📚 ISO Kennisbank / ISO 27001 Clausule 10: Verbetering en Non-conformiteiten

ISO 27001 Clausule 10: Verbetering en Non-conformiteiten

🔒 ISO 27001 ⏱ 9 min lezen 📅 3 juni 2026

Clausule 10 van ISO 27001 beschrijft hoe u omgaat met non-conformiteiten en hoe u continue verbetering borgt. Leer het verschil tussen minor en major non-conformiteiten, hoe u een corrigerend maatregelenproces inricht en hoe de PDCA-cyclus werkt.

Wat is ISO 27001 Clausule 10?

ISO 27001 Clausule 10 sluit de PDCA-cyclus (Plan-Do-Check-Act) van uw ISMS. Waar clausule 9 de evaluatie betreft, gaat clausule 10 over de actie die u onderneemt op basis van die evaluatie. Het is de motor van continue verbetering: wanneer iets niet klopt, corrigeert u het structureel en zorgt u dat het niet meer voorkomt.

Wat zegt de norm?

Clausule 10 bestaat uit twee sub-clausules:

  • 10.1 Non-conformiteit en corrigerende maatregel – Wanneer een non-conformiteit optreedt, moet de organisatie reageren, de oorzaak achterhalen en maatregelen nemen om herhaling te voorkomen.
  • 10.2 Continue verbetering – De organisatie moet de geschiktheid, toereikendheid en effectiviteit van het ISMS voortdurend verbeteren.

10.1 Non-conformiteiten en corrigerende maatregelen

Een non-conformiteit is een afwijking van een eis. In de context van ISO 27001 kan dat een afwijking zijn van de norm zelf, van intern beleid, van een procedure of van een contractuele beveiligingseis. Non-conformiteiten kunnen worden ontdekt via interne audits, externe audits, beveiligingsincidenten, management reviews of reguliere monitoring.

De definitie: wat telt als non-conformiteit?

Een non-conformiteit is meer dan een fout of incident. Het is een structurele afwijking van een eis. Voorbeelden:

  • Een procedure bestaat niet terwijl de norm dit vereist
  • Een bestaande procedure wordt stelselmatig niet gevolgd
  • Een control is gedocumenteerd als geimplementeerd in de SoA maar blijkt in de praktijk niet te werken
  • Toegangsrechten van uitgetreden medewerkers worden niet tijdig ingetrokken
  • Back-ups worden niet getest zoals beschreven in de procedure

De procedure: hoe gaat u er mee om?

De norm schrijft een vaste volgorde voor bij het omgaan met non-conformiteiten:

  1. Reageer op de non-conformiteit – Onderneem actie om de non-conformiteit te beheersen en te corrigeren (onmiddellijke actie).
  2. Beoordeel de noodzaak van actie – Onderzoek de oorzaak van de non-conformiteit door een root-cause analyse uit te voeren.
  3. Implementeer de corrigerende maatregel – Neem maatregelen die de oorzaak aanpakken, niet alleen het symptoom.
  4. Beoordeel de effectiviteit – Verifieer of de corrigerende maatregel het probleem daadwerkelijk heeft opgelost.
  5. Documenteer en bewaar – Leg alle stappen, besluiten en resultaten vast als gedocumenteerde informatie.

Tijdlijn voor corrigerende maatregelen

De norm schrijft geen vaste termijnen voor, maar in de praktijk worden de volgende richtlijnen gehanteerd:

  • Onmiddellijke correctie – Binnen 24-72 uur na ontdekking (afhankelijk van ernst)
  • Root-cause analyse – Binnen 5-10 werkdagen
  • Implementatie corrigerende maatregel – Binnen 30-90 dagen (afhankelijk van complexiteit)
  • Verificatie effectiviteit – Na implementatie, doorgaans binnen 30-60 dagen

Minor vs major non-conformiteit: het verschil

Het onderscheid tussen minor en major non-conformiteiten is cruciaal, zowel voor interne processen als voor de uitkomst van een externe certificeringsaudit.

