Compliance

ISO 9001: wat is het en is het verplicht?

ISO 9001 is de internationale norm voor kwaliteitsmanagement, niet wettelijk verplicht, maar zonder certificaat val je bij een deel van de aanbestedingen af. De huidige versie is ISO 9001:2015 (ISO, 2015).

De norm draait om een kwaliteitsmanagementsysteem (QMS): een samenhangend geheel van beleid, processen en verantwoordelijkheden gericht op een consistent resultaat voor de klant. Het systeem is opgebouwd rond de Plan-Do-Check-Act-cyclus en risicogericht denken.

ISO 9001 is niet wettelijk verplicht, maar wordt in de praktijk vaak geëist door opdrachtgevers en in aanbestedingen als bewijs van procesbeheersing. Zonder certificaat val je bij een deel van die aanbestedingen af.

De norm is bruikbaar voor elke organisatie, ongeacht sector of grootte. De omvang van het traject schaalt mee met de complexiteit van de organisatie.

Een ISO 9001-certificaat is drie jaar geldig, met jaarlijkse surveillance-audits door de certificerende instantie (DNV, 2025). Het traject verloopt op hoofdlijnen hetzelfde als bij ISO 27001.

Begin daarom met een nulmeting van de bestaande processen, zodat duidelijk is welke onderdelen al voldoen en welke nog ontbreken voordat de audit begint.

Wat is ISO 9001?

ISO 9001 is de internationale norm die eisen stelt aan een managementsysteem voor kwaliteit. De norm is opgesteld door de International Organization for Standardization (ISO) en beschrijft hoe een organisatie processen zo inricht dat producten en diensten consistent aan de afgesproken eisen voldoen.

De huidige versie is ISO 9001:2015, die de PDCA-cyclus (Plan-Do-Check-Act) en risicogericht denken als uitgangspunt neemt in plaats van vaste procedures (ISO, 2015). De norm stelt geen eisen aan wat een organisatie levert, maar aan hoe zij dat proces beheerst en verbetert.

ISO 9001 volgt de High Level Structure, de vaste hoofdstukindeling die ISO hanteert voor alle moderne managementsysteemnormen. Diezelfde structuur gebruikt onder meer ISO 27001, wat de twee normen goed combineerbaar maakt.

Voor wie is ISO 9001?

ISO 9001 is bedoeld voor elke organisatie die producten of diensten levert, ongeacht sector of grootte. In de praktijk kiezen organisaties voor certificering om twee redenen.

  • Aanbestedingen vragen erom: opdrachtgevers eisen het certificaat vaak als bewijs dat een leverancier zijn processen beheerst, voordat ze een opdracht gunnen.
  • De organisatie wil grip: het managementsysteem brengt verantwoordelijkheden, processen en verbeterpunten structureel in kaart.

De norm schaalt mee met de organisatie: een klein bedrijf certificeert een beperkte scope, een grote organisatie een complexe. De scope, het deel van de organisatie dat onder het QMS valt, bepaal je zelf aan het begin van het traject.

Waarom ISO 9001?

ISO 9001 levert organisaties drie concrete voordelen op. Het eerste is markttoegang: aanbestedingen en grote klanten stellen het certificaat regelmatig als voorwaarde, dus zonder certificaat val je af.

Het tweede is gestructureerd procesbeheer. Het managementsysteem legt vast wie waarvoor verantwoordelijk is en hoe een proces hoort te verlopen, waardoor kwaliteit minder afhankelijk is van individuele medewerkers.

Het derde is continue verbetering. De PDCA-cyclus dwingt een organisatie om resultaten periodiek te meten en processen daarop bij te stellen, in plaats van fouten pas te herstellen als een klant klaagt.

Hoe werkt ISO 9001-certificering?

ISO 9001-certificering verloopt in een vast traject van inrichting, audit en onderhoud, vergelijkbaar met ISO 27001. De stappen op hoofdlijnen:

  • 1. Scope bepalen: vastleggen welke processen, locaties en diensten onder het QMS vallen.
  • 2. Processen inrichten: de kernprocessen beschrijven en vastleggen, inclusief verantwoordelijkheden en meetpunten voor kwaliteit.
  • 3. Interne audit: de organisatie toetst zelf of het systeem werkt, voordat de externe audit begint.
  • 4. Fase 1-audit: de certificerende instantie beoordeelt of de documentatie en de opzet van het systeem op orde zijn.
  • 5. Fase 2-audit: de instantie toetst of het QMS in de praktijk werkt. Bij een positieve uitkomst volgt het certificaat.
  • 6. Onderhoud: jaarlijkse surveillance-audits houden het certificaat geldig; na drie jaar volgt een hercertificeringsaudit (DNV, 2025).

