Ga naar hoofdinhoud
Over ons/Kwaliteit
ISO 9001:2015 · ISO 27001:2022

Kwaliteit,
met een K.

Eén managementsysteem, vijf tools die het waarmaken. ISO 9001:2015 en ISO 27001:2022 leggen vast hoe Conduction moet werken en wat we meten. Het How We Work-handboek op docs.conduction.nl vertaalt dat naar de uitvoering. pentest-tools.com en de GitHub-native kwaliteitsworkflow toetsen de uitkomst. Elke regel code, elke dienst — dezelfde voorspelbare kwaliteit.

Lees de beleidsverklaringCompliance FAQ
Certificaten · handboek · scans · workflow● live
ISO 9001:2015 certificaat
ISO 9001:2015
ISO 27001:2022 certificaat
ISO 27001:2022
docs.conduction.nl · operationeel handboekLIVE
pentest-tools.com · dagelijkse scanSCHOON
GitHub PR #482 · code- en security-reviewGEMERGED
Kwaliteitstools

Waarmee we kwaliteit voorspelbaar houden.

Vijf tools, gelaagd. ISO 9001 en 27001 leggen vast wat goed is en hoe we meten. Het How We Work-handboek vertaalt dat naar de dagelijkse uitvoering. pentest-tools.com en de GitHub-workflow toetsen de uitkomst — extern én intern — bij elke release.

De internationale norm voor kwaliteitsmanagementsystemen. Bevestigt dat Conduction een gedocumenteerd KMS hanteert, interne audits uitvoert en directiebeoordelingen houdt. Scope: softwareontwikkeling, hosting en advieswerk voor publieke en MKB-klanten in Nederland. Jaarlijkse tussentijdse audit, hercertificering elke drie jaar. Volledige beleidsverklaring en scope hieronder.

Lees het kwaliteitsbeleid
ISO 9001:2015 certificaat, Conduction B.V.

ISO-certificeringen

ISO 9001:2015 certificaat, Conduction B.V., kwaliteitsmanagementsysteem
ISO 9001:2015 — Kwaliteitsmanagement
ISO 27001:2022 certificaat, Conduction B.V., informatiebeveiligingsmanagementsysteem
ISO 27001:2022 — Informatiebeveiliging
Beleidsverklaring

Kwaliteits- en informatieveiligheidsmanagementsysteem

Norm
ISO 9001:2015 · ISO/IEC 27001:2022
Vastgesteld
januari 2026
Certificaten
24 jul 2025 – 21 jul 2028
Volgende review
januari 2027

Conduction is in 2018 opgericht met als doel bij te dragen aan een betere digitale wereld. Wij ontwikkelen en beheren democratische, inclusieve en transparante digitale oplossingen volgens de Common Ground-principes. Als Digital Socials werken wij aan maatschappelijke vraagstukken voor publieke organisaties en overheden, met de mens centraal en Tech to serve people als leidraad.

Kwaliteit en informatiebeveiliging zijn essentieel voor het vertrouwen van onze klanten, partners en gebruikers. Conduction werkt volgens een geïntegreerd kwaliteits- en informatieveiligheidssysteem dat is ingericht conform ISO 9001:2015 en ISO/IEC 27001:2022. Dit systeem ondersteunt ons bij het beheersen van risico's, het oppakken van kansen en het continu verbeteren van onze dienstverlening volgens de Plan-Do-Check-Act-cyclus. Kwaliteits- en informatiebeveiligingsdoelstellingen stellen we jaarlijks vast en beoordelen we periodiek.

Met ons kwaliteits- en informatieveiligheidssysteem borgen we dat:

  • processen en werkwijzen duidelijk zijn vastgelegd en worden nageleefd;
  • werkzaamheden doeltreffend en beheerst worden uitgevoerd, met aandacht voor risico's;
  • prestaties worden gemonitord, geëvalueerd en waar mogelijk verbeterd;
  • medewerkers inzicht hebben in hun verantwoordelijkheden en werkwijzen;
  • wordt voldaan aan toepasselijke wet- en regelgeving en contractuele verplichtingen.

Het managementteam is verantwoordelijk voor en gecommit aan het vaststellen, uitvoeren en onderhouden van dit beleid en zorgt dat de organisatie beschikt over de benodigde mensen, middelen en informatie. We pakken kansen en mitigeren risico's. Dit delen we met onze medewerkers en laten hen hier zo veel mogelijk in meedenken. We maken tijd vrij voor onszelf, de interne auditors en medewerkers.

Het toepassingsgebied van dit beleid en de certificering betreft de kwaliteit in informatieveiligheid gerelateerd aan advisering over, en het ontwikkelen en beheren van digitale oplossingen voor maatschappelijke vraagstukken.

Kwaliteit, informatiebeveiliging, continue verbetering en klanttevredenheid staan centraal bij Conduction. De certificaten ISO 9001:2015 en ISO/IEC 27001:2022 zijn afgegeven op 24 juli 2025 en geldig tot en met 21 juli 2028.

Voor meer informatie over ons kwaliteits- en informatieveiligheidssysteem kunt u contact met ons opnemen via het contactformulier op onze website.

Vastgesteld door de directie van Conduction B.V. — Amsterdam. Tekst overgenomen uit de ondertekende beleidsverklaring van januari 2026.

docs.conduction.nl

How We Work — operationeel handboek.

Het ISO-beleid zegt waartoe Conduction zich verbindt. Het handboek op docs.conduction.nl vertaalt die toezeggingen naar de procedures die elke (digitale) medewerker dagelijks volgt — onboarding, software bouwen, customer support, de Hydra-pipeline, de Claude-workflow. Elke procedure staat in versiebeheer op GitHub en loopt door hetzelfde PR-+-reviewproces dat hieronder onder Kwaliteitsworkflow op GitHub staat; auditors lezen dezelfde bron als elke medewerker.

Brand & voice
  • logo · kleur · type
  • stem & toon
  • visuele diagrammen

Identity

Wie Conduction is. Merk, stem en visuele identiteit voor zowel onze cultuur als ons ontwerp.

Procedures
  • onboarding
  • rollen · verantwoordelijkheid
  • support & sla

Way of Work

Hoe Conduction dagelijks werkt — onboarding, rollen, software bouwen en klantondersteuning. Het handboek dat elke (digitale) medewerker volgt.

Pipeline
  • spec → builder
  • code- + security-review
  • mens approves → merge

Hydra

De spec-gedreven CI/CD-pipeline van Conduction. Van OpenSpec-wijziging tot gereviewde PR — Builder, parallelle code- + security-review, met een mens in de loop.

Conventies
  • skills · commands
  • parallelle agents
  • spec-gedreven

Claude-workflow

Spec-gedreven ontwikkeling met OpenSpec, GitHub Issues en Claude Code. Skills, commands, conventies, parallelle agents.

Clause-map
  • 9001 §4–§10
  • 27001 §4–§10
  • annex a controls

ISO-compliance

Engineering-pipeline gemapt op ISO/IEC 9001:2015 en 27001:2022 clause-by-clause, met gaten als first-class output.

GitHub Projects
  • volgende · loopt
  • opgeleverd
  • issues per spec

Roadmap

Waar het Conduction-app-ecosysteem heen gaat — live op GitHub Projects. Wat volgt, wat loopt, wat is opgeleverd.

Pentest-tools

Conduction draait dagelijks penetratietests tegen elke applicatie via het commerciële SaaS-scanplatform pentest-tools.com. De dekking beslaat de OWASP Top 10, bekende CVE's, TLS-hygiëne, netwerk-exposure en subdomain enumeration — tegen onze apps, de managed Common Ground-omgeving op commonground.nu en de marketingvlakken onder conduction.nl.

Komt er een bevinding boven, dan triëren we hem en starten de opvolging binnen 8 werkuren.

Kwaliteitsworkflow op GitHub

Elke Conduction-app staat publiek op GitHub onder de ConductionNL-organisatie. De herbruikbare Quality-workflow — één keer gedefinieerd in de .github-repo en aangeroepen door elke app — draait dezelfde gate-stack op elke pull request: vier parallelle kwaliteitsmatrices, daarna een gated test-fase, daarna rapportage + een Software Bill of Materials op beschermde branches.

Fase 1 · parallel
Kwaliteitsgates
Vier matrix-jobs, fail-fast uit, bij elke PR.
PHP Qualitymatrix
composer scripts
  • lint
  • phpcs
  • phpmd
  • psalm
  • phpstan
  • phpmetrics
Vue Qualitymatrix
npm scripts
  • eslint
  • stylelint
Securitymatrix
audit
  • composer audit
  • npm audit
Licensematrix
SPDX-allowlist
  • composer
  • npm
Fase 2 · gated
Tests
Pas zodra PHP Quality + Security groen zijn.
PHPUnitmatrix
PHP × Nextcloud
  • php 8.3 / 8.4
  • nc stable31 / 32
  • pgsql 16 service
Integratienewman
Postman-collections
  • newman run *.postman_collection.json
E2Eplaywright
Chromium + V8-coverage
  • npx playwright test
  • spec-to-test ≥ 75%
Fase 3 · altijd
Rapportage
Kwaliteitsrapport
PDF + PR-comment + step summary
  • aggregeert result-* artifacts
  • pandoc → wkhtmltopdf
  • 90 dagen bewaard
Coverage-baseline
guard + auto-update
  • PR: handmatige edits geblokt
  • main / development: bijwerken als beter
Fase 4 · beschermde branches
Bill of Materials
SBOMCycloneDX
composer + npm, samengevoegd
  • composer CycloneDX:make-sbom
  • cyclonedx-npm
  • Grype CVE-scan (fail op critical)
  • publiceer: artifact + release-asset

Om de pipeline heen

  • Branch protection — drie organisatie-brede rulesets dwingen overal dezelfde regels af: ten minste één goedkeurende review om naar development te mergen, ten minste twee reviews om naar main te mergen. Directe pushes naar beschermde branches zijn geblokkeerd.
  • Tweesporen-review — pull requests krijgen de juiste reviewer via labels: code-review:queued start de code-review tegen PHPCS / PHPMD / Psalm / PHPStan (of ruff / mypy / ESLint per stack); security-review:queued start een informatiebeveiligingsreview tegen de relevante ISO 27001:2022 Annex A-controls.
  • Hydra-automatisering — routinematig review-werk loopt via Hydra, die naar PR-labels kijkt, review-jobs naar gespecialiseerde agents stuurt en bevindingen terugschrijft als PR-comments. Een menselijke reviewer keurt goed voor de merge.
  • Spec-gedreven wijzigingen — grotere wijzigingen dragen een OpenSpec change-folder en een ADR mee. Spec naast de code, ADR voor de architecturale beslissing, PR verwijst naar beide — de documentatiesporen die ISO 9001:2015 §7.5 vraagt, zonder een parallel kwaliteitshandboek bij te houden.

Aanverwante compliance-signalen

Naast de twee ISO-certificeringen, het operationele handboek, de pentest-scans en de GitHub-workflow ziet het inkooprelevante compliance-beeld voor Conduction er zo uit:

  • ISAE 3402. De managed hosting op commonground.nu draait op infrastructuur van Cyso onder ISAE 3402 Type II. Hun verklaring sturen we op verzoek toe.
  • BIO. De afstemming op de Baseline Informatiebeveiliging Overheid loopt. Statusupdates komen hier zodra die rond is.
  • DigiD. Buiten de scope van onze huidige portfolio. We integreren met DigiD-systemen, maar hebben zelf geen DigiD-assessment.

Compliance FAQ.

Wat is het verschil tussen ISO 9001 en ISO 27001?

ISO 9001:2015 dekt kwaliteitsmanagement: hoe we ons werk plannen, bouwen, leveren en verbeteren. ISO 27001:2022 dekt informatiebeveiliging: hoe we risico's voor de data die we onder ons hebben identificeren, mitigeren en auditen. De meeste inkoopdossiers vragen om beide. Wij zijn voor beide gecertificeerd door dezelfde externe auditor, op dezelfde jaarcyclus.

Dekt het ISO 27001-certificaat van Conduction mijn data als ik de app zelf host?

Nee. Zelf hosten betekent jouw Nextcloud-instance, jouw infrastructuur, jouw data. Ons ISO 27001-certificaat dekt de eigen systemen van Conduction en de apps die we ontwikkelen. De beveiliging van de data die je in OpenRegister op je eigen server zet, is jouw verantwoordelijkheid. Wil je dat onze certificering ook de hosting dekt, gebruik dan onze managed Common Ground-omgeving op commonground.nu.

Hoe vaak draaien jullie de pentests?

Dagelijks, tegen elke applicatie. De pentest-tools.com-scans dekken de OWASP Top 10, bekende CVE's, TLS-hygiëne, netwerk-exposure en subdomain enumeration af. Komt er een bevinding boven, dan triëren we hem en starten de opvolging binnen 8 werkuren.

Is Conduction BIO-compliant?

De afstemming op de Baseline Informatiebeveiliging Overheid loopt. We gebruiken de BIO-controleset als gap-analyse tegen onze bestaande ISO 27001-controls en publiceren hier een status­update zodra die rond is. ISO 27001:2022 dekt het grootste deel van de BIO-vereisten al af, daarom beschouwen de meeste overheidsklanten Conduction nu al als inkoop-klaar.

Hebben jullie een DigiD-assessment?

Nee, DigiD valt buiten de scope van onze huidige portfolio. We bouwen apps die met DigiD-systemen integreren (via OpenConnector), maar we zijn zelf geen DigiD-dienstverlener. Als je aanbesteding een DigiD-assessment vraagt, ligt dat assessment bij de hostende partij of bij het systeem dat de DigiD-login aanbiedt.

Wat dekt het ISO 27001-certificaat op commonground.nu?

De managed Common Ground-omgeving draait op infrastructuur van Cyso onder ISAE 3402 Type II. Het ISO 27001-certificaat van Conduction dekt de applicatielaag (de Conduction-apps, de ontwikkelpipeline, de operatieworkflows), de ISAE van Cyso dekt de hostinglaag (datacenters, netwerk, hypervisor). Samen dekken ze de volledige stack die een overheidsklant op commonground.nu afneemt.

Krijg ik een kopie van de Verklaring van Toepasselijkheid of een pentestrapport?

De ISO 9001:2015- en ISO 27001:2022-certificaten zelf staan op deze pagina — klik op de afbeeldingen voor de scans in volle resolutie. Voor de VvT, het meest recente interne auditrapport of de relevante pentest-samenvatting kun je mailen naar info@conduction.nl met je contract- of aanbestedingsreferentie. Die stukken sturen we direct toe, omdat we willen vastleggen wie ze opvraagt.