Minor non-conformiteit

Een minor non-conformiteit is een gedeeltelijke afwijking. Het systeem functioneert in grote lijnen, maar er is een specifieke zwakheid of hiaat. Kenmerken:

  • Een incidentele afwijking van een procedure die normaal wel wordt gevolgd
  • Een ontbrekend document dat niet kritisch is voor de werking van het ISMS
  • Een control die gedeeltelijk werkt maar verbetering behoeft
  • Een meting die te laat is uitgevoerd maar waarvan de resultaten nog relevant zijn

Bij een externe audit: een minor non-conformiteit leidt niet tot onmiddellijke schorsing van het certificaat. De organisatie krijgt een termijn (doorgaans de volgende surveillance-audit) om de non-conformiteit op te lossen.

Major non-conformiteit

Een major non-conformiteit is een volledige afwijking of het volledig ontbreken van een norm-eis. Kenmerken:

  • Een volledig ontbrekend proces dat de norm verplicht stelt
  • Stelselmatige en wijdverspreide niet-naleving van procedures
  • Een control die volledig niet functioneert terwijl het risico hoog is
  • Het ontbreken van de directiebeoordeling
  • Het ontbreken van een auditprogramma of interne audits

Bij een externe audit: een major non-conformiteit leidt tot het niet verlenen van het certificaat of, bij een bestaand certificaat, tot opschorting. De organisatie moet de non-conformiteit opheffen en dit laten verificeren door de certificerende instantie voordat het certificaat wordt hersteld.

Root-cause analyse: de kern van corrigerende maatregelen

De meest gemaakte fout bij het omgaan met non-conformiteiten is het aanpakken van het symptoom in plaats van de oorzaak. Een medewerker maakt een fout: de verkeerde reactie is de medewerker te berispen; de juiste reactie is te onderzoeken waarom de fout kon optreden.

Effectieve methoden voor root-cause analyse:

  • 5 Whys – Stel vijf keer de vraag Waarom? om door te dringen tot de werkelijke oorzaak.
  • Fishbone-diagram (Ishikawa) – Structureer mogelijke oorzaken in categorieen: mens, methode, machine, materiaal, milieu, management.
  • Fault Tree Analysis – Bouw een logische boom van oorzaken en gevolgen top-down.

Documenteer de root-cause analyse als onderdeel van het corrigerende maatregelenrecord. De externe auditor zal hier altijd naar vragen: niet alleen wat er is misgegaan, maar waarom het kon misgaan en welke structurele maatregel voorkomt dat het opnieuw gebeurt.

10.2 Continue verbetering: de PDCA-cyclus in ISO 27001

Continue verbetering is het fundament onder elk ISO-managementsysteem. ISO 27001 gebruikt de PDCA-cyclus (Plan-Do-Check-Act) als leidend principe:

  • Plan (Clausules 4-6) – Begrijp de context, stel doelstellingen en plan uw aanpak.
  • Do (Clausule 7-8) – Implementeer de geplande maatregelen en voer de processen uit.
  • Check (Clausule 9) – Monitor, meet, audit en evalueer de effectiviteit.
  • Act (Clausule 10) – Corrigeer afwijkingen en verbeter het systeem voortdurend.

Continue verbetering is niet alleen het reageren op problemen (reactief), maar ook het proactief zoeken naar verbetermogelijkheden. Bronnen voor verbeteringen zijn: resultaten van interne audits, bevindingen uit incidentanalyses, uitkomsten van dreigingsintelligentie, feedback van medewerkers en stakeholders, resultaten van benchmarks met de sector en technologische ontwikkelingen die nieuwe beveiligingsmogelijkheden bieden.

