NIS2
NIS2 Informatie
NIS2 SC10 Basic
ISO 9001
ISO 27001
ISO 14001
CO2 prestatieladder
VCA
Trainingen
Opleiding Interne Auditor ISO 9001
Opleiding Interne Auditor ISO 27001
Directiebeoordeling cursus
Blogs
Contact
NIS2
NIS2 Informatie
NIS2 SC10 Basic
ISO 9001
ISO 27001
ISO 14001
CO2 prestatieladder
VCA
Trainingen
Opleiding Interne Auditor ISO 9001
Opleiding Interne Auditor ISO 27001
Directiebeoordeling cursus
Blogs
Contact
Te hoge certificeringseisen door opdrachtgevers: een praktijkcase uit het MKB
J. van der Rijst
27 januari 2026 
in ISO-normen & Certifceringen
4 min. leestijd

Te hoge certificeringseisen door opdrachtgevers: een praktijkcase uit het MKB

"Ik krijg opeens van mijn opdrachtgever het verzoek om aan vijf certificeringen te voldoen!"

Soms krijg je van die gesprekken die je bijblijven.
Dit was er zo één.

Aan de lijn een kleine zelfstandige. Eén man, met één medewerker in dienst. Al jaren werkzaam als onderaannemer voor verschillende gemeenten. Betrouwbaar, ervaren, nooit gedoe, totdat hij bij een opdracht krijgt te horen dat hij opeens aan vijf normen moet voldoen.

Hij begon het gesprek niet boos, maar vooral onzeker. "Hans ik krijg opeens van mijn opdrachtgever het verzoek om aan vijf certificeringen te voldoen. Ik heb geen idee wat ik moet gaan doen. Ik snap het niet meer.” aldus Raoul (niet zijn echte naam).

Dit soort situaties zien we vaker bij certificeringseisen van opdrachtgevers, vooral bij kleinere leveranciers die werken voor gemeenten of grotere organisaties.

De eisen in het bestek

Hij had het bestek voor zich liggen. De certificeringseisen van de opdrachtgever waren helder opgeschreven.

ISO 27001
ISO 45001
VCA*
Veiligheidsladder niveau 3
CO₂-Prestatieladder

Alles verplicht.

Deze certificeringseisen werden niet gesteld omdat hij iets nieuws ging doen, of omdat er in het verleden iets mis was gegaan, maar simpelweg omdat deze eisen nu eenmaal standaard in het bestek stonden.

Raoel had al een adviesbureau gevraagd om een offerte uit te brengen. Inmiddels lag de offerte klaar. Het kostenplaatje voor begeleiding bij de implementatie van al deze normen was maar liefst € 80.000,-.

Dat is voor een kleine zelfstandige niet op te brengen. Raoel gaf aan dat dit bedrag wel erg hoog was, maar dat hij ook de klant niet kwijt wil raken en dat hij dus niet wist wat hij nu moest doen. Heel begrijpelijk.

Zelf dacht ik niet eens aan het geld, maar als adviseur aan de onmogelijke opdracht die Raoel werd gegeven. Het binnen een aantal maanden invoeren van vijf kwaliteitssystemen, waaronder zelfs de ISO 27001 (!), is gewoon niet realistisch.

Waarom de opdrachtgever overvraagt

Ik voelde meteen aan dat hier zeer waarschijnlijk sprake was van overvragen. Overvragen betekent in dit geval certificeringseisen stellen die in de praktijk niet zullen leiden tot een veiliger of betere situatie. Nadat ik had doorgevraagd, bleek dat:

Deze leverancier (Raoel):

  • Slechts een heel klein deel van het project uitvoert.
  • Geen toegang heeft tot systemen van de gemeente.
  • Geen data uitwisselt.
  • Al jaren werkt zonder incidenten.

En toch kreeg hij exact dezelfde zware certificeringseisen als organisaties die veel groter zijn en veel meer risico’s dragen.

Het probleem zat niet bij hem.

Het probleem zat in het feit dat er niet werd gekeken naar wat hij daadwerkelijk doet.

Even terug naar de inhoud

In plaats van te discussiëren over “wel of geen certificaat”, zijn we teruggegaan naar de kern: wat is de werkelijkheid? Ik nam elke certificeringseis met hem door.

We gingen samen na wat per certificeringseis de risico's waren wanneer de opdrachtgever met Raoel in zee zou gaan.

Bij ISO 27001 was het antwoord snel duidelijk. Er was geen informatiebeveiligingsrisico. Geen dataoverdracht, geen systemen, geen verwerking. Deze eis hield inhoudelijk geen stand.

Bij de CO₂-Prestatieladder gold hetzelfde. Zijn bijdrage aan de totale uitstoot van het project was minimaal. Zo klein zelfs, dat het geen invloed had op het eindresultaat.

