ISO 16175 (NEN ISO 16175) is een internationale norm die functionele eisen stelt aan software voor het beheren van digitale informatie en archieven. De norm beschrijft waaraan systemen zoals DMS, zaaksystemen en ECM platforms moeten voldoen om records betrouwbaar vast te leggen, te classificeren, te bewaren en te vernietigen. Het is een richtlijn, geen certificeringsnorm.

Kun je ISO 16175 certificering behalen?

Nee, ISO 16175 is geen certificeringsnorm. Je kunt er geen certificaat voor behalen, in tegenstelling tot normen als ISO 27001 of ISO 9001. ISO 16175 is bedoeld als richtlijn en toetsingskader, met name bij de inkoop van informatiebeheer software. Je kunt de norm wel gebruiken voor een gap analyse en om aantoonbaar te maken dat je systemen aan de functionele eisen voldoen.

Voor welke organisaties is ISO 16175 relevant?

ISO 16175 is relevant voor elke organisatie die digitale informatie beheert en moet voldoen aan wettelijke archiverings of bewaareisen. Dit geldt met name voor overheden (Archiefwet), zorginstellingen (bewaartermijnen patiëntdossiers), financiële instellingen (Wwft) en organisaties die werken met ISO 27001 of ISO 9001. Ook MKB bedrijven die leveren aan overheden krijgen steeds vaker te maken met deze eisen.

Wat is het verschil tussen ISO 16175 en ISO 27001?

ISO 27001 is een certificeringsnorm voor informatiebeveiliging die eist dat je de vertrouwelijkheid, integriteit en beschikbaarheid van informatie waarborgt. ISO 16175 is een richtlijn die specificeert welke functionele eisen software moet bieden voor records management. Ze vullen elkaar aan: ISO 27001 zegt dát je records moet beschermen, ISO 16175 beschrijft hóé je systemen dat technisch moeten doen.

Hoe begin ik met het implementeren van ISO 16175?

Start met het inventariseren van alle systemen waar records ontstaan (DMS, e mail, CRM, ERP). Bepaal vervolgens welke wetten en normen op jouw organisatie van toepassing zijn. Voer daarna een gap analyse uit: toets je systemen aan de relevante eisen uit ISO 16175 Deel 2 of 3. Prioriteer de gevonden gaps op risico en wettelijke verplichting, en stel een verbeterplan op. Focus op pragmatisch toepassen, niet op 100% compliance.

Informatiebeheer ISO 16175: Gids & Checklist (2026)

Stel je voor: een overheidsorganisatie kan na een WOO-verzoek niet aantonen welke documenten er vijf jaar geleden bestonden, laat staan wat ermee is gedaan. Of een zorginstelling die bij een audit niet kan bewijzen dat patiëntdossiers volgens de wettelijke bewaartermijnen zijn beheerd. Dit zijn geen hypothetische scenario's — wij zien dit in de praktijk regelmatig voorbijkomen.

Informatiebeheer volgens ISO 16175 biedt het antwoord. Deze internationale norm beschrijft de functionele eisen die software moet vervullen om digitale informatie betrouwbaar vast te leggen, te beheren en te vernietigen. Geen vaag framework, maar concrete specificaties waar je je DMS, zaaksysteem of ECM-platform aan kunt toetsen.

In dit artikel leer je precies wat ISO 16175 inhoudt, hoe de drie delen zich tot elkaar verhouden, welke functionele eisen centraal staan en hoe je de norm praktisch implementeert. Inclusief een checklist die je morgen kunt gebruiken.

Wat is ISO 16175? De norm voor digitaal informatiebeheer

ISO 16175 (voluit: NEN-ISO 16175) is een internationale norm die functionele eisen stelt aan software voor het beheren van digitale informatie en archieven. Anders dan veel mensen denken, is ISO 16175 géén certificeringsnorm — je kunt er geen certificaat voor behalen. Het is een richtlijn die beschrijft waaraan informatiesystemen moeten voldoen om records betrouwbaar te kunnen beheren.

De norm is ontwikkeld door de International Council on Archives (ICA) en gepubliceerd door ISO. In Nederland is de norm overgenomen als NEN-ISO 16175 en wordt deze onder meer gebruikt door overheden, archiefinstellingen en organisaties die vallen onder de Archiefwet. De meest recente versie dateert uit 2020.

Belangrijke kenmerken van ISO 16175:

Geen certificeringsnorm: het is een richtlijn, geen managementsysteemnorm zoals ISO 27001 of ISO 9001
Softwaregericht: de eisen richten zich op de functionaliteit van informatiesystemen, niet op organisatorische processen
Records-gebaseerd: centraal staat het concept van een 'record' — een vastgelegd informatieobject dat als bewijs dient
Levenscyclusbenadering: van creatie tot en met vernietiging of permanente bewaring

Waarom is ISO 16175 belangrijk voor jouw organisatie?

