Wat is een Verklaring van Toepasselijkheid (VvT of SoA)?

De Verklaring van Toepasselijkheid, in het Engels Statement of Applicability (SoA) genoemd, is een verplicht document binnen ISO 27001. Hierin geef je aan welke beveiligingsmaatregelen (controls) uit Annex A van ISO 27001 wel of niet van toepassing zijn op jouw organisatie, en waarom.

Het document bevat:

‍

• Een lijst van alle 93 maatregelen uit Annex A (versie 2022)
• Per maatregel een toelichting of deze:
  • Van toepassing is of niet van toepassing
  • Waarom die keuze is gemaakt
• Eventueel verwijzingen naar beleidsstukken, risico's of technische maatregelen

👉 Het is dus geen invuloefening, maar een doordachte onderbouwing van hoe je organisatie met informatiebeveiliging omgaat.

‍

Waarom is de VvT (SoA) zo belangrijk?

De VvT is één van de belangrijkste documenten binnen je Information Security Management System (ISMS). Dit zijn de belangrijkste redenen waarom:

1. Het is een verplicht document voor certificering

Zonder een actuele en onderbouwde VvT kun je niet gecertificeerd worden volgens ISO 27001.

2. Je kunt gecertificeerd zijn tegen slechts één maatregel

ISO 27001 vereist niet dat je álle 93 maatregelen toepast. Je kunt  (in theorie) zelfs certificeren tegen maar één maatregel, zolang je dit goed onderbouwt in de VvT. Precies daarom willen klanten vaak jouw VvT zien: om te beoordelen hoe volwassen jouw ISMS is.

3. Klanten en leveranciers vragen erom

Steeds meer organisaties vragen de VvT op om in te schatten in hoeverre jouw organisatie maatregelen heeft geïmplementeerd. Dit is vooral belangrijk in de keten: leveranciers die met gevoelige data werken, moeten kunnen aantonen dat ze passende beveiligingsmaatregelen nemen.

‍

Tip: vraag ook zélf om de VvT van je leveranciers wanneer je met vertrouwelijke informatie werkt. Het geeft direct inzicht in hun beveiligingsniveau.

Hoe ziet een goede Verklaring van Toepasselijkheid eruit

Een VvT volgt meestal een vaste opzet in tabelvorm en moet de volgende onderdelen bevatten:

‍

1. De noodzakelijke beheersmaatregelen (volledig uitgeschreven);
2. Een rechtvaardiging voor het opnemen ervan;
3. De informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet;
4. De rechtvaardiging voor het uitsluiten van beheersmaatregelen uit bijlage A.

‍

Hieronder zie je een eenvoudig voorbeeld (voor enkele maatregelen):

‍

Let op: een goede VvT is dynamisch. Het document groeit mee met je organisatie, je risicobeoordeling en technologische ontwikkelingen.

Veelgemaakte fouten bij de VvT

❌ Alleen afvinken zonder onderbouwing

❌ Geen update doen bij nieuwe risico’s of maatregelen

❌ Geen documentatie of bewijzen van implementatie

❌ Geen aandacht voor de ‘reden van niet-toepassing’

Samengevat

De Verklaring van Toepasselijkheid is veel meer dan een checklist: het is het hart van je certificering. Klanten, leveranciers en auditoren gebruiken het om te beoordelen of je écht grip hebt op risico’s en passende maatregelen neemt.

💡 Wil je goed voorbereid zijn op vragen van klanten of leveranciers? Begin dan met een duidelijke en goed onderbouwde VvT.

‍