Veelgestelde vragen

CAN Keurmerksupport kan indien gewenst een rol spelen bij de organisatie en/of uitvoering van het keurmerk, register of de persoonscertificering. Van onderhoud, optimalisatie, actualisatie van de eisen tot en met de daadwerkelijke ondersteuning bij de uitvoerende taken, zoals registreren/afgifte van keurmerken, uitvoeren van controles, beoordelen/auditen van inschrijvingen etc.

Wanneer de richtlijnen en/of eisen concreet zijn, moet ook nagedacht worden over de organisatie hiervan. Wie speelt welke rol? In hoeverre is onafhankelijkheid nodig en/of wenselijk en wat zijn daarin de opties? Samen geven we vorm en inhoud aan de organisatie van het keurmerk, het register en/of de persoonscertificering. Indien nodig verbinden wij mensen/organisaties en ondersteunen bij de opzet van bijvoorbeeld een stichting of bestuur.

Jij als initiatiefnemer hebt de behoefte om onderscheidend te zijn of worden binnen je branche. Dit kan een gevolg zijn van bijvoorbeeld:

• Veranderende wet- en/of regelgeving
• Kaf van het koren scheiden
• Niveau aanbrengen in de markt
• Duidelijk onderscheidend vermogen aantoonbaar maken
• Etc.

CAN Keurmerksupport denkt graag mee in mogelijke oplossingsrichtingen, aanscherpen en concretiseren van ideeën en het in kaart brengen van kansen en uitdagingen.

Op basis van het initiatief gaan we aan de slag om dit verder te concretiseren. Hierin brengen we de juiste expertise bij elkaar en gaan we samen aan de slag met de ontwikkeling van het keurmerk, register of de persoonscertificering.

CAN Keurmerksupport definieert vooraf het benodigde proces om middels concrete stappen efficiënt tot het gewenste resultaat te komen. Hierin hanteren wij een heldere planning en procesbewaking met concrete mijlpalen.

Voorbereiding omvat het bestuderen van de ISO-norm, het begrijpen van auditprincipes en -processen, en het opdoen van ervaring met echte audits. Deelname aan introductie- of basisaudits kan nuttig zijn. 

De duur van een interne audittraining kan variëren afhankelijk van het niveau van diepgang en de behoeften van de organisatie. Trainingen duren meestal een dag, maar een training om lead auditor te worden, duurt normaal gesproken 5 dagen.

Ja, het is essentieel om interne auditvaardigheden regelmatig bij te werken, aangezien auditnormen en -praktijken kunnen evolueren. Regelmatige bijscholing en ervaring zijn belangrijk om up-to-date te blijven.

Een interne audittraining is belangrijk omdat het personeel voorbereidt om succesvolle interne audits uit te voeren. Dit draagt bij aan de continue verbetering van het managementsysteem en aan de voorbereiding op externe certificeringsaudits.

Een interne audit in het kader van ISO is een systematische beoordeling van het managementsysteem van een organisatie om te controleren of het voldoet aan de vereisten van de ISO norm. Het doel is om de effectiviteit van het systeem te evalueren en verbeterkansen te identificeren. 

Een interne audittraining omvat onderwerpen zoals auditprincipes, auditplanning, uitvoering van audits, rapportage, follow-up en het ontwikkelen van auditvaardigheden.

Interne audits dragen bij aan het verbeteren van de efficiëntie, het identificeren van gebieden voor verbetering, het waarborgen van naleving van normen en het versterken van het managementsysteem. 

Medewerkers die verantwoordelijk zijn voor het uitvoeren van interne audits binnen een organisatie, zoals interne auditoren, KAM coördinatoren, security officers en leden van auditteams, moeten de training volgen. 

De duur varieert per type training: de basis training duurt meestal 1 dag, de interne audit training 2 dagen en de Lead Auditor training 4 tot 5 dagen, afhankelijk van de opleidingsvorm.

De duur van een ISO-training varieert afhankelijk van het niveau van diepgang en de behoeften van de organisatie. Trainingen duren meestal één of twee dagen. In uitzonderlijke gevallen duren trainingen meerdere dagen tot een week.

Ja, de basis ISO 27001 training is speciaal ontwikkeld voor deelnemers zonder voorkennis; je leert stap voor stap de norm kennen en hoe je deze praktisch toepast in je organisatie.

Ja, iedere deelnemer ontvangt na afronding van de ISO 27001 training een officieel certificaat van deelname als bewijs van opgedane kennis en vaardigheden.

Een ISO normkennis training is belangrijk omdat het personeel voorbereidt om de ISO-norm te begrijpen en toe te passen in hun organisatie. Dit draagt bij aan bijvoorbeeld:

• De kwaliteit van processen, producten en diensten (ISO 9001).
• De bescherming van vertrouwelijke informatie en gegevens (ISO 27001).
• Milieubeheer, duurzaamheid en naleving van milieuregels (ISO 14001).

Wat is het verschil tussen een basis ISO 27001 training en een Lead Auditor training?

• Basis ISO 27001 training: gericht op het begrijpen van de norm en de belangrijkste onderdelen van een ISMS, zodat je deze in je eigen organisatie kunt toepassen.

• Lead Auditor training: een verdiepende opleiding waarin je leert om volledige audits te plannen, uit te voeren en te rapporteren volgens internationale richtlijnen, inclusief externe certificeringsaudits.

Kortom: de basis training legt de fundamenten van ISO 27001 uit, terwijl de Lead Auditor training je opleidt tot professioneel auditor die organisaties kan beoordelen op hun naleving van de norm.

Een normkennistraining omvat onderwerpen zoals de structuur en inhoud van de ISO-norm. Dan kun je denken aan:

• Kwaliteitsmanagement, procesbenadering, risicobeheer en audits (ISO 9001).
• Principes van informatiebeveiliging, risicobeheer, beveiligingsmaatregelen, audits en certificering (ISO 27001).
• Milieuaspecten en -impact, naleving van wet- en regelgeving, milieubeleid en -doelstellingen, en continue verbetering (ISO 14001).

Medewerkers op alle niveaus binnen een organisatie, inclusief management, kwaliteitsmanagers, auditors, milieucoördinatoren, operationele medewerkers, IT-personeel, informatieveiligheidsfunctionarissen en teamleden, kunnen baat hebben bij een ISO-training, afhankelijk van hun rol en verantwoordelijkheden. 

Wat zijn de voordelen van VCA? Voor veel organisaties en ondernemers is het commercieel voordeel van belang: het certificaat is verplicht, bijvoorbeeld bij een opdracht of aanbesteding. Voor anderen is het certificaat een middel om de veiligheid en gezondheid te borgen binnen de organisatie. De voordelen van VCA certificeren voor je op een rij gezet:

• De commerciële waarde van het veiligheidscertificaat. Het wordt gevraagd vanuit de markt.
• Gecertificeerde bedrijven voldoen voor een gedeelte aan de geldende wet- en regelgeving op Arbo-gebied.
• Verlaging van de (verzuim)kosten.
• Aantonen van een professionele organisatie.

Het belangrijkste doel van VCA: het verhogen van je veiligheidsniveau en het creëren van een structuur waarbij continu verbeteren wordt gestimuleerd. Daarmee worden bedrijfsongevallen beduidend verminderd of zelfs voorkomen. De belangrijkste factor hierin is het meekrijgen van de mensen binnen je organisatie. Hun gedrag is een bepalende factor voor je veiligheids(bewustzijns)niveau. Binnen de VCA norm wordt daarom extra aandacht besteed aan gestructureerd omgaan met veiligheid en gezondheid van o.a. werkprocessen en het veiligheidsbewustzijn binnen alle lagen van je organisatie.

Een VCA-certificaat is doorgaans tien jaar geldig. Na deze periode moet de medewerker opnieuw een VCA-examen afleggen om het certificaat te vernieuwen.

Het hebben van een VCA-certificaat is niet altijd verplicht, maar het wordt sterk aanbevolen in sectoren waar veiligheid en gezondheid van vitaal belang zijn. Veel opdrachtgevers vereisen een VCA-certificaat om de veiligheid op hun projecten te waarborgen.

Wanneer je beschikt over het VCA certificaat toon je aan dat je voldoet aan diverse wettelijke verplichtingen. Denk bijvoorbeeld aan de volgende verplichtingen vanuit de Arbowet:

• Het voorlichten en instrueren van je medewerkers
• Het (laten) keuren van je arbeidsmiddelen
• Het borgen van een veilige werkomgeving

Hierbij ligt de nadruk voornamelijk op de laatste verplichting: het borgen van een veilige werkomgeving.

VCA-certificering toont aan dat een organisatie zich inzet voor veiligheid en gezondheid op de werkplek. Het kan leiden tot een vermindering van ongevallen, verbeterde naleving van regelgeving, en verhoogd vertrouwen bij opdrachtgevers en klanten.

Tijdens de VCA intake kijken we samen naar jouw specifieke situatie. Waarom wil je aan de slag met VCA? Hoe ziet je huidige situatie eruit? Hoe groot is je organisatie en hoe ver ben je al (misschien zonder dat je dit zelf weet)? Indien gewenst helpen we je na de intake met een plan van aanpak en een trajectvoorstel op maat!

Een VCA-training voorziet deelnemers van kennis en vaardigheden met betrekking tot veiligheids- en gezondheidsaspecten op de werkplek. Dit omvat onderwerpen als risicobeheer, noodprocedures, PBM (Persoonlijke Beschermingsmiddelen), en regelgeving.

VCA staat voor Veiligheid, Gezondheid en Milieu Checklist Aannemers. Het is een certificeringssysteem dat gericht is op het verbeteren van veiligheid en gezondheid op de werkvloer. Het certificaat toont aan dat een organisatie voldoet aan de gestelde veiligheidsnormen.

Er zijn verschillende VCA-certificaten beschikbaar, zoals VCA Basis, VCA VOL (Veiligheid voor Operationeel Leidinggevenden), en VCU (Veiligheid en Gezondheid Checklist Uitzendorganisaties). De keuze voor het juiste certificaat hangt af van de rol en verantwoordelijkheden van de medewerker.

Organisaties en werknemers in sectoren waar veiligheid van groot belang is, hebben baat bij een VCA-certificering. Dit omvat onder andere aannemers, bouwbedrijven, installateurs, en industrieën waarin risico's voor veiligheid en gezondheid bestaan.

