De scopeverklaring is het certificaat
"ISO 27001 gecertificeerd" is geen ja-of-nee-verklaring over een bedrijf. De werkelijke claim is de scopeverklaring op het certificaat, en deze is controleerbaar.

"We zijn ISO 27001 gecertificeerd" wordt vaak behandeld als een binaire verklaring, zowel door de aanbieders die het zeggen als door de meeste kopers die het horen. Dat is het niet. Een certificaat certificeert geen bedrijf; het certificeert een managementsysteem waarvan de grenzen door het bedrijf zelf zijn bepaald. De gezaghebbende verklaring van die grenzen die een koper ooit zal zien, is de scope zoals vermeld in de certificeringsdocumenten – de zin die, naar onze ervaring, weinig kopers de moeite nemen om te lezen. Twee organisaties kunnen certificaten hebben van hetzelfde geaccrediteerde orgaan, hetzelfde badge tonen en toch geheel verschillende claims maken: de ene heeft het systeem gecertificeerd dat het product ontwikkelt en draait dat haar klanten kopen, de andere heeft de IT-functie op het hoofdkantoor gecertificeerd waar de klant nooit mee in aanraking komt. Beide zijn "ISO 27001 gecertificeerd". Slechts één van die certificaten stelt direct vast dat het verkochte product binnen de scope valt.
Onze stelling: de scopeverklaring is het certificaat, in de zin dat het de substantiële claim bevat die het document maakt. Teams die de scope bepalen door te vragen "wat is het kleinste systeem dat we aan een auditor kunnen verdedigen" optimaliseren het verkeerde variabele. Scope is een beslissing voor klantvertrouwen die toevallig een audit met zich meebrengt, geen beslissing om auditkosten te besparen die toevallig zichtbaar is voor klanten.
De standaard is opzettelijk permissief
ISO/IEC 27001:2022 (derde editie, gepubliceerd op 2022-10-25; de amendement Amd 1:2024, gepubliceerd op 2024-02-23, laat clausule 4.3 ongewijzigd) behandelt scoping in clausule 4.3. De organisatie bepaalt de "grenzen en toepasbaarheid" van het ISMS om de scope vast te stellen. Daarbij moet rekening worden gehouden met de externe en interne kwesties uit clausule 4.1, de vereisten van geïnteresseerde partijen uit clausule 4.2 en "interfaces en afhankelijkheden tussen activiteiten die door de organisatie worden uitgevoerd en die welke door andere organisaties worden uitgevoerd". De scope moet beschikbaar zijn als gedocumenteerde informatie. Dat is de hele clausule.
Merk op wat er niet staat. Niets vereist dat de scope de gehele juridische entiteit, elke vestiging of het hoofdproduct moet omvatten. De standaard laat bewust toe dat een ziekenhuis zijn archiefafdeling certificeert, een conglomeraat één dochteronderneming, of een softwarebedrijf één platform. Deze permissiviteit is een feature: het maakt certificering in fasen haalbaar en stelt organisaties in staat om zekerheid te bieden waar het risico daadwerkelijk ligt.
De certificeringskant van het systeem doet vervolgens iets belangrijks met deze vrijheid. ISO/IEC 17021-1:2015 (gepubliceerd op 2015-06-08), de standaard waaraan geaccrediteerde certificeringsinstanties zich moeten houden, vereist in clausule 8.2.2(f) dat certificeringsdocumenten de "scope van certificering identificeren met betrekking tot het type activiteiten, producten en diensten, zoals van toepassing op elke locatie, zonder misleidend of ambigu te zijn". ISO/IEC 27006-1:2024 (eerste editie, gepubliceerd op 2024-03-01) voegt de ISMS-specifieke regels voor deze instanties toe. De ontwerpintentie is duidelijk: de organisatie mag de grens zelf trekken waar zij dat kan rechtvaardigen, en in ruil daarvoor moeten de certificeringsdocumenten precies en leesbaar aangeven waar die grens ligt.
De integriteit van deze afspraak hangt ervan af dat de claim meereist met de scope. De machine probeert dit te waarborgen: clausule 8.3 van ISO/IEC 17021-1 vereist dat certificeringsinstanties het gebruik van certificeringen en merken door hun klanten reguleren, en een certificeringsinstantie kan optreden tegen misleidend gebruik. Maar de scopeverklaring staat in de certificeringsdocumenten, terwijl de operationele claim vaak in salespresentaties, vertrouwenspagina's en velden in één-woord-vragenlijsten staat, waar het vaak wordt afgekort tot "gecertificeerd". Naar onze ervaring wordt deze kloof op zijn best onregelmatig gehandhaafd, en de partij die het als eerste opmerkt, is vaak de koper die het certificaat daadwerkelijk leest.
