ISO 27001 toch security aantonen.

Voorbeelden van veilige antwoorden

Veel leveranciers lopen vast omdat een vragenlijst alleen “Yes / No / N/A” toont. Toch kun je vaak in toelichting of bijlagen nuance toevoegen.

SituatieTe hard antwoordVeiliger antwoord
Je hebt geen certificaat“Yes, we are ISO 27001 compliant.”“We are not ISO/IEC 27001 certified. We have implemented several information security measures and can provide evidence for the requested controls.”
Je hebt beleid, maar geen formeel ISMS“We have a full ISMS.”“We have documented security policies and assigned responsibilities. A formal ISMS structure is part of our improvement roadmap.”
MFA is deels ingericht“MFA is enabled for all users.”“MFA is enabled for administrators and users with access to customer data. Expansion to remaining accounts is planned.”
Back-ups zijn ingericht, maar restore-test is beperkt“Backups are regularly tested.”“Backups are configured. The latest restore validation is being updated and can be added to the evidence set.”
Klant vraagt ISO als referentie“ISO 27001 is not applicable.”“We are not certified, but can map relevant measures to the requested ISO 27001 themes.”

Dit soort formuleringen zijn sterker dan marketingtaal. Ze laten zien dat je zorgvuldig, eerlijk en professioneel antwoordt.

Welke bewijsstukken helpen als je geen ISO-certificaat hebt?

Als de klant geen harde certificaateis stelt, kun je vaak met concrete bewijsstukken laten zien hoe informatiebeveiliging is ingericht.

ThemaMogelijk bewijsLet op
BeleidInformatiebeveiligingsbeleid, toegangsbeleid, incidentprocedureDeel liever een klantversie of samenvatting dan interne detaildocumenten.
Risico’sRisicoregister, maatregeloverzicht, managementsamenvattingGeen gevoelige kwetsbaarheden onnodig delen.
MFA en toegangScreenshot of export van MFA-instellingen, rollenmatrix, rechtenreviewAnonimiseer gebruikers, adminaccounts en tenantdetails.
Back-upsBackupoverzicht, restore-testdatum, herstelprocesDeel geen volledige infrastructuurdetails.
IncidentresponsMeldproces, rolverdeling, contactpad, evaluatieprocesLet op persoonsgegevens en interne escalatiegegevens.
LeveranciersSubverwerkerlijst, leveranciersregister, DPA/SLA-samenvattingDeel alleen relevante contractuele of procesinformatie.
AwarenessTrainingsoverzicht, beleid, deelname op hoofdlijnenGeen individuele scores of personeelsdossiers delen.
RoadmapVerbeterplan, planning, eigenaar per maatregelFormuleer realistisch en niet als harde garantie.

Wil je dit structureel ordenen voor meerdere klanten? Dan is een Cybersecurity Bewijsmap Sprint vaak logischer dan per klant losse screenshots en documenten verzamelen.

Hoe beoordeel je een ISO-vraag stap voor stap?

Gebruik deze volgorde voordat je antwoordt.

Stap 1: controleer de exacte formulering

Kopieer de klantvraag letterlijk. Let op woorden zoals “must”, “required”, “valid certificate”, “equivalent”, “describe”, “explain” en “roadmap”. Eén woord kan het verschil maken tussen een harde eis en een bewijsverzoek.

Stap 2: controleer de context

Staat de vraag in:

  • een vrijblijvende securityvragenlijst;
  • een vendor assessment;
  • een klantportaal;
  • een contractclausule;
  • een aanbesteding;
  • een verlengingsgesprek met bestaande klant?

Een ISO-vraag in een aanbesteding weegt vaak zwaarder dan dezelfde vraag in een algemene leveranciersvragenlijst.

Stap 3: bepaal de scope

Als je wel een certificaat hebt, moet de scope passen. Een certificaat voor één bedrijfsonderdeel zegt niet automatisch iets over al je diensten. Als je geen certificaat hebt, moet je scope ook helder maken: voor welke dienst, omgeving, klantdata of processen gelden je maatregelen?

Stap 4: map vraag naar maatregel en bewijs

Zet niet alleen “ja” of “nee”. Maak per belangrijk thema duidelijk:

  • welke maatregel is ingericht;
  • welk bewijs beschikbaar is;
  • wat nog niet volledig is;
  • welke roadmap er is.

Dit past bij het kernmodel van InstantSecure: eis → maatregel → bewijs → roadmap.

Stap 5: laat risicovolle antwoorden reviewen

Laat vooral ISO-, NIS2-, audit-, aansprakelijkheids- en contractvragen beoordelen voordat je indient. Een te harde claim kan later tegen je werken bij incidenten, audits of contractdiscussies.

Bij twijfel kun je een klantvraag laten beoordelen.

Wat als de klant “ISO 27001 or equivalent” vraagt?

“Or equivalent” is belangrijk. Het kan ruimte geven, maar het betekent niet dat elk document automatisch wordt geaccepteerd.

Vraag de klant bijvoorbeeld:

  • Welke alternatieve bewijsstukken accepteert u?
  • Gaat het om een certificaat, normenkader, control mapping of maatregelbewijs?
  • Moet het bewijs door een derde partij zijn beoordeeld?
  • Geldt de eis voor de hele organisatie of alleen voor de geleverde dienst?
  • Is een roadmap voor open punten acceptabel?

Als de klant alternatieve onderbouwing accepteert, kun je werken met een combinatie van beleid, maatregelen, bewijsstukken en roadmap. Als de klant alleen een geldig certificaat accepteert, moet je dat niet proberen te vervangen met een Bewijsmap.

