Tag: ISO 27001

  • Wat een management review onder ISO 9001, ISO 27001 en ISO 14001 echt moet opleveren

    Wat een management review onder ISO 9001, ISO 27001 en ISO 14001 echt moet opleveren

    In veel organisaties staat de management review keurig op de kalender. Eén keer per jaar komt het onderwerp langs, er wordt een document voorbereid en na afloop verdwijnt het verslag in een map met auditbewijzen.

    Toch is dat niet waar de ISO-normen dit moment voor bedoeld hebben.

    Een management review is geen administratieve verplichting. Het is het moment waarop het management beoordeelt of het managementsysteem nog doet wat het moet doen. Of het nog past bij de organisatie, of de prestaties voldoende zijn en of de belangrijkste risico’s onder controle zijn.

    Wie dat goed begrijpt, merkt dat de management review veel meer is dan een verplicht agendapunt.

    Waarom ISO een management review verplicht stelt

    Managementsystemen zoals ISO 9001, ISO 27001 en ISO 14001 zijn ontworpen om organisaties gestructureerd te laten sturen op kwaliteit, informatiebeveiliging of milieuprestaties. Maar structuur alleen is niet genoeg.

    De normen gaan er expliciet van uit dat het management periodiek beoordeelt of het systeem nog geschikt, toereikend en effectief is.

    Met andere woorden: werkt het managementsysteem nog zoals bedoeld, en helpt het nog bij het realiseren van de doelen van de organisatie?

    Daarom verplicht ISO een management review. Het is het moment waarop het management afstand neemt van de dagelijkse operatie en kijkt naar het grotere geheel. Niet naar afzonderlijke procedures, maar naar de prestaties van het systeem als geheel.

    Zonder zo’n moment blijft een managementsysteem vaak operationeel, maar niet bestuurbaar.

    Wat een management review volgens ISO eigenlijk moet behandelen

    De normen schrijven niet exact voor hoe een management review eruit moet zien, maar ze geven wel duidelijk aan waar het gesprek over moet gaan.

    In de kern draait het om drie vragen.

    Hoe presteert het managementsysteem?
    Wat is er veranderd in de organisatie of de omgeving?
    En waar moeten we bijsturen?

    Dat betekent dat onderwerpen zoals deze vrijwel altijd terugkomen:

    • resultaten van audits en controles
    • incidenten, afwijkingen en klachten
    • voortgang van verbeteracties
    • belangrijkste risico’s en kansen
    • prestaties van processen en doelstellingen
    • veranderingen die invloed hebben op het systeem

    Interne audits spelen hierbij vaak een belangrijke rol, omdat ze signalen geven over waar processen afwijken of waar verbeteringen nodig zijn. In Een interne audit werkt pas als mensen durven zeggen wat niet klopt ga ik uitgebreider in op hoe organisaties zulke audits inhoudelijk sterker maken.

    Verbeteracties vormen een tweede belangrijk signaal. Veel verbeterpunten ontstaan tijdens audits of evaluaties, maar verdwijnen later weer uit beeld. In Wat de opvolging van verbeterpunten zegt over hoe serieus je compliance neemt beschrijf ik waarom juist die opvolging veel zegt over hoe serieus een organisatie haar managementsysteem neemt.

    Daarnaast spelen risico’s een belangrijke rol in de management review. De norm verwacht dat organisaties regelmatig beoordelen of hun risicoanalyse nog actueel is en of bestaande maatregelen nog effectief zijn. Hoe je zo’n risicoanalyse praktisch inricht, lees je in De risicoanalyse: een onmisbaar instrument voor elke ondernemer.

    Wanneer deze onderwerpen regelmatig worden besproken, ontstaat vanzelf het soort gesprek dat auditors verwachten te zien.

    Wat auditors daadwerkelijk willen zien

    Wanneer auditors naar een management review kijken, zoeken ze meestal niet naar een perfecte presentatie of een uitgebreid verslag. Ze proberen vooral te begrijpen of het management het systeem daadwerkelijk bestuurt.

    In de praktijk komt dat neer op drie vragen.

    Wordt de review daadwerkelijk uitgevoerd?
    Is zichtbaar dat het management betrokken is bij het gesprek?
    En worden er concrete besluiten genomen?

    Auditors kijken daarom bijvoorbeeld naar de frequentie van de review, de onderwerpen die worden besproken en de besluiten die daaruit voortkomen.