Waarom smalle scoping rationeel is, en waar het misgaat
De verleiding om de scope smal te definiëren is niet luiheid; het is rekenkunde. Het model voor audittijd in ISO/IEC 27006-1:2024 (Annex C) begint met het aantal personen dat onder controle van de organisatie werkt en past dit vervolgens aan op basis van factoren zoals complexiteit, locaties en uitbesteding. Een smallere scope kan dus de auditeffort verminderen, hoewel dit geen directe vermindering van audittijd of -kosten garandeert. Minder mensen en processen in scope betekent over het algemeen minder interviews, minder documenten en een kleinere implementatiekostenpost. De rommelige delen van de organisatie – de ontwikkelgroep met eigen tooling, de recent overgenomen dochteronderneming, het supportteam in een andere jurisdictie – zijn precies de dure onderdelen om binnen de scope te brengen. Naar onze ervaring is de scope een van de meest effectieve kostenhefbomen in het hele project, en die wordt vaak precies om die reden gebruikt.
En het kan werken, in de beperkte zin: een strak gescoopte ISMS kan slagen voor de audit op basis van zijn eigen voorwaarden. De certificeringsinstantie beoordeelt de conformiteit van het systeem dat je hebt gedefinieerd, niet de ambitie van de definitie. Een certificaat voor "het ISMS dat de IT-functie ondersteunt" kan in goede trouw worden afgegeven door een competente auditor, omdat het een waarheidsgetrouwe verklaring is over een echt systeem.
De clausule zet echter harder terug dan teams verwachten. Clausule 4.3 laat je niet toe om de grens in een vacuüm te trekken. Onder clausule 4.2 zijn klanten vaak relevante geïnteresseerde partijen, en hun toepasselijke beveiligingseisen kunnen direct invloed hebben op waar de grens moet liggen. Item (c) dwingt je vervolgens om interfaces en afhankelijkheden in ogenschouw te nemen. Een scope die het product dat klanten daadwerkelijk kopen uitsluit, is niet automatisch illegaal. Maar het is wel een positie die verdedigbaar moet zijn: de analyse van geïnteresseerde partijen moet met gedocumenteerde grondslag aantonen dat de vereisten van klanten niet van toepassing zijn of buiten het ISMS worden behandeld. En naar onze ervaring varieert hoe hard auditors 4.3(b) en (c) aanpakken. De verdediging wordt getest op het moment dat iemand de zin leest.
De zin is nu controleerbaar
Het lezen van die zin wordt steeds eenvoudiger. De IAF CertSearch-database, ontwikkeld en beheerd door Quality Trade als gezamenlijke partner van ISO en IAF, ondersteunt de verificatie van deelnemende geaccrediteerde certificaten, inclusief hun status en scope, binnen de beperkingen van dekking en vertrouwelijkheid: niet elk certificaat wordt geüpload, en records kunnen als vertrouwelijk worden gemarkeerd. (Afzonderlijk zijn IAF en ILAC vervangen door één organisatie, Global Accreditation Cooperation Incorporated, die op 2026-01-01 volledig operationeel werd.) Certificeringsgegevens worden niettemin geconsolideerd: de ISO Survey, ISO’s jaarlijkse certificaatentelling, is overgestapt op het samenstellen van resultaten op basis van CertSearch-gegevens sinds de editie van 2024 (gepubliceerd in 2025), die 96.709 geldige ISO/IEC 27001-certificaten rapporteerde tegenover de 48.671 van de editie van 2023. Deze twee cijfers zijn niet direct vergelijkbaar, en het verschil is geen bewijs dat certificeringen verdubbeld zijn: het resultaat van 2023 werd beïnvloed door ontbrekende deelname van China’s accreditatie-instantie, en de verzamelmethodiek veranderde tussen de edities. De consolidatie is de methodiekverandering zelf: één gedeelde database die steeds meer ten grondslag ligt aan zowel verificatie als de officiële telling.
Ondertussen professionaliseert de vraagkant. Naar onze ervaring vragen beveiligingsvragenlijsten in toenemende mate om het certificaat zelf in plaats van een ja/nee-attestatie, en de scopeverklaring staat erop. Een inkoopanalist die het leest, hoeft niet lang te zoeken om te merken dat het SaaS-platform onder evaluatie niet redelijkerwijs wordt gedekt door de genoemde activiteiten, diensten en grenzen.
Hier is de asymmetrie die van deze een vertrouwensbeslissing maakt in plaats van een nalevingskwestie. Een aanbieder zonder certificaat en met een eerlijke verklaring als "we werken aan de certificering van het platform" staat in een herstelbare positie. Een aanbieder die heeft gezegd "we zijn ISO 27001 gecertificeerd" en wiens certificaat bij inspectie een backoffice-functie in een ander gebouw dekt, staat in een veel zwakkere positie, omdat kopers zelden deze ontdekking onder nuance scharen. Het kan worden opgevat als geleende zekerheid, een poging om het badge te laten dekken wat de certificeringsdocumenten niet ondersteunen. En eenmaal dat een koper het zo leest, erft elk ander antwoord op de vragenlijst de twijfel. De smalle scope was legitiem. De bedrijfsbrede indruk die daarop werd gebouwd, was het deel dat een lezer niet zou overleven – en die heeft zojuist kennisgenomen.