ISO-vraag door NIS2 of Cbw-klantdruk

Door NIS2 en de Nederlandse Cyberbeveiligingswet kijken sommige organisaties kritischer naar leveranciers. Dat betekent niet automatisch dat elke leverancier zelf rechtstreeks onder de wet valt. Het kan ook zijn dat een klant zijn eigen ketenrisico’s wil beheersen en daarom om ISO 27001, beleid, bewijsstukken of leveranciersafspraken vraagt.

De NCSC schrijft dat Cbw-organisaties eisen kunnen stellen aan de digitale veiligheid van toeleveranciers en dat certificaten nuttig kunnen zijn, maar geen garantie bieden en niet door de Cbw worden voorgeschreven.

Krijg je ISO-, NIS2- of Cbw-vragen van een klant? Bekijk ook NIS2-vragen van klanten: wat betekent dit voor leveranciers?.

Wat moet je niet claimen?

Vermijd vooral deze formuleringen als je ze niet hard kunt onderbouwen:

Niet zeggenWaarom riskantVeiliger alternatief
“Wij zijn ISO 27001-gecertificeerd”Alleen waar als je een geldig certificaat hebt.“Wij zijn niet ISO/IEC 27001-gecertificeerd, maar kunnen relevante maatregelen aantonen.”
“Wij zijn ISO-compliant”Vaag en mogelijk te breed.“Wij hebben maatregelen ingericht op de gevraagde thema’s en kunnen bewijs delen.”
“Onze Bewijsmap vervangt ISO”Onjuist bij formele certificaateis.“Een Bewijsmap helpt bij aantoonbaar bewijs, maar vervangt geen verplicht certificaat.”
“Alles is op orde”Te absoluut.“Deze maatregelen zijn ingericht; deze punten staan op de roadmap.”
“NIS2 is niet van toepassing, dus we hoeven niets aan te leveren”Klant kan alsnog ketenbewijs vragen.“Wij beoordelen graag welke klantvraag of bewijsstukken op deze relatie van toepassing zijn.”

Praktische checklist vóór je antwoordt

Gebruik deze checklist voordat je de ISO-vraag terugstuurt:

  • Staat er letterlijk dat een geldig ISO/IEC 27001-certificaat verplicht is?
  • Wordt om certificaatnummer, scope of certificerende instelling gevraagd?
  • Staat er “or equivalent” of ruimte voor toelichting?
  • Is de vraag onderdeel van een aanbesteding, contract of vendor assessment?
  • Weet je voor welke dienst of scope de vraag geldt?
  • Kun je elk “ja”-antwoord onderbouwen met bewijs?
  • Zijn open punten eerlijk benoemd?
  • Is duidelijk wat op de roadmap staat?
  • Zijn bewijsstukken geanonimiseerd waar nodig?
  • Is het antwoord intern akkoord door iemand met verantwoordelijkheid?

Wanneer InstantSecure helpt

InstantSecure helpt MKB-leveranciers die een klantvraag over ISO 27001, securitybewijs, NIS2/Cbw, vendor assessments of aanbestedingen krijgen.

We kijken praktisch naar:

  • wat de klant precies vraagt;
  • of ISO-certificering echt verplicht lijkt;
  • welke maatregelen je al kunt aantonen;
  • welke bewijsstukken veilig gedeeld kunnen worden;
  • welke formulering niet overclaimt;
  • welke open punten op een roadmap horen.

We leveren geen ISO-certificering, auditverklaring of garantie op klantacceptatie. We helpen je wel om professioneel te antwoorden met eis, maatregel, bewijs en roadmap.

Volgende stap: laat je ISO-vraag beoordelen.
Wil je eerst de dienst bekijken? Ga naar zonder ISO 27001 toch security aantonen.

Veelgestelde vragen

Kan ik zonder ISO 27001-certificaat toch klant worden of blijven?

Soms wel, soms niet. Als de klant een geldig certificaat als harde eis stelt, kun je dat niet vervangen met losse documenten. Als de klant vooral wil weten welke maatregelen je hebt ingericht, kun je vaak wel bewijsstukken, toelichting en een roadmap delen.

Vervangt een Bewijsmap ISO 27001?

Nee. Een Cybersecurity Bewijsmap vervangt geen formeel verplicht ISO/IEC 27001-certificaat. De Bewijsmap helpt om maatregelen, bewijsstukken en open punten overzichtelijk te maken wanneer de klant om aantoonbare beheersing vraagt.

Wat betekent “ISO 27001 or equivalent”?

Dat kan betekenen dat de klant alternatieve onderbouwing accepteert, zoals control mapping, beleid, bewijsstukken of een ander normenkader. Vraag altijd wat de klant precies als gelijkwaardig bewijs accepteert.

Mag ik zeggen dat wij ISO 27001-compliant zijn?

Wees voorzichtig. Zonder certificaat, formele scope en onderbouwing is “ISO 27001-compliant” vaak te breed. Beter is om concreet te benoemen welke maatregelen zijn ingericht en welk bewijs beschikbaar is.

Wat als de ISO-vraag in een aanbesteding staat?

Dan moet je extra voorzichtig zijn. In aanbestedingen kan ISO 27001 een knock-outcriterium, gunningswens of contracteis zijn. Laat de tekst beoordelen voordat je aanneemt dat bewijs of toelichting voldoende is.

Bronnen en actuele informatie

Veelgestelde vragen

Soms wel, soms niet. Als de klant een geldig certificaat als harde eis stelt, kun je dat niet vervangen met losse documenten. Als de klant vooral wil weten welke maatregelen je hebt ingericht, kun je vaak wel bewijsstukken, toelichting en een roadmap delen.

Verder lezen

Gerelateerde gidsen