    Een management review zonder besluiten roept vrijwel altijd vragen op. Het laat zien dat er wel naar informatie wordt gekeken, maar dat het managementsysteem niet echt wordt gebruikt om richting te geven aan de organisatie.

    Waarom management reviews in de praktijk vaak hun waarde verliezen

    Ondanks de duidelijke bedoeling van de norm verandert een management review in veel organisaties toch in een formaliteit.

    Vaak gebeurt dat ongemerkt. De kwaliteitsmanager of security officer bereidt een presentatie voor. Tijdens de vergadering worden cijfers en rapportages doorgenomen. Iedereen knikt instemmend en daarna gaat de aandacht weer terug naar de dagelijkse praktijk.

    Het gesprek blijft dan hangen in rapportage.

    Er wordt gekeken naar wat er is gebeurd, maar er worden weinig keuzes gemaakt over wat er moet gebeuren. Risico’s worden benoemd, maar niet gewogen. Verbeteringen worden genoemd, maar niet geprioriteerd.

    Op dat moment verliest de management review zijn bestuurlijke rol.

    Hoe een management review pragmatisch kan worden ingericht

    Een effectieve management review hoeft geen lange vergadering te zijn. In veel organisaties werkt een compacte aanpak juist beter.

    Het helpt om vooraf een beperkt aantal signalen te verzamelen. Auditresultaten, belangrijke incidenten, risico’s en de voortgang van verbeteracties geven vaak al een goed beeld van hoe het systeem functioneert.

    Tijdens de review zelf ligt de nadruk op besluitvorming.

    Welke ontwikkelingen vragen aandacht?
    Zijn de huidige maatregelen nog voldoende?
    Moeten prioriteiten worden aangepast?
    Zijn er extra middelen nodig?

    Wanneer de vergadering zich op dit soort vragen richt, ontstaat automatisch een bestuurlijk gesprek.

    De vastlegging kan vervolgens eenvoudig blijven. Niet een uitgebreid verslag van alles wat besproken is, maar een overzicht van conclusies, besluiten en acties. Dat is meestal precies wat auditors willen zien.

    Wanneer een management review echt waarde toevoegt

    Een goed uitgevoerde management review doet meer dan voldoen aan een norm.

    Het helpt om risico’s expliciet te maken.
    Het dwingt tot keuzes over prioriteiten.
    Het voorkomt dat verbeteringen blijven liggen.
    En het zorgt dat audits zelden verrassingen opleveren.

    Kort gezegd is het het punt waarop het managementsysteem daadwerkelijk wordt bestuurd.

    Niet als formaliteit, maar als onderdeel van hoe een organisatie richting geeft aan kwaliteit, risico’s en verbetering.

    Tot slot

    De management review wordt vaak gezien als een verplicht onderdeel van ISO-certificering. In werkelijkheid is het één van de momenten waarop governance het meest zichtbaar wordt.

    Wanneer het gesprek zich richt op prestaties, risico’s en keuzes, wordt de review een waardevol stuurinstrument. Niet omdat er meer wordt vastgelegd, maar omdat duidelijk wordt waar de organisatie op stuurt.

    Management reviews worden bovendien een stuk eenvoudiger wanneer risico’s, auditresultaten en verbeteracties op één plek samenkomen.

    In CompliTrack komen risico’s, maatregelen, audits en verbeteracties samen in één overzicht. Daardoor ontstaat automatisch de samenhang die nodig is voor een effectieve management review.

  • Scope snijden zonder gaten: zo kies je wat je wél en níet borgt

    Scope snijden zonder gaten: zo kies je wat je wél en níet borgt

    Of je werkt aan ISO 27001, ISO 9001 of je voorbereidt op nieuwe regelgeving zoals NIS2: alles begint met één fundamentele beslissing.

    De scope.

    Een te brede scope maakt compliance onnodig duur en complex. Een te smalle scope creëert blinde vlekken. De kunst is niet alles meenemen, maar bewust kiezen en die keuze bestuurlijk kunnen uitleggen.

    Compliance begint niet bij maatregelen, maar bij afbakening.

    Scope bepaalt welke risico’s je analyseert, welke processen je borgt en welke systemen onder je verantwoordelijkheid vallen. Wat buiten scope blijft, accepteer je impliciet als restrisico. Dat is een bewuste keuze, en dus ook een bestuurlijke verantwoordelijkheid.