Ja, volgens de Arbowet moet je aantoonbaar deskundig zijn als je een hoogwerker bedient. Na het succesvol afronden van deze training ontvang je een officieel erkend Hoogwerker certificaat.

Het certificaat is vijf jaar geldig. Daarna moet je een herhalingstraining volgen om je kennis en vaardigheden op peil te houden en het certificaat te verlengen.

De training is bedoeld voor iedereen die tijdens zijn werkzaamheden een hoogwerker gebruikt. Of je nu net begint of al ervaring hebt, deze training helpt je om veilig en efficiënt met een hoogwerker te werken volgens de Arbowetgeving.

De hoogwerker training wordt in nauwe samenwerking uitgevoerd door onze partner ARBO centrum. Jullie kunnen ervoor kiezen om de training op een van de locaties van ARBO centrum te volgen of bij jullie op locatie.

Voor deze training is geen specifieke voorkennis vereist. Daarmee is deze training toegankelijk voor iedereen.

Tijdens de training Aan de Slag met Houding en Gedrag kunnen maximaal 10 personen deelnemen.

De training Aan de Slag met Houding en Gedrag kost €995,- exclusief btw en reiskosten.

Zowel voorafgaand als tijdens de training is er voldoende ruimte om eigen casuïstiek aan te dragen.. De training Aan de Slag met Houding en Gedrag is gericht op de praktijk binnen jouw organisatie. Wij delen met jullie de kennis en de vaardigheden om houding en gedrag te beïnvloeden om zo tot een veilige werkcultuur te komen, vervolgens bespreken we hoe je dit doet in jullie specifieke geval.

Met deze training behaal je geen certificering, maar krijg je wel waardevolle kennis en skills om effectief aan de slag te gaan met certificering voor de Safety Culture Ladder of andere veiligheidscertificeringen.

Er zijn diverse studiematerialen en proefexamens beschikbaar om je voor te bereiden op een VCU-examen. Het volgen van een VCU-training bij een erkende aanbieder is ook een effectieve manier om je kennis te vergroten.

Een VCU-certificaat is doorgaans tien jaar geldig. Na deze periode moet de uitzendorganisatie opnieuw worden beoordeeld om het certificaat te vernieuwen.

Het hebben van een VCU-certificaat is niet altijd verplicht, maar het wordt sterk aanbevolen voor uitzendorganisaties die uitzendkrachten plaatsen bij bedrijven waar veiligheid en gezondheid van vitaal belang zijn. Veel opdrachtgevers vereisen een VCU-certificaat om ervoor te zorgen dat uitzendkrachten veilig kunnen werken.

VCU-certificering toont aan dat een uitzendorganisatie zich inzet voor de veiligheid en gezondheid van uitzendkrachten. Het kan leiden tot een vermindering van ongevallen, verbeterde naleving van regelgeving, en verhoogd vertrouwen bij opdrachtgevers.

Een VCU-training voorziet deelnemers van kennis en vaardigheden met betrekking tot veiligheids- en gezondheidsaspecten op de werkplek voor uitzendkrachten. Dit omvat onderwerpen als risicobeheer, noodprocedures, PBM (Persoonlijke Beschermingsmiddelen), en regelgeving.

VCA richt zich op aannemers en organisaties die werkzaamheden uitvoeren, terwijl VCU specifiek gericht is op uitzendorganisaties die personeel uitlenen aan andere bedrijven. Beide systemen hebben vergelijkbare doelen, namelijk het waarborgen van veiligheid en gezondheid op de werkplek.

VCU staat voor Veiligheid en Gezondheid Checklist Uitzendorganisaties. Het is een certificeringssysteem dat is ontworpen om de veiligheid en gezondheid van uitzendkrachten te waarborgen en te verbeteren. Het richt zich specifiek op uitzendorganisaties die personeel uitlenen aan andere bedrijven

Uitzendorganisaties die personeel uitlenen aan bedrijven waar veiligheid en gezondheid van werknemers van groot belang zijn, hebben baat bij een VCU-certificering. Dit certificaat toont aan dat de uitzendorganisatie voldoet aan de vereiste veiligheidsnormen.

De training duurt 6 dagen, verspreid over 6 weken, waarbij de lesdagen plaatsvinden van 09:00 tot 15:30 uur.

Ja, na afloop van de opleiding leg je een schriftelijk examen af bij CCV. Bij een voldoende resultaat ontvang je het Europees erkende diploma Veiligheidsadviseur ADR, dat 5 jaar geldig is

Op het niet beschikken over een ADR veiligheidsadviseur en het ontbreken van het ADR jaarverslag staan hoge boetes. Deze boetes kunnen worden voorkomen door het inhuren of opleiden van een veiligheidsadviseur.

Het ADR-diploma is 5 jaar geldig. Om het te verlengen, moet je opnieuw een examen afleggen voordat de geldigheid verloopt.

De duur van de training varieert, maar basisopleidingen voor heftrucks duren meestal één tot drie dagen. Voor reachtrucks kan de training langer duren, afhankelijk van de complexiteit. Herhalingstrainingen kunnen vaak in een halve dag afgerond worden.

Ja, doorgaans wordt er na de training een praktisch examen afgenomen om de bekwaamheid van de deelnemer te beoordelen. Dit examen omvat vaardigheidstests en het uitvoeren van typische taken.

Ja, heftruck- en reachtruckcertificaten moeten regelmatig worden vernieuwd, meestal om de drie tot vijf jaar. Dit om ervoor te zorgen dat bestuurders up-to-date blijven met de nieuwste veiligheidsvoorschriften en technologie.

Een heftruck is ontworpen voor het heffen en verplaatsen van zware ladingen op korte afstanden, terwijl een reachtruck specifiek is ontworpen voor het hanteren van ladingen op grote hoogte in smalle gangpaden. Reachtrucks hebben meestal uitschuifbare vorken om de lading naar voren te verplaatsen.

De training omvat onderwerpen zoals het veilig bedienen van de machine, lastbehandeling, onderhoud en inspectie, en het begrijpen van de specifieke kenmerken van heftrucks en reachtrucks.

Het bedienen van heftrucks en reachtrucks zonder de juiste training en certificering kan leiden tot ongevallen, schade aan eigendommen en wettelijke sancties. Het kan ook de veiligheid van werknemers en anderen in gevaar brengen.

Een grondige training vergroot de veiligheid op de werkvloer, minimaliseert het risico op ongelukken en schade aan goederen, en verbetert de efficiëntie van het magazijnbeheer.

Iedereen die een heftruck of reachtruck wil bedienen, inclusief bestuurders, moet een specifieke training volgen om te voldoen aan de wettelijke vereisten en om veilig te kunnen werken.

BHV-training moet periodiek worden herhaald om de kennis en vaardigheden up-to-date te houden. De exacte frequentie kan variëren, maar jaarlijkse herhalingstraining is gebruikelijk.

BHV-training kan gedeeltelijk (theoretisch gedeelte) online worden gevolgd, maar praktische oefeningen en training ter plaatse zijn meestal vereist om de nodige vaardigheden op te doen. Online training kan nuttig zijn voor het opdoen van kennis, maar hands-on oefening is essentieel.

Het niet aanbieden van BHV-training en het niet hebben van bedrijfshulpverleners kan leiden tot wettelijke boetes en kan de veiligheid van werknemers in gevaar brengen.

BHV staat voor Bedrijfshulpverlening. Het is een wettelijk verplichte organisatie binnen bedrijven en organisaties die ervoor zorgt dat medewerkers in staat zijn om adequaat te handelen bij noodsituaties, zoals brand, ongevallen en evacuatie.

Het doel van BHV-training is om medewerkers op te leiden zodat ze snel en effectief kunnen reageren op noodsituaties, levens kunnen redden en de schade bij noodsituaties kunnen beperken.

Een BHV-training omvat meestal onderwerpen zoals levensreddende handelingen, brandbestrijding, ontruiming, communicatie en het gebruik van hulpmiddelen zoals AED's (Automatische Externe Defibrillators).

De taken van een bedrijfshulpverlener omvatten het verlenen van eerste hulp, het bestrijden van beginnende branden, het alarmeren van hulpdiensten en het coördineren van evacuaties in noodsituaties.

Werkgevers zijn wettelijk verplicht om BHV-voorzieningen te hebben en medewerkers op te leiden tot bedrijfshulpverleners. Dit geldt voor alle bedrijven en organisaties, ongeacht de grootte.

Ja, als je organisatie lithiumbatterijen opslaat, moet je vrijwel altijd voldoen aan de PGS 37-richtlijn. Er zijn echter enkele uitzonderingen waarbij een vrijstelling geldt, bijvoorbeeld als de opslag onder een bepaalde hoeveelheid blijft.

Ja, de PGS 37 training kan incompany worden gegeven. Dit betekent dat we de training op locatie bij jouw organisatie verzorgen, bij ons op locatie of bij een partner van ons.

Hoewel er geen wettelijke herhalingsplicht is, raden we aan om de training periodiek te herhalen. Dit helpt om kennis op peil te houden en op de hoogte te blijven van wijzigingen in de regelgeving. Wil je meer weten of direct een training boeken? Neem contact met ons op of vraag een offerte aan!

De training PGS 37 is bedoeld voor personen die te maken hebben met de opslag en verhandeling van lithiumbatterijen en lithiumbatterijen in apparaten

Om je kennis up-to-date te houden en te blijven voldoen aan de wettelijke eisen, is het raadzaam om periodiek een herhalingstraining te volgen.Dit zorgt ervoor dat je op de hoogte blijft van de nieuwste ontwikkelingen en best practices op het gebied van explosieveiligheid.

De ATEX Awareness training Explosieveiligheid (e-learning) is bedoeld voor medewerkers die niet dagelijks met explosieveiligheid (ATEX) werken, maar wel actief zijn in of rondom gebieden met explosiegevaarlijke zones.

ATEX is een Europese richtlijn die staat voor 'Atmosphères Explosibles'.Deze richtlijn is ontworpen om werknemers te beschermen tegen explosiegevaar in omgevingen waar explosieve atmosferen kunnen voorkomen, zoals bij de aanwezigheid van brandbare gassen, dampen of stof.Het naleven van de ATEX-richtlijnen is essentieel voor een veilige werkomgeving en om te voldoen aan wettelijke verplichtingen

Ja, NEN 3140-certificaten moeten regelmatig worden vernieuwd, meestal om de drie jaar. Dit zorgt ervoor dat professionals up-to-date blijven met de nieuwste normen en voorschriften.

