ISO-standaarden voor klantcontactorganisaties

Klantcontactorganisaties opereren op het snijvlak van servicekwaliteit, compliance, data, technologie en continuïteit. ISO-normen kunnen helpen om dat geheel te organiseren, aantoonbaar te maken en te verbeteren. Maar niet elke ISO-norm past bij elk motief, en ‘ISO doen’ is niet hetzelfde als ‘ISO-gecertificeerd zijn’.

In dit kennisartikel over ISO-normen voor klantcontact lees je:

wat zijn ISO-normen en waarvoor gebruik je ze;
welke ISO-normen zijn relevant voor klantcontactorganisaties;
vanuit welke motieven kan je met ISO gaan werken;
hoe maak je een keuze en wat zijn de valkuilen.

ISO-normen

De meest bekende ISO-norm is wellicht de algemene norm voor kwaliteit: ISO 9001. Voor de klantcontactsector is een groot aantal ISO-certificeringen relevant en sommige normen zijn zelfs specifiek voor de sector ontwikkeld. Hoewel ISO-normen worden bedacht en ontwikkeld in samenwerking met het werkveld, gebeurt de certificering door via externe, onafhankelijke auditors.

ISO staat voor International Organization for Standardization en is opgericht op 23 februari 1947, als onafhankelijke, niet-gouvernementele organisatie. Leden van ISO zijn nationale normalisatie-instituten, waaronder het Nederlandse NEN en het Duitse DIN. De eerste publicatie van ISO ging over de (nu oudste) norm ISO/R 1:1951 die in 1951 verscheen. De norm had betrekking op de standaard referentietemperatuur voor industriële lengtemetingen (namelijk 20°C).

ISO-standaarden worden ontwikkeld in zogenaamde technische commissies met experts die vanuit de nationale ledenorganisaties worden afgevaardigd. Conceptnormen doorlopen meerdere, vastomlijnde fasen: van uitwerken, becommentariëren tot stemmen. Uitgangspunt is internationale consensus; een norm is dus altijd een ‘coproductie’ waarin belangen van verschillende partijen en landen terug te vinden zijn. Er zijn momenteel ruim 26.000 standaarden beschikbaar; ze worden beheerd door ISO in Geneve. Per norm kan documentatie online aangekocht worden bij de ISO-organisatie. Sommige normen bevatten een toevoeging in de vorm van een jaartal, wat naar de editie van de norm verwijst. Soms is een norm aangeduid met ISO/IEC. In dat geval is de ISO-norm opgesteld in samenwerking met de International Electrotechnical Commission (IEC). ISO zelf certificeert niet en geeft ook geen certificaten uit. Dat gebeurt door gespecialiseerde en vaak geaccrediteerde auditors.

ISO gaat niet altijd over ‘normen’

Veel ISO-normen zijn managementsysteemnormen: ze beschrijven eisen aan hoe je processen inricht en aantoonbaar beheerst. Voor deze normen kan je je laten certificeren. Andere ISO-normen zijn ‘codes of practice’ en zijn minder geschikt als certificeringsbasis.

Een ISO-norm is op de allereerste plaats een hulpmiddel om afspraken, processen en beheersing expliciet te maken. De kern van het werken met ISO-normen is dan ook te werken volgens aantoonbaar vastgelegde processen: wie doet wat, volgens welke werkwijze, met welke controles, en hoe stuur je bij als de werkelijkheid afwijkt. Het is dus een norm die gaat over ‘hoe te werken’, niet wat het resultaat moet zijn. Daarmee lijkt ISO vaak eerder een richtlijn en een houvast. Als een specifieke ISO-norm geen standaard, maar een leidraad is, is dat expliciet aangegeven bij die ISO-norm.

‘Werken volgens ISO’ biedt klanten of partners geen zekerheden.