De certificering wordt altijd afgegeven door een geaccrediteerde certificerende instantie. Een adviespartij of IT-dienstverlener mag het traject begeleiden, maar mag niet zijn eigen werk certificeren: dat scheidt de uitvoering van de toetsing.

ISO 9001 vs andere normen

ISO 9001 en ISO 27001 delen dezelfde High Level Structure en dezelfde PDCA-logica, maar richten zich op iets anders. ISO 9001 gaat over de kwaliteit van producten en processen, ISO 27001 over het beschermen van informatie.

Door die gedeelde structuur combineren organisaties de twee normen vaak in één geïntegreerd managementsysteem. Beleid, interne audits en directiebeoordelingen lopen dan voor beide normen door hetzelfde systeem, met alleen de inhoudelijke eisen (kwaliteit versus informatiebeveiliging) apart.

Zo helpt ClickOn met ISO 9001

ISO 9001 gaat in de kern over kwaliteitsmanagement en de bedrijfsprocessen van een organisatie, niet over IT-beveiliging. ClickOn definieert die kernprocessen niet: dat blijft het domein van de organisatie zelf of haar kwaliteitsadviseur.

Wat ClickOn wel doet, is de IT-systemen en documentatie-infrastructuur inrichten waarop een kwaliteitsmanagementsysteem leunt: toegangsbeheer, versiebeheer van documenten, back-up en herstel van procesdocumentatie, en de audit-trail die een auditor wil zien. Dat is precies het werk waarmee ClickOn ook ISO 27001-trajecten ondersteunt: ClickOn is zelf sinds 2021 ISO 27001-gecertificeerd en heeft 100 procent van 25 audits doorstaan.

ClickOn doet dat met twee aanbiedingen. De Compliance Sprint richt de technische ondersteuning en de bewijsvoering binnen 30 dagen in tegen een vaste prijs per werkplek. Met compliant werkplekbeheer (PremiumOn) blijft dat daarna aantoonbaar werkend: voor €148 per werkplek per maand, inclusief 24/7 bewaking en support, en een werkplek staat binnen 24 uur compliant ingericht.

De inhoudelijke procesinrichting, het kwaliteitsbeleid en de formele audit blijven bij de organisatie, haar kwaliteitsadviseur en de certificerende instantie. ClickOn levert de technische ondersteuning en het bewijs eromheen.

Klaar om aan ISO 9001 te beginnen? Start de Compliance Sprint Bekijk compliant werkplekbeheer

Veelgestelde vragen over ISO 9001

Is ISO 9001 verplicht?

ISO 9001 is niet wettelijk verplicht. In de praktijk wordt het certificaat wel vaak geëist door opdrachtgevers en in aanbestedingen als bewijs van procesbeheersing.

Hoe lang is een ISO 9001-certificaat geldig?

Een ISO 9001-certificaat is drie jaar geldig. In die periode voert de certificerende instantie jaarlijkse surveillance-audits uit; na drie jaar volgt een hercertificeringsaudit (DNV, 2025).

Wat is de huidige versie van ISO 9001?

De huidige versie is ISO 9001:2015 (ISO, 2015). Die versie bracht de PDCA-cyclus en risicogericht denken als uitgangspunt, in plaats van vaste procedures.

Wat is het verschil tussen ISO 9001 en ISO 27001?

ISO 9001 is de norm voor kwaliteitsmanagement, ISO 27001 die voor informatiebeveiliging. Ze delen dezelfde High Level Structure, maar ISO 9001 gaat over de kwaliteit van producten en processen en ISO 27001 over het beschermen van informatie.

Kan ISO 9001 gecombineerd worden met ISO 27001?

ISO 9001 en ISO 27001 zijn goed te combineren in één geïntegreerd managementsysteem, omdat beide dezelfde High Level Structure en PDCA-logica volgen. Beleid, interne audits en directiebeoordelingen lopen dan door één systeem, met alleen de inhoudelijke eisen apart.

Ardo Hoogeveen

Ardo Hoogeveen · Security Officer

Oprichter, algemeen directeur en security officer van ClickOn. Gespecialiseerd in NIS2 en ISO 27001 ICT-compliance voor het MKB. 25+ audits doorstaan met 100% slagingspercentage.

Bekijk profiel