    Hieronder vind je een praktisch besliskader in vijf stappen.

    Wat scope in de praktijk betekent

    Scope is geen technisch lijstje met systemen.

    Scope is een formele afbakening van activiteiten, processen, systemen, data, locaties en eventueel juridische entiteiten die onder je managementsysteem vallen. Die afbakening bepaalt waar je aantoonbaar grip op moet hebben.

    Alles wat je buiten scope laat, leg je bewust naast je neer. Dat is toegestaan, zolang het uitlegbaar en proportioneel is.

    Stap 1: begin bij impact

    Veel organisaties starten vanuit structuur. Een afdeling. Een locatie. Alleen IT.

    Dat lijkt overzichtelijk, maar zegt niets over risico.

    Begin bij impact. Stel jezelf vier vragen:

    • Wat raakt direct klantbelang of contractuele verplichtingen?
    • Wat raakt kritische informatie?
    • Wat kan de organisatie stilleggen?
    • Wat is wettelijk verplicht?

    Scope volgt uit risico, niet uit het organogram.

    Wie deze stap overslaat, loopt het risico dat de afbakening vooral praktisch voelt, maar inhoudelijk zwak is. Voor verdieping over het werken vanuit risico’s zie ook De risicoanalyse: een onmisbaar instrument voor elke ondernemer.

    Stap 2: knip logisch en uitlegbaar

    Beperken mag. Willekeurig knippen niet.

    Een scope is logisch wanneer zij inhoudelijk samenhangend is. Denk aan één duidelijk afgebakend product, één samenhangend proces of één aparte juridische entiteit.

    Wat meestal niet werkt, is alleen IT meenemen terwijl processen organisatiebreed lopen, of één afdeling certificeren terwijl verantwoordelijkheden gedeeld zijn.

    De toets is eenvoudig: kun je de gekozen scope in één samenhangend verhaal uitleggen aan een auditor of een opdrachtgever?

    In het kader van certificering wordt die vraag expliciet gesteld. Zie ook De initiële ISO-audit: Stapsgewijze gids naar ISO-certificering.

    Stap 3: expliciteer wat je niet meeneemt

    Hier zit het echte onderscheid.

    Niet-opgenomen onderdelen horen expliciet benoemd te worden, voorzien van een korte motivatie en periodiek heroverwogen te worden.

    Niet meenemen is toegestaan. Niet onderbouwen niet.

    Door uitzonderingen vast te leggen voorkom je dat scope ongemerkt verschuift. Bovendien voorkom je dat discussies bij audits telkens opnieuw gevoerd moeten worden.

    Dit raakt direct aan bestuurlijke volwassenheid. Wie keuzes maakt, moet ze ook kunnen toelichten.

    Stap 4: werk proportioneel

    Niet elk onderdeel hoeft volledig binnen het managementsysteem te vallen.

    Soms volstaat een lichtere maatregel, zoals contractuele borging bij leveranciers of een periodieke steekproef in plaats van realtime monitoring.

    De kern is proportionaliteit. De maatregel moet in verhouding staan tot het risico. Zolang je kunt uitleggen waarom de gekozen aanpak passend is, is zij verdedigbaar.

    Stap 5: maak scope een levend besluit

    Scope is geen eenmalige actie.

    Nieuwe diensten, systeemwijzigingen, gewijzigde wetgeving of organisatorische veranderingen kunnen de oorspronkelijke afbakening onder druk zetten.

    Herijk daarom bewust. Wat je wilt voorkomen, is impliciete uitbreiding zonder formeel besluit. Dat leidt vrijwel altijd tot onduidelijkheid, oplopende kosten en discussies achteraf.

    Vier terugkerende valkuilen

    Ook bij goedbedoelde implementaties zie je vaak dezelfde fouten terug:

    • Scope kiezen op basis van gemak
    • Scope beperken om certificering sneller te halen
    • Geen periodieke herbeoordeling uitvoeren
    • Uitzonderingen niet expliciet vastleggen

    Deze fouten lijken klein, maar ondermijnen op termijn de samenhang van het hele systeem.

    Grip is kiezen

    Grip ontstaat niet door meer maatregelen, maar door scherpere afbakening.

    Wie bewust kiest, houdt kosten beheersbaar, behoudt overzicht en kan uitleggen waarom iets wél of niet is meegenomen.

