Vertrouwen is goed - Maar welk certificaat is écht betrouwbaar

Dit moet je weten over certificaten van jouw leverancier. Het motto van kwaliteitsmanagement ‘Vertrouwen is goed, controle is beter’ geldt hier zeker. In deze dertiende nieuwsbrief worden vijf tips gegeven om dit goed te kunnen controleren. Maar ook, wat als een leverancier niet het juiste certificaat heeft of het certificaat voldoet niet aan de geldende eisen? Wat dan?!

Allereerst is het goed te weten dat certificaten (zoals ISO/IEC 27001) door iedereen uitgegeven mag worden. Om te zorgen dat jouw organisatie samenwerkt met een betrouwbare, onafhankelijke certificatieinstelling is het belangrijk te controleren of zij geaccrediteerd zijn.

Accreditatie geeft vertrouwen in een uitgegeven certificaat omdat een certificatieinstelling onafhankelijk is beoordeeld of zij voldoen aan alle gestelde eisen voor het uitgeven van, in dit geval, een ISO/IEC 27001-certificaat.

 

Tip 1! Kijk op de website van de Raad voor Accreditatie om te controleren of de certificatieinstelling een geldige accreditatie heeft via deze link . In het scope-document in na te lezen of de betreffende certificatieinstelling geaccrediteerd is voor, bijvoorbeeld, ISO/IEC 27001.

Tip 2! Het is mogelijk om met een accreditatie-organisatie (ongeacht welk land) contact te zoeken om de status van accreditatie na te vragen.

Vervolgens wordt nagegaan of het certificaat dat de leverancier heeft te controleren op de status. Op het certificaat staat de naam van de certificatieinstelling. Bij hen is het mogelijk de status van de certificaathouder (dus de leverancier) op te vragen. Soms kan dit via een register op hun website of via een webformulier.

Tip 3! Lukt het via de website niet, bel of mail naar de certificatieinstelling.

Ten slotte wanneer alles er goed uit lijkt te zien, wil je inzage in de Verklaring van Toepasselijkheid (VvT). Op een ISO/IEC 27001-certificaat staat een versienummer en datum van deze VvT vermeld. Controleer of de ontvangen (of ingeziene versie) overeenkomt met hetgeen op het certificaat staat. Is dat niet het geval, vraag dan na hoe dit komt. Let wel! Wanneer de inhoud van een VvT wijzigt maat dat heeft geen invloed op de toepasselijkheid van maatregelen (er zijn bijvoorbeeld niet meer maatregelen buiten toepassing verklaard) dan hoeft er geen nieuw certificaat uitgegeven te worden. Houdt er dus rekening mee dat een verschil in versienummering niet direct negatief is.

De allerbelangrijkste tip die ik kan geven is om bedachtzaam te zijn of een certificatieinstelling en/of certificaathouder (de leverancier) certificaten uitgeeft of communiceert die niet voldoet aan alle accreditatie-eisen.

Een concreet voorbeeld wat ik bedoel is het NEN7510-certificaat.  Een certificatieinstelling mag pas een NEN-7510-certificaat uitgeven wanneer zij hiervoor geaccrediteerd zijn door de Raad voor Accreditatie EN een overeenkomst hebben afgesloten met de NEN. Voor accreditatie-eisen geldt de NCS7510. Een juist uitgegeven NEN7510-certificaat staat vermeld in het NEN-register. Via deze link kun je dit register inzien: .

Tip 4! Zou jouw leverancier een NEN7510-certificaat moeten hebben? Controleer dan of deze terug te vinden is in het NEN-register. Is dat niet het geval dan voldoet mogelijk het certificaat niet aan de gestelde eisen.

Is het niet hebben van een juist certificaat ernstig?

Dat hangt er vanaf. Voor de certificaathouder kan dit wanprestatie opleveren en via een andere (onafhankelijke) weg moeten aantonen dat zij wel degelijke voldoen aan de beveiligingseisen die contractueel zijn vastgelegd. Dit betekent echter niet dat de leverancier niet veilig werkt o fde vereiste beveiligingsmaatregelen niet of onvoldoende heeft geïmplementeerd. De leverancier heeft het niet juist (misschien wel onrechtmatig) willen aantonen.

Belangrijk voor jouw organisatie is vooral dat de mogelijke non-compliance inbreuk kan maken in het niet voldoen aan wet- en regelgeving. Een toezichthouder zou hierop kunnen gaan handhaven. Eventuele schade zou je via de wanprestatie op de leverancier kunnen verhalen.

Maar de vraag is ook of je met een dergelijke leverancier wilt blijven samenwerken.