NEN 3140 is een Nederlandse norm die betrekking heeft op de veiligheid van elektrische installaties en apparaten. De norm bevat richtlijnen voor inspectie, keuring en het veilig gebruik van elektrische installaties.

Het ontbreken van de juiste certificering kan leiden tot wettelijke sancties en, nog belangrijker, kan de veiligheid van werknemers en anderen in gevaar brengen bij het werken met elektrische installaties en apparaten.

NEN 3140-keuringen worden uitgevoerd door gekwalificeerde inspecteurs en technici die getraind zijn volgens de norm. Deze professionals hebben de nodige kennis en vaardigheden om elektrische installaties en apparaten te beoordelen.

Voorbereiding omvat het opzetten en implementeren van een milieubeheersysteem, het identificeren van milieuaspecten en -impact, het vaststellen van milieubeleid en -doelstellingen, en het documenteren van procedures en processen. 

ISO 14001-certificeringen moeten regelmatig worden vernieuwd, meestal om de drie jaar. Dit vereist een herbeoordeling en audits om de voortdurende conformiteit met de norm te waarborgen.

ISO 14001 is een internationale norm voor milieubeheer. Het biedt organisaties een raamwerk voor het ontwikkelen van een effectief milieubeheersysteem dat helpt bij het identificeren, beoordelen en beheersen van milieu-impact en het naleven van milieuregels. 

ISO 14001-certificering kan bijdragen aan het verbeteren van milieuprestaties, het voldoen aan wettelijke vereisten, het verminderen van milieu-impact, het vergroten van duurzaamheid en het bevorderen van milieubewustzijn.

Het NIS2 Quality Mark zelf is ontstaan naar aanleiding van de Europese NIS2-richtlijn. Het is ontwikkeld door de Stichting Kwaliteitsinnovatie, in samenwerking met brancheorganisaties en cybersecurityspecialisten. Er is géén formeel nationaal accreditatiestelsel (zoals de Raad voor Accreditatie) achter dit keurmerk. In plaats daarvan borgt de Stichting de kwaliteit via een eigen mechanisme: auditoren worden opgeleid en erkend door de Stichting, en er vinden kwaliteitscontroles en steekproeven plaats op uitgevoerde audits. Daarmee ontstaat een robuust, maar ook toegankelijk keurmerk voor de hele toeleveringsketen.

Ja. Voor financiële entiteiten die onder de DORA-verordening vallen (zoals banken, verzekeraars en beleggingsondernemingen) zijn de bepalingen van DORA leidend. Dat betekent dat de zorgplicht, meldplicht en het toezicht uit NIS2 niet nog eens apart gelden. DORA wordt gezien als gelijkwaardig of strenger, zodat dubbele regels worden voorkomen. NIS2 blijft wel relevant voor samenwerking en informatie-uitwisseling tussen bevoegde autoriteiten. Dit staat ook expliciet in de Memorie van Toelichting bij de Cyberbeveiligingswet: “De bepalingen van de Verordening digitale operationele weerbaarheid [...] zijn van toepassing op een groot gedeelte van de financiële sector in plaats van de bepalingen van de NIS2-richtlijn.” Dit betekent dat de bepalingen uit dit wetsvoorstel over de zorgplicht en de meldplicht en het toezicht en de handhaving daarop, niet van toepassing zijn op financiële entiteiten die onder de verordening vallen.

Het overzicht hoeft niet alle leveranciers uit de crediteurenlijst te bevatten. NIS2 gaat expliciet over de ketenverantwoordelijkheid: je moet aantoonbaar grip hebben op de leveranciers die relevant zijn voor de continuïteit en informatiebeveiliging van je organisatie. Denk aan cloudproviders, hosting- en datacenterdiensten, softwareleveranciers en andere partijen die direct impact kunnen hebben op de beschikbaarheid, integriteit of vertrouwelijkheid van je processen. Leveranciers die geen directe rol spelen in die continuïteit, zoals catering of schoonmaak, horen daar niet in, tenzij ze toegang hebben tot kritieke systemen of gegevens. De kunst is dus classificeren: kritisch versus niet-kritisch. Dat vormt de basis voor welke eisen je stelt, welke afspraken je maakt en hoe intensief je monitort. In mijn blog ‘NIS2 ketenverantwoordelijkheid: wat verandert er voor leveranciers én hun klanten?’ leg ik dit uitgebreider uit en laat ik zien waarom ISO 27001 alleen niet voldoende is. NIS2 vraagt namelijk niet om eenmalige checks, maar om een continu proces van inzicht, toetsing en aantoonbare verantwoordelijkheid in de hele keten.

De Wet weerbaarheid kritieke entiteiten (Wwke) is de Nederlandse vertaling van de Europese CER-richtlijn en vult de NIS2/Cyberbeveiligingswet aan. Het verschil zit vooral in de focus: NIS2 richt zich op de digitale weerbaarheid van organisaties, zoals de beveiliging van netwerk- en informatiesystemen, incidentmeldingen, governance en ketenbeheer, terwijl de Wwke gaat over de fysieke en operationele weerbaarheid van kritieke entiteiten, bijvoorbeeld bescherming tegen natuurrampen, sabotage, terroristische dreigingen of gezondheidscrises. De overlap is bewust aangebracht: als een organisatie onder de Wwke als kritieke entiteit wordt aangewezen, valt zij automatisch ook onder NIS2 als essentiële entiteit. Andersom geldt dat niet: een essentiële entiteit onder NIS2 is niet automatisch een kritieke entiteit onder de Wwke. Samen zorgen beide wetten voor een integrale aanpak van weerbaarheid: NIS2 borgt de cyberlaag, de Wwke de fysieke en operationele laag.

De kans dat je toezicht krijgt, hangt sterk af van je rol. Grote en essentiële partijen staan bovenaan de lijst voor actief toezicht. Voor middelgrote organisaties, de belangrijke entiteiten, gaat het vaker om steekproeven en vooral om meldingen die binnenkomen. Maar onderschat de keten niet: klanten in de zorg, overheid of financiële sector gaan hun contracten aanscherpen en bewijs vragen. Dus zelfs zonder dat de toezichthouder direct bij je aanklopt, kan de druk via je klanten toch heel concreet worden.

Begin overzichtelijk. Zet al je leveranciers op een rij en bepaal wie écht belangrijk zijn: partijen met toegang tot je systemen, gevoelige data of kritieke processen. Voor die groep stel je hogere eisen, denk aan extra beveiligingsafspraken, rapportages of zelfs een keurmerk als bewijs. Je hoeft niet alles in één keer dicht te regelen. Start met je grootste drie of vijf leveranciers en werk van daaruit verder. Het belangrijkste is dat je kunt aantonen dat je leveranciersrisico’s structureel meeneemt en niet alleen vertrouwt op een vinklijstje.

De boetes zijn hoog: voor essentiële entiteiten kan het oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet, voor belangrijke entiteiten tot 7 miljoen of 1,4%. Die bedragen zijn bewust fors gekozen. Maar vaak is reputatieverlies nog erger dan de boete zelf: een klant die vertrekt of vertrouwen dat wegvalt kan veel meer kosten. De kern van NIS2 is niet straffen, maar laten zien dat je grip hebt. Wie aantoonbaar bezig is, verkleint zowel de kans op boetes als op reputatieschade.

De AVG gaat primair over persoonsgegevens: hoe die verzameld, verwerkt en beschermd worden. NIS2 kijkt breder: het gaat over de beschikbaarheid en weerbaarheid van essentiële diensten en digitale infrastructuur. Dus niet alleen data, maar ook systemen, processen en ketenafhankelijkheden. Waar een datalek vaak onder de AVG valt, valt een cyberaanval die je dienstverlening stillegt onder NIS2. Beide hebben meldplichten en eisen rond beveiliging, maar de invalshoek is anders: AVG is privacy, NIS2 is continuïteit en digitale weerbaarheid.

Begin met de positieve kant: NIS2 versterkt de organisatie. Het maakt je weerbaarder tegen incidenten, geeft meer vertrouwen bij klanten en ketenpartners en draagt bij aan bedrijfscontinuïteit. Pas daarna benoem je dat er ook een juridische kant is: het bestuur heeft hierin eindverantwoordelijkheid en kan zelfs persoonlijk aangesproken worden als er niet aan de eisen wordt voldaan. Vaak helpt een korte bewustwordingssessie of training om dat inzicht te geven, waarna de verplichte bestuur training volgt.

Volgens officiële bronnen is de implementatie van de Cyberbeveiligingswet (de Nederlandse omzetting van NIS2) nu voorzien in het tweede kwartaal van 2026. Nederland kon de oorspronkelijke deadline van 17 oktober 2024 niet halen. Dus al lijkt “Q2 2026” ambitieus, het is de huidige planning van de overheid.

Het NIS2 Quality Mark (QM) is opgebouwd in drie niveaus: QM10 (Basic), QM20 (Substantial) en QM30 (High). Deze niveaus sluiten aan bij de zwaarte van de risico’s en de eisen uit de NIS2-richtlijn. QM10 bevat de basismaatregelen rond cyberhygiëne en is vooral bedoeld voor het MKB en leveranciers met een relatief laag risicoprofiel. Deze is gebaseerd op de 5 basis principes van het NCSC en DTC. QM20 gaat verder en legt nadruk op samenwerking in de keten, risicobeoordelingen en afspraken met leveranciers. QM30 tenslotte is het hoogste niveau, met strengere eisen zoals onafhankelijke toetsing, cryptografie, cloud- en OT-beveiliging.

Niet elke auditorganisatie mag alle niveaus uitvoeren. Organisaties zoals CAN mogen QM10 en QM20 (bij niet NIS2 plichtige organisaties) auditeren, omdat deze audits door erkende auditorganisaties uitgevoerd kunnen worden die géén Certificerende Instelling (CI) zijn. Voor QM30 ligt dat anders: vanwege de zwaarte en complexiteit van dit niveau is bepaald dat alleen een CI de audits mag uitvoeren en certificeren. Dit verschil is vastgelegd in het Compliance- en Certificeringsschema van het NIS2 QM.