    Uiteindelijk draait het om één eenvoudige vraag:

    Kun je in één alinea uitleggen waarom jouw huidige scope logisch en proportioneel is?

    Als dat niet lukt, ligt daar waarschijnlijk de grootste optimalisatie.

    Verder lezen

    Deze artikelen verdiepen respectievelijk het risicoperspectief, de auditcontext en de bestuurlijke opvolging van keuzes.

  • PIMS of ISMS: wat past bij jouw organisatie?

    PIMS of ISMS: wat past bij jouw organisatie?

    Stel: een sollicitant stuurt een net verzoekje. Of hij even zijn eigen gegevens mag inzien. Geen gekke vraag – onder de AVG heb je daar als betrokkene recht op. Maar intern ontstaat direct onrust. Want waar die gegevens precies staan, wie er toegang toe heeft, of er iets is doorgestuurd naar een derde partij? Dat blijkt lastiger te achterhalen dan gedacht.

    Veel organisaties komen op dit punt tot dezelfde conclusie: er is wel iets geregeld, maar grip op privacy ontbreekt. En dan duiken termen op als ISMS, PIMS, ISO 27001, ISO 27701. Inclusief bijbehorende verwarring. Want wat is het verschil? En belangrijker nog: wat heb jij nodig?

    Informatiebeveiliging is breder dan privacy

    Een ISMS – Information Security Management System – is een raamwerk van afspraken, processen en verantwoordelijkheden waarmee je informatie structureel beschermt. Daarbij gaat het niet alleen om persoonsgegevens, maar om álle waardevolle informatie binnen je organisatie: klantgegevens, technische documenten, rapportages, financiële overzichten, en nog veel meer.

    De norm die daarbij hoort is ISO 27001. Binnen dat kader regel je zaken als toegangsbeheer, back-upbeleid, logging en continue monitoring. Alles draait om vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Maar of je die informatie überhaupt mag verwerken? Dat is een andere vraag.

    Privacy stelt andere eisen

    Een PIMS – Privacy Information Management System – benadert informatiebeveiliging vanuit de AVG. Hier ligt de nadruk niet op technische maatregelen, maar op juridische grondslagen en verantwoordelijkheden. Mogen we deze gegevens verzamelen? Met welk doel? Voor hoelang? Wie is verantwoordelijk als iemand om verwijdering vraagt?

    Een PIMS helpt je om zulke vragen gestructureerd te beantwoorden en na te leven. Denk aan verwerkingsregisters, DPIA’s, bewaartermijnen, toestemmingsbeheer en procedures voor inzageverzoeken. De ISO 27701-norm sluit hierop aan: als uitbreiding op ISO 27001 biedt die een structurele aanpak voor privacybeheer. Niet verplicht, maar wel een krachtig hulpmiddel om aan te tonen dat je de AVG serieus neemt.

    Wat past bij jouw situatie?

    Dus terug naar die sollicitant die om inzage vroeg: had je daar een procedure voor, of moest je het bij elkaar zoeken?

    Voor organisaties die vooral werken met persoonsgegevens – zoals HR-dienstverleners, zorgaanbieders of SaaS-platforms – is het logisch om te beginnen met privacystructuur. Dat betekent: je PIMS op orde. Voor bedrijven die daarnaast werken met andere vertrouwelijke informatie, zoals projectplannen, R&D-data of klantstrategieën, is een ISMS minstens zo belangrijk.

    In de praktijk blijkt: het is geen kwestie van kiezen. Privacy en informatiebeveiliging zijn geen gescheiden domeinen. Ze grijpen in elkaar. Je kunt toegang goed geregeld hebben (ISMS), maar als je geen grondslag hebt voor de verwerking (PIMS), loop je alsnog risico. En andersom.

    Structuur begint vóór certificering

    Het goede nieuws: je hoeft niet te wachten op een certificaat om aan de slag te gaan. Wat je wél nodig hebt, is een aanpak waarmee je afspraken vastlegt, verantwoordelijkheden toewijst, processen bewaakt en bijhoudt wat er gebeurt. Van verzoeken tot incidenten, van taken tot auditacties.

    Dat is precies waar CompliTrack op is ingericht. De tool helpt je om:

    • AVG-verzoeken en incidenten vast te leggen en op te volgen,
    • Taken rondom compliance te automatiseren en te structureren,
    • Auditprocessen efficiënt uit te voeren én af te ronden met concrete acties.

