← Terug naar Kennisbank

Uitbesteding en ISO 27001: Waarom een certificaat niet genoeg is

De veelgemaakte fout bij het uitbesteden van technisch beheer — en hoe je het wel goed regelt

De kern van het probleem

"Maar dat hebben we toch uitbesteed aan partij X, en die zijn ISO 27001 gecertificeerd!"

Dit is een van de meestgehoorde reacties tijdens audits. Het klinkt logisch, maar het is een gevaarlijke aanname. Het ISO 27001 certificaat van je leverancier zegt iets over hoe zij hun eigen risico's beheersen — niet hoe jouw risico's worden gemitigeerd.

Een herkenbaar scenario

Veel organisaties besteden hun technisch beheer uit aan een externe partij. Dat is begrijpelijk: niet elk MKB-bedrijf heeft de kennis of capaciteit in huis om servers te beheren, netwerken te beveiligen of backups te regelen. Vaak betreft dit maatregelen uit Annex A8 (Technologische maatregelen) van de ISO 27001 of NEN 7510.

Bij het selecteren van zo'n partij wordt dan vaak de eis gesteld: "De leverancier moet NEN 7510 of ISO 27001 gecertificeerd zijn." Dat is een prima startpunt. Maar daar stopt het te vaak. De klant gaat er vanuit dat met die certificering de technologische maatregelen automatisch voldoende goed zijn geïmplementeerd. En dat is een misvatting met potentieel grote gevolgen.

Wat zegt een ISO 27001 certificaat eigenlijk?

Een ISO 27001 certificaat bevestigt dat een organisatie een werkend Information Security Management System (ISMS) heeft dat voldoet aan de eisen van de norm. Maar er zijn een paar cruciale nuances:

1

Het certificaat is gebaseerd op hun risicobeoordeling

De leverancier heeft een risicobeoordeling uitgevoerd vanuit hun eigen perspectief. De maatregelen die zij hebben geïmplementeerd zijn afgestemd op de risico's die zij zelf relevant achten. Dat hoeft niet in lijn te zijn met de risico's die jouw organisatie wil of moet mitigeren.

2

De scope kan beperkt zijn

Elk ISO 27001 certificaat heeft een scope — een afbakening van welke diensten en processen zijn gecertificeerd. De diensten die de leverancier aan jouw organisatie levert, vallen daar niet per definitie onder. Controleer altijd de scope op het certificaat.

3

Een certificaat is een momentopname

Een certificaat wordt periodiek getoetst, maar het zegt iets over het moment van de audit. Tussen audits door kan de kwaliteit van de dienstverlening veranderen. Zonder eigen monitoring heb je daar geen zicht op.

Het werkelijke probleem: verlies van regie

Bij uitbesteding verschuift de uitvoering van technologische maatregelen naar de leverancier. Maar de verantwoordelijkheid blijft altijd bij jouw organisatie. Dit is een fundamenteel principe van zowel ISO 27001 als NEN 7510.

Concreet betekent dit: als er een datalek plaatsvindt doordat je leverancier geen adequate backups had, is jouw organisatie aansprakelijk — niet de leverancier. Je kunt de uitvoering uitbesteden, maar niet de verantwoordelijkheid.

De auditor-perspectief

Als auditor stel ik niet de vraag "Is uw leverancier gecertificeerd?" maar "Welke eisen heeft u gesteld aan uw leverancier? Hoe controleert u of daar aan wordt voldaan? En wat doet u als dat niet het geval is?" Het gaat niet om het certificaat, maar om de regie.

Hoe regel je het wel goed?

De klant moet altijd in de regisseursstoel zitten. Dat betekent concreet:

1. Bepaal zelf je eisen

Voordat je iets uitbesteedt, moet je weten wat je wilt uitbesteden en welke eisen je daaraan stelt. Vertaal je eigen risicobeoordeling naar concrete eisen aan de leverancier. Denk aan:

Backup & Restore

  • Frequentie van backups
  • Retentieperiode
  • Restore-tijden (RTO/RPO)
  • Periodieke restore-tests

Netwerkbeveiliging

  • Firewall configuratie
  • Segmentatie
  • Monitoring en detectie
  • Patchmanagement

Cryptografie

  • Encryptie in transit en at rest
  • Sleutelbeheer
  • Certificaatbeheer
  • Minimale encryptiestandaarden

Toegangsbeheer

  • Wie heeft toegang tot wat?
  • Multi-factor authenticatie
  • Logging van beheertoegang
  • Periodieke review van rechten

2. Leg afspraken contractueel vast

Maak geen mondelinge afspraken maar leg alles vast in:

Service Level Agreement (SLA)

Concrete afspraken over beschikbaarheid, responstijden, prestatie-indicatoren en escalatieprocedures.