De meldplicht bij NIS2 betekent dat je een significant incident moet melden bij je toezichthouder of CSIRT. Dat doe je in drie stappen: binnen 24 uur een eerste melding of “early warning”, binnen 72 uur een gedetailleerde technische en organisatorische rapportage, en binnen 1 maand een eindrapport met oorzaak, impactanalyse en herstelacties. Een incident is significant als het leidt tot verstoring van essentiële diensten, financiële schade veroorzaakt of (mogelijke) schade bij derden. Ook potentiële impact telt mee, waardoor je vaak sneller moet melden dan je gewend bent. Zie voor een uitwerking en voorbeelden mijn blog “NIS2 meldplicht bij incidenten: wat is een significant incident en hoe richt je je incidentresponse in?”.

Dat verschilt per organisatie. Heb je al ISO27001, dan gaat het meestal om een paar aanvullende maatregelen: procedures voor meldingen, registratie regelen, afspraken met leveranciers. Dat kan vaak met beperkte inspanning. Heb je nog niets, dan ligt er een groter traject: risicoanalyse, beleid opstellen, technische maatregelen invoeren, training organiseren. Maar ook dan kun je gefaseerd werken. Veel organisaties starten met een quickscan of het Control Framework voor de Cyberbeveiligingswet om inzicht te krijgen. Dat voorkomt dat je onnodig veel geld uitgeeft.

De toezichthouder voor NIS2 hangt af van de sector waarin je actief bent. Voor digitale infrastructuur, energie, overheid en aanverwante sectoren is dit de Rijksinspectie Digitale Infrastructuur (RDI). In andere sectoren zijn andere autoriteiten verantwoordelijk, zoals de DNB (financiële sector), ILT (vervoer, drinkwater), NVWA (chemie, voedsel) en IGJ (gezondheidszorg). Deze verdeling is vastgelegd in de nationale implementatie van NIS2 en sluit aan bij bestaande sectorale toezichtkaders. Het volledige overzicht is te vinden in mijn blog “NIS2 meldplicht bij incidenten: wat is een significant incident en hoe richt je je incidentresponse in?”

De NIS2 QM30-audits mogen uitsluitend worden uitgevoerd door erkende Certificerende Instellingen (CI’s), omdat dit hoogste niveau van het NIS2 Quality Mark strengere eisen stelt en extra borging vereist. Waar QM10 en QM20 ook door geautoriseerde auditorganisaties kunnen worden gedaan, is voor QM30 expliciet vastgelegd dat alleen CI’s bevoegd zijn. Voorbeelden zijn o.a. Kiwa en Digitrust, de actuele lijst hiervan wordt gepubliceerd op de officiële site van het NIS2 Quality Mark (zie: Partners - NIS2).

ISO27001 helpt enorm: je hebt al een ISMS en veel maatregelen zijn vergelijkbaar. Maar NIS2 legt nadruk op punten die ISO27001 niet of minder expliciet behandelt, zoals de formele meldplicht (binnen 24 uur eerste melding, 72 uur detailrapport), registratie bij de toezichthouder, actieve betrokkenheid van het bestuur en ketenbeveiliging. Een ISO-certificaat geeft dus een stevige basis, maar niet het hele plaatje. Vaak is een korte toets of gap-analyse genoeg om scherp te krijgen waar nog aanvullingen nodig zijn.

Er zijn diverse studiematerialen en proefexamens beschikbaar om je voor te bereiden op een VCA-examen. Het volgen van een VCA-training bij een erkende aanbieder is ook een effectieve manier om je kennis te vergroten.

Een NEN 3140 Voldoende Onderricht Persoon (VOP) training is over het algemeen korter dan een NEN 3140 Vakbekwaam Persoon (VP) training, omdat VOP's een beperktere scope hebben in hun verantwoordelijkheden met betrekking tot elektrische installaties en apparatuur.  

Een typische NEN 3140 VOP-training kan variëren van een halve dag tot één dag. Het omvat meestal basisinformatie over elektrische veiligheid, de risico's van elektriciteit, het herkennen van gevaarlijke situaties en het nemen van passende veiligheidsmaatregelen. VOP's leren ook hoe ze elektrische apparaten op een veilige manier kunnen gebruiken en hoe ze defecten moeten melden. 

Het is belangrijk op te merken dat VOP's niet bevoegd zijn om inspecties, reparaties of ingrijpende werkzaamheden aan elektrische installaties uit te voeren. Ze hebben een beperkte rol en verantwoordelijkheid met betrekking tot elektrische veiligheid.

De duur van een NEN 3140 VP-training kan variëren, afhankelijk van verschillende factoren, waaronder de opleidingsaanbieder, het niveau van voorkennis van de deelnemers en de specifieke behoeften van de organisatie. Over het algemeen duren NEN 3140 VP-trainingen meestal 1-2 dagen. Hier zijn enkele factoren die van invloed kunnen zijn op de duur van de training: 

1. Voorkennis: De duur van de training kan variëren op basis van de voorkennis en ervaring van de deelnemers. Als de deelnemers al enige kennis en ervaring hebben met elektrische installaties en veiligheid, kan de training mogelijk korter zijn.

2. Trainingsschema: Sommige aanbieders bieden intensieve trainingen die gedurende een kortere periode worden gegeven, terwijl andere de voorkeur geven aan trainingssessies verspreid over meerdere dagen.

3. Praktische oefeningen: Trainingen kunnen ook praktische oefeningen en praktijktesten omvatten om de bekwaamheid van de deelnemers te evalueren. Dit kan de duur van de training verlengen.

Binnen NEN 3140 wordt onderscheid gemaakt tussen twee belangrijke rollen: Vakbekwaam Persoon (VP) en Voldoende Onderricht Persoon (VOP). Hier is het verschil tussen NEN 3140 VP en NEN 3140 VOP: 

NEN 3140 Vakbekwaam Persoon (VP): 

1. Definitie: Een Vakbekwaam Persoon (VP) is een persoon met de benodigde kennis, ervaring en competentie om elektrische werkzaamheden en inspecties uit te voeren aan elektrische installaties en apparatuur. VP's moeten specifieke training en certificering hebben volgens de NEN 3140-norm.

2. Verantwoordelijkheden: VP's hebben de bevoegdheid om elektrische installaties te inspecteren, elektrische metingen uit te voeren, fouten te identificeren en te verhelpen, en om te gaan met elektrische storingen en incidenten. Ze zijn bevoegd om werkzaamheden aan elektrische installaties uit te voeren.

3. Certificering: VP's moeten over de juiste certificering en training beschikken om aan de norm te voldoen. Ze moeten regelmatig hun kennis en vaardigheden bijwerken en kunnen inspecties en reparaties uitvoeren.

NEN 3140 Voldoende Onderricht Persoon (VOP):  

1. Definitie: Een Voldoende Onderricht Persoon (VOP) is een persoon die voldoende kennis en instructie heeft ontvangen om veilig te kunnen werken met elektrische installaties en apparatuur, maar die niet dezelfde mate van gespecialiseerde training en certificering heeft als een VP.

2. Verantwoordelijkheden: VOP's hebben beperktere bevoegdheden dan VP's. Ze mogen geen inspecties uitvoeren of reparaties aan elektrische installaties verrichten. Hun rol is doorgaans beperkt tot het veilig bedienen en gebruikmaken van elektrische apparatuur, het melden van defecten en het nemen van basisveiligheidsmaatregelen.

3. Certificering: Er is geen specifieke certificering vereist voor VOP's volgens de NEN 3140-norm. Ze moeten echter wel voldoende onderricht zijn in elektrische veiligheidsprocedures en op de hoogte zijn van de geldende veiligheidsvoorschriften.

In het kort, het belangrijkste verschil tussen een NEN 3140 Vakbekwaam Persoon (VP) en een Voldoende Onderricht Persoon (VOP) ligt in hun kennisniveau, training en bevoegdheden met betrekking tot elektrische installaties en apparatuur. VP's hebben meer gespecialiseerde training en kunnen inspecties en reparaties uitvoeren, terwijl VOP's basiskennis hebben voor veilig gebruik, maar beperkte bevoegdheden hebben. De keuze tussen VP en VOP hangt af van de specifieke rol en verantwoordelijkheden van een individu binnen een organisatie. 

De training omvat onderwerpen zoals de inhoud van de NEN 3140-norm, elektrische gevaren, inspectieprocedures, en veilig werken met elektrische installaties en apparaten.

Een NEN 3140-training vergroot de kennis en bewustwording van elektrische veiligheid, minimaliseert het risico op elektrische ongevallen en helpt bij het voldoen aan de wettelijke vereisten.

Medewerkers die betrokken zijn bij elektrische installaties en apparaten, zoals elektromonteurs, technisch beheerders en inspecteurs, moeten NEN 3140-training volgen. Dit is ook relevant voor werkgevers die verantwoordelijk zijn voor elektrische veiligheid.

Wanneer je een managementsysteem inricht, bijvoorbeeld ten behoeve van een bepaalde norm, dan heeft dat een heleboel voordelen voor je organisatie:

• Aantoonbare kwaliteit op een bepaald gebied (bijv. informatiebeveiliging of veiligheid)
• Hogere klanttevredenheid
• Hogere medewerkersbetrokkenheid
• Kostenbesparing

Een KAM Coördinator is een interne medewerker, terwijl KAM consultants van buitenaf worden ingehuurd om specialistische kennis en ervaring te bieden.

De kosten hangen af van de duur en intensiteit van de inzet. Soms is een paar uur per week al voldoende, soms is structurele inzet gewenst. Neem contact met ons op voor een voorstel op maat.

KAM consultants zijn externe adviseurs die organisaties ondersteunen op het gebied van kwaliteit, arbo & veiligheid en milieu.

Er zijn tal van managementsystemen. Hieronder de meest gangbare c.q. bekende op een rijtje gezet:

• ISO 9001 - Kwaliteitsmanagementsysteem
• ISO 27001 - Informatiebeveiligingsmanagementsysteem (ISMS)
• ISO 14001 - Milieumanagementsysteem
• ISO 22000 - Voedselveiligheidsmanagementsysteem
• ISO 45001 - Veiligheidsmanagementsysteem
• ISO 50001 - Energiemanagementsysteem
• VCA - Veiligheidsmanagementsysteem (of handboek)
• Etc.