Scopen om betekenis te geven
De oplossing is om de richting van de oefening om te draaien. Scope-to-pass begint met de organisatiestructuur en vraagt wat kan worden weggelaten. Scope-to-mean-something begint met de zin die je aan een klant zou willen kunnen overhandigen, iets als "het ISMS dat de ontwikkeling, werking en ondersteuning dekt van [het product dat ze kopen]", en werkt terug naar de mensen, processen, locaties en leveranciers die deze zin je verplicht op te nemen. Clausule 4.3(c) doet dan nuttig werk voor je in plaats van tegen je: het traceren van interfaces en afhankelijkheden vanuit de klantgerichte dienst is precies hoe je vindt wat binnen de scope moet vallen.
Dit is geen pleidooi om elke scope het hele bedrijf te laten opslokken. Echt gescheiden bedrijfsonderdelen, met echte organisatorische en technische segregatie, zijn legitieme uitsluitingen, en gefaseerde certificering blijft zinvol. De test die wij voor elke uitsluiting zouden voorstellen, is symmetrisch met het vertrouwensprobleem: zou je de uitsluiting in één alinea kunnen uitleggen aan de klant wiens gegevens het dichtst bij de grens liggen, en zou die uitleg een vervolgvraag doorstaan? Een uitsluiting die deze test doorstaat ("de industriële productendivisie deelt geen systemen, personeel of gegevens met het platform") is getrokken om structurele redenen. Een uitsluiting die faalt ("de ontwikkelgroep viel buiten scope deze cyclus") wijst op een scope-to-pass, en de alinea die je niet kunt schrijven, vertelt je waar de uitsluiting echt voor stond.
Faseren, eerlijk gedaan, volgt dezelfde regel: fase één zou al de klantgerichte dienst moeten dekken, omdat dat de claim is die de markt zal horen. Naar onze ervaring is het uitbreiden van een betekenisvolle scope in latere cycli de minst disruptieve richting, en het leest als volwassenheid. Het herstellen van een holle scope is moeilijker: volgens ISO/IEC 17021-1:2015 (clausule 9.6.4.1) beoordeelt de certificeringsinstantie de aanvraag en bepaalt welke auditaandelen de uitbreiding vereist, die gecombineerd kan worden met een surveillance-audit. De certificeringsdocumentatie wordt alleen bijgewerkt als de uitbreiding wordt toegekend. De tussenperiode, waarin het certificaat één ding zegt en klanten iets anders geloofden, is de duurste.
De regel die de moeite waard is
Een certificaat certificeert alleen zijn scope. De standaard verleent echte vrijheid in waar je de grens trekt, en de enige niet-onderhandelbare eis van de certificeringsmachine die hiertoe ertoe doet – uit clausule 8.2.2 van ISO/IEC 17021-1 – is dat de grens zonder misleiding of ambiguïteit wordt aangegeven. Je eigen claims over het certificaat aan dezelfde test onderwerpen, is geen wettelijke verplichting. Het is simpelweg de enige scopingstrategie die er nog goed uitziet nadat een prospect het certificaat heeft gelezen. En dat lezen wordt alleen maar eenvoudiger.
Een grens trekken die je in beide kamers kunt verdedigen – de audit en de salesgesprek – is het werk van clausule 4.3: geïnteresseerde partijen, afhankelijkheden en de gedocumenteerde zin die beide lezingen doorstaat. Dat is het soort scopingvraag waar ISMS Copilot voor is gebouwd om met je door te werken, eis voor eis. Het badge is identiek op elk certificaat. De zin eronder is het product.
Gerelateerde artikelen

De vertraging van de AI Act voor hoogrisicosystemen is geen uitstel
De EU heeft de deadlines voor hoogrisicosystemen uitgesteld tot december 2027 en augustus 2028. De reden voor deze verschuiving zou je interpretatie moeten veranderen: het is een waarschuwing over je scope, niet extra ademruimte voor je roadmap.

AI voor GDPR: Automatisering van grensoverschrijdende gegevensoverdrachten
Automatiseer het in kaart brengen, monitoren en documenteren van EU-grensoverschrijdende gegevensoverdrachten met AI – juridische teams behouden de uiteindelijke beslissingen.

Beste praktijken voor voorbereiding op multi-framework audits
Centraliseer controles, breng overlappende vereisten in kaart en automatiseer bewijsvoering om audittijd en -kosten te verminderen over meerdere nalevingskaders.