Dossier Afspraken en Procedures (DAP)

Gedetailleerde technische afspraken over hoe maatregelen worden geïmplementeerd, wie waarvoor verantwoordelijk is en hoe wijzigingen worden doorgevoerd.

Verwerkersovereenkomst

Verplicht onder de AVG wanneer de leverancier persoonsgegevens verwerkt. Bevat afspraken over beveiliging, meldplicht en sub-verwerkers.

3. Monitor en controleer

Afspraken maken is stap één. Controleren of ze worden nagekomen is minstens zo belangrijk:

  • Periodieke rapportages — Laat de leverancier maandelijks of per kwartaal rapporteren over de afgesproken prestatie-indicatoren
  • Bewijs van restore-tests — Een backup die je niet kunt terugzetten is waardeloos. Eis periodieke restore-tests met bewijs
  • Patch-rapportages — Welke patches zijn geïnstalleerd, welke staan nog open en waarom?
  • Incidentrapportages — Zijn er incidenten geweest die van invloed zijn op jouw omgeving?
  • Periodieke leveranciersbeoordeling — Evalueer minimaal jaarlijks of de leverancier aan de afspraken voldoet

Praktisch overzicht: wat moet je regelen?

Aspect Verantwoordelijkheid klant Vastleggen in
Eisen bepalen Op basis van eigen risicobeoordeling DAP / Eisenpakket
Prestatie-eisen Beschikbaarheid, responstijden, RPO/RTO SLA
Technische afspraken Backup, encryptie, patching, monitoring DAP
Privacy afspraken AVG-verplichtingen bij persoonsgegevens Verwerkersovereenkomst
Monitoring Rapportages beoordelen, opvolgen SLA + periodiek overleg
Evaluatie Jaarlijkse leveranciersbeoordeling Leveranciersbeoordelingsformulier

Veelgemaakte fouten

Blind vertrouwen op het certificaat

"Ze zijn gecertificeerd, dus het zit wel goed." Controleer altijd de scope, vraag naar de Verklaring van Toepasselijkheid en stel je eigen eisen.

Geen concrete afspraken

Zonder SLA of DAP zijn er geen meetbare afspraken. "Ze zorgen voor de backups" is niet hetzelfde als "dagelijkse backups met 30 dagen retentie en maandelijkse restore-test".

Niet monitoren

Afspraken maken zonder ze te controleren is alsof je een slot op de deur zet maar nooit controleert of het op slot zit. Eis rapportages en beoordeel ze.

Verantwoordelijkheid "overdragen"

Je kunt de uitvoering uitbesteden, maar niet de verantwoordelijkheid. Bij een audit of incident moet jij kunnen aantonen dat je in controle bent.

Conclusie: blijf in de regie

Het uitbesteden van technisch beheer is een prima keuze, zeker voor MKB-bedrijven. En het stellen van de eis dat je leverancier ISO 27001 of NEN 7510 gecertificeerd is, is een goede eerste stap. Maar het is niet meer dan dat: een eerste stap.

De sleutel is regie houden. Bepaal zelf je eisen op basis van je eigen risicobeoordeling, leg ze vast in contracten en SLA's, en monitor of er aan wordt voldaan. Alleen zo kun je als organisatie aantonen dat je daadwerkelijk "in control" bent — ongeacht of de uitvoering intern of extern plaatsvindt.

ComplianceGuard helpt je de regie te houden

Met de module Leveranciersbeheer in ComplianceGuard beheer je al je leveranciers, leg je afspraken vast en plan je periodieke beoordelingen. In combinatie met het Risico Beheer heb je altijd inzicht in welke risico's je hebt uitbesteed en of de mitigerende maatregelen voldoende zijn.

Daarnaast kan UDES Advies & Auditing ondersteunen bij het opstellen van een passend eisenpakket en het uitvoeren van leveranciersbeoordelingen.

Vraag een demo aan → Neem contact op voor advies →

Meer artikelen

Je ISO 27001 Audit Voorbereiden

Praktische checklist en tips van een lead auditor.

Lees artikel →

ISO 27001 vs NEN 7510: Wat is het verschil?

Een heldere vergelijking tussen deze twee normen.

Lees artikel →