Strategie

Het certificaat aan de muur.

Een certificaat is een foto, geen film. Schijnveiligheid is geloven dat het logo aan de muur jouw beslissing voor je maakt.

#schijnveiligheid#leveranciersrisico#governance#directie

Je bezoekt een potentiële leverancier voor een eerste gesprek. In de hal hangt een ingelijst certificaat. ISO-27001. Je hoort jezelf denken: oké, dat zit dus goed.

Het gesprek gaat verder over functionaliteit, prijs, implementatietermijn. De certificering komt verder niet ter sprake — dat hoeft ook niet, want je hebt het immers gezien.

Een week later teken je. Het certificaat heeft zonder dat je het wist meegestemd in je beslissing.

Wat een certificaat eigenlijk zegt

Een certificaat is geen kwaliteitsstempel op een organisatie. Het is een rapport over een toets, op een moment, met een scope. In dat rapport staat precies wat ze hebben getest:

  • welke processen in de scope vielen, welke niet
  • welke locaties, welke afdelingen
  • welke periode het beslaat

Wat eronder staat is óók informatie: wat ze níet hebben getoetst. Maar dat lees je zelden terug — daar staat een mooi logo overheen.

In de tijd ná de toets verandert die organisatie. Ze groeien, ze nemen een nieuwe applicatie in gebruik, ze verleggen een proces. Het certificaat aan hun muur wordt elke maand iets minder representatief voor wat er nu gebeurt.

Dat is geen verwijt aan de leverancier. Dat is gewoon hoe certificering werkt.

Een foto, geen film

Vergelijk het met een jaarrekening. Als je vraagt hoe een leverancier er financieel voor staat, accepteer je geen jaarrekening van twee jaar geleden — je vraagt om iets recents. Je weet dat zo’n rapport een momentopname is.

Met een ISO-certificaat doen veel beoordelaars precies wat ze met een jaarrekening niet zouden doen: het inlijsten zien, knikken, en aannemen dat het van vandaag is.

Schijnveiligheid is precies dat — niet liegen over wat er is, maar geloven dat het iets meer beschrijft dan het beschrijft.

Drie vragen voordat je leunt

Een gezonde manier om met andermans certificaat om te gaan ziet er ongeveer zo uit:

  1. Wat valt in de scope, en wat niet? “Onze ISO-27001 dekt het hoofdkantoor en SaaS-omgeving X — niet de productieomgeving en niet leveranciersmanagement.” Eén zin. Die zin moet de leverancier kunnen geven, anders weet hij het zelf niet.
  2. Wat is sinds de laatste toets veranderd? Een nieuw systeem in de scope, een nieuwe sub-leverancier, een nieuwe afdeling. Niet alles — wel het belangrijkste.
  3. Wanneer is de volgende toets, en wat valt daarin? Surveillance-audits zijn steekproeven. Recertificering is om de drie jaar. Wat tussendoor verandert is hun verantwoordelijkheid. En in jouw afhankelijkheid: jouw risico.

Geen van die drie vragen vereist dat je verstand hebt van auditing. Het zijn vragen die de leverancier in een mailtje moet kunnen beantwoorden. Krijg je iets onsamenhangends terug — “die scope is bij ons IT, dat moet ik nakijken” — dan weet je dat het certificaat aan de muur niet eens in hun eigen organisatie geland is.

Wat dit niet is

Dit is geen pleidooi om certificering af te schaffen. Een certificaat is werk. Iemand heeft uren in scope-bepaling gestoken, in beleidsdocumenten, in audits. Dat heeft waarde — als je weet wat je in handen hebt.

Het is een pleidooi om niet te leunen op een logo dat je in een hal ziet hangen.

Want als jouw klant straks doorvraagt — “jullie leverancier was toch gecertificeerd?” — dan staat dat ingelijste papier nog steeds aan een muur die niet van jou is. Maar de antwoorden moeten van jou komen.

Een certificaat aan de muur is geen antwoord. Het is een vraag — voor jou om te stellen, voor de eigenaar om te beantwoorden.

Klaar met lezen?

CISO Essentials helpt je je gedachten te vertalen naar een concrete aanpak — zonder dure tools of een fulltime CISO.

Intake aanvragen
Alle artikelen