Alleen het behalen van een ISO 27001-certificaat is geen garantie voor volledige informatiebeveiliging. ISO 27001 is een praktisch hulpmiddel om de informatiebeveiliging binnen jouw organisatie in kaart te brengen en continu te verbeteren. Het is essentieel om de maatregelen daadwerkelijk te implementeren en naleving te waarborgen. Een onafhankelijke Certificerende Instantie (CI) beoordeelt of je de richtlijnen van de ISO 27001-norm correct toepast en hebt geborgd binnen je informatiebeveiligingsmanagementsysteem (ISMS).

NEN 7510 is specifiek toegespitst op de zorgsector en bevat aanvullende eisen die niet in ISO 27001 staan. Hoewel beide normen gericht zijn op informatiebeveiliging, houdt NEN 7510 expliciet rekening met medische gegevens, patiëntrechten en specifieke risico’s binnen de zorg.

Wanneer je  het VCA certificaat wilt behalen, ontkom je er niet aan om in jouw dagelijkse werk bewust rekening te houden met de veiligheid van je medewerkers, inhuurkrachten en onderaannemers. In onze aanpak proberen wij vooral een praktische invulling te geven aan alle eisen vanuit de VCA norm.

Wanneer je het VCA certificaat wilt behalen, ontkomt je er niet aan om in uw dagelijkse werk bewust rekening te houden met veiligheid. In onze aanpak proberen wij vooral een praktische invulling te geven aan alle eisen vanuit de VCA norm.

Officieel geldt een bewijsperiode van 3 maanden, voordat je conform ISO 9001 kunt certificeren. Als je dit traject wilt versnellen zullen we vooraf afspraken moeten maken met een Certificerende Instantie.

Alleen het beschikken over een ISO 9001 certificaat is geen garantie voor succes. ISO 9001 is een praktisch hulpmiddel om jouw organisatie in kaart te brengen en te verbeteren. je moet dit uiteraard wel in de praktijk brengen. Een onafhankelijke Certificerende Instantie (CI) toetst of je de uitgangspunten van de ISO 9001 norm goed in de praktijk brengt en geborgd hebt in jouw kwaliteitssysteem.

Officieel geldt een bewijsperiode van 3 maanden voordat je kunt certificeren conform VCU. Als je dit traject wilt versnellen zullen we vooraf afspraken maken met een Certificerende Instantie.

Officieel geldt een bewijsperiode van 3 maanden voordat je kunt certificeren conform VCA. Als je dit traject wilt versnellen zullen we vooraf afspraken maken met een Certificerende Instantie.

Officieel geldt een bewijsperiode van 3 maanden voordat je VCA 2 sterren kan behalen. Als je dit traject wilt versnellen zullen we vooraf afspraken maken met een Certificerende Instantie.

Ja, het is mogelijk om binnen 3 maanden het SCL-certificaat te behalen, maar het hangt vooral af van jullie huidige volwassenheid op het gebied van veiligheid en hoe snel de interne stappen op het gebied van veiligheidsbewustzijn gemaakt kunnen worden.

1. Je kiest pakket brons
2. Wij nemen spoedig telefonisch contact op en bespreken je situatie en behoefte
3. Wij stellen een opdrachtbevestiging en factuur op welke per mail worden toegestuurd
4. Je retourneert de getekende opdrachtbevestiging
5. Na betaling van de factuur, stellen wij een framewerk van het systeem op
6. Wij mailen het framewerk inclusief instructie
7. Je hebt een adviesgesprek met onze adviseur waarin de norm van je keuze, de toepassing ervan binnen je organisatie en een plan van aanpak wordt besproken
8. Je kunt direct aan de slag met je eigen certificeringstraject. Voor vragen en hulp kun je terecht bij de adviseur
9. Je certificeert voor de norm van je keuze

1. Je kiest pakket goud
2. Wij nemen spoedig telefonisch contact op en bespreken je situatie, behoeften en wensen. Indien gewenst plannen we een vrijblijvende kennismaking in met onze salesmanager.
3. We stellen een offerte op maat op welke per mail wordt toegestuurd.
4. Je retourneert de getekende offerte
5. Wij voeren de activiteiten uit zoals overeengekomen in de offerte. Waar mogelijk maken wij gebruik van concrete actielijsten om het traject zo helder en efficiënt mogelijk uit te voeren.
6. Je certificeert succesvol voor de norm van je keuze.

1. Je kiest pakket zilver
2. Wij nemen spoedig telefonisch contact op en bespreken je situatie en behoefte
3. Wij stellen een opdrachtbevestiging en factuur op welke per mail worden toegestuurd
4. Je retourneert de getekende opdrachtbevestiging
5. Na betaling van de factuur, stellen wij een framewerk van het systeem op
6. In overleg met onze adviseur worden alle afspraken ingepland in de agenda
7. Wij mailen het framewerk inclusief instructie
8. Je hebt een adviesgesprek met onze adviseur waarin de norm van je keuze, de toepassing ervan binnen je organisatie en een plan van aanpak wordt besproken. Tijdens dit bezoek en vervolgbezoeken, worden specifieke onderwerpen van de norm besproken en de praktische toepassing ervan binnen jouw organisatie. Acties worden vastgelegd in een actielijst. De door jou uitgevoerde werkzaamheden worden voorzien van feedback.
9. Aan de hand van de actielijst werk je concreet toe richting het moment waarop jouw organisatie gereed is voor certificering.
10. Voor certificering voeren wij een interne audit uit op de belangrijkste onderdelen van het systeem en de praktijk. Hierbij stellen wij vast of deze geheel voldoen aan de norm.
11. Je voert zelf een aantal audits uit op de overige onderdelen van het systeem en de praktijk.
12. Voor vragen en hulp na de interne audit kun je terecht bij de adviseur.
13. Je certificeert voor de norm van je keuze.

Het veiligheidsladdercertificaat is vooral bedoeld voor bedrijven die risicovolle werkzaamheden uitvoeren, begeleiding en/of samenwerken met onderaannemers. Sectoren als bouw, infra, installatie, energie en industrie komen hier het vaakste naar voren.

• Bij de bouwsector is er minimaal een trede 3 verplicht zodra het project wordt aangemeld bij de Governance Code Veiligheid in de Bouw (GCVB).
• Het is geschikt voor een organisatie met tussen de 5 en 50 medewerkers, dit is inclusief onderaannemers/ZZP’ers. Is je organisatie groter, dan is de SCL Light geschikter.

Jouw opdrachtgevers zijn hoofdzakelijk bedrijven welke VCA-gecertificeerd zijn en werkzaamheden uitvoeren met verhoogd risico. Het betreffen opdrachtgevers welke actief zijn in de bouw, elektrotechniek, civiele techniek, werktuigbouwkunde en aanverwante branches.

NEN 7510 helpt zorgorganisaties om gevoelige patiëntgegevens beter te beveiligen en risico’s op datalekken te minimaliseren. Daarnaast is certificering vaak een vereiste bij samenwerkingen met zorgverzekeraars en andere partijen, omdat het aantoont dat de organisatie voldoet aan de wettelijke en branchegerichte eisen voor informatiebeveiliging.

• Met een VCA bedrijfscertificaat toon je als bedrijf aan dat je bewust bezig met veiligheid op de werkvloer. Een dergelijk certificaat wordt vaak als voorwaarde gesteld voor een opdracht of aanbesteding.
• Met een VCA persoonscertificaat toont jouw medewerker aan dat hij of zij een opleiding heeft gehad omtrent veilig werken. Om het VCA bedrijfscertificaat te behalen moeten al jouw medewerkers (welke langer dan 3 maanden in dienst zijn) beschikken over een VCA persoonscertificaat.
• CertificeringsAdvies Nederland verzorgt zelf ook opleidingen voor VCA persoonscertificeringen

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm stelt eisen aan het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntgegevens. De norm is bedoeld voor zorginstellingen, IT-leveranciers en andere organisaties die werken met medische informatie.

Om zelf alvast aan de slag te gaan met de veiligheidsladder, kun je het beste focussen op volgende punten:

- Documentatie op orde maken

o RI&E (Risico-Inventarisatie & -Evaluatie) + plan van aanpak

o VGM-beleid / HSE-beleid

o Incidentenregistratie & verbeteracties

o Toolboxen / veiligheidsinstructies

- Het veiligheidsbewustzijn in kaart brengen en waar kan verbeteren

o (On)veilig gedrag zichtbaar maken;

o Communicatie verbeteren;

o Medewerkers betrekken dat de organisatie bezig is met de veiligheidsladder, zo gaat het intern leven

De eisen welke de VCU norm stelt aan jouw processen komen tijdens het begeleidingstraject aan de orde. Je dient uiteraard de specifieke VCU elementen in de praktijk uit te voeren. Daarnaast dienen alle intercedenten, welke langer dan 3 maanden in dienst zijn, te beschikken over een VCU-VIL opleiding.

Om ISO 27001-certificering te behalen, moet je:

• Scope bepalen – Vaststellen welke informatie en processen onder de norm vallen.
• Risico’s analyseren – Identificeren van bedreigingen en kwetsbaarheden.
• Beheersmaatregelen implementeren – Opstellen en uitvoeren van een informatiebeveiligingsbeleid.
• Interne audits uitvoeren – Controleren of de maatregelen effectief zijn.
• Externe audit laten doen – Certificerende instantie beoordeelt of je voldoet aan de norm.

CAN klein bedrijf helpt je hierbij met praktische ondersteuning!

Je moet een kwaliteitssysteem opzetten waarin alle processen zijn vastgelegd die van belang zijn om de afspraken die je gemaakt hebt met je opdrachtgever(s) na te komen. We maken hierbij onderscheid tussen:

• A: Sturende processen
• B: Kernprocessen
• C: Ondersteunende processen

Bij de veiligheidsladder wordt er niet alleen gekeken naar formele procedures, maar juist ook naar zichtbaar veilig gedrag en bewustzijn. Dit wil je binnen de gehele organisatie verbeteren door veiligheid te verankeren in de cultuur, houding en gedrag.

Het is belangrijk dat je tijdens het aannemen van nieuwe opdrachten en het werven van kandidaten rekening houdt met de risico’s welke de nieuwe opdracht met zich meebrengt. Je moet de medewerker vooraf goed instrueren en gedurende de uitvoering van de opdracht regelmatig controleren. In onze aanpak proberen wij vooral een praktische invulling te geven aan alle eisen vanuit de VCU norm.

