Wat is het verschil tussen een ISO 27001 certificaat en een eigen verklaring?

Het verschil is duidelijk: een ISO 27001 certificaat is een onafhankelijk, extern geverifieerd bewijs dat jouw informatiebeveiliging voldoet aan de internationale norm, terwijl een eigen verklaring een zelfopgestelde bevestiging is waarin de organisatie zelf aangeeft te voldoen aan bepaalde eisen. Beide opties zeggen iets over informatiebeveiliging, maar de geloofwaardigheid, reikwijdte en toepasselijkheid verschillen aanzienlijk. Heb je vragen over welke route het beste past bij jouw situatie? Neem gerust contact op en we helpen je graag verder. In dit artikel beantwoorden we de meest gestelde vragen over beide opties, zodat jij een weloverwogen keuze kunt maken.

Wat bewijst een ISO 27001 certificaat precies?

Een ISO 27001 certificaat bewijst dat een onafhankelijke, geaccrediteerde auditinstelling heeft vastgesteld dat de informatiebeveiliging van jouw organisatie voldoet aan de internationale norm ISO/IEC 27001. Het certificaat is het resultaat van een grondige externe audit waarbij zowel de opzet, het bestaan als de werking van het managementsysteem voor informatiebeveiliging worden getoetst.

Concreet betekent dit dat een gecertificeerde organisatie aantoonbaar een managementsysteem voor informatiebeveiliging heeft ingericht, risico’s systematisch beheert en continu verbetert. Het certificaat wordt afgegeven voor een bepaalde scope, heeft een geldigheidsduur van drie jaar en vereist jaarlijkse surveillanceaudits om geldig te blijven. De waarde zit juist in de onafhankelijkheid: een externe partij heeft getoetst en bevestigd dat de beveiliging niet alleen op papier klopt, maar ook in de praktijk werkt.

Wat is een eigen verklaring en hoe werkt het?

Een eigen verklaring is een document waarmee een organisatie zelf verklaart te voldoen aan een bepaalde norm of set van beveiligingseisen, zonder dat dit door een onafhankelijke externe partij is gecontroleerd. De organisatie stelt de verklaring zelf op, vaak op basis van een interne beoordeling of zelfevaluatie.

In de praktijk ziet een eigen verklaring er soms uit als een ingevulde vragenlijst, een ondertekende conformiteitsverklaring of een intern auditrapport. Sommige opdrachtgevers of aanbestedende partijen accepteren dit als eerste stap of als tijdelijke maatregel, maar de betrouwbaarheid hangt volledig af van de eerlijkheid en deskundigheid van de organisatie zelf. Er is geen accreditatie, geen externe verificatie en geen onafhankelijke toetsing betrokken. Dat maakt de verklaring minder sterk als bewijs richting derden.

Wat zijn de concrete verschillen tussen beide opties?

Het kernverschil tussen een ISO 27001 certificaat en een eigen verklaring zit in de onafhankelijkheid van de beoordeling. Bij een certificaat toetst een geaccrediteerde externe partij de organisatie; bij een eigen verklaring beoordeelt de organisatie zichzelf. Dat heeft directe gevolgen voor de geloofwaardigheid, de juridische waarde en de acceptatie door derden.

Hieronder staan de belangrijkste verschillen op een rij:

• Onafhankelijkheid: Een certificaat is gebaseerd op een externe audit; een eigen verklaring op zelfevaluatie.
• Geloofwaardigheid: Een certificaat heeft hoge bewijswaarde richting klanten, partners en aanbestedende diensten; een eigen verklaring is minder overtuigend.
• Accreditatie: Certificerende instellingen zijn geaccrediteerd door een nationale accreditatie-instelling; bij een eigen verklaring is geen accreditatie betrokken.
• Juridische en contractuele waarde: In aanbestedingen en contracten wordt vaak expliciet een gecertificeerd ISO 27001 certificaat gevraagd, niet een eigen verklaring.
• Kosten en tijdsinvestering: Een eigen verklaring is goedkoper en sneller op te stellen, maar biedt minder zekerheid en dekking.
• Verplichte hercertificering: Een ISO 27001 certificaat vereist periodieke audits; een eigen verklaring kent geen formele herbeoordelingscyclus.

