Het verschil tussen certificatie en consultancy ligt in hun rol binnen het auditproces. Een certificeringsinstelling voert onafhankelijke audits uit en verstrekt officiële certificaten, terwijl een consultant organisaties helpt bij het voorbereiden en implementeren van managementsystemen. Certificeringsinstellingen moeten objectief en onpartijdig blijven, terwijl consultants juist advies en ondersteuning bieden bij de implementatie.
Wat is het verschil tussen een certificeringsinstelling en een consultant?
Een certificeringsinstelling is een onafhankelijke, geaccrediteerde organisatie die audits uitvoert en officiële certificaten verstrekt volgens internationale normen zoals ISO 27001 of NEN 7510. Consultants daarentegen adviseren en begeleiden organisaties bij het opzetten en verbeteren van hun managementsystemen, maar kunnen geen certificaten uitgeven.
De fundamentele verschillen zitten in hun wettelijke status en verantwoordelijkheden. Certificeringsinstellingen zoals wij moeten geaccrediteerd zijn door de Raad voor Accreditatie (RvA) en voldoen aan strikte onafhankelijkheidseisen. Onze auditors beoordelen objectief of een organisatie voldoet aan de normvereisten en kunnen besluiten om een certificaat te verstrekken, op te schorten of in te trekken.
Consultants hebben geen wettelijke bevoegdheid om certificaten uit te geven. Hun rol is het adviseren, trainen en ondersteunen van organisaties bij het implementeren van informatiebeveiligings- of kwaliteitsmanagementsystemen. Ze kunnen wel voorbereidende audits uitvoeren, maar deze hebben geen officiële waarde voor certificering.
Waarom mag een certificeringsinstelling geen consultancydiensten aanbieden?
Certificeringsinstellingen mogen geen consultancydiensten aanbieden om belangenverstrengeling te voorkomen en hun onafhankelijkheid te waarborgen. Deze scheiding is vastgelegd in internationale normen zoals ISO/IEC 17021 en wordt streng gecontroleerd door accreditatie-instanties.
De logica achter deze regel is helder: als een certificeringsinstelling eerst zou adviseren over het opzetten van een managementsysteem en vervolgens datzelfde systeem zou auditen, zou dit de objectiviteit van de audit ondermijnen. De auditor zou in feite zijn eigen werk beoordelen, wat de betrouwbaarheid van het certificaat aantast.
Wij als geaccrediteerde certificeringsinstelling mogen daarom uitsluitend audits uitvoeren en certificaten verstrekken. We kunnen wel algemene informatie delen over normvereisten tijdens een audit, maar we mogen geen specifieke implementatieadviezen geven die verder gaan dan het verduidelijken van bevindingen.
Wanneer heb je een consultant nodig en wanneer een certificeringsinstelling?
Je hebt een consultant nodig wanneer je hulp wilt bij het opzetten, implementeren of verbeteren van je informatiebeveiligingsmanagementsysteem. Een certificeringsinstelling schakel je in wanneer je systeem operationeel is en je een officieel certificaat wilt behalen.
Consultants zijn waardevol in de voorbereidingsfase. Ze helpen bij risicoanalyses, het opstellen van beleid en procedures, het trainen van medewerkers en het uitvoeren van interne audits. Vooral organisaties met beperkte kennis van normen zoals NEN 7510-certificering of ISO 27001 profiteren van consultancy-ondersteuning.
Een certificeringsinstelling wordt ingeschakeld wanneer je organisatie klaar is voor de officiële audit. Dit betekent dat je managementsysteem volledig geïmplementeerd is, medewerkers getraind zijn en je minimaal één volledige cyclus van interne audits en managementreviews hebt doorlopen. Sommige organisaties met voldoende interne expertise kunnen direct naar een certificeringsinstelling, vooral bij hercertificeringen.
Hoe kies je de juiste certificeringsinstelling voor jouw organisatie?
Kies een certificeringsinstelling die geaccrediteerd is door de Raad voor Accreditatie, ervaring heeft in jouw sector en transparant communiceert over het auditproces. Controleer hun accreditatiescope, referenties en benadering van auditen.
Accreditatie is het belangrijkste criterium. Controleer of de certificeringsinstelling een geldige RvA-accreditatie heeft voor de norm waarvoor je gecertificeerd wilt worden. Alleen geaccrediteerde certificaten worden internationaal erkend en geaccepteerd door opdrachtgevers en toezichthouders.
Sectorkennis maakt het verschil in auditkwaliteit. Voor zorginstellingen is ervaring met informatiebeveiliging in de zorg essentieel, omdat auditors de specifieke context en uitdagingen moeten begrijpen. Vraag naar de achtergrond van auditors en hun ervaring in jouw branche.
De auditbenadering bepaalt de toegevoegde waarde. Wij hanteren bijvoorbeeld waarderend auditen, waarbij we niet alleen tekortkomingen identificeren, maar ook sterke punten erkennen. Dit draagt bij aan een constructieve auditervaring die organisaties helpt om verder te groeien in hun informatiebeveiliging.
Transparantie over proces, doorlooptijd en kosten is cruciaal voor een goede samenwerking. Een betrouwbare certificeringsinstelling legt duidelijk uit wat er van je wordt verwacht, hoe lang het proces duurt en welke kosten ermee gemoeid zijn. Voor meer informatie over ons certificeringsproces kun je contact met ons opnemen.
Veelgestelde vragen
Wat gebeurt er als een certificeringsinstelling toch consultancydiensten zou aanbieden?
Als een certificeringsinstelling consultancydiensten aanbiedt, verliest deze haar accreditatie van de Raad voor Accreditatie. Alle uitgegeven certificaten worden dan ongeldig en de organisatie mag geen nieuwe audits meer uitvoeren totdat de belangenverstrengeling is weggenomen.
Hoe lang duurt het certificeringsproces nadat je een certificeringsinstelling hebt ingeschakeld?
Het certificeringsproces duurt gemiddeld 6-12 weken vanaf de eerste contactname tot certificaatuitgifte. Dit omvat de documentenreview, de audit ter plaatse, eventuele correctieve maatregelen en de finale beoordeling door het certificatiecomité.
Waarom zijn de kosten van een geaccrediteerde certificeringsinstelling hoger dan die van consultants?
Geaccrediteerde certificeringsinstellingen hebben hogere kosten vanwege strikte kwaliteitseisen, regelmatige accreditatie-audits en gekwalificeerde auditors. Deze investeringen garanderen de betrouwbaarheid en internationale erkenning van het certificaat, wat essentieel is voor compliance.
Wat moet je doen als je zowel consultancy als certificering nodig hebt?
Schakel eerst een consultant in voor implementatie van je managementsysteem en kies daarna een andere, onafhankelijke certificeringsinstelling voor de audit. Zorg voor minimaal twee jaar tussen consultancydiensten en certificering door dezelfde organisatie om belangenverstrengeling te voorkomen.