ISO 27001 biedt organisaties vele voordelen op gebied van informatiebeveiliging en bedrijfsvoering:

• Effectieve beveiliging van gevoelige informatie
• Versterking van het professionele imago
• Concurrentievoordeel en onderscheidende marktpositie
• Aantrekkelijkheid voor overheidsopdrachten
• Naleving van wet- en regelgeving
• Minder risico op hoge kosten als gevolg van schade

De certificering begint met een risicoanalyse en het opzetten van een informatiebeveiligingsmanagementsysteem (ISMS). Vervolgens worden beheersmaatregelen geïmplementeerd, interne audits uitgevoerd en wordt een externe audit door een certificerende instantie gepland. Bij een positieve beoordeling ontvangt de organisatie het certificaat.

Voorwaarden om in aanmerking te komen voor een brons, zilver of goud pakket voor kleine bedrijven:

• Je organisatie bestaat maximaal uit 15 fte (inclusief ingehuurde ZZP’ers);
• Er is maximaal één vaste kantoorlocatie;
• Er is sprake van een eenvoudige en overzichtelijke bedrijfsvoering. Bij twijfel gaan we hierover met elkaar in gesprek, zodat bepaald kan worden of hier daadwerkelijk sprake van is;
• Je organisatie is in bezit van een actuele en getoetste risico-inventarisatie en evaluatie (RIE). Mocht dit niet het geval zijn, dan kan CertificeringsAdvies Nederland dit tegen meerprijs verzorgen.

Je moet uiteraard zelf de specifieke VCA eisen in de praktijk uitvoeren. Het belangrijkste is dat jouw gereedschappen gekeurd zijn en dat je een VGM-RIE heeft laten uitvoeren. Mocht je nog geen VGM-RIE hebben, kunnen wij dit ook voor jou verzorgen. Je kunt dit ook laten doen door jouw brancheorganisatie of arbodienst.

De voordelen van het veiligheidsladdercertificaat zijn zowel praktisch, commercieel als intern van aard. Concreet gaat het om de volgende punten:

o Sterkere veiligheidscultuur & minder incidenten;

o Concurrentievoordeel bij aanbestedingen/opdrachtgevers;

o Betere interne communicatie & samenwerking;

o Meer bewustzijn en verantwoordelijkheid bij medewerkers.

• Het binnenhalen van opdrachten / aanbestedingen waar ISO 9001 een vereiste voor is
• Inzicht in de interne processen en prestaties van jouw organisatie
• Een basis voor optimalisatie van je interne organisatie
• Verhoging van de efficiency
• Problemen en verbeterpunten worden snel geïdentificeerd en bij de bron aangepakt
• Verhoging van de tevredenheid van jouw klanten

• Een grotere kans op opdrachten
• Je toont aan dat je veiligheid belangrijk vindt
• Je gaat beheerst om met de risico’s van jouw werk
• Kleinere kans op ongevallen

• Een grotere kans op opdrachten
• Je toont aan dat jij veiligheid belangrijk vindt
• Je gaat beheerst om met de risico’s van jouw werk
• Kleinere kans op ongevallen

De kosten voor een E-learning op maat kunnen erg van elkaar verschillen. Dit hangt namelijk af van enkele factoren zoals de grootte van het project en de specifieke eisen.

Wij kunnen veel verschillende typen E-learnings maken. Wij zijn namelijk experts op het gebied van Kwaliteit, Arbo & Veiligheid, Milieu, Voedselveiligheid en Informatiebeveiliging. Binnen deze thema's kunnen veel verschillende zaken vallen. Van onboarding spellen tot poortinstructies en van werkinstructies tot bewustwordingstrajecten, veel zaken hebben raakvlak met deze thema's. Neem gerust contact met ons op over jouw wensen.

Online leren heeft meerdere voordelen ten opzichte van klassikaal leren:

1. Je hebt direct inzicht in de resultaten en de voortgang van elke werknemer
2. Je kan leren waar en wanneer je wilt. Dus op het tijdstip dat jouw het beste uitkomt
3. De resultaten zijn beter dankzij betere herhaling
4. Het bespaart op den duur tijd en geld
5. Er is meer maatwerk mogelijk

E-learnings op maat zijn een bewezen effectief middel om leerdoelen te behalen. De betrokkenheid van medewerkers zal hoger zijn omdat de relevantie hoger is aangezien de E-learning is gespecificeerd op hun eigen werkomgeving en hun eigen leerdoelen. Dit zal ook leiden tot een hogere effectiviteit van de training. Daarnaast hebben E-learnings op maat ook een beter effect op bewustwordingstrajecten en gedragsverandering.

• Met certificaat
• Het eerste jaar een volledige audit
• Het tweede en derde jaar een 40% audit
• SCL vragenlijst (SAQ) is niet verplicht

• Document waarin staat dat de juiste stappen zijn uitgevoerd voor een self assessment
• Eerste jaar self assessment
• Tweede en derde jaar check op actieplan
• SCL vragenlijst (SAQ) verplicht

• Statement met trede-indicatie (geen certificaat)
• Eerste jaar 40% audit
• Tweede en derde jaar check op het actieplan
• SCL vragenlijst (SAQ) verplicht

• Met certificaat
• 3 jaar lang volledige audit
• SCL vragenlijst (SAQ) is niet verplicht

ISO 9001-certificeringen moeten regelmatig worden vernieuwd, meestal om de drie jaar. Dit vereist een herbeoordeling en audits om de voortdurende conformiteit met de norm te waarborgen.

Tijdens de ISO 9001 intake kijken we samen naar jouw specifieke situatie. Waarom wil je aan de slag met ISO 9001? Hoe ziet je huidige situatie eruit? Hoe groot is je organisatie en hoe ver ben je al (misschien zonder dat je dit zelf weet)? Indien gewenst helpen we je na de intake met een plan van aanpak en een trajectvoorstel op maat!

Een generieke phishing-mail wordt verstuurd naar willekeurige mailadressen. De verzender heeft niet uitgezocht wie de ontvangers zijn. De aanhef is dan vaak ook niet persoonlijk, maar algemeen (bijvoorbeeld ‘beste heer/mevrouw’). Je hebt vast al wel eens zo’n mail gehad, misschien zelfs van een organisatie waar je helemaal geen klant bent of zaken mee doet. De verzender probeert te vissen (phishing) naar gevoelige informatie of een betaalopdracht.

In een phishing-mail wordt vaak één of meerdere van de volgende acties gevraagd:

• Geld overmaken
• Inloggen op een website of het sturen van persoonlijke gegevens
• Openen van een bijlage of klikken op een link
• Reageren op de mail
• Snel te handelen

Bij deze manier van phishing ontvangen slachtoffers een e-mail waarin wordt beweerd dat hun computer is gehackt en dat de oplichter intieme opnamen van hen heeft verkregen. Sommige versies bevatten een bestaand wachtwoord van het slachtoffer voor een online account (deze is dan verkregen door een eerder datalek), of de mail lijkt te zijn verzonden vanaf het eigen e-mailadres van het slachtoffer.

De oplichter beweert in de mail toegang te hebben tot de contactenlijst van het slachtoffer en dreigt de beelden naar deze contacten te sturen, tenzij er een betaling wordt gedaan (vaak via Bitcoin). Deze beelden zijn natuurlijk nooit gemaakt, dus ga er dan ook niet op in!

Bij smishing ontvangt het slachtoffer een sms uit naam van bijvoorbeeld een bank, postbedrijf of een overheidsinstantie, met de mededeling dat de bankpas is geblokkeerd, je een bestelling moet bevestigen of je je gegevens moet verifiëren. Er zit een link in het bericht waarmee je zogenaamd de blokkade kan opheffen of de actie kan uitvoeren. Je komt daarmee bijvoorbeeld op een site waar je betaalgegevens invoert, maar daarmee krijgen de criminelen toegang tot jouw internetbankieren-gegevens; vaak proberen ze daarna je rekening te plunderen!

Een ander bekend voorbeeld is een WhatsApp-bericht van een zogenaamd familielid met een nieuw telefoonnummer. Diegene vraagt vaak om even snel wat geld nodig over te maken voor een openstaande rekening of boete.

Helaas trappen hier nog altijd veel mensen in, die uit goed vertrouwen geld overmaken naar iemand die ze denken te kennen. Criminelen halen namelijk vaak informatie als namen, profielfoto's en telefoonnummers van sociale media of andere plekken op het internet, waardoor het net echt kan lijken.
Omdat deze twee vormen van phishing vooral in de privésfeer gebruikt worden, en niet op de werkvloer, gaan we er in de rest van deze training niet verder op in.

Bij 'spearphishing' zijn de cybercriminelen een stuk beter voorbereid te werk gegaan. Het is een gerichte aanval. Het zit 'm al in de naam: speervissen.

De verzender heeft zich al verdiept in het werk, de functie of de persoonlijke situatie van de ontvangers, door bijvoorbeeld informatie van de bedrijfswebsite of social media-profielen te halen. Ook kunnen ze persoonlijke informatie hebben gebruikt die bij eerdere datalekken op straat is komen te liggen. De crimineel doet zich voor als iemand die je kent of vertrouwt, waardoor je veel eerder geneigd bent om op het verzoek in te gaan. Ze kunnen zelfs hun verzend-adres vervalsen, waardoor het lijkt alsof het bericht van een bekend mailadres komt. Deze techniek heet e-mailspoofing.

Een specifiek voorbeeld hiervan is CEO-fraude. Door e-mailspoofing kan het lijken alsof je een mail van je directeur ontvangt, waarin je gevraagd wordt om even snel geld over te maken of vertrouwelijke gegevens te sturen.

Vishing, of 'voice-phishing', is een brutale vorm van phishing waarbij een crimineel belt naar het slachtoffer. De gegevens heeft de crimineel gevonden op sociale media of op de bedrijfswebsite.

De crimineel doet zich bijvoorbeeld voor als medewerker van de IT-helpdesk van het bedrijf en vraagt het slachtoffer even mee te werken aan een systeem-update. Daarvoor moet het slachtoffer naar een website gaan en inloggegevens invoeren. De crimineel krijgt vervolgens toegang tot het bedrijfsnetwerk, met alle gevolgen van dien...

Een moeilijk te kraken wachtwoord bevat ten minste twaalf tekens; liefst in een zin

Een goed wachtwoordbeleid stelt dat een nieuw wachtwoord niet gemakkelijk van het vorige wachtwoord af te leiden mag zijn (bijvoorbeeld Welkom01 veranderen in Welkom02). Een wachtwoord mag daarnaast niet gelijk aan of afgeleid zijn van de bijbehorende accountnaam.