Een verbeterplan opstellen

Een goed verbeterplan is meer dan een lijst van actiepunten. Het bevat de volgende elementen:

  • Doelstelling – Wat wilt u verbeteren en waarom?
  • Huidige situatie – Wat is de baseline? Welk probleem of welke kans heeft aanleiding gegeven tot dit verbeterplan?
  • Gewenste situatie – Hoe ziet de verbeterde situatie eruit? Hoe meet u het succes?
  • Acties – Welke concrete stappen worden ondernomen? Wie is verantwoordelijk? Wat is de deadline?
  • Benodigde middelen – Welk budget, welke mensen en welke tools zijn nodig?
  • Risicos van de verbetering – Welke risicos brengt de wijziging zelf met zich mee?
  • Evaluatie – Wanneer en hoe wordt de effectiviteit van de verbetering beoordeeld?

Hoe een auditor non-conformiteiten beoordeelt

Tijdens een externe audit beoordeelt de auditor niet alleen of u non-conformiteiten heeft gehad, maar ook hoe u ermee bent omgegaan. Een organisatie die non-conformiteiten heeft ontdekt, erkend en structureel heeft opgelost, toont daarmee volwassenheid. Een organisatie die beweert geen non-conformiteiten te hebben, wekt juist wantrouwen.

De auditor kijkt specifiek naar:

  • Heeft de organisatie een formeel proces voor corrigerende maatregelen?
  • Worden non-conformiteiten geregistreerd, ook kleine afwijkingen en bijna-incidenten?
  • Is er een root-cause analyse uitgevoerd?
  • Is de corrigerende maatregel gericht op de oorzaak, niet alleen het symptoom?
  • Is de effectiviteit van de maatregel geverifieerd?
  • Is alles gedocumenteerd en bewaard?

Veelgemaakte fouten bij clausule 10

  • Symptoombestrijding in plaats van oorzaakanalyse – De non-conformiteit wordt opgelost zonder de onderliggende oorzaak aan te pakken, waarna het probleem terugkeert.
  • Geen registratie van kleine afwijkingen – Alleen grote problemen worden vastgelegd; kleine afwijkingen en bijna-incidenten worden niet geregistreerd en gaan verloren als verbeterkans.
  • Open acties zonder opvolging – Corrigerende maatregelen worden geopend maar niet bewaakt; deadlines verstrijken zonder actie.
  • Geen verificatie van effectiviteit – Na implementatie van de maatregel wordt niet gecontroleerd of het probleem daadwerkelijk is opgelost.
  • Continue verbetering als loze belofte – De PDCA-cyclus wordt beschreven in beleid maar niet aantoonbaar uitgevoerd; er zijn geen concrete verbeteringen te noemen.
  • Onvoldoende documentatie – Het corrigerende maatregelenproces wordt niet volledig gedocumenteerd, waardoor de auditor het proces niet kan beoordelen.

Stap-voor-stap aanpak voor clausule 10

  1. Richt een corrigerende maatregelen registratie in – Gebruik een spreadsheet, GRC-tool of ticketsysteem met de verplichte velden.
  2. Train medewerkers in het melden van afwijkingen – Maak drempelvrij melden van problemen en bijna-incidenten onderdeel van de cultuur.
  3. Voer altijd een root-cause analyse uit – Gebruik een gestandaardiseerde methode zoals 5 Whys voor elke non-conformiteit.
  4. Stel SMART corrigerende maatregelen op – Elke maatregel heeft een eigenaar, een deadline en een meetbaar resultaat.
  5. Monitor de voortgang – Bespreek openstaande acties in elke management review.
  6. Verifieer de effectiviteit – Na implementatie, controleer of de non-conformiteit daadwerkelijk is opgelost.
  7. Leer van verbeteringen – Deel geleerde lessen binnen de organisatie om vergelijkbare problemen elders te voorkomen.
  8. Documenteer alles – Bewaar alle records van non-conformiteiten, analyses, maatregelen en verificaties.

