ISO27001. Snelheid is niet het probleem. Nep-controls wel.

Vorige week zag ik op LinkedIn de berichten voorbijkomen over Delve. Een Amerikaanse compliance-startup, gewaardeerd op $300 miljoen, ontmaskerd via een anoniem whistleblower-onderzoek. 494 valse audit-rapporten. ISO 27001, SOC 2, HIPAA, GDPR — allemaal nep. Auditconclusies geschreven voordat er ook maar één control was getoetst. Bewijsmateriaal gefabriceerd voor medewerkers die nooit waren onboarded. Certificeerders die tekenden wat er voor hen lag.

Ik las het, en dacht twee dingen tegelijk.

Het eerste: dit is precies wat er gebeurt als je compliance reduceert tot een verkoopargument.

Het tweede: de reacties die hierop gaan komen, gaan ook mij raken.

En inderdaad. Binnen een dag zag ik de posts verschijnen. "Zie je wel — als iemand belooft dat het snel kan, klopt er iets niet." Ik begrijp die reactie. Maar hij klopt niet. En omdat ik dit systeem van twee kanten ken, voel ik me geroepen om dat te zeggen.

Ik doe dit zelf ook snel

Ik begeleid ISO 27001-trajecten waarbij de inrichting 10 tot 15 werkdagen in beslag neemt. Daarna volgt een implementatieperiode van enkele weken, waarna een organisatie klaar is voor certificering. Dat heb ik tientallen keren gedaan, voor organisaties in de zorg, de voedingsindustrie en de maakindustrie. En ik sta achter elke audit die daaruit is voortgekomen.

Maar ik begin niet eens aan zo'n traject als de directie of het bestuur niet actief betrokken is. Dat is geen formaliteit - dat is een harde voorwaarde. Informatiebeveiliging die alleen bij IT ligt, is informatiebeveiliging die bij de eerste druk bezwijkt. De directie moet het onderwerp begrijpen, de keuzes kunnen verantwoorden en bereid zijn er zelf tijd in te steken. Zonder dat fundament heeft een certificaat geen waarde, hoe snel je het ook haalt.

De tweede voorwaarde is misschien nog belangrijker: het traject van 10 tot 15 dagen werkt alleen voor organisaties die al een behoorlijk niveau van volwassenheid hebben. Niet perfect - dat hoeft ook niet. Maar de basis moet er zijn. Veel technische maatregelen zijn ingericht, iemand voelt zich verantwoordelijk er is nagedacht over risico's, medewerkers weten wat informatiebeveiliging inhoudt.

Wat die 10 tot 15 dagen dan wél zijn? Geen shortcuts. Het is het moment waarop alles wat er al is, op de juiste manier wordt vastgelegd. Beleid dat in de hoofden zit, wordt geschreven. Gaten die iedereen al vermoedde, worden benoemd en gedicht. Verantwoordelijkheden worden benoemd. De terugkerende controls zoals toegangsbeheer, autorisatie controles, back-upcontroles, interne audits, bewustzijnstraining - worden ingericht en geborgd. Dat is intensief werk. Maar het is haalbaar als de organisatie er klaar voor is en er zelf hard aan trekt. Hoe ik dat in de praktijk aanpak bij NIS2-implementaties, beschrijf ik uitgebreider in mijn blog over de Cyberbeveiligingswet.

Wat Delve deed was iets fundamenteel anders. Zij schreven de conclusies eerst, en zochten daarna het bewijs - of fabriceerden het als het er niet was. Er was geen directie die verantwoordelijkheid nam. Er was geen organisatie die iets op orde had. Er was alleen een template en een rubber stamp. Dat is niet een traject dat snel gaat. Dat is een traject dat niet heeft plaatsgevonden.

Ik ken dit systeem van binnenuit

Ik heb jarenlang als IT-verantwoordelijke gewerkt bij Qlip, een organisatie die zelf als certificerende instelling opereert in de zuivelsector. Ik weet wat het betekent om aan beide kanten van een audit te zitten - ook als de partij die beoordeelt, niet alleen als de partij die beoordeeld wordt. En ik heb de Raad voor Accreditatie als klant gehad: de instantie die in Nederland toezicht houdt op alle certificerende instellingen.

