Kwaliteit,
met een K.
Eén geïntegreerd kwaliteits- en informatiebeveiligingsmanagementsysteem. ISO 9001:2015 en ISO 27001:2022 verankeren de beleidskaders, pentest-tools.com verzorgt de doorlopende externe scans, en het volledige bouwproces staat publiek op GitHub. Samen leveren ze scope, audittrail en doorlopende borging voor elke Conduction-app.
Waarmee we kwaliteit meetbaar houden.
De vier pijlers onder ons KMS en ISMS. De twee ISO-certificaten verankeren het managementsysteem, het commerciële pentest-platform levert continue externe borging en de GitHub-workflow houdt elke codewijziging in dezelfde audittrail.
De internationale norm voor kwaliteitsmanagementsystemen. Bevestigt dat Conduction een gedocumenteerd KMS hanteert, interne audits uitvoert en directiebeoordelingen houdt. Scope: softwareontwikkeling, hosting en advieswerk voor publieke en MKB-klanten in Nederland. Jaarlijkse tussentijdse audit, hercertificering elke drie jaar. Volledige beleidsverklaring en scope hieronder.
Lees het kwaliteitsbeleidISO-certificeringen
Kwaliteits- en informatieveiligheidsmanagementsysteem
- Norm
- ISO 9001:2015 · ISO 27001:2022
- Vastgesteld
- januari 2025
- Certificaten
- 24 juli 2025
- Volgende review
- februari 2027
Conduction, opgericht in 2018, streeft naar een betere digitale wereld door democratische, inclusieve en transparante software te ontwikkelen volgens de Common Ground-principes. Als Digital Socials richten we ons op het creëren van digitale oplossingen voor maatschappelijke vraagstukken, met 'Tech to serve people' als leidraad.
Onze missie is een digitale wereld te realiseren die fair, duurzaam en toegankelijk is voor iedereen. Dit doen we door democratische, inclusieve en transparante oplossingen te ontwikkelen met eerlijke verdienmodellen. Onze focus ligt op het bouwen van software en applicaties voor overheden, waarbij de mens centraal staat.
Kwaliteit en informatieveiligheid zijn essentieel voor ons. We streven naar voortdurende verbetering van onze dienstverlening volgens de Plan-Do-Check-Act-cyclus. Actieve betrokkenheid bij onze omgeving, partners en stakeholders, samen met proactieve inspanningen voor nieuwe dienstverlening, verbeterde kwaliteit en informatiebeveiliging, vormen de kern van ons beleid.
Ons kwaliteits- en informatieveiligheidssysteem, conform ISO 9001:2015 en ISO 27001:2022, is ontworpen om te waarborgen dat:
- werkmethoden geïdentificeerd en gedocumenteerd zijn voor duidelijkheid onder medewerkers;
- processen doeltreffend worden uitgevoerd en beheerst, met aandacht voor risico's;
- middelen beschikbaar zijn en processen worden bewaakt, gemeten, geanalyseerd en indien mogelijk verbeterd;
- nieuwe medewerkers snel inzicht krijgen in de werkwijzen;
- potentiële klanten inzicht hebben in ons kwaliteitsmanagementsysteem;
- we voldoen aan wettelijke en overheidsverplichtingen.
We zijn als partners verantwoordelijk voor de uitvoering van het beleid en zorgen ervoor dat de organisatie over de mensen, informatie, middelen en materialen beschikt om het kwaliteitsbeleid te kunnen realiseren. We pakken kansen en mitigeren risico's. Dit delen we met onze medewerkers en laten hen hier zo veel mogelijk in meedenken. We maken tijd vrij voor onszelf, de interne auditors en medewerkers.
De scope van het kwaliteits- en informatieveiligheidssysteem betreft productontwikkeling, beheer/abonnementen, training en advies.
Kwaliteit, informatiebeveiliging, continue evaluatie en klanttevredenheid staan centraal bij Conduction. Op 24 juli 2025 zijn de certificaten voor ISO 9001:2015 en ISO 27001:2022 verkregen.
