Succesvolle ISO 27001 en NEN 7510 certificeringen: tips

Steeds meer organisaties willen met een certificering aantonen dat ze informatiebeveiliging op orde hebben. Wij helpen daar graag bij, soms alleen met training of kennis, andere keren met audits, begeleiding of zelfs een interim CISO-rol. We zijn blij dat we dit jaar meer dan 15 organisaties hebben mogen helpen, ook voor ons was dit heel leerzaam.

Nieuwe ontwikkelingen in 2025

De cybersecurity-wereld staat helaas niet stil. Er zijn steeds meer dreigingen in de samenleving, steeds hogere verwachtingen van gebruikers en ook nieuwe wetgeving. Het is voor security officers daardoor uitdagend om het beleid goed bij te houden. Daarnaast zijn er vaak ook nog veranderingen in de organisatie waardoor er blijvend moet worden getraind, gecontroleerd en geregeerd. De volgende veranderingen kwamen bij meerdere audits voor:

• Zorgen voor continue training. Eén jaarlijkse live-training voor iedereen is niet de beste manier om te zorgen voor voldoende bewustwording rond informatiebeveiliging. Bij veel organisaties zien we daarom dat ze digitale leerplatformen gebruiken om iedereen.
• Opstellen van AI-beleid en voldoen aan AI Act. Een eenvoudige AI policy die mensen vertelt wat ze wel en niet mogen is belangrijk om te hebben. Ook is het skim als CISO om rond te vragen welke AI-services mensen al gebruiken, want veel medewerkers gebruiken al AI.
• Opnemen van klimaatverandering in de contextanalyse. Het is vanuit de ISO verplicht om in informatiebeveiligingsbeleid ook nagedacht te hebben over klimaatverandering. We gaan hier praktisch mee om en kijken of organisaties iets kunnen doen aan minimaliseren vliegrijzen, energie-gebruik van IT of voorbereid zijn op problemen door extreem weer.
• Beter gebruiken van al aanwezige  tools en software. Veel bedrijven hebben al software voor mobile device management (bijv InTune), logging en monitoring (AWS cloudwatch, Azure monitoring), webfiltering en data loss prevention. Door deze software goed in te stellen met bijvoorbeeld alerts en extra regels kun je zonder veel moeite veel technische controls makkelijk regelen.
• Maken van crisismanagementplannen vanwege NIS2/CBW. Veel organisaties zijn actief in kritieke sectoren en moeten dus een goed plan hebben voor grote calamiteiten, en ook een bestuurstraining. Wij bieden een korte NIS2/CBW training die een goed begin is.
• Verbeteren van security-testbeleid. Je kunt een jaarlijkse PEN-test doen, maar er zijn ook modernere continu alternatieven zoals OpenKAT of platformen voor continue testen zoals HackerOne.

Gecertificeerde organisaties

In 2025 zijn we betrokken geweest bij de volgende organisaties, die ook succesvol zijn geaudit.

• Axinom (technologiebedrijf, hercertificering)
• Boncode (hercertificering en transitie naar nieuwe versie ISO 27001:2022)
• Dehora (workforce management, hercertificering)
• Hienfeld (verzekeraar, hercertificering)
• Ipse de Bruggen (zorgorganisatie, hercertificering)
• Maas-SE (software-bedrijf, hercertificering)
• Meetingselect (technologiebedrijf,hercertificering)
• Moveshelf (leverancier aan zorgsector, hercertificering)
• Populytics (technologiebedrijf, certificering door ons tegen de open standaard Security Verified)
• Purple Polar Bear (technologiebedrijf, certificering door ons tegen de open standaard Security Verified)
• SWOV (onderzoeksorganisatie, hercertificering)
• Solutions 4 Delivery (technologiebedrijf, hercertificering)
• Thebe (zorgorganisatie, eerste certificering)
• SOWISO (technologiebedrijf voor onderwijssector, hercertificering)
• Straatcontact (hercertificering en transitie naar nieuwe versie ISO 27001:2022)
• Turnitin (technologiebedrijf voor onderwijssector, hercertificering)

Voor alle duidelijkheid: De mensen in deze organisaties hebben heel veel goed werk gedaan en wij hebben vooral vragen gesteld en de antwoorden opgeschreven. Onze bijdrage aan de verbetering was dus klein, maar we zijn blij dat zoveel organisaties in Nederland bezig zijn met beveiliging.

Zelf aan de slag

Wij gaan in 2026 door met organisaties helpen om het zelf te doen. We geven korte trainingen en maken onze templates graag beschikbaar. We beiden het volgende:

• Gratis ISO 27001 en AVG  templates in het Nederlands
• Gratis ISO 27001 en GDPR templates in het Engels
• Training Privacy en AVG en Implementing ISO 27001. Zie ons overzicht trainingen
• Een nieuwe templateset Keurmerk 7510
• Uitleg en training NIS2 en CBW
• Sinds kort een Youtube-kanaal SieuwertExplains met uitleg-videos

Hiermee kunnen ook kleinere organisaties zelf aan de slag, en houden we met zijn allen de kosten voor goede beveiliging laag. Wanneer nodig werken we ook mee aan aantoonbaarheid en certificering. We hebben hiervoor een lichte variant genaamd Security Verified, maar kunnen ook helpen met volledige certificering. Wees echter niet bang om contact op te nemen als je dit nog niet wilt, we willen iedereen helpen om Nederland te beveiligen, ook zonder directe kosten.