Relatie met andere clausules

  • Clausule 9 – Non-conformiteiten die worden ontdekt in audits en monitoring (clausule 9) worden via clausule 10 opgelost.
  • Clausule 6 – Verbeteringen kunnen leiden tot bijstelling van doelstellingen en risicobehandeling in clausule 6.
  • Clausule 5 – De directie draagt verantwoordelijkheid voor de toewijzing van middelen aan corrigerende maatregelen.
  • Annex A – Corrigerende maatregelen kunnen leiden tot de implementatie van nieuwe of verbeterde Annex A-controls.

FAQ

Wat is het verschil tussen een correctie en een corrigerende maatregel?

Een correctie is de onmiddellijke actie om de non-conformiteit te verhelpen (het symptoom aanpakken). Bijvoorbeeld: een medewerker heeft toegang tot een systeem waarvoor hij niet geautoriseerd is, de correctie is de toegang onmiddellijk intrekken. Een corrigerende maatregel is de structurele actie om herhaling te voorkomen (de oorzaak aanpakken). Bijvoorbeeld: het toegangsbeheersproces herzien zodat ex-medewerkers automatisch worden uitgeschreven. Beide zijn vereist door de norm.

Moet ik elke minor non-conformiteit vastleggen?

Ja, ook minor non-conformiteiten moeten worden geregistreerd in uw corrigerende maatregelenregistratie. De norm maakt geen onderscheid in registratieplicht op basis van ernst. Registratie is ook in uw eigen belang: het biedt zicht op patronen en trends, en toont de auditor dat u serieus omgaat met alle afwijkingen, groot en klein.

Hoe lang moet ik records van corrigerende maatregelen bewaren?

De norm schrijft geen specifieke bewaartermijn voor, maar stelt dat u gedocumenteerde informatie moet bewaren als bewijs. In de praktijk is het advies om records minimaal drie jaar te bewaren, zodat u de volledige certificeringsperiode kunt aantonen. Bij een hercertificeringsaudit wil de auditor inzicht in de voortgang over de gehele periode.

Hoe bewijzen we continue verbetering aan de auditor?

Continue verbetering is aantoonbaar via: een overzicht van doorgevoerde verbeteringen over de afgelopen periode, de trend in KPIs die de goede richting opgaat, directiebeoordelingsnotulen waarin verbeterbesluiten zijn vastgelegd, afgeronde corrigerende maatregelen met verificatie van effectiviteit, en innovaties in het ISMS (nieuwe controls, verbeterde procedures, geautomatiseerde monitoring). De auditor zoekt naar bewijs dat uw ISMS evolueert en niet statisch is.

Wat als we een major non-conformiteit krijgen van de externe auditor?

Een major non-conformiteit van de externe auditor is ernstig maar niet onoverkomelijk. Stap 1: accepteer de bevinding en betwist deze niet zonder grond. Stap 2: voer direct een root-cause analyse uit. Stap 3: stel een corrigerend actieplan op en stuur dit binnen de afgesproken termijn naar de certificerende instantie (doorgaans 30-90 dagen). Stap 4: implementeer de maatregel. Stap 5: vraag een heraudit aan. Wees transparant in communicatie met de certificerende instantie; zij willen zien dat u het serieus neemt.

Hoe integreer ik het verbeterproces in de dagelijkse praktijk?

Continue verbetering werkt het best als het niet alleen een papieren systeem is maar in de cultuur is verankerd. Praktische stappen: maak het melden van verbeterideen laagdrempelig (anonieme ideeenbus, kort formulier), bespreek verbeteringen in teamoverleggen, vier successen publiekelijk, koppel de CISO of kwaliteitsmanager direct aan operationele teams, en zorg dat het management actief participeert in verbeterinitiatieven. ISO 27001-certificering is een reis, geen eindbestemming.

Direct aan de slag met ISO?

Vooraf ingevulde templates — 80% klaar, in Word, Office 365, Confluence of Google Docs.

Bekijk templates →