ISO 16175 is belangrijk omdat het de enige internationale norm is die concreet beschrijft welke functies je informatiebeheer-software moet bieden. Zonder deze functionele basis loop je het risico dat je systemen niet voldoen aan wettelijke eisen voor archivering, bewaartermijnen en verantwoording.

Dit raakt organisaties breder dan je misschien denkt:

Overheden en semi-overheden zijn gebonden aan de Archiefwet en moeten aantonen dat hun informatiesystemen aan bepaalde eisen voldoen. ISO 16175 wordt door het Nationaal Archief aangeraden als toetsingskader.
Zorginstellingen moeten voldoen aan bewaartermijnen voor patiëntgegevens (minimaal 20 jaar) en moeten kunnen bewijzen dat documenten niet zijn gewijzigd.
Financiële instellingen hebben te maken met de Wet ter voorkoming van witwassen (Wwft) en moeten transactiegegevens 5 jaar bewaren.
MKB-bedrijven die werken voor overheden of in gereguleerde sectoren krijgen steeds vaker de eis om hun informatiebeheer op orde te hebben.

In 8 van de 10 gevallen zien wij dat organisaties wél een DMS of zaaksysteem hebben, maar niet kunnen aantonen dat dit systeem daadwerkelijk aan de functionele eisen voldoet. Dat is waar ISO 16175 het verschil maakt: het geeft je een objectief toetsingskader.

De drie delen van ISO 16175 uitgelegd

ISO 16175 bestaat uit drie delen die samen het complete plaatje vormen. Elk deel richt zich op een ander type informatiesysteem.

Deel 1: Overzicht en principes (ISO 16175-1)

Dit deel beschrijft de overkoepelende principes voor records management in digitale omgevingen. Het definieert kernbegrippen als 'record', 'metadata', 'classificatie' en 'dispositie'. Deel 1 vormt de theoretische basis en is relevant voor iedereen die de context van de norm wil begrijpen.

Kernprincipes uit Deel 1:

Informatie moet vanaf het moment van creatie als potentieel record worden behandeld
Metadata zijn onlosmakelijk verbonden met het record
Bewaartermijnen en vernietigingsregels moeten vooraf zijn vastgelegd
De authenticiteit en integriteit van records moet aantoonbaar zijn

Deel 2: Richtlijnen en functionele eisen voor records in digitale kantooromgevingen (ISO 16175-2)

Dit is het meest praktische deel. Het beschrijft meer dan 250 functionele eisen waaraan software voor kantooromgevingen moet voldoen. Denk aan documentmanagementsystemen (DMS), zaaksystemen, Enterprise Content Management (ECM) en samenwerkingsplatforms zoals SharePoint.

De eisen zijn gegroepeerd in categorieën:

Vastlegging: hoe worden records aangemaakt en vastgelegd?
Classificatie: hoe worden records ingedeeld en geordend?
Metadatabeheer: welke metadata worden automatisch of handmatig vastgelegd?
Toegangsbeheer: wie mag wat zien, bewerken of verwijderen?
Bewaring en vernietiging: hoe worden bewaartermijnen toegepast en gecontroleerd?
Zoeken en terugvinden: hoe snel en volledig kun je informatie terugvinden?
Export en migratie: hoe waarborg je dat records overdraagbaar zijn?

Deel 3: Richtlijnen en functionele eisen voor records in bedrijfssystemen (ISO 16175-3)

Deel 3 richt zich op bedrijfssystemen die niet primair voor documentbeheer zijn ontworpen, maar waar wél records in ontstaan. Denk aan ERP-systemen, CRM-platforms, HR-systemen en financiële applicaties. Dit deel beschrijft hoe je ook in deze systemen de records-functionaliteit kunt waarborgen.

Functionele eisen aan software voor informatiebeheer

De kern van ISO 16175 draait om functionele eisen — concrete specificaties waaraan je software moet voldoen. Dit gaat verder dan 'het systeem moet documenten kunnen opslaan'. Het gaat om aantoonbare, testbare functionaliteit.

De belangrijkste functionele eisen op een rij:

Categorie	Eis	Voorbeeld
Vastlegging	Automatische registratie van records	E-mail wordt bij opslaan automatisch als record geregistreerd met datum, afzender en onderwerp
Metadata	Verplichte metadatavelden bij vastlegging	Documenttype, classificatiecode en auteur zijn verplicht bij aanmaken
Classificatie	Hiërarchisch ordeningsplan	Records worden ingedeeld volgens een vooraf gedefinieerd classificatieschema
Integriteit	Onwijzigbaarheid na vastlegging	Een eenmaal vastgelegd record kan niet meer worden gewijzigd zonder audittrail
Bewaartermijnen	Geautomatiseerde dispositie	Het systeem signaleert automatisch wanneer de bewaartermijn verstreken is
Toegang	Role-based access control	Alleen geautoriseerde gebruikers kunnen records inzien of bewerken
Audit	Volledige audittrail	Elke actie op een record (bekijken, bewerken, verwijderen) wordt gelogd
Export	Standaard exportformaten	Records kunnen worden geëxporteerd inclusief metadata in open formaten

Wat wij in onze praktijk vaak zien: organisaties hebben een systeem dat 60-70% van deze eisen afdekt, maar de laatste 30% — met name rondom audittrails, geautomatiseerde bewaartermijnen en exportfunctionaliteit — ontbreekt. Juist die laatste 30% is cruciaal voor compliance.

