De verklaring van toepasselijkheid, ook wel afgekort als VvT, is een verplicht document binnen ISO 27001 dat beschrijft welke beveiligingsmaatregelen uit Annex A van toepassing zijn op jouw organisatie, welke zijn gekozen of uitgesloten, en waarom. Het document vormt de schakel tussen de risicoanalyse en de daadwerkelijke implementatie van beveiligingsmaatregelen. In dit artikel beantwoorden we de meest gestelde vragen over de VvT, zodat je precies weet wat je kunt verwachten. Heb je direct een vraag? Neem gerust contact op en we helpen je verder.
Welke informatie staat er in een verklaring van toepasselijkheid?
Een verklaring van toepasselijkheid bevat voor elke beveiligingsmaatregel uit Annex A van ISO 27001 een overzicht van of die maatregel van toepassing is, de motivatie voor die keuze, en of de maatregel al is geïmplementeerd. Het document biedt daarmee een volledig beeld van de beveiligingsstatus van de organisatie op maatregelniveau.
Concreet bevat een goed opgestelde VvT de volgende onderdelen:
- Een lijst van alle beheersmaatregelen uit Annex A (in de huidige versie ISO 27001:2022 zijn dat 93 maatregelen, verdeeld over vier thema’s)
- Per maatregel: is deze van toepassing of niet?
- De motivatie voor het al dan niet toepassen, gebaseerd op de risicoanalyse of andere relevante overwegingen
- De implementatiestatus: is de maatregel al ingevoerd, gedeeltelijk ingevoerd of nog gepland?
- Verwijzingen naar relevante beleidsdocumenten, procedures of andere interne bronnen
De VvT is daarmee geen intern werkdocument, maar een formeel bewijsstuk dat tijdens een ISO 27001-certificering door de auditor wordt beoordeeld. Het document moet aantonen dat de organisatie bewuste, onderbouwde keuzes heeft gemaakt bij het inrichten van haar informatiebeveiliging.
Hoe stel je een verklaring van toepasselijkheid op?
Je stelt een verklaring van toepasselijkheid op door systematisch alle maatregelen uit Annex A langs te gaan en per maatregel een gefundeerde keuze te maken op basis van je risicobehandeling, wettelijke verplichtingen, contractuele eisen en de specifieke context van je organisatie.
Een praktische aanpak ziet er als volgt uit:
- Start met de risicoanalyse. De uitkomsten van je risicobehandeling vormen de primaire basis voor de VvT. Welke risico’s heb je geïdentificeerd en welke maatregelen heb je gekozen om die te beheersen?
- Ga alle 93 maatregelen langs. Neem Annex A als leidraad en bepaal per maatregel of deze relevant is voor jouw organisatie.
- Motiveer elke keuze. Een maatregel uitsluiten is toegestaan, maar alleen als je dat kunt onderbouwen. Zorg dat de redenering helder en aantoonbaar is.
- Koppel aan interne documentatie. Verwijs waar mogelijk naar beleid, procedures of andere documenten die aantonen dat de maatregel is geïmplementeerd.
- Laat de VvT goedkeuren door het management. Het document vereist formele goedkeuring vanuit de directie of het verantwoordelijke management.
Een veelgebruikt hulpmiddel is een spreadsheet of een gespecialiseerde tool voor informatiebeveiligingsbeheer. Wat je ook gebruikt: zorg dat het document leesbaar, actueel en traceerbaar is.
Wat is het verschil tussen de VvT en het risicobehandelingsplan?
Het risicobehandelingsplan beschrijft welke acties de organisatie onderneemt om geïdentificeerde risico’s te beheersen, inclusief wie verantwoordelijk is en wanneer dat gebeurt. De verklaring van toepasselijkheid is het resultaat van die keuzes: het document dat vastlegt welke maatregelen uit Annex A worden toegepast en waarom.
De twee documenten zijn nauw met elkaar verbonden, maar hebben een andere functie:
- Het risicobehandelingsplan is een actiegericht document. Het beschrijft de te nemen stappen, eigenaren en deadlines voor het beheersen van risico’s.
- De VvT is een verantwoordingsdocument. Het laat zien welke keuzes zijn gemaakt ten aanzien van de Annex A-maatregelen en hoe die aansluiten op de risicobehandeling.
In de praktijk zijn ze onlosmakelijk verbonden: de keuzes in het risicobehandelingsplan moeten terugkomen in de VvT, en de VvT moet aantoonbaar zijn afgeleid van de risicoanalyse. Een auditor controleert altijd of beide documenten consistent met elkaar zijn.
Welke fouten worden het vaakst gemaakt bij de VvT?
De meest gemaakte fout bij de verklaring van toepasselijkheid is het kopiëren van een generiek template zonder aanpassing aan de eigen organisatiecontext. Daardoor ontbreekt een echte onderbouwing en is het document tijdens een audit niet verdedigbaar.
Andere veelvoorkomende fouten zijn:
- Onvoldoende motivatie bij uitsluitingen. Maatregelen uitsluiten zonder duidelijke reden is een rood signaal voor auditors.
- Geen koppeling met de risicoanalyse. De VvT moet logisch voortvloeien uit de risicobehandeling. Als die verbinding ontbreekt, klopt het verhaal niet.
- Verouderde informatie. Een VvT die niet wordt bijgehouden, geeft een vertekend beeld van de werkelijke beveiligingssituatie.
