Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Europese Commissie komt met keurmerk voor 'veilige clouddiensten'

Er komt een Europees keurmerk voor clouddiensten die als veilig beschouwd worden. Een werkgroep van de Europese Unie heeft daarvoor een voorstel ingediend dat wordt opgenomen in de Cybersecurity Act van de Europese Commissie.

Dat meldt het ministerie van Economische Zaken in een persbericht. Het ministerie was één van de deelnemers van de werkgroep Cspcert, die was opgezet om richtlijnen voor een keurmerk op te stellen. Officieel moet het voorstel nog wel goedgekeurd worden door de Europese Commissie, maar een woordvoerder van het ministerie zegt dat het zo goed als zeker is dat de resolutie wordt aangenomen.

Het keurmerk gaat over clouddiensten die in Europa opereren. Bij de certificering wordt gekeken of bedrijven voldoen aan bepaalde eisen om data te beschermen tegen diefstal of tegen ongeautoriseerde toegang, bijvoorbeeld door kwetsbaarheden tijdig op te lossen. Ook komen er richtlijnen voor het afhandelen van beveiligingsincidenten, en voor het doen van beveiligingsaudits. Het gaat voorlopig om een vrijwillig keurmerk waar bedrijven zelf aanspraak op kunnen maken.

Als de Europese Commissie het voorstel accepteert wordt dat onderdeel van de Cybersecurity Act. Dat is een Europese verordening waarmee certificering zoals deze makkelijker kan worden opgezet. In de toekomst komen er naast clouddienstcertificaten ook keurmerken voor online diensten, internet-of-things-apparaten en bedrijven die software-as-a-service aanbieden. Ook krijgt het Agentschap van de Europese Unie voor Netwerk- en Informatiebeveiliging meer mogelijkheden om bedrijven met hun digitale veiligheid te helpen.

Door Tijs Hofmans

Redacteur privacy & security

17-06-2019 • 15:02

68 Linkedin Google+

Reacties (68)

Wijzig sortering
Een certificaat waar de eisen niet open van zijn is een zinloos certificaat.
veel erger is dat dit voorstel een duidelijk voorbeeld is van waar grote bedrijven certificaten/keurmerken gebruiken om een oneerlijke concurrentiepositie te creëren. Dit is onder anderen te zien in de auteurs/deelnemers lijst van dit voorstel.

Voor een partij als Microsoft (die ik hier noem omdat ze openlijk dit keurmerk sponsoren) is het namelijk een peuleschil om de hele papierwinkel die dit soort keurmerken vereisen bij elkaar te schrijven en een batterij juristen aan de slag te zetten zodat alles aan de letter van het keurmerk voldoet (maar niet noodzakelijkerwijs aan de geest van het keurmerk).

Dit zal verergerd worden door in de nabije toekomst te lobbyen om dergelijke certificeringen verplicht te maken voor allerhande europese aanbestedingen, wat daarmee bijna automatisch beginnende marktpartijen diskwalificeerd die mogelijk aan alle vereisten voldoen maar niet een dergelijk certificeringsproces kunnen bekostigen.
Naar aanleiding van je zorgen, ben ik even in de documentatie gedoken die door @walteij hieronder wordt aangegeven (dit document).

Hierin staat o.a. het volgende op pagina 129:
In accordance with Article 52 of the EUCA, in the opinion of the CSPCERT working group, all three proposed conformity assessment methodologies can be used for a European cybersecurity certificate that refers to assurance level “basic”. Both third-party conformity assessments can be used for a European cybersecurity certificate that refers to assurance levels “substantial” and “high”.
Met 'third-party conformity assessments' die een assurance level 'substantial' of 'high' kunnen geven wordt verwezen naar ISO of ISAE statements.

Er staat nog veel meer in over het 'hoe en wat' hiervan, maar in de basis komt het er op neer dat als je als bedrijf een formeel ISO/SOC/ISAE-statement hebt dat is afgegeven door een onafhankelijke accrediteur/accountant, dit gebruikt kan worden om je certificering aan te vragen.

Een beetje cloud-provider moet dergelijke statements nu al opleveren aan zijn klanten en daarvoor zal deze certificering dus niks anders zijn dan een extra labeltje.

En eerlijk is eerlijk, ik zou als bedrijf geen zaken willen doen met een cloudprovider die een dergelijk statement niet eens op kan leveren. Want uiteindelijk blijf je als ondernemer zelf verantwoordelijk voor je data, dus enige assurance van je dienstverlener is dan wel het minste wat je mag verwachten.