    Geen verwerkingsregister, geen beleidsbibliotheek, wel overzicht, actiegerichtheid en continuïteit. Daarmee leg je de basis voor grip. Of je nu begint bij informatiebeveiliging of privacy.

    Het begint bij kiezen wat je nú nodig hebt

    Of je nou werkt met sollicitanten, klanten, patiëntgegevens of interne projectinformatie, je draagt verantwoordelijkheid voor hoe je die informatie beheert, beveiligt en verwerkt. En dat vraagt keuzes.

    Een ISMS helpt je risico’s op cyberincidenten beheersbaar te maken. Een PIMS helpt je voldoen aan de privacywet. Maar wat je vandaag vooral nodig hebt, is een aanpak die werkt in jouw praktijk. En die hoeft niet perfect te beginnen, als je maar begint.

    De eerste stap? Bepalen waar je grootste risico ligt. De tweede? Iets opzetten wat je morgen kunt gebruiken.

    Lees ook:

  • Incidenten registreren én verbeteren: zo voorkom je dat compliance bij registratie stopt

    Incidenten registreren én verbeteren: zo voorkom je dat compliance bij registratie stopt

    Stel: je hebt je zaken goed voor elkaar. De ISO-certificering hangt aan de muur, je beleid is uitgewerkt, de processen zijn beschreven. En dan gebeurt het: er gaat iets mis. Een incident.

    Een fout die raakt aan informatiebeveiliging, kwaliteit of – misschien nog belangrijker – het vertrouwen van een klant. Gelukkig heb je een incidentregistratieproces. Het incident wordt vastgelegd, betrokkenen worden geïnformeerd, er volgt een actie. En dan?

    Daar stokt het vaak.

    In veel organisaties eindigt incidentmanagement bij registratie. Er wordt iets genoteerd (als dat al gebeurt), maar wat er daarna mee gebeurt, is niet altijd duidelijk. Verbeteracties raken uit beeld. Herhaling wordt niet uitgesloten. En zodra een auditor langskomt, moet je alsnog in je mailbox graven om te bewijzen dat je “er iets mee hebt gedaan”.

    Zonde. Want juist incidenten zijn waardevol. Ze geven je zicht op risico’s, cultuur, communicatie en structuur. Ze helpen organisaties beter worden, mits je ze serieus neemt.

    Wat een incident je eigenlijk vertelt

    Incidenten zijn zelden een kwestie van puur toeval. Meestal zijn het uitvergrote signalen van dingen die onder de oppervlakte al langer niet lekker liepen. Een onduidelijke werkinstructie. Een ontbrekende check. Een collega die wel wilde, maar niet goed wist hoe.

    Soms is het pijnlijk om dat onder ogen te zien. Maar het is ook een kans.

    Een goed opgevolgd incident laat je precies zien waar je kwetsbaar bent, en hoe je kunt verbeteren. En dat maakt incidenten – hoe vreemd het ook klinkt – misschien wel de meest directe vorm van leervermogen in je organisatie.

    Een incident is geen eindpunt. Het is een start.

    In zowel ISO 27001 als ISO 9001 is incidentbeheer meer dan een verplicht vinkje. Je moet incidenten niet alleen registreren, maar ook opvolgen. Onderzoeken. Begrijpen. Verbeteren.

    Wat helpt, is een eenvoudige denklijn:
    Wat is er gebeurd? Waarom gebeurde het? Wat moeten we nu anders doen? En wie pakt dat op?

    Een methode die hier goed bij aansluit, is de 5x Waarom-methode. Je stelt vijf keer achter elkaar de vraag: “Waarom?”. Daarmee kom je voorbij de eerste, oppervlakkige oorzaak (“De medewerker klikte op de verkeerde link”) en leg je de onderliggende patronen bloot (“Er was geen training, omdat niemand verantwoordelijk is voor awareness-beleid”).

    Pas dan kun je maatregelen nemen die ook echt effect hebben.

    Het verschil tussen registreren en leren

    Laatst sprak ik een organisatie die haar incidenten netjes bijhield in een Excelbestand op de server. Dat deden ze al jaren. Toen ik vroeg wat er met die incidenten gebeurde, werd het stil.

