Wat is het verschil tussen ISO 27001, NEN 7510 en SOC 2?
ISO 27001 is een internationale standaard voor een Information Security Management System (ISMS), met Annex A als bibliotheek van 93 controls. NEN 7510 is de Nederlandse aanvulling die specifiek voor zorgaanbieders extra eisen oplegt rond patiëntgegevens en logging — in de praktijk een ISO 27001-implementatie plus een zorg-laag. SOC 2 is een Amerikaans Trust Services-rapportage-kader van AICPA, met een ander accent (rapportage in plaats van certificering) en vijf Trust Service Criteria. De drie overlappen op security-controls; wij bouwen graag één architectuur die meerdere kaders tegelijk dekt.
Helpen jullie ons aan een ISO 27001-certificaat?
Nee — we bouwen de software, en de bewijsstukken die uw auditor nodig heeft, maar de certificering zelf is voorbehouden aan een geaccrediteerde certificerende instelling. In Nederland zijn dat partijen als TÜV NORD, BSI, DEKRA, Lloyd's Register, Bureau Veritas en DNV. Zij voeren de Stage 1- en Stage 2-audit uit en geven het certificaat af na een succesvol traject, met jaarlijkse surveillance-audits en een hercertificering elke drie jaar. Wij leveren de input die hun audit veel soepeler maakt.
Hoeveel meerwerk is ISO 27001 compliant bouwen ten opzichte van een gewoon traject?
Eerlijk: niet niets, maar minder dan veel mensen denken. Threat-modeling, controls-mapping en pen-test zijn extra, en de pipeline-poorten (SAST, SCA, DAST, IaC-scanning) kosten tijd om in te richten — maar daarna lopen ze mee. De grootste tijdsinvestering zit in de evidence-discipline: elk feature heeft een review-trail, elk incident een runbook, elke afhankelijkheid een goedgekeurde herkomst. Voor een organisatie die de discipline gewend is, voegt het beperkte overhead toe. Voor een organisatie die er nieuw aan begint, is de eerste sprint zwaarder dan de rest.
Is een penetration-test onderdeel van het traject?
Ja, standaard. We plannen een onafhankelijke pen-test voor go-live in, uitgevoerd door een gespecialiseerd bureau — niet door onszelf, om belangenverstrengeling te vermijden. Bevindingen worden in de laatste sprints geremedieerd en geretest, zodat het rapport schoon is voordat productie open gaat. Voor grotere releases plannen we een retest. We kunnen ook aansluiten op uw vaste pen-test-leverancier als die er al is.
Welke tools zetten jullie in voor secure development?
In de pipeline: SonarQube of Semgrep voor SAST, Snyk, Dependabot of Trivy voor SCA, OWASP ZAP of Burp voor DAST, checkov, tfsec of cfn-nag voor IaC-scanning. Voor secrets: HashiCorp Vault, AWS Secrets Manager, Azure Key Vault of Google Secret Manager. Voor logging en monitoring: standaard koppelingen met Splunk, Microsoft Sentinel of Elastic. Voor SSO en MFA: SAML- en OIDC-koppelingen met Azure AD, Okta, Auth0 of Google Workspace. We hebben geen vendor-lock-in; we kiezen op basis van uw bestaande landschap.
Kunnen jullie aansluiten op ons bestaande ISMS, beleid en risk-register?
Ja, en dat is meestal de wens. Uw informatiebeveiligings-functionaris of CISO heeft beleid op gebieden als classificatie, toegang, cryptografie, change-management en supplier-relationships. Wij vertalen dat beleid naar architectuur- en codeerstandaarden, en koppelen onze deliverables aan uw bestaande risk-register en Statement of Applicability. We schrijven niet uw beleid — we volgen het, en signaleren waar de software dat beleid raakt of waar het beleid in de praktijk niet werkbaar is.
Hoe gaan jullie om met derde-partijen en supplier-management (A.5.19 tot A.5.22)?
Iedere derde partij in het systeem — cloudleverancier, SaaS-component, open-source-bibliotheek — krijgt een plek in het overzicht: wat doet de partij, welke data zien ze, waar staat de data, welke afspraken hebben we vastgelegd en welke risico-classificatie hoort daarbij. Voor kritische derden — denk aan AWS, Microsoft Azure, Google Cloud, betaaldienstverleners — leggen we de exit-strategie en de uitwijk-mogelijkheid expliciet vast. SCA-tooling (Snyk, Dependabot) signaleert nieuwe CVE's in open-source-afhankelijkheden zodat een upgrade tijdig wordt opgepakt.
Wat bepaalt de kosten van een ISO 27001 compliant traject?
Vier dingen: de complexiteit en scope van de applicatie zelf, het aantal koppelingen met externe en interne systemen, hoever uw ISMS en uw security-beleid al staan, en welke aanvullende regimes meelopen (NEN 7510, BIO, SOC 2, klant-due-diligence). Een nieuw klantportaal voor een bestaande gecertificeerde organisatie is een ander traject dan een nieuw zorg-platform onder NEN 7510 dat parallel aan het ISMS wordt opgebouwd. We schetsen de bandbreedte in het eerste gesprek en werken altijd met vaste sprintprijzen, zodat u niet voor verrassingen komt te staan.
Bouwen jullie ook voor de zorg, overheid, banken en B2B-leveranciers?
Ja. Voor de zorg gaat ISO 27001 vrijwel altijd hand-in-hand met NEN 7510 en de eisen rond patiënt-logging. Voor de overheid gaat het meestal om de Baseline Informatiebeveiliging Overheid (BIO), die op ISO 27001 is gebaseerd maar specifieke aanvullingen kent. Voor banken en verzekeraars werken we vaak parallel aan
DORA compliance software en
KYC- en AML-compliance software. Voor B2B-leveranciers wiens klanten ISO 27001 of SOC 2 eisen bouwen we vaak op een
cloud-native platform dat de evidence-discipline van begin af aan ondersteunt.
Wat doen jullie als er na go-live een nieuwe CVE of incident is?
In het beheer-contract zit doorlopende vulnerability-scanning op dependencies, container-images en infrastructuur, plus patch-management binnen werkbare termijnen afhankelijk van de severity. Voor incidenten ligt het incident-response runbook klaar, met scenario's voor data-breach, ransomware en ongewenste toegang. Wij ondersteunen bij de triage en remediation, en helpen met de communicatie richting de meldplicht datalekken (Autoriteit Persoonsgegevens) wanneer dat aan de orde is. Lessons-learned worden teruggevoerd in het threat-model en het beleid, zodat dezelfde fout niet twee keer wordt gemaakt.