Voor meer informatie over ons kwaliteits- en informatieveiligheidssysteem kunt u contact met ons opnemen via info@conduction.nl.
Vastgesteld door de directie van Conduction B.V. — Amsterdam. Tekst overgenomen uit de ondertekende beleidsverklaring van januari 2025.
Pentest-tools
Doorlopende externe borging is de derde pijler van het managementsysteem. Conduction heeft een abonnement op het commerciële SaaS-scanplatform pentest-tools.com en draait daarop geplande tests tegen de productievlakken van onze apps, de managed Common Ground-omgeving op commonground.nu en de marketingvlakken onder conduction.nl.
Het platform combineert een website-vulnerabilityscanner, een netwerkscanner, een CVE-check op de draaiende stack, TLS-configuratie-audits en subdomain enumeration. De dekking volgt de OWASP Top 10 en de controls in ISO 27001:2022 Annex A.8 (technologische maatregelen).
Hoe past dit in het ISMS? Bevindingen lopen via hetzelfde incidentproces dat in het beleid staat. Kritieke en hoge CVE's activeren de 30-dagen-patch-SLA uit Annex A.8.8. Elke scanrun wordt vastgelegd; de samenvatting van de laatste scan wordt besproken in de maandelijkse MT-kwaliteitsvergadering. Volledige pentestrapporten zijn beschikbaar voor klanten onder NDA — mail naar info@conduction.nl met je contract- of aanbestedingsreferentie.
Kwaliteitsworkflow op GitHub
Elke Conduction-app staat publiek op GitHub onder de ConductionNL-organisatie. De ontwikkelworkflow is de operationele laag van het KMS — het is de manier waarop de gedocumenteerde procedures uit §7.5 en §8 in de praktijk lopen, met het spoor van feature request tot gemergde code end-to-end zichtbaar.
Branch protection. Drie organisatie-brede rulesets dwingen overal dezelfde regels af: ten minste één goedkeurende review om naar development te mergen, ten minste twee reviews om naar main te mergen. Directe pushes naar beschermde branches zijn geblokkeerd. Elke wijziging loopt via een pull request.
Tweesporen-review. Pull requests krijgen de juiste reviewer via labels. Het label code-review:queued start een code-review tegen de coding standards van het project (PHPCS, PHPMD, Psalm en PHPStan voor PHP-apps; ruff en mypy voor Python ExApps; ESLint en Vue-regels voor frontends). Het label security-review:queued start een informatiebeveiligingsreview tegen de relevante ISO 27001:2022 Annex A-controls.
Hydra-automatisering. Routinematig review-werk loopt via Hydra, onze interne coördinatielaag — die kijkt naar PR-labels, stuurt review-jobs naar gespecialiseerde agents en schrijft de bevindingen terug als PR-comments. Het spoor van wie wat reviewde met welke feedback staat in de PR-historie. Een menselijke reviewer keurt goed voor de merge.
Spec-gedreven wijzigingen. Grotere wijzigingen dragen een OpenSpec change-folder en een ADR mee. De spec staat naast de code, de ADR legt de architecturale beslissing en het waarom vast, en de PR verwijst naar beide. Dat levert de documentatiesporen die ISO 9001:2015 §7.5 (beheersing van gedocumenteerde informatie) vraagt — zonder een parallel kwaliteitshandboek bij te houden.
Geautomatiseerde CI-gates. Elke PR draait de relevante linters, statische analyzers, unit-tests en dependency-vulnerability-scans voor er een menselijke reviewer wordt gevraagd. PRs die een gate niet halen worden geblokkeerd tot ze gerepareerd zijn. De CI-configuratie staat in de repository, dus de gates zijn zichtbaar voor iedereen die de code leest.