Wanneer is een eigen verklaring voldoende?

Een eigen verklaring kan voldoende zijn in situaties waarin geen formele certificeringseis geldt en waarin de ontvangende partij de verklaring accepteert als bewijs van beveiligingsbewustzijn. Dit geldt soms in vroege samenwerkingsfases, bij kleinere opdrachten of als tussentijdse stap richting volledige certificering.

Denk bijvoorbeeld aan een kleine organisatie die voor het eerst te maken krijgt met een klant die vraagt naar informatiebeveiliging. Als die klant bereid is een eigen verklaring te accepteren, kan dit een pragmatische eerste stap zijn. Ook intern kan een eigen verklaring nuttig zijn om het huidige beveiligingsniveau in kaart te brengen en te bepalen hoeveel werk er nog nodig is om de norm volledig te halen. Het is echter belangrijk te beseffen dat een eigen verklaring geen vervanger is voor een certificaat zodra de eisen strenger worden of de stakes hoger liggen.

Wanneer is een officieel certificaat verplicht of noodzakelijk?

Een officieel ISO 27001 certificaat is verplicht of noodzakelijk wanneer opdrachtgevers, aanbestedende diensten of wet- en regelgeving dit expliciet eisen. In de Nederlandse markt is dit steeds vaker het geval, met name bij overheden, zorginstellingen en organisaties die werken met gevoelige persoonsgegevens of kritieke infrastructuur.

Concrete situaties waarin een certificaat noodzakelijk is:

• Deelname aan Europese of nationale aanbestedingen waarbij informatiebeveiliging een selectiecriterium is.
• Contracten met grote opdrachtgevers in de zorg, overheid of financiële sector die ISO 27001 als contractuele eis stellen.
• Organisaties die onder de BIO (Baseline Informatiebeveiliging Overheid) vallen of moeten aantonen te voldoen aan NEN 7510 in de zorgsector.
• SaaS- en hostingbedrijven die klantdata verwerken en transparantie willen bieden over hun beveiligingsniveau.
• Organisaties die willen aantonen serieus met informatiebeveiliging bezig te zijn richting potentiële zakenpartners of investeerders.

In al deze gevallen biedt alleen een extern geverifieerd certificaat de vereiste bewijskracht.

Hoe kies je de juiste route voor jouw organisatie?

De juiste route hangt af van drie factoren: wat jouw klanten of opdrachtgevers eisen, hoe volwassen jouw informatiebeveiliging al is, en wat jouw organisatie op de middellange termijn wil bereiken. Begin met het in kaart brengen van de concrete eisen vanuit jouw markt of sector.

Een praktische aanpak is als volgt:

1. Breng de eisen in kaart: Vraag na bij bestaande en potentiële klanten of zij een ISO 27001 certificaat vereisen of dat een eigen verklaring volstaat.
2. Beoordeel jouw huidige beveiligingsniveau: Een nulmeting of gap-analyse helpt om te bepalen hoeveel inspanning een volledige ISO 27001 certificering vergt.
3. Weeg de kosten tegen de voordelen af: Certificering kost tijd en geld, maar opent deuren bij aanbestedingen en vergroot het vertrouwen van klanten structureel.
4. Bepaal een realistisch tijdpad: Als je nu nog niet klaar bent voor een certificaat, kan een eigen verklaring een tijdelijke overbrugging zijn, mits de ontvanger dit accepteert.
5. Kies een geaccrediteerde auditpartner: Werk samen met een partij die jouw sector kent en het traject transparant en pragmatisch aanpakt.

Wil je weten welke route het beste past bij jouw organisatie en wat een certificeringstraject voor jou zou inhouden? Neem contact op en we denken graag met je mee over de eerste stappen.

Gerelateerde artikelen

• Welke metrics gebruik je om NEN 7510 te monitoren?
• Wat zijn de kwalificaties van een goede NEN 7510 auditor?
• Welke bewaartermijnen gelden voor medische gegevens?
• Wat is het verschil tussen preventieve en detectieve controles?
• Wat zijn de zakelijke voordelen van ISO 27001?