Dat geeft me een bepaalde radar. Ik zie het als een audit klopt, en ik zie het als hij dat niet doet.

Het Nederlandse systeem voor ISO 27001-certificering is wezenlijk anders dan het Amerikaanse model dat Delve heeft misbruikt. Hier werken certificerende instellingen onder accreditatie van de RvA. Er zijn surveillance-audits, hercertificeringen, en externe toezichthouders die de kwaliteit van het auditwerk bewaken. Dat is geen garantie dat alles altijd goed gaat - maar het is een structuur met tanden, in tegenstelling tot het zelfregulerende Amerikaanse attestatiemodel waarbij een bedrijf simpelweg zijn eigen auditor kiest en betaalt.

Toch maakt dit mij niet rustig

Want de druk die Delve heeft misbruikt, bestaat ook hier. De Cyberbeveiligingswet - de Nederlandse implementatie van NIS2 - zet op dit moment duizenden organisaties in beweging die er nog niet klaar voor zijn. In de zorg, de voeding, de maakindustrie. Sectoren die ik goed ken.

Die organisaties staan onder druk. Ze moeten aantoonbaar compliant zijn, liefst snel, liefst zonder al te veel ophef. En dat trekt aanbieders aan die beloven dat het makkelijker is dan het is. Niet allemaal even kwaadwillend als Delve, maar wel met hetzelfde risico: een certificaat dat de werkelijkheid niet dekt.

Ik heb al klanten gehad die bij mij kwamen nadat ze een "compleet NIS2-pakket" hadden gekocht bij een andere partij. Mooie documenten, nette opmaak, goede prijs. Maar als ik vroeg of de controls ook waren geïmplementeerd, bleef het stil.

Hoe herken je het verschil?

Of je nu een leverancier beoordeelt die claimt gecertificeerd te zijn, of nadenkt over een eigen traject — dit zijn de vragen die ertoe doen:

Over een certificaat van een leverancier: Welke certificerende instelling heeft het afgegeven, en is die geaccrediteerd? In Nederland check je dat eenvoudig via rva.nl. Vraag ook naar de scope — een ISO 27001-certificaat zonder duidelijke scope zegt weinig. En vraag wanneer de laatste surveillance-audit was. Een certificaat zonder actief toezicht is een momentopname die snel veroudert.

Over een traject dat "snel" wordt beloofd: Wat wordt er concreet ingericht, en door wie wordt dat getoetst? Is de adviseur ook degene die de audit begeleidt? Zo ja: wie bewaakt dan de onafhankelijkheid? En wat is het plan na het certificaat — is er nagedacht over hoe de organisatie compliant blijft?

Wat ik je meegeef

Twee dingen, ongeacht of je Delve ooit hebt gehoord.

Controleer je leveranciersketen. Als je SaaS-leveranciers hebt die ISO 27001 of SOC 2 claimen als onderdeel van hun beveiligingsprofiel: vraag naar de certificerende instelling en de scope. Een certificaat is geen bewijs van veiligheid. Het is een bewijs dat een onafhankelijke partij heeft vastgesteld dat de controls op een bepaald moment aanwezig waren — en alleen als die audit echt heeft plaatsgevonden.

En stel jezelf de eerlijke vraag over je eigen organisatie. Is het ISO 27001-traject dat jullie hebben doorlopen er een waarbij de controls daadwerkelijk zijn ingericht en getest? Of staat er een certificaat aan de muur dat is behaald via een traject waarbij vooral veel is gedocumenteerd? Het verschil heeft consequenties — zeker nu NIS2 toezichthouders actief gaan handhaven.

Compliance die alleen op papier bestaat is geen compliance. Het is aansprakelijkheid met een logo erop.

Erik Bos is interim CIO en compliance-adviseur bij MijnItManager.nl en IsCompliant.eu. Hij begeleidt organisaties in zorg, voeding en maakindustrie bij ISO 27001, NIS2/Cyberbeveiligingswet en AVG.