[Reactie gewijzigd door RobbieB op 17 juni 2019 20:02]

ISAE is voornamelijk een accountant rapport dat alleen door een beperkte groep accountants (lees: EY/Deloitte/Accenture/PwC/etc.) gecertificeerd kan worden, en dus uitermate geschikt om kleine partijen te benadelen.

SOC rapportering is een enorme papierwinkel voornamelijk op juridisch en financieel gebied (SOC 1). Veel van de processen in SOC zijn alleen bedoeld voor grotere bedrijven en kun je als kleinere partij per definitie niet aan voldoen. In SOC 2 moet je aantonen dat je langere tijd aan bepaalde criteria hebt voldaan en dat dit onafhankelijk vastgesteld is (dus bedrijven die langer bestaan hebben automatisch voordeel).

ISO is zo algemeen dat in theorie iedereen daar aan kan voldoen mits je een partij vind die je wil onderschrijven. Dit is dan weer vergelijkbaar met ISAE in de vorm dat er stevige kosten aan vast kunnen zitten.

Je kan je ook afvragen waarom de werkgroep het voorstel niet gewoon naar de prullenbak heeft verwezen als SOC/ISO/ISAE al voldoet ;)
ISAE is voornamelijk een accountant rapport dat alleen door een beperkte groep accountants (lees: EY/Deloitte/Accenture/PwC/etc.) gecertificeerd kan worden, en dus uitermate geschikt om kleine partijen te benadelen.
Accenture is geen accountantsorganisatie. Overigens kunnen kleinere accountantskantoren prima isae-verklaringen uitschrijven. Kosten zitten vooral in het feit dat werking aantonen veel audittijd vereist.
SOC rapportering is een enorme papierwinkel voornamelijk op juridisch en financieel gebied (SOC 1). Veel van de processen in SOC zijn alleen bedoeld voor grotere bedrijven en kun je als kleinere partij per definitie niet aan voldoen. In SOC 2 moet je aantonen dat je langere tijd aan bepaalde criteria hebt voldaan en dat dit onafhankelijk vastgesteld is (dus bedrijven die langer bestaan hebben automatisch voordeel).
SOC is ook gewoon een standaard waar accounts een verklaring op kunnen doen. Dat is niet anders dan isae - al wordt meestal de Amerikaanse tegenhanger SSAE18 gebruikt. Overigens lijkt je SOC2 met type 2 te verwarren. Zowel een SOC1 als een SOC2-rapport kun je in type 1 en type 2 laten toetsen, waarbij type 1 alleen opzet en bestaan is en type 2 daar werking aan toevoegt.
ISO is zo algemeen dat in theorie iedereen daar aan kan voldoen mits je een partij vind die je wil onderschrijven. Dit is dan weer vergelijkbaar met ISAE in de vorm dat er stevige kosten aan vast kunnen zitten.
Een iso27001-traject is aanzienlijk goedkoper. Circa een factor 4-5 t.o.v. Een isae-verklaring met een redelijk normenkader of soc2.
Accenture heeft ook een Accountancy tak tegenwoordig. Dank voor de aanvulling voor SOC, ik bedoel idd type 2.
Je kan je ook afvragen waarom de werkgroep het voorstel niet gewoon naar de prullenbak heeft verwezen als SOC/ISO/ISAE al voldoet ;)
haha, ja, dat was ook precies mijn gedachten na dit gelezen te hebben en ben het eens met alles dat je stelt hierboven, waarbij ik nog aan toe wil voegen dat ISAE/SOC-statements volledig afhankelijk zijn van de scope, die vaak (bewust!) erg beperkt is.

Dus tja, ik hecht ook niet meer al te veel waarde aan dit soort statements (zeker niet ISO27001, wat een soort zwemdiploma A is), maar ergens moet je als klant toch een vorm van vertrouwen uit kunnen halen. Je kunt ook niet iedere dienstverlener van top tot teen gaan auditen.

Fun fact: AWS strooit ook graag met al zijn certificeringen, maar ik raad bedrijven die veel gebruik maken van AWS diensten altijd aan zeer goed in Artifact te kijken wat nu precies de assurance is die ze krijgen. Vooral omdat nieuwe services (<2 jaar oud) vaak niet eens ISO gecertificeerd zijn.

[Reactie gewijzigd door RobbieB op 17 juni 2019 20:25]

Je kunt prima ISO gecertificeerde betonnen zwemvesten maken. (n.a.v. zwemdiploma)
Goed gesteld!
Net als bij subsidies en patenten, hebben de grote jongens om die reden een enorm voordeel.
Hoewel ik het niet helemaal oneens ben als je zegt dat de 'cost of entry' misschien omhoog gaat hierdoor, is het natuurlijk ook weer niet zo, dat je dergelijke diensten van een startup die dat in hun schuurtje doen zou willen afnemen. Juist van een cloud dienst wil je denk ik toch graag dat je minimaal een paar jaar vooruit kunt....
dat is ook niet het punt dat ik probeer te maken. Er is een enorme markt tussen de startup en de grote jongens in waar dergelijke kosten eenvoudig gezien worden als middel om concurrentie tegen te gaan.

Dit soort certificeringen worden regelmatig gebruikt om aanbestedingen naar specifieke partijen uit te kunnen schrijven door certificering als vereiste op te nemen en kunstmatige hordes in het certificeringsproces op te nemen waardoor alleen sponsoring/contributing members eenvoudig aan het begin gecertifieerd zijn.

Je ziet onder anderen hetzelfde in de medische software/hardware markt, waar bestaande partijen alle certificeringen op slot houden voor nieuwe partijen en hierdoor de markt afschermen voor disruptie.
Ja ja, snap ik allemaal, maar als jij een goed alternatief weet om allerlei cowboys te weren dat niet via certificering loopt....
mijn punt is dat dit al bestaat binnen ISO/SOC/ISAE en dat dit keurmerk dus niks toevoegt behalve een 'cost of entry'
Lees nog eens de link die achter Cspcert verborgen staat….
En dan vooral even doorgaan naar dit document (waarvan ik het dan weer jammer vind dat het op Google Docs staat en niet op een server van de organisatie zelf.

[Reactie gewijzigd door walteij op 17 juni 2019 15:19]

Blogspot is ook van Google, waar ze hun hele site op hosten. Niet serieus te nemen dit.
Goede ontwikkeling. Ben benieuwd of de vereiste hiervoor ook openbaar gesteld gaan worden.

Een cloud omgeving huren is natuurlijk jouw vertrouwen in iemand / een bedrijf leggen, zo'n keurmerk zou kunnen helpen met een goede keuze maken.
Maar wordt er ook gekeken naar wat desbetreffend bedrijf met jouw data doet betreft analyseren? Denk aan Google Drive in combinatie met eventueel een gericht adverteren.
Of Microsoft die ook steeds meer de advertentiekant op lijkt te gaan met hun apps en store.

Of wordt en puur gekeken naar de veiligheid van de data zelf en eventuele backups, etc.
Of Microsoft die ook steeds meer de advertentiekant op lijkt te gaan met hun apps en store.
Heb je voorbeelden? Ik maak veel gebruik van (betaalde) Microsoft diensten, maar kan me hier niet in vinden.
Slechts weinig reclame in de store, en ja er werden/worden wat apps vooraf geinstalleerd, maar die kun je verwijderen en herinstallatie kun je eenvoudig voorkomen.

Ik zeg niet dat het niet gebeurd, want de kans is vrij groot dat dit wel gebeurd bij mensen die "gratis" Microsoft producten gebruiken, maar ik persoonlijk heb het nog niet gemerkt.

[Reactie gewijzigd door walteij op 17 juni 2019 15:31]

Als voorbeeld het nieuws van laatst op Tweakers, dat er malware werd verspreid via advertentienetwerk in de apps/appstore. nieuws: Sommige Windows 10-apps tonen advertenties met malware (bron)

Ik heb zelf ook een betaalde account vanwege Onedrive/Office combo, was namelijk heel goed betaalbaar voor 10 euro in de maand. En ik kan letterlijk al mijn belangrijke spullen opslaan als backup daar.

[Reactie gewijzigd door Dostar op 17 juni 2019 15:21]

Tnx, die heb ik gemist.
Daarom ook dat ik me dat punt af vroeg, vooral in samenwerking met de AVG wet. Dit soort beleid vind ik namelijk ook goede ontwikkeling, maar zou dan graag ook samenwerking willen zien met ander beleid vanuit de EU zoals de AVG wet. En vooral met grote Amerikaanse bedrijven die nogal "anders" denken over privacy.
Ik denk niet dat dit hierin meegenomen wordt eigenlijk.

Zou dit van de GDPR niet verplicht in de voorwaarden moeten staan of in een privacy verklaring?
Diginotar was op papier ook hartstikke veilig en gecertificeerd. De praktijk bleek toch anders.
Niets is 100% veilig. OS'en niet, hardware niet en clouddiensten dus ook niet. Wel kan gekeken worden welke clouddienst 100% inzet toont om alles zo veilig mogelijk te houden en direct reageren op zero-day kwetsbaarheden en andere zaken. Als onder andere dat de criteria wordt van certificering, dan is het natuurlijk prima, maar toch zal zo'n gecertificeerd bedrijf ooit een keer tegen kleine of grote problemen aanlopen.
Webwinkels met een waarborg zijn ook niet altijd 100% veilig/eerlijk (keurmerk logo downloaden en op je website plaatsen)
Het keurmerk "bewuste keuze" op levensmiddelen is ook misleidend: https://www.consumentenbo...16wegmethetvinkjecampagne

Keurmerken zijn leuk, maar in de praktijk verdomde lastig uit te voeren.
Erger vond ik de trage reactie van Microsoft destijds. Mozilla en open source community hadden de certificaten al in het weekend teruggetrokken, terwijl men bij Microsoft dit pas op de maandag na het weekend dit deed "omdat de systeembeheerders het niet eerder kunnen patchen".
Dus omdat een ander het slecht organiseert ben jij de pineut.
Een keurmerk is zo goed als de momentopname die men gemaakt heeft - dat moet regelmatig herzien worden - of 't is zoveel waard als een zandkorrel.
Ik persoonlijk zou dit aan b.v. ISO overlaten.
Een keurmerk vanuit hun zou meer op zijn plaats zijn.
En vanuit aanbestedingen e.d. dit keurmerk simpelweg afdwingen bij zaken doen met elkaar.
Dat zijn de instanties welke hierin zijn gespecialiseerd, ik zit niet echt te wachten op weer een nieuw keurmerk vanuit Europa.
De onduidelijkheid en variatie van GDPR tussen alle naties staat mij nog iets te vers in het geheugen.
Tegen de tijd dat de ISO zoiets heeft opgesteld en ingevoerd zijn clouddiensten alweer achterhaald. Volgens mij is alleen de ITU nóg bureacratischer.

Wat wel zou kunnen is dat de ISO zo’n standaard als dit overneemt. Dat doet de ISO wel vaker en is doorgaans een stuk sneller en effectiever.
Keurmerk laat me niet lachen, bij de meeste clouds zijn er vaak genoeg lekken geweest waarbij alle userdata op straat kwam te liggen. Zogenaamd zaligmakend en zoo retehandig, maar in principe gewoon russisch roulette en is het wachten op de volgende grote lek.
... Vandaar dus ook een keurmerk. Ik snap je reactie niet.
Nee ? Je gaat een keurmerk uitgeven aan iets wat inherent is aan onveilig, nee daar zou ik mijn vingers niet aan branden..
Keurmerk garandeert ook geen veiligheid, keurmerk gaat ervoor zorgen dat ze bepaalde processen en procedures hanteren en dingen daarbij noteren.

Een keurmerk voor webwinkels zorgt ook niet dat er nooit wat fout gaat maar dat er processen en procedures zijn om evt problemen op te lossen, bijvoorbeeld.
Een keurmerk stelt echt niets voor. Op papier je zaken op orde hebben is echt iets anders dan het daadwerkelijk voor elkaar hebben.

Alleen als de resultaten van audits openbaar zijn heb je er iets aan.
Ja, de serieuze keurmerken die ik ken werken zo.
Kan best werken voor clouddiensten. De Amerikaanse clouddiensten die nu in Europa actief zijn moeten volgens avg zichzelf in Amerika certificeren voor privacy shield. Dat werkt op zich prima maar gezien de huidige anti Amerikaanse sentimenten zien een aantal EU ambtenaren de kans schoon om dat proces nog eens dunnetjes over te doen. Maar dan invented here.
En daar gaan we dus weer.

Ik kan een Amerikaanse certificering niet vertrouwen. Ik kan alleen een certificering vertrouwen die openbaar is, die door onafhankelijke mensen zijn gedaan en waarvan de eisen dus ook openbaar moeten zijn.

Amerikaanse bedrijven die in Europa actief zijn moeten wat mij betreft dus aan Europese eisen voldoen. Met de wetten die de VS hebben kan ik dus simpelweg geen enkel Amerikaans bedrijf vertrouwen.
De wetten in Amerika zijn op Europees initiatief ontstaan toen Safe Harbour ongeldig bleek.

Je kunt op https://www.privacyshield.gov/welcome precies alles zien waar je om vraagt.

Maar als je alle amerikanen als gecomprimiteerd beschouwd helpt europese wetgeving je ook niet

[Reactie gewijzigd door dez11de op 18 juni 2019 10:24]

Niet alle Amerikanen.Wel de Amerikaanse overheid als geheel. Die zijn er niet voor ons Europeanen, maar voor Amerikanen.

Ik schat in dat als de EU exact dezelfde wetgeving zou introduceren voor Amerikanen als vice versa dat dan de VS de EU zal beschouwen als nog grotere vijand dan ze nu al doen.
Mja, dan zouden we eerst een cloudindustrie moeten hebben.... Wat hebben "we" nu te bieden? Spotify... dat is nou niet een dienst die op het randje van privacy balanceert.
Daarom voor mij en het bedrijf waar ik werk geen cloud.
Dan hoop ik maar dat ik geen klant bij je ben, je neemt veel te veel risicos op het gebied van veiligheid en uptime.
Dat ben je zeker niet. Als je tenminste in Nederland werkt, voor een bedrijf in Nederland.
Als jij zegt dat bij de meeste cloud aanbieder alle userdata op straat kwam te liggen daag ik je uit om er ook maar een te noemen. Ik ken wel wat problemen waarbij er data gelekt werd maar geen enkel geval waarbij alle data uitlekte. Laat staan bij de meeste.

Ik denk dat je niet goed weet waar je het over hebt.
Ik denk dat jij teveel droomt dat alles maar veilig is of je vergeet heel snel wat je niet goed uitkomt ...

Maar om ff een paar links voor je te vinden in 20 sec bv facebook en 540 miljoen gegegevens:


https://www.tomshardware....book-data-leak,38991.html

en paar grote van de afgelopen jaren ;P

https://digitalguardian.com/blog/history-data-breaches

De trend is dat er steeds meer en meer data lekken komen, het wordt steeds onveiliger om je data online op te slaan.

https://www.businessinsid.../?international=true&r=US

En hoeveel zijn er nog steeds lek als een mandje maar zijn gewoon niet openbaar gemaakt of ontdekt..

https://blog.storagecraft...-cloud-security-breaches/

[Reactie gewijzigd door ChAiNsAwII op 17 juni 2019 17:25]

https://www.tomshardware....book-data-leak,38991.html
Tja, al is de cloud-dienst 100% waterdicht, als je als afnemer geen beveiliging aan zet.....
Leuk plaatsje, maar ik zie hier geen cloud-providers tussen....
https://www.businessinsid.../?international=true&r=US
Wederom, allerlei hacks, maar geen relatie met cloud-providers.
Yahoo geen cloud ?
Nope, afaik maakt Yahoo gebruik van de could-diensten van Amazon
Sony Psn
Geen idee waar het nu op draait, maar het gaat (deels) op Azure draaien.
AOL
Maakt gebruik van Amazon AWS en EC2
in geen van je links staat een data-breach van een cloud provider. Die eerste link kan je FB aanrekenen niet Amazon. Die bucket werk(te) als advertised.

Ik sluit me aan bij falconhunter, Volgens mij heb je geen idee wat er bedoelt word met 'cloud', maar ik kan er naast zitten natuurlijk.
De meeste "hacks" van die cloudsystemen waren niet meer dan het uitproberen van voor de hand liggende wachtwoorden om bijv. accounts van beroemdheden in te zien.
Clouddiensten zijn niet veilig te noemen, ook niet als men het onderbrengt bij Google. Beter op een USB stickje thuis,ext HD, uitprinten of op DVD branden. Zonde om geld aan deze werkgroep uit te geven (Europees overheidsgeld)
Maar soms heb je (werk) niet te kiezen. Ik werk bijvoorbeeld voor een scholengemeenschap die massaal over gaat stappen van eigen servers/data/papieren dossiers naar Microsoft Teams. Juist en ook vanwege de AVG wetgeving. Hun achterliggende gedachte: Online is veiliger.
Ik denk niet dat ik ze kan overhalen DVDtjes te gaan lopen branden einde van iedere week :P

[Reactie gewijzigd door Dostar op 17 juni 2019 15:58]

Maar soms heb je (werk) niet te kiezen. Ik werk bijvoorbeeld voor een scholengemeenschap die massaal over gaat stappen van eigen servers/data/papieren dossiers naar Microsoft Teams. Juist en ook vanwege de AVG wetgeving. Hun achterliggende gedachte: Online is veiliger.
Ik denk niet dat ik ze kan overhalen DVDtjes te gaan lopen branden einde van iedere week :P
Back-up op HD is geen moeite toch ?
Helaas het beleid, ik ben zelf administratief medewerker met ICT vaardigheden, dus heb er niets over te zeggen. Ik ben het wel met je eens dat ouderwets werken helemaal niet zo verkeerd is. Eigen servers, eigen backups, eigen beheer en besparing in kosten (want Teams is duurder dan de stroom die een server kost).
Beetje makkelijke dat de kosten tov teams alleen met stroomprijzen worden vergeleken. Het idee is natuurlijk dat je een hoop zaken niet zelf meer hoeft te regelen. Naast de directe kosten daarvan heb je ook een een stuk overhead wat het dan scheelt.
Het kan misschien nog steeds dan wel goedkoper zijn, maar je krijgt er bijvoorbeeld gemak of wendbaarheid voor terug.
Je betaalt alleen stroom voor je servers? Geen hardware licenties en onderhoud? Beter!
We hebben het hier over complete infra op een cloud platform, niet over henk de hacker met zijn USB stick.
Ok, en de backups? En hoe kan ik mijn data van jouw dvd verwijderen als ik daar om vraag?
Ik zou het fijn vinden als dat keurmerk een cloud dienst pas veilig vind voor bedrijven en inwoners in EU landen als de data niet bekeken kan worden door bedrijven of overheden buiten de EU zonder gerechtelijke toestemming.

Dat betekent dus dat Amazon, Apple, Google en Microsoft dus per direct afvallen aangezien hun overheid zonder meer kan kijken in de data waar ook ter wereld enkel en alleen maar, omdat het een Amerikaans bedrijf is. Alibaba en vergelijkbare Chinese bedrijven vallen om dezelfde reden dus ook af.
Juist.

Want ook een overheid kan dingen met data doen die niet door de beugel kunnen. Nu misschien niet, maar in de toekomst kunnen data gebruikt worden op een manier die dan erg handig kunnen zijn.
En weer aannames doen die niet op feiten zijn gebaseerd.
Dat van de Amerikaanse bedrijven is zonder meer bekend in ieder geval. Van de Chinese bedrijven zit er een overheidsfunctionaris in het bestuur. Die kan dus in die hoedanigheid ook kijken. Dus welke aannames?
Dat van amerikaanse bedrijven is bekend als de data in de VS staat.....
De PCI (Payment Card Industry) heeft ook al dergelijke verregaande vereisten. Eigenlijk vindt ik het maar normaal dat zoiets geldt voor elk bedrijf waar we ons kapitaal droppen (financieel of anders).

Natuurlijk begrijp ik wat hierboven geschreven wordt ivm bedongen concurrentievoordeel. Maar het blijkt dat normering nodig is omdat zelfregulering niet volstaat. Enerzijds zijn de groten te weinig transparant, anderzijds kunnen de kleintjes zich voordoen als groten (terwijl ze dat niet zullen kunnen waarmaken).
Misschien is het zelfs net goed dat (te) kleine bedrijven, zonder de middelen om kwaliteit te garanderen, het moeilijker krijgen om zich als volwaardig alternatief voor de grote jongens te profileren?
Iets dergelijks bestaat bijvoorbeeld ook voor voedselveiligheid. En ja... als je de investering niet kan opbrengen voor betegelde muren, roestvrij stalen werkvlakken en meerder koelkasten zijn de betrokken markten ook moeilijk te betreden... en dat is maar goed ook!
Een keurmerk, zoals hier voorgesteld wordt, is nog véél minder beperkend. Het staat je vrij een bedrijf te starten en je potentiële klanten zónder keurmerk te overtuigen. Pak je dat goed aan, kom je vanzelf op een niveau waar die certificering de moeite waard is :)

[Reactie gewijzigd door the_stickie op 17 juni 2019 19:32]

Mag dan wel hopen dat zo'n keurmerk maar een bepaalde tijd geldig is en dat nen dus de certificering tijdig moet vernieuwen.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Nederland

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True