- Implementatiestatus is niet realistisch. Maatregelen als “geïmplementeerd” aanmerken terwijl dat in de praktijk niet zo is, leidt tot problemen bij de audit.
- Geen formele goedkeuring. Zonder handtekening of goedkeuring van het management heeft het document onvoldoende formele status.
Bij DigiTrust zien we tijdens audits regelmatig dat organisaties de VvT te laat in het traject opstellen, namelijk pas als de audit al gepland is. Een goede VvT bouw je op gedurende het hele implementatieproces, niet als sluitstuk.
Wanneer moet de verklaring van toepasselijkheid worden bijgewerkt?
De verklaring van toepasselijkheid moet worden bijgewerkt wanneer er relevante wijzigingen optreden in de organisatie, haar risicoprofiel, haar dienstverlening of de omgeving waarin ze opereert. ISO 27001 vereist dat de VvT actueel is en de werkelijke situatie weerspiegelt.
Concrete aanleidingen om de VvT te herzien zijn onder andere:
- Een nieuwe risicoanalyse of een significante wijziging in bestaande risico’s
- Introductie van nieuwe systemen, diensten of verwerkingen
- Organisatorische veranderingen, zoals een fusie, overname of reorganisatie
- Wijzigingen in wet- en regelgeving of contractuele eisen van klanten
- Beveiligingsincidenten die aanleiding geven tot heroverweging van maatregelen
- De jaarlijkse managementreview, waarbij het ISMS als geheel wordt beoordeeld
Een goede vuistregel is om de VvT minimaal één keer per jaar formeel te reviewen, ook als er geen grote wijzigingen zijn. Zo blijft het document een betrouwbaar en actueel overzicht van de beveiligingsstatus.
Wie is verantwoordelijk voor het opstellen en beheren van de VvT?
De eindverantwoordelijkheid voor de verklaring van toepasselijkheid ligt bij het management van de organisatie, maar in de praktijk wordt de VvT opgesteld en beheerd door de CISO, de ISO 27001-projectleider of een aangewezen functionaris voor informatiebeveiliging.
De verantwoordelijkheden zijn doorgaans als volgt verdeeld:
- Management: formele goedkeuring en eindverantwoordelijkheid voor de inhoud en de keuzes die erin zijn vastgelegd
- CISO of beveiligingsverantwoordelijke: opstellen, actueel houden en bewaken van de consistentie met de risicoanalyse
- Proceseigenaren en afdelingshoofden: input leveren over de toepasbaarheid van maatregelen binnen hun domein
- IT-afdeling: technische input over de implementatiestatus van technische maatregelen
In kleinere organisaties liggen deze rollen vaak bij één of twee personen. Dat is prima, zolang er maar een duidelijke eigenaar is en het management het document formeel goedkeurt. Wil je weten hoe wij dit begeleiden en wat onze aanpak is bij een informatiebeveiligingsaudit? Dan vertellen we je er graag meer over.
Heb je hulp nodig bij het opstellen van je verklaring van toepasselijkheid of wil je weten of jouw VvT klaar is voor een certificeringsaudit? Plan een afspraak met een van onze auditors en we kijken samen met je mee.
Veelgestelde vragen
Wat gebeurt er als onze verklaring van toepasselijkheid niet consistent is met de risicoanalyse?
V: Wat gebeurt er als onze verklaring van toepasselijkheid niet consistent is met de risicoanalyse?nA: Als de VvT niet logisch voortvloeit uit de risicoanalyse, zal een auditor dit direct signaleren als een ernstige tekortkoming, wat kan leiden tot het niet behalen van het certificaat. Zorg daarom altijd dat elke keuze in de VvT aantoonbaar is terug te leiden naar de uitkomsten van je risicobehandeling.
Hoe weet ik of mijn verklaring van toepasselijkheid klaar is voor een certificeringsaudit?
V: Hoe weet ik of mijn verklaring van toepasselijkheid klaar is voor een certificeringsaudit?nA: Een auditklare VvT bevat voor alle 93 maatregelen een duidelijke motivatie, een realistische implementatiestatus en een formele goedkeuring van het management, waarbij alle keuzes traceerbaar zijn terug te leiden naar de risicoanalyse. Laat het document bij twijfel vooraf beoordelen door een externe specialist om verrassingen tijdens de audit te voorkomen.
Waarom is het gevaarlijk om een generiek template te gebruiken voor de verklaring van toepasselijkheid?
V: Waarom is het gevaarlijk om een generiek template te gebruiken voor de verklaring van toepasselijkheid?nA: Een generiek template mist de specifieke context van jouw organisatie, waardoor uitsluitingen en keuzes niet onderbouwd zijn en het document tijdens een audit niet verdedigbaar is. De VvT moet altijd een weerspiegeling zijn van de werkelijke risico's, processen en beveiligingsmaatregelen van jouw eigen organisatie.
Wanneer moet ik beginnen met het opstellen van de verklaring van toepasselijkheid tijdens een ISO 27001-implementatie?
V: Wanneer moet ik beginnen met het opstellen van de verklaring van toepasselijkheid tijdens een ISO 27001-implementatie?nA: Je begint met de VvT direct na de eerste risicoanalyse en bouwt het document gedurende het hele implementatietraject verder op, zodat het de voortgang van je beveiligingsmaatregelen nauwkeurig weerspiegelt. Wacht niet tot de audit gepland is, want een goed opgebouwde VvT is het resultaat van een doorlopend proces, niet een last-minute sluitstuk.