    Een paar waren “wel opgepakt”. Een aantal “bleek uiteindelijk niet zo relevant”. En de rest? Gewoon genoteerd.

    Wat hier ontbrak is niet discipline, maar structuur. Er was geen systematiek om opvolging af te dwingen. Geen verantwoordelijke die moest checken of iets was opgelost. Geen analyse van herhaling of trends.

    Dat laat zien hoe belangrijk het is om opvolging te organiseren, en dát vraagt om structuur.

    Een systeem zoals CompliTrack helpt daar enorm bij. Je registreert een incident, koppelt het direct aan het betrokken proces, risico of bedrijfsmiddel, en zet er opvolgacties op uit. Alles wordt geborgd in één overzicht, inclusief historie. En als een auditor vraagt wat er met een incident gebeurd is? Dan hoef je niets te reconstrueren, je laat het gewoon zien.

    Incidenten zijn geen probleem. Ze zijn een kans.

    Goede incidentopvolging laat zien dat je grip hebt. Dat je niet alleen gecertificeerd bént, maar ook werkt naar de gedachte achter de norm.

    En het helpt je organisatie vooruit. Want incidenten laten zien waar je systemen rammelen, waar je team onduidelijkheid ervaart, waar processen op spanning staan.

    Als je die signalen negeert, blijven ze terugkomen. Maar als je ze benut, ben je aan het verbeteren. Dan werk je aan een systeem dat niet alleen voldoet aan ISO, maar ook aan je eigen standaard van goed werk leveren.

    Tot slot

    Incidentbeheer stopt niet bij registratie. Het begint daar pas.

    Gebruik incidenten als brandstof voor groei. Laat opvolging geen toeval zijn, maar een vast onderdeel van je proces. En zorg dat je niet alleen aan de norm voldoet, maar ook bouwt aan een robuuste organisatie met veerkracht.

    Benieuwd hoe je incidentbeheer structureel en praktisch kunt organiseren?

    Vraag hier een vrijblijvende demo van CompliTrack aan – en ontdek hoe je incidenten niet alleen registreert, maar er ook echt van leert.

    Lees ook: We hadden een ISO-certificaat. Maar nul structuur bij incidenten.

  • Leveranciers beoordelen zonder Excel: zo krijg je écht grip op risico’s

    Leveranciers beoordelen zonder Excel: zo krijg je écht grip op risico’s

    Stel je voor: je leverancier scoort een 9,3 in je jaarlijkse beoordeling. Netjes. Je legt de score vast in Excel, checkt het vakje voor “beoordeeld” en gaat verder met je dag. Tot het misgaat. De dienst valt uit, een datalek ontstaat, of een project loopt vertraging op omdat je leverancier zijn afspraken niet nakomt. En ineens blijkt die 9,3 vooral gebaseerd op goede bedoelingen, en weinig onderbouwing.

    Voor veel organisaties is dit herkenbaar. Leveranciersbeoordeling is vaak een verplichting op papier: een lijstje, een score en hop, klaar is Kees. Maar het echte doel van zo’n beoordeling? Grip krijgen op risico’s in je keten. Juist daar gaat het met Excel vaak mis.

    In deze blog lees je waarom die klassieke aanpak tekortschiet, wat een moderne beoordeling wél inhoudt, en hoe je leveranciers structureel én risico gestuurd kunt beoordelen – zonder spreadsheets.

    Waarom Excel tekortschiet bij leveranciersbeoordeling

    Excel is laagdrempelig, maar het is niet ontworpen voor gestructureerd risicobeheer. Wat er in de praktijk gebeurt:

    • Beoordelingen zonder context
      Je weet niet wie toegang heeft tot welke systemen, data of processen. Iedereen scoort ‘voldoende’, maar niemand weet waarom.
    • Verouderde inzichten
      Zodra je een Excelbestand opslaat, is het eigenlijk al achterhaald. Certificaten verlopen, prestaties veranderen, incidenten worden vergeten.
    • Geen structurele opvolging
      Een leverancier scoort een 6 – en dan? Wie neemt actie? Wat moet er gebeuren? Excel heeft geen workflow, geen reminders, geen eigenaarschap.
    • Afhankelijkheid van personen
      Eén medewerker weet hoe het bestand werkt. Tot die met vakantie gaat – of vertrekt.

    Het resultaat? Je voldoet op papier aan je ISO 