Samen kwamen we tot de conclusie dat Raoel in geprek zou gaan met de opdrachtgever om deze twee certificeringseisen te laten vallen. Niet omdat hij ze niet wílde, maar omdat ze niets toevoegden.

Daarna bleef de focus liggen op veiligheid. Logisch, want dat is een risico en heel belangrijk voor zijn werk.

VCA, de Veiligheidsladder en ISO 45001 bleven dus nog overeind. Maar ook daar kwam de vraag op tafel: wat voegt elke norm toe?

Voor een kleine zelfstandige die al met VCA werkt én bezig is met de implementatie van de Veiligheidsladder, bleek ISO 45001 vooral veel overlap te hebben. Veel extra werk, weinig extra borging.

In overleg werd besloten dat Raoel de opdrachtgever voor zou stellen om ook de eis om te voldoen aan de ISO 45001 te schrappen.

Wat er uiteindelijk overbleef van de hoge certificeringseisen

Na een paar dagen had ik weer contact met Raoel. Hij had inmiddels contact gehad met zijn opdrachtgever. Toen hij onze conclusie aan de opdrachtgever voorlegde gingen zij gelukkig akkoord met het schrappen van de eis dat hij het ISO 27001 en ISO 42001 moest behalen. Ook gingen zij akkoord met het niet hoeven werken met de CO₂-Prestatieladder.

Aan het eind van de rit bleven certificeringseisen over die wél logisch voelde. VCA en de Veiligheidsladder bleven als verplichte eisen over. Op eigen initiatief voegde Raoel daar ISO 9001 aan toe. Niet omdat het moest, maar omdat hij zijn werkwijze en kwaliteit aantoonbaar wilde maken.

Van vijf certificeringen naar drie.
Van paniek naar overzicht.

Wat dit laat zien over certificeringseisen

Deze case laat zien waar het mis kan gaan met certificeringseisen van opdrachtgevers. Niet door slechte intenties, maar door gebrek aan nuance.

Als eisen automatisch worden doorgezet zonder te kijken naar:

  • de omvang van een leverancier;
  • de aard van de werkzaamheden;
  • de daadwerkelijke risico’s;

dan worden certificaten een doel op zich. En dat helpt niemand.

Overvragen is niet uniek

Wanneer we bij ISOmanager een vraag krijgen over certificering beginnen we nooit bij het certificaat als doel. We beginnen bij de vraag: wat is in deze situatie logisch? Wat is de toegevoegde waarde van een certificering?

We helpen leveranciers om, als de situatie dat vraagt en toelaat, het gesprek aan te gaan met hun opdrachtgevers. Om de gestelde eisen inhoudelijk te onderbouwen, overlap tussen normen te bespreken en alleen dat te vragen wat daadwerkelijk waarde toevoegt.

Natuurlijk lukt het niet altijd om de onnodige certificeringen of de overlap uit een opdracht of aanbesteding te halen. Toch loont het de moeite om het gesprek aan te gaan met de opdrachtgever als je het gevoel hebt dat er te veel wordt gevraagd.

Conclusie – expliciet antwoord op de hoofdvraag

Certificeringseisen van opdrachtgevers zijn begrijpelijk, maar niet altijd passend.
Zonder inhoudelijke afweging kunnen ze kleine leveranciers onnodig in de knel brengen.

Een goed gesprek, gebaseerd op risico’s en proportionaliteit, voorkomt dat certificering een blokkade wordt in plaats van een hulpmiddel.

Kort samengevat – key takeaways

  • Certificeringseisen worden soms te algemeen toegepast.
  • Niet iedere eis past bij iedere leverancier.
  • Praktijk en risico’s moeten leidend zijn.
  • Overleg kan onnodige certificeringen voorkomen.
  • Certificering werkt alleen als het inhoudelijk klopt.

Ben jij onzeker over de eisen van jouw opdrachtgever(s)? Neem contact met ons op voor een vrijblijvend adviesgesprek.

Anderen bekeken ook
NIS2 komt eraan: ook het MKB moet nú in actie komen
NIS2 komt eraan: ook het MKB moet nú in actie komen
07 januari 2026
Directiebeoordeling ISO 9001: zo haal je er écht waarde uit
Directiebeoordeling ISO 9001: zo haal je er écht waarde uit
01 december 2025
De meest gemaakte fout bij interne auditing
De meest gemaakte fout bij interne auditing
10 november 2025
De nieuwe ISO 9001:2026
De nieuwe ISO 9001:2026
22 oktober 2025
Reactie plaatsen
Edit article Dashboard Settings Website Design Article cached on Mon. 2 Feb 23:12
Renew cache