ISO 16175 en de relatie met andere normen

ISO 16175 staat niet op zichzelf. De norm versterkt en wordt versterkt door andere managementsysteem- en beveiligingsnormen. Het begrijpen van deze relaties helpt je om je informatiebeheer integraal aan te pakken.

ISO 27001 — Informatiebeveiliging

ISO 27001 eist dat je de vertrouwelijkheid, integriteit en beschikbaarheid van informatie waarborgt. ISO 16175 vult dit aan door te specificeren hóé je informatiesystemen die integriteit technisch moeten borgen. Annex A van ISO 27001 (control A.5.33) verwijst expliciet naar het beschermen van records. Een goed ingericht ISMS profiteert direct van de functionele eisen uit ISO 16175.

ISO 9001 — Kwaliteitsmanagement

Clausule 7.5 van ISO 9001 stelt eisen aan gedocumenteerde informatie: je moet aantonen dat documenten beheerst worden aangemaakt, goedgekeurd, gedistribueerd en bewaard. ISO 16175 biedt het technische kader om dit in je software te realiseren. Lees ook onze gids over procesmanagement voor de bredere context.

AVG — Privacywetgeving

De AVG eist dat persoonsgegevens niet langer worden bewaard dan noodzakelijk (opslagbeperking). ISO 16175 helpt je om bewaartermijnen te automatiseren en vernietiging aantoonbaar uit te voeren. Ook het recht op vergetelheid (artikel 17 AVG) raakt direct aan de dispositie-eisen uit de norm.

BIO — Baseline Informatiebeveiliging Overheid

Voor overheden die moeten voldoen aan de BIO biedt ISO 16175 aanvullende handvatten voor het technisch inrichten van informatiebeheer binnen de kaders van informatiebeveiliging.

Wat anderen niet vertellen over ISO 16175

De meeste artikelen over ISO 16175 herhalen dezelfde abstracte beschrijvingen. Hier zijn drie inzichten die je elders niet snel vindt:

1. De norm is geschreven voor inkopers, niet voor IT-ers. ISO 16175 is oorspronkelijk bedoeld als toetsingskader bij de inkoop of aanbesteding van software. Het idee is dat je de functionele eisen meeneemt in je pakket van eisen (PvE) wanneer je een nieuw DMS of zaaksysteem aanschaft. In de praktijk wordt de norm echter nauwelijks bij inkooptrajecten gebruikt — een gemiste kans.

2. Geen enkel standaardpakket voldoet out-of-the-box aan alle eisen. Wij hebben in onze consultancypraktijk nog geen enkel DMS, ECM of zaaksysteem gezien dat zonder configuratie aan álle eisen van ISO 16175 voldoet. SharePoint, OpenText, Corsa, Djuma — ze dekken allemaal een groot deel, maar vereisen altijd aanvullende configuratie of maatwerk. Dit is geen falen van de leverancier, maar een realiteit die je moet meenemen in je implementatieplan.

3. De echte waarde zit in de gap-analyse, niet in volledige compliance. Omdat ISO 16175 geen certificeringsnorm is, hoef je niet aan alle 250+ eisen te voldoen. De kracht zit in het selectief toepassen: gebruik de eisen die relevant zijn voor jouw branche en wettelijke context, en documenteer bewust welke eisen je niet toepast en waarom. Dit principe van 'pas toe of leg uit' maakt de norm werkbaar voor elke organisatie.

Implementatie van ISO 16175: stappenplan

Wil je ISO 16175 implementeren? Volg dit bewezen stappenplan:

Stap 1: Inventariseer je huidige informatiesystemen

Breng in kaart welke systemen je gebruikt voor het vastleggen van informatie. Denk niet alleen aan je DMS, maar ook aan e-mail, CRM, ERP, HR-systemen en gedeelde schijven. In een gemiddeld MKB-bedrijf tellen wij 5 tot 8 systemen waar records in ontstaan.

Stap 2: Bepaal je wettelijk en normatief kader

Welke wetten en normen zijn op jouw organisatie van toepassing? Archiefwet? AVG? Sectorspecifieke regelgeving? Dit bepaalt welke eisen uit ISO 16175 voor jou prioriteit hebben.