Aanverwante compliance-signalen
Naast de twee ISO-certificeringen, de pentest-scans en de GitHub-workflow ziet het inkooprelevante compliance-beeld voor Conduction er zo uit:
- ISAE 3402. De managed hosting op commonground.nu draait op infrastructuur van Cyso onder ISAE 3402 Type II. Hun verklaring sturen we op verzoek toe.
- BIO. De afstemming op de Baseline Informatiebeveiliging Overheid loopt. Statusupdates komen hier zodra die rond is.
- DigiD. Buiten de scope van onze huidige portfolio. We integreren met DigiD-systemen, maar hebben zelf geen DigiD-assessment.
Compliance FAQ.
Wat is het verschil tussen ISO 9001 en ISO 27001?
ISO 9001:2015 dekt kwaliteitsmanagement: hoe we ons werk plannen, bouwen, leveren en verbeteren. ISO 27001:2022 dekt informatiebeveiliging: hoe we risico's voor de data die we onder ons hebben identificeren, mitigeren en auditen. De meeste inkoopdossiers vragen om beide. Wij zijn voor beide gecertificeerd door dezelfde externe auditor, op dezelfde jaarcyclus.
Dekt het ISO 27001-certificaat van Conduction mijn data als ik de app zelf host?
Nee. Zelf hosten betekent jouw Nextcloud-instance, jouw infrastructuur, jouw data. Ons ISO 27001-certificaat dekt de eigen systemen van Conduction en de apps die we ontwikkelen. De beveiliging van de data die je in OpenRegister op je eigen server zet, is jouw verantwoordelijkheid. Wil je dat onze certificering ook de hosting dekt, gebruik dan onze managed Common Ground-omgeving op commonground.nu.
Hoe vaak draaien jullie de pentests?
De pentest-tools.com scans lopen op een doorlopend schema tegen de productievlakken. De volledige multi-vector scan loopt minimaal maandelijks; de gerichte scans (TLS, CVE, OWASP Top 10) lopen wekelijks. Bevindingen boven het medium-niveau worden binnen dezelfde week opgepakt, en kritieke of hoge CVE's activeren de 30-dagen-patch-SLA uit ISO 27001:2022 Annex A.8.8.
Is Conduction BIO-compliant?
De afstemming op de Baseline Informatiebeveiliging Overheid loopt. We gebruiken de BIO-controleset als gap-analyse tegen onze bestaande ISO 27001-controls en publiceren hier een statusupdate zodra die rond is. ISO 27001:2022 dekt het grootste deel van de BIO-vereisten al af, daarom beschouwen de meeste overheidsklanten Conduction nu al als inkoop-klaar.
Hebben jullie een DigiD-assessment?
Nee, DigiD valt buiten de scope van onze huidige portfolio. We bouwen apps die met DigiD-systemen integreren (via OpenConnector), maar we zijn zelf geen DigiD-dienstverlener. Als je aanbesteding een DigiD-assessment vraagt, ligt dat assessment bij de hostende partij of bij het systeem dat de DigiD-login aanbiedt.
Wat dekt het ISO 27001-certificaat op commonground.nu?
De managed Common Ground-omgeving draait op infrastructuur van Cyso onder ISAE 3402 Type II. Het ISO 27001-certificaat van Conduction dekt de applicatielaag (de Conduction-apps, de ontwikkelpipeline, de operatieworkflows), de ISAE van Cyso dekt de hostinglaag (datacenters, netwerk, hypervisor). Samen dekken ze de volledige stack die een overheidsklant op commonground.nu afneemt.
Krijg ik een kopie van de Verklaring van Toepasselijkheid of een pentestrapport?
De ISO 9001:2015- en ISO 27001:2022-certificaten zelf staan op deze pagina — klik op de afbeeldingen voor de scans in volle resolutie. Voor de VvT, het meest recente interne auditrapport of de relevante pentest-samenvatting kun je mailen naar info@conduction.nl met je contract- of aanbestedingsreferentie. Die stukken sturen we direct toe, omdat we willen vastleggen wie ze opvraagt.