Het wachtwoord is een mix van ten minste één hoofdletter, één kleine letter, één cijfer en/of één speciaal teken - als !,#,@

Sla wachtwoorden niet op in een (onbeveiligd) document of zonder versleuteling in je browser. Maak juist gebruik van een wachtwoordmanager

Vermijd het gebruik van standaard veelgebruikte wachtwoorden (1234, qwerty, abcdefghijklm, admin, Welkom), ook niet gedeeltelijk!

Gebruik in je wachtwoord geen bedrijfs- of persoonlijke informatie, zoals je naam, organisatienaam, je adres, geboortedatum of die info van je partner, kinderen of huisdier

Het wachtwoord moet na een bepaalde periode (bijv. na 1 jaar) worden aangepast

Beschouw alle wachtwoorden als gevoelige informatie; deel ze niet met collega's, familieleden of andere relaties, óók niet in geval van verlof of ziekte!

Het gebruik van dezelfde wachtwoorden voor werk en privé is niet toegestaan

Deze regel kent iedereen wel, maar wordt ook het vaakst vergeten of genegeerd! We noemen hem daarom in het kader van bewustwording graag nog eens: Laat je mobiele apparaat niet achter op een onbeheerde plek (zoals een garderobe) of in je auto.

Het risico dat je loopt met het uitlenen van je apparaat is hetzelfde als wanneer je je wachtwoord deelt met collega’s. Er zijn verschillende redenen waarom je een device niet moet uitlenen:

• Autorisatie: ze krijgen toegang tot alles in jouw werkaccount en mail en zien hierdoor misschien informatie die niet voor hen bestemd is.
• Wetgeving: het is vanuit de AVG-wetgeving in veel gevallen niet toegestaan om persoonsgegevens te verwerken of in te zien. De collega die jouw apparaat leent krijgt deze persoonsgegevens misschien wel te zien.
• Wijzigingen: wanneer jouw collega een wijziging doorvoert in bepaalde gegevens dan kan jouw naam hieraan gekoppeld zijn in de bestandsgeschiedenis. Hierdoor is niet te achterhalen wie de wijziging nu daadwerkelijk heeft doorgevoerd.

Het werken met bestanden via internet – ook wel werken in de cloud genoemd – tackelt een aantal problemen aan de ene kant, en brengt ook nog voordelen met zich mee. Enkele voorbeelden van een online cloud-omgeving zijn Apple iCloud, Google Drive, Microsoft OneDrive en Dropbox.

Bij sommige organisaties is het niet mogelijk om – zonder toestemming van een beheerder – willekeurige programma's te downloaden en te installeren. Alleen vooraf goedgekeurde software mag dan gedownload en geïnstalleerd worden. Soms kan ook om een beheerderwachtwoord worden gevraagd als je iets probeert te installeren op je apparaat.

Dit is niet om jou het leven lastig te maken, maar om de informatie binnen de organisatie te beschermen. Corrupte software binnen het bedrijfsnetwerk kan namelijk een flinke bedreiging vormen voor bedrijfs- en klanteninformatie.

De belangrijkste reden om de nieuwste updates te downloaden en te installeren op je apparaat is om beschermd te blijven tegen beveiligingsrisico’s. Verouderde software maakt het voor cybercriminelen namelijk makkelijker om in te breken

Sommige organisaties hebben een andere manier om gegevens veilig op te slaan. Níet op je eigen apparaat, ook niet in de cloud, maar via een tussenoplossing, namelijk op een netwerkschijf op je werklocatie. Dit noemen we ook wel 'on-site' of 'on-premises'. Dit betekent dat de informatie wordt opgeslagen op een fysieke plek op je kantoor. Dit kan een klein computerkastje zijn, maar andere organisaties hebben een ruimte vol met supercomputers staan!

Zit er een alarminstallatie op het pand waar je werkt? Super! Maar ben je als medewerker dan ook verantwoordelijk voor het activeren van het alarm als de laatste persoon naar huis gaat?

Als dat zo is, zorg er dan voor dat je weet hoe het werkt. Is het je niet (goed) uitgelegd toen je in dienst kwam, of weet je niet meer precies hoe het zat, ga dan zelf actief op zoek naar de informatie die je nodig hebt om het alarm te kunnen (de-)activeren.

Veel organisaties maken gebruik van toegangspasjes of badges om medewerkers toegang te geven tot het pand, én tot bepaalde ruimtes en gebieden binnen dat pand. Waar je toegang toe hebt binnen het pand kan afhankelijk zijn van je functie.

Elke medewerker heeft toegang tot bijvoorbeeld het gebied bij de receptie, de toiletten en de kantine. Maar er zijn maar een paar mensen die toegang zouden mogen hebben tot een serverruimte of de plek waar financiële gegevens worden bewaard.

Met behulp van een zoneplan kan in kaart worden gebracht welke functies of rollen toegang mogen hebben tot welke ruimten. De toegangsbadges of tokens worden aan de hand van dat plan ingeregeld.

Het is belangrijk om bezoekers niet alleen te laten maar ze te begeleiden van de plek waar ze binnenkomen tot de plek van hun afspraak. Als ze even moeten wachten, zorg dat ze op een plek zitten waar jij of je collega’s zicht op ze hebben. Ze mogen zeker nóóit in hun eentje door het pand struinen!

Er kan eventueel een bezoekerspas worden meegegeven, zodat het voor iedereen zichtbaar is dat het een extern persoon betreft. Als de bezoeker het pand weer verlaat, wordt de pas teruggenomen en dat tijdstip ook weer genoteerd.

We hoeven je niet te vertellen dat deuren en ramen dicht en op slot moeten als de laatste persoon naar huis gaat. Toch is het handig om dit nog aan te stippen. Ben jij de laatste in het pand en is er geen nachtbewaking of schoonmaakdienst die hiervoor zorgdraagt? Controleer dan nogmaals alle ramen en deuren, ook al wil je graag weg.

Misschien had je dit onderwerp niet verwacht, maar ook afgesproken kantooruren behoren tot het waarborgen van informatiebeveiliging. Toegang tot het bedrijfspand búiten kantooruren kan tot allerlei lastige kwesties zorgen. Te denken valt aan problemen met het alarmsysteem, dat misschien onbedoeld afgaat en/of niet opnieuw wordt geactiveerd. Daarnaast speelt ook je eigen veiligheid een rol, omdat vaak de bedrijfshulpverlening in geval van nood er niet op voorbereid is. Wie helpt je als je buiten kantooruren flauwvalt (of erger)?

Wij helpen je met het opstellen van een volledig en actueel overzicht, afgestemd op je branche, normen en activiteiten. Dit overzicht wordt structureel bijgewerkt.

Ja. Wij zorgen dat compliance naadloos aansluit op je huidige managementsysteem en certificeringsaanpak, zonder overbodige complexiteit.

Nee, ook organisaties die nog niet gecertificeerd zijn, kunnen bij ons terecht. We helpen je met een goede basis, zodat je klaar bent voor certificering.

Compliance beperkt risico’s, waarborgt continuïteit en versterkt het vertrouwen van klanten, medewerkers en toezichthouders. Het is bovendien vaak een voorwaarde voor certificering en het behoud daarvan.

Een digitaal register geeft je direct inzicht in welke wet- en regelgeving geldt, hoe je hieraan voldoet en welke acties openstaan. Het is altijd actueel en voorkomt dat informatie verspreid of verouderd raakt.

ABDO (Algemene Beveiligingseisen voor Defensieopdrachten) is specifiek gericht op beveiligingseisen voor bedrijven die opdrachten uitvoeren voor Defensie.ABRO (Algemene Beveiligingseisen voor Rijksoverheidsopdrachten) breidt deze eisen uit naar de gehele Rijksoverheid, inclusief ministeries, agentschappen en de politie.ABRO is een doorontwikkeling van ABDO en houdt rekening met nieuwe technologieën, aangepaste wetgeving en actuele dreigingen.

De ABRO wordt naar verwachting vanaf 1 december 2025 gefaseerd ingevoerd, te beginnen bij departementen, agentschappen en de politie.De eisen gelden voor bedrijven die opdrachten uitvoeren die risico's kunnen hebben voor de nationale veiligheid.De invoering gebeurt in tranches, waarbij andere overheidsorganisaties en vitale sectoren in latere fases volgen.

Hoewel ABRO conceptueel overeenkomt met ISO 27001, stelt het aanvullende en gedetailleerdere eisen, vooral op het gebied van nationale veiligheid.Organisaties met bestaande certificeringen kunnen mogelijk sneller aantonen dat ze aan bepaalde ABRO-eisen voldoen, maar volledige naleving van ABRO vereist aanvullende maatregelen en afstemming met het Nationaal Bureau voor Industrieveiligheid (NBIV).

Voorbeelden zijn standaard versleuteling van data, multifactor-authenticatie en beperkte toegangsrechten voor gebruikers.

Wij merken dat wetten, regels en normen vaak in elkaar grijpen. Kijk bijvoorbeeld naar de Cyberbeveiligingswet, waarin vanaf 2025 de NIS2-richtlijn voor kritieke organisaties, denk aan transport, chemie en levensmiddelen­groothandels, wordt doorgevoerd. Deze bedrijven draaien ook op machines met verplichte CE-markering. En heb je al een ISO 27001-certificaat voor informatieveiligheid? Dan heb je al een flinke stap gezet richting naleving van NIS2 en straks de Machineverordening.

Waar het bij die nieuwe Machineverordening om draait? Jouw bewijs dat je álles hebt uitgestald om je mensen, je klanten en je productieproces veilig te houden. Zo zorgen we er samen voor dat je niet alleen voldoet aan losse regels, maar een solide, geïntegreerd veiligheids­systeem opzet.

Er zijn regelmatig subsidieregelingen beschikbaar, vooral als het kabinet investeert in digitale weerbaarheid. Organisaties die al stappen hebben gezet, maken meer kans. Neem contact met ons op! Onze adviseurs kunnen je een relevant overzicht bieden van subsidiekansen.

Ja, artikel 25 van de AVG stelt gegevensbescherming door ontwerp en standaardinstellingen verplicht, wat overeenkomt met Secure-By-Design en Secure-By-Default.

Een ISMS is een Information Security Management System. Het helpt je informatiebeveiliging structureel aan te pakken volgens een vaste methodiek, zoals ISO 27001.

Denk aan malware, ransomware en spyware – schadelijke software die via een lek in je netwerk of apparaat naar binnen sluipt. Vroeger joegen hackers vooral op financiële instellingen, maar nu die hun beveiliging op orde hebben, verleggen ze hun pijlen naar andere sectoren. Eigenlijk is ieder bedrijf dat digitale netwerken inzet een potentiële prooi.

De NIS2 geldt straks voor banken, zorginstellingen, vervoerders, fabrieken die voedsel of andere belangrijke huishoudelijke artikelen maken en voor Managed Service Providers (msp’s). In principe vallen kleinere bedrijven niet onder de NIS2 wetgeving. De grens komt, naar verwachting, te liggen op 10 miljoen aan jaarinkomsten of vijftig medewerkers. Dat neemt echter niet weg dat wanneer jouw organisatie niet onder de NIS2 verplichting valt, er wel degelijk risico’s zijn. Ook in dat geval is het verstandig om naar het (niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s zolang zij geen maatregelen treffen. De uiteindelijke schade zal vele malen groter zijn, dan de investering die je nu doet om de zaken op een acceptabel niveau te krijgen!

De NIS2 Directive is op 16 januari 2023 in werking getreden en zal, naar verwachting, derde kwartaal 2025 van kracht zijn in alle EU-lidstaten. Na publicatie op 16 januari hebben alle lidstaten van de Europese Unie namelijk de tijd gekregen om de nieuwe vereisten vanuit de NIS2 wetgeving om te zetten naar nationale wetgeving, welke in Nederland bekend zal zijn als de Cyberbeveiligingswet. Momenteel is de Nederlands overheid dus bezig om de vertaalslag te maken van NIS2 directive naar Cyberbeveiligingswet, waarbij het uitgangspunt is dat de kern, die bestaat uit meld- en zorgplicht van de richtlijn grotendeels hetzelfde blijft.

De NIS2 directive brengt niet alleen verplichtingen met zich mee, maar geeft organisaties ook rechten. Zo is er ondersteuning en advies van een Computer Security Incident Response Team (CSIRT). Dat team monitort en analyseert cyberdreigingen, kwetsbaarheden en incidenten en geeft organisaties, die onder de NIS2-richtlijn vallen, vroegtijdig waarschuwingen. Daarnaast deelt het team informatie over dreigingen, kwetsbaarheden en incidenten (zo verwoordde minister Adriaansen van Economische Zaken het). Met de komst van de Cyberbeveiligingswet neemt het aantal NIS2 sectoren flink toe. Onder de huidige wetgeving is het in Nederland zo dat vitale aanbieders en (onderdelen van) de recht op bijstand en advies van het Nationaal Cyber Security Center (NSCS) hebben en digitale dienstverleners van het CSIRT voor digitale diensten. Taken van deze instituten:

• Digitale kwetsbaarheden in kaart brengen en verbinden door delen van kennis en informatie;
• Dreigingen beperken en (maatschappelijke) schade voorkomen;
• Treffen van maatregelen om cyberdreiging tegen te gaan en/of bij herstel van incidenten;
• Continuïteit van diensten borgen.

De Nederlandse overheid heeft plannen om Nederlandse sectoren die onder de Cyberbeveiligingswet vallen te voorzien van beveiligingsinformatie met behulp van een nieuwe organisatie. Dat betekent dat de NCSC voor vitale sector, de CSIRT-DSP voor service providers en het Digital Trust Center samenwerken/samengaan om voortaan publieke en private, grote en kleine, vitale of niet-essentiële ondernemers van informatie te voorzien. Deze nieuwe organisatie is dan een nationaal expertisecentrum, informatieknooppunt én nationaal CSIRT (bron: cmweb.nl) wat fungeert als het eerder genoemde CSIRT. Aankomend jaar wordt hiervoor een flinke investering gedaan in (verdere) ontwikkeling van initiatieven, zoals:

• Een incidentenregister;
• Cyclotron;
• Publiek private afspraken rondom betere notificatie van slachtoffers van cyberaanvallen en mogelijke doelwitten.

Afhankelijk van waar je nu staat en je ambitie. In veel gevallen is een basisniveau (QM10/QM20) binnen enkele maanden te behalen.

Nee, het is niet wettelijk verplicht. Maar het helpt je wel om aan te tonen dat je serieus werk maakt van cybersecurity, zeker richting ketenpartners of klanten die eisen stellen.

Het Quality Mark richt zich specifiek op de NIS2-thema’s. ISO 27001 is breder. Veel organisaties gebruiken het Quality Mark als opstap naar ISO 27001 of als praktische invulling van NIS2 zonder volledig certificeringstraject.

Voor de volledigheid hieronder een opsomming van de aangewezen vitale NIS2 sectoren.

Sectoren bijlage 1:

• Energie
• Transport
• Infrastructuur financiële markt
• Gezondheidszorg
• Drinkwater
• Digitale infrastructuur
• Afvalwater
• Overheidsdiensten
• Ruimtevaart
• Beheerders van ICT Diensten
• Bankwezen

Sectoren bijlage 2:

• Digitale aanbieders
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoek
• Vervaardiging/manufacturing

Bron: NCTV.nl

NIS2 is een Europese richtlijn. Het Quality Mark is een praktische toets en erkenning die aantoont dat je voldoet aan de richtlijn.

Dat hangt af van de situatie, grootte en het gewenste niveau. Vraag een vrijblijvende offerte aan en we maken het inzichtelijk.

AI helpt om processen binnen een ISO 27001 implementatie te versnellen én verbeteren. Denk aan het analyseren van risico’s, het opstellen van documentatie, het genereren van awarenessmateriaal en het koppelen van wetgeving aan ISO controls. AI biedt ondersteuning bij repeterende taken en zorgt voor extra inzicht tijdens complexe fases zoals contextanalyse en Annex A mapping.

Voorbereiding omvat het opzetten en implementeren van een ISMS, het identificeren en beoordelen van informatiebeveiligingsrisico's, het nemen van passende beveiligingsmaatregelen en het documenteren van beleid en procedures. Het volgen van een normkennistraining ISO 27001 kan helpen de juiste kennis binnenboord te hebben om de kwaliteit van het implementatieproces te borgen. 

ISO 27001 is niet wettelijk verplicht, maar wordt vaak geëist in aanbestedingen, ketensamenwerking of door klanten. Het is ook een sterk signaal richting informatiebeveiliging.

Wanneer je certificering voor ISO 27001 nastreeft, is ISO 27002 onmisbaar. De norm zelf is niet verplicht, maar de toepassing van de maatregelen wel.

Ja, dat kan. Maar zonder ervaring kost dat veel tijd. Met begeleiding van een adviseur bespaar je tijd én kosten op de lange termijn.

Nee. ISO 27002 is geen certificeerbare norm, maar een handreiking.

ISO 27001-certificeringen moeten regelmatig worden vernieuwd, meestal om de drie jaar. Dit vereist een herbeoordeling en audits om de voortdurende conformiteit met de norm te waarborgen.

Ja, beide principes versterken elkaar en helpen je risico’s structureel te beheersen, zoals vereist in ISO 27001.

Tijdens de ISO 27001 intake kijken we samen naar jouw specifieke situatie. Waarom wil je aan de slag met ISO 27001? Hoe ziet je huidige situatie eruit? Hoe groot is je organisatie en hoe ver ben je al (misschien zonder dat je dit zelf weet)? Indien gewenst helpen we je na de intake met een plan van aanpak en een trajectvoorstel op maat!

ISO 27001 is een internationale norm voor informatiebeveiliging die organisaties helpt bij het opzetten, implementeren, onderhouden en continu verbeteren van een effectief Information Security Management System (ISMS). De norm bevat best practices voor het beveiligen van informatie en gegevens. 

Een interne audit kan worden uitgevoerd door een adviesbureau, dat je mogelijk ook begeleidt bij de hele implementatie en/of het onderhoud. De prijs is op maat. Vraag een offerte op.

Een Certificerende Instantie voert de externe audit uit. Die kosten verschillen per partij en lopen op over drie jaar. Vraag altijd meerdere offertes aan.

ISO 27002:2022 brengt een aantal belangrijke veranderingen met zich mee: het aantal maatregelen is verminderd van 114 naar 93, er zijn 11 nieuwe controls toegevoegd, de structuur is vereenvoudigd naar vier domeinen (organisatorisch, mensen, fysiek en technologisch) en elke control bevat nu metadata. Organisaties moeten hierdoor hun ISMS en verklaring van toepasselijkheid (SoA) actualiseren om aan te sluiten op de vernieuwde norm.

Voorbeelden zijn:

• ChatGPT inzetten voor het genereren van beleidsteksten en werkinstructies
• AI gebruiken voor risicoclassificatie en het voorstellen van mitigerende maatregelen
• Interactieve trainingen of quizzes maken voor security awareness
• Automatische analyse van auditlogs of systeemdata om trends te signaleren
• AI toepassen in compliancechecklists of bij het beoordelen van leveranciers

ISAE 3402 focust op financiële uitbesteding; SOC 2 richt zich op informatiebeveiliging en privacy.

Dit duurt 9 tot 12 mnd tot Type 2, afhankelijk van control volwassenheid.

Nee, maar een SOC 2‑rapport toont aan dat jouw maatregelen ‘effectief’ zijn, wat NIS2 expliciet eist.

Ja. Met een control‑cross‑walk voorkomen we dubbele werkzaamheden.

Nee, dit is niet verplicht. Type 1 is nuttig als je bewijslast wilt opbouwen voordat de zes-maandsperiode start.

AuditVision geeft bandbreedtes: € 25–60k voor Type 2, afhankelijk van scope, auditor en complexiteit. Wij focussen op implementatie‑uren, de auditorkosten factureert de auditor rechtstreeks.

Alleen ‘Security’ is verplicht, de overige TSC worden gekozen op basis van klantverwachting en risicoanalyse.

Het SOC 2-rapport wordt ondertekend door een onafhankelijke IT-auditor die is geregistreerd bij NOREA, of door een Amerikaans accountantskantoor met een Certified Public Accountant (CPA-licentie), afhankelijk van de gekozen auditpartij. Wij voeren deze audit dus niet zelf uit, maar werkt nauw samen met de auditor om jouw organisatie optimaal voor te bereiden.