Stap 3: Voer een gap-analyse uit

Toets je huidige systemen aan de relevante eisen uit ISO 16175. Maak per systeem een overzicht: welke eisen worden al vervuld, welke gedeeltelijk, en welke ontbreken? Gebruik hiervoor de eisenlijst uit Deel 2 of Deel 3, afhankelijk van het type systeem.

Stap 4: Stel een verbeterplan op

Prioriteer de gaps op basis van risico en wettelijke verplichting. Niet elke gap heeft dezelfde urgentie. Een ontbrekende audittrail is urgenter dan een ontbrekende bulkexportfunctie.

Stap 5: Configureer en test

Pas de configuratie van je systemen aan en test of de functionele eisen daadwerkelijk worden vervuld. Let op: een instelling activeren is niet genoeg — je moet testen of het in de praktijk werkt.

Stap 6: Documenteer en borg

Leg vast welke eisen je hebt geïmplementeerd, welke je bewust niet toepast en hoe je de naleving borgt. Dit sluit aan bij het principe van continue verbetering dat ook in andere ISO-normen centraal staat.

Veelgemaakte fouten bij digitaal informatiebeheer

In onze praktijk zien wij steeds dezelfde fouten terugkomen:

Alleen focussen op opslaan, niet op vernietigen. Veel organisaties zijn goed in het vastleggen van informatie, maar hebben geen proces voor tijdige vernietiging. Het gevolg: opslagruimten die vollopen, privacyrisico's die toenemen en een onbeheersbare informatieberg.
Metadata als bijzaak behandelen. Als je bij het opslaan van een document alleen een bestandsnaam invult, kun je het over drie jaar niet meer terugvinden. Verplichte metadatavelden zijn geen bureaucratie — ze zijn de sleutel tot vindbaarheid.
Vertrouwen op de discipline van medewerkers. 'Iedereen weet hoe het moet' is geen informatiebeheerbeleid. Automatiseer waar mogelijk: automatische classificatie, verplichte velden, geautomatiseerde bewaartermijnen.
Het DMS los zien van andere systemen. Informatie ontstaat overal: in e-mail, Teams-chats, CRM-notities, ERP-transacties. Als je alleen je DMS op orde hebt, mis je 60% van je records.
De norm negeren bij software-inkoop. Het moment waarop je de meeste invloed hebt op de functionaliteit van je systeem is bij de aanschaf. Neem de relevante ISO 16175-eisen op in je pakket van eisen.

Praktische checklist voor ISO 16175-compliance

Gebruik deze checklist als startpunt voor jouw organisatie:

Systeeminventarisatie compleet — Alle systemen waar records in ontstaan zijn geïdentificeerd en gedocumenteerd
Wettelijk kader bepaald — Je weet welke wetten en normen op jouw informatiebeheer van toepassing zijn
Classificatieschema opgesteld — Er is een actueel ordeningsplan dat op alle systemen wordt toegepast
Bewaartermijnen vastgelegd — Per documenttype is vastgelegd hoe lang het bewaard moet worden en op basis van welke wet of regel
Metadatastandaard gedefinieerd — Er is vastgelegd welke metadata verplicht zijn bij het vastleggen van records
Toegangsbeheer ingericht — Per systeem is vastgelegd wie welke rechten heeft op basis van rol en functie
Audittrail geactiveerd — Alle acties op records worden gelogd en de logs worden minimaal 1 jaar bewaard
Vernietingsprocedure operationeel — Er is een werkend proces voor het tijdig vernietigen van records na het verstrijken van de bewaartermijn
Exportmogelijkheid getest — Records kunnen inclusief metadata worden geëxporteerd in een open formaat
Gap-analyse uitgevoerd — Je systemen zijn getoetst aan de relevante eisen uit ISO 16175 en de resultaten zijn gedocumenteerd

Conclusie

ISO 16175 is geen norm waar je een certificaat mee behaalt, maar wel een norm die het fundament legt onder betrouwbaar digitaal informatiebeheer. Of je nu een overheidsorganisatie bent die moet voldoen aan de Archiefwet, een zorginstelling met lange bewaartermijnen, of een MKB-bedrijf dat zijn ISO-certificering serieus neemt — de functionele eisen uit deze norm helpen je om je informatiesystemen toetsbaar en toekomstbestendig in te richten.

De sleutel is pragmatisch toepassen: niet streven naar 100% compliance op alle 250+ eisen, maar focussen op de eisen die er voor jouw organisatie toe doen. Begin met de gap-analyse, prioriteer op risico en bouw van daaruit verder.

Wil je weten hoe jouw organisatie ervoor staat? Neem contact op met MaasISO voor een vrijblijvende inventarisatie van je informatiebeheer.

Informatiebeheer volgens ISO 16175: complete gids voor digitale organisaties (2026)