Toch schrijven de meeste ISO-normen wel voor wat je moet organiseren en/of borgen. Teams die zeggen dat ze voldoen aan ISO (of: ‘werken volgens ISO’) kunnen zich laten inspireren door bepaalde principes of best practices, maar aan het eind van de dag moeten ze formeel kunnen aantonen dat ze aan vooraf vastgestelde eisen voldoen. ‘Werken volgens ISO’ – soms kom je het tegen in marketinguitingen – betekent dus niet dat je ook ISO-gecertificeerd bent. ‘Werken volgens ISO’ biedt klanten of partners dus geen zekerheden; het kan ook misleidend werken als de dagelijkse werkpraktijk niet in de buurt van ISO-normen komt.

Welke ISO-normen zijn relevant voor klantcontactorganisaties?

Er is een flinke lijst van ISO-normen die gebruikt kunnen worden in contactcenters of customerserviceafdelingen. Daarbij is het zoals eerder gezegd essentieel om een onderscheid te maken tussen ISO-normen die als harde standaard worden gehanteerd en ISO-normen die bruikbaar zijn bij het ontwerpen van werkwijzen.

In de eerste categorie vallen onder meer ISO 27001 (informatiebeveiliging), ISO 22301 (business continuity) en ISO 18295 voor contactcenters en opdrachtgevers van facilitaire contactcenters.

In de tweede categorie kan je denken aan ISO als richtlijn of toolbox, zoals ISO 10001/10002/10003/10004 voor zaken als (het meten van) klanttevredenheid of het regelen van de klachtenafhandeling. Het doel waarmee je ISO gaat gebruiken is essentieel, want is bepalend voor de investeringen. ‘Werken volgens ISO’ kost aanzienlijk minder tijd en geld dan je organisatie certificeren voor een bepaalde ISO-norm.

Zes motieven voor klantcontactorganisaties om ISO-normen te omarmen

Organisaties kunnen dus uiteenlopende motieven hebben om bepaalde ISO-normen te omarmen. Sterker nog, per motief of doel wat je wil bereiken zijn er specifieke ISO-normen.

We bespreken hier zes dominante motieven en achterliggende doelen.

1. Servicekwaliteit aantonen en consistent houden

Het contactcenter heeft kenmerken van een productielijn: er zijn verschillende aanvoerstromen, de volumes schommelen, teams wisselen, er zijn standaarden voor een deel van het proces en een belangrijk deel van de output. Om dit proces voorspelbaar en beheersbaar te maken (en weerbaar voor fluctuaties) en ook schaalbaar en uitwisselbaar (bijvoorbeeld tussen teams of locaties) helpt ISO om de afhankelijkheid van individuele routines te verkleinen en de rol van stabiele processen en meetpunten te vergroten. Een belangrijk onderdeel van voorspelbaarheid is standaardisatie, denk aan standaard operating procedures. Ook zorgen standaardwerkwijzen voor een grote verbeterpotentieel.

De volgende ISO-normen sluiten aan op het sturen op servicekwaliteit en procesbeheersing:

ISO 9001: kwaliteitsmanagementsysteem, focus op klantverwachtingen, procesbeheersing en continue verbetering.
ISO 18295-1: service-eisen voor contactcenters (in-house en outsourced, alle kanalen). Zie verderop.
ISO 18295-2: eisen voor organisaties die contactcenters inzetten (governance richting leverancier/uitbesteder). Zie verderop.
ISO/IEC 42001-2023: internationale managementsysteemnorm voor het opzetten, implementeren, onderhouden en continu verbeteren van een AI management system (AIMS). De norm helpt organisaties om op een beheerste en verantwoorde manier AI-toepassingen te ontwikkelen en te gebruiken, met aandacht voor governance, risicobeheersing, compliance, transparantie en continue verbetering over de hele AI-levenscyclus.

2. Klanttevredenheid, klachtenafwikkeling en closed loop feedback verbeteren

Klachten zijn naast incidenten ook signalen van frictie in processen, producten, communicatie of verwachtingen. ISO-normen rond klanttevredenheid helpen bij het systematisch registreren en oplossen van klachten inclusief het voorkomen en ervan leren. ISO 10002 geeft structuren een volwassen klachtenproces, van intake tot terugkoppeling en analyse. ISO 10004 gaat over het meten en interpreteren van klanttevredenheid inclusief het inzetten van verbetermechanismen. Dit motief past bij organisaties die willen handelen op basis van closed loop feedback: het gebruiken van fouten en klachten als verbeterpotentieel voor de gehele keten, ook wel aangeduid als PDCA (plan, do, check, act). Deze normen zijn ook bruikbaar als organisaties extern willen laten zien (bijvoorbeeld aan belangenbehartigers, klanten/opdrachtgevers of andere stakeholders) dat ze deze processen onder controle hebben en er op kunnen rapporteren.

De volgende normen sluiten aan op systematisch en doorlopend verbeteren:

ISO 10001: codes of conduct voor klantbeloftes (wat beloof je, hoe borg je dat);
ISO 10002: richtlijn voor klachtenmanagement (end-to-end proces);
ISO 10003: dispute resolution voor klachten die intern niet opgelost zijn;
ISO 10004: monitoren en meten van klanttevredenheid (inclusief relatie met klachtprocessen).

3. Informatiebeveiliging en privacy op orde brengen en houden

Contactcenters kunnen veel gevoelige data verwerken: persoonsgegevens, betaalgegevens, opnamebestanden, volledige transcripties en steeds vaker AI-output zoals samenvattingen en next-best-actions. Hierbij bestaan risico’s op datalekken, zowel bij de eigen organisaties als bij ketenpartners en leveranciers. ISO 27001 biedt een managementsysteem om beveiligingsrisico’s rond data structureel te beheersen en voorziet in structuren voor beleid, controles en continue verbetering. ISO 27701 is gericht op het beheer van privacy. Beide normen passen bij organisaties die te maken hebben met strenge eisen van opdrachtgevers, bijvoorbeeld bij aanbestedingen, of vanuit wetgeving of zelfregulering. Ook organisaties die baat hebben bij het aantonen van een license-to-operate kunnen profiteren van ISO 27701 dat bijdraagt aan vertrouwen. Ook vergemakkelijkt ISO 27001 het uitvoeren van due diligence vooraf (soms is ISO-certificering een eis in RFP’s) en auditbaarheid achteraf in klant-leverancierrelaties. ISO 27018 is een norm voor cloudproviders die persoonsgegevens verwerken. De norm geeft concrete maatregelen om persoonsgegevens (PII, personally identifiable information) beter te beschermen wanneer een klant zijn data in een public cloud laat verwerken.

De volgende normen sluiten aan op privacy en security management:

ISO 27001: eisen voor een ISMS (informatiebeveiligingsmanagement);
ISO 27701: privacy management als uitbreiding op 27001/27002 (PIMS);
ISO 27017: cloud security controls voor providers én klanten van cloudservices;
ISO 27018: bescherming van PII in public cloud (PII processor-context).

4. Bedrijfscontinuïteit, weerbaarheid en crisisbestendigheid

Bereikbaarheid van een contactcenter is niet vanzelfsprekend. Door storingen in software, dataverbindingen, bij telecomproviders, door piekbelastingen of door calamiteiten zoals stroomuitval, hackpogingen, DDoS-aanvallen, terreur, brand of overstromingen kunnen contactcenters onbereikbaar worden. Die kwetsbaarheid kan zich intern voordoen of bij ketenpartners of leveranciers.

ISO 22301 is de norm die helpt om bedrijfscontinuïteit systematisch te organiseren. De norm schrijft voor dat je scenario’s, impactanalyses, herstelplannen, testcycli en duidelijke rollen in crisismanagement moet opstellen en vastleggen. ISO 31000 dient hierbij als ondersteunende leidraad voor risicomanagement en biedt principes en een raamwerk om risico’s systematisch te identificeren, te analyseren, te beoordelen en te beheersen, zodat organisaties beter onderbouwde keuzes kunnen maken. ISO 22301 past bij organisaties voor wie klantcontact mission critical is (denk aan meldkamers) of organisaties die sterk afhankelijk zijn van complexe ketens met BPO-dienstverleners en (technologie)partners, en die willen aantonen dat ze zaken als fallback-scenario’s, back-up en recovery structureel hebben geregeld.

De volgende ISO-normen passen bij verstoringen, herstel, fallback en crisisorganisatie:

ISO 22301: eisen voor business continuity management systems (BCMS);
ISO 31000: risk management-richtlijn (geen certificeerbare norm).

5. IT-servicemanagement voor klantcontactplatformen

In moderne klantcontactomgevingen is de operatie een samenspel van mensen, processen en IT-diensten: onder meer van routering tot recording en van WFM tot CRM en kennismanagement. IT denkt en doet in termen van incidenten, changes, updates en releases. Dat proces moet strak georganiseerd zijn, wil de IT-omgeving goed blijven werken. ISO 20000-1 biedt een raamwerk om IT-dienstverlening te managen. Het raamwerk gaat over incident- en problem management, change en release, SLA’s, leverancierssturing en doorlopend verbeteren. Dit motief past bij organisaties die klantcontact als digitale dienst willen behandelen en frictie tussen IT, operatie en leveranciers willen verminderen.

De volgende ISO-normen passen bij het beheer van IT-middelen (hardware, software, infrastructuur , cloud en data):

ISO 20000-1: de norm voor IT service management (ITSM), gericht op het leveren en verbeteren van IT-diensten;
ISO 10002: als de IT-helpdesk ook klachtenafhandeling/procesrichtlijnen formeel wil borgen;
ISO 27001: als de IT-helpdesk met accounts, resets, toegang en gevoelige data werkt.
ISO 27002: gekoppeld aan ISO 27001: bevat controls rond access control en identity management
ISO 27701: privacy management als uitbreiding op 27001/27002 (PIMS);
ISO 27017: cloud security controls voor providers én klanten van cloudservices;
ISO 27018: bescherming van PII in public cloud (PII processor-context);
ISO/IEC 24760-1:2025: gaat over het begrippenkader van identity management (onderdeel van de 24760-reeks).
ISO 29115: framework voor assurance levels bij digitale authenticatie (hoe ‘sterk’ is een login)
ISO 19770-1: eisen voor een IT asset management system (ITAM) binnen de organisatie.
ISO 19770-2: standaard voor software identification tags (SWID) om software eenduidig te identificeren en beheren.
ISO 19770-3: specificatie voor “software entitlement schema” (het digitaal vastleggen/uitwisselen van licentie-entitlements).

6. Governance, compliance en (ESG-)verantwoording in ketens

Organisaties worden steeds vaker, strenger en uitgebreider beoordeeld op governance-gerelateerde zaken zoals integriteit, naleving, auditbaarheid en verantwoord handelen in de keten. Het kan dan gaan om ESG-rapportage, maar ook om verantwoording bij uitbesteding of richting onderaannemers, internationale delivery, eisen vanuit de sector.

ISO 37301 ondersteunt het inrichten van een compliance managementsysteem, met beleid, risicoanalyses, monitoring en verbetercycli. ISO 37001 (anti-omkoping) kan relevant zijn in grotere internationale ketens. ISO 45001 (gericht op arbeidsomstandigheden) past bij organisaties die werkdruk, welzijn en veiligheid expliciet willen borgen. Dit zijn normen die bijvoorbeeld aan de orde kunnen komen bij offshore en nearshore outsourcing.

ISO-normen gerelateerd aan governance:

ISO 37301: compliance management system (CMS).
ISO 37001: anti-bribery management (er is inmiddels een nieuwe editie ISO 37001:2025).
ISO 45001: arbomanagementsysteem (relevant bij hoge werkdruk, welzijn, RI&E-achtige governance).
ISO 14001: milieumanagement (vooral relevant als het contactcenter in bredere ESG-rapportage mee moet, of bij aanbestedingen).

ISO 18295 speciaal voor contactcenters – ISO 18295 ondersteunt bij het kwalitatief op peil en efficiënt houden van alle klantcontactprocessen en helpt organisaties bij het positioneren van het contactcenter binnen de organisatie. De norm is specifiek voor contactcenters ontwikkeld. ISO 18295 beschrijft wat een organisatie moet doen om excellente klantenservice te bieden. ISO 18295 bestaat uit twee delen. Deel 1 omvat eisen aan diensten van een uitvoerend KCC (zowel inhouse als facilitair). Deel 2 is gericht op opdrachtgevers die klantcontact willen uitbesteden. Inhouse contactcenters kunnen zich laten certificeren voor zowel deel 1 als 2, facilitaire contactcenters alleen door het eerste deel.

Certificering staat open voor KSF-leden en voor niet-leden. KSF verstrekt het certificaat, het diploma, maar neemt het examen, de audit, niet zelf af. Dit is uitbesteed aan een certificerende instelling, een onafhankelijke toetser. Op dit moment is dit Lloyd’s Register Nederland. De audit zelf bestaat uit het interviewen van management, staf en medewerkers, dossier-controle van documenten en rapportages, schouwen van het contactcenter, scenario-toetsing en een eindrapportage met bevindingen. Bij groen licht van de auditeur wordt het certificaat uitgereikt door KSF. Ook wordt het contactcenter bijgeschreven in het ISO 18295 register. Het certificaat is twee jaar geldig.

In Nederland is de KSF de voorzitter van de Nederlandse commissie die de wereldwijde ISO 18295 norm heeft ontwikkeld. Tevens is KSF de beheerder van het certificatenregister.

Keuzehulp

Bepaal eerst wat je motief is en hoe je risicobeeld eruitziet, in plaats van te beginnen bij wat op dit moment ‘hot’ is. Ben je op zoek naar beter voorspelbare kwaliteit en procesbeheersing, of ligt de nadruk op informatiebeveiliging en privacy? In de contactcentersector is discussie over de overlap die bestaat tussen enerzijds de combinatie ISO 9001 en ISO 27001 en anderzijds ISO 18295.

Houd rekening met de verschillen tussen enerzijds managementsysteemnormen (eisen, vaak certificeerbaar) en anderzijds richtlijnen/codes of practice (helpen bij het ontwerpen/inrichten). Overweeg het gebruik van een gespecialiseerde adviseur als je voor het eerst een certificeringsproces gaat doorvoeren.

Veelgemaakte fouten en valkuilen

Ieder ISO-certificeringsproces kost veel tijd, geld en aandacht van uiteenlopende kennishouders en managers. Dat geldt ook voor de periodieke audits. Beide zaken vragen ook om openheid en om acceptatie van het feit dat ISO allerlei verplichtingen oplevert. Het verkrijgen van het ISO-certificaat kan in je voordeel werken, maar het verlies kan in je nadeel werken. De meeste certificaten zijn beperkte tijd geldig. Iets om te onthouden bij contracten, waarin het bezit van bepaalde certificaten als verplichting is opgenomen.

Een klassieker is certificeren zonder eigenaarschap in de operatie. ISO-certificering kan leiden tot procesaanpassingen, maar zorgt vereist in veel gevallen een cultuuraanpassing. Verschillende normen worden vaak bij specifieke afdelingen ondergebracht (denk aan ISO 27001 en de IT-afdeling) terwijl de gehele organisatie medeverantwoordelijk is voor het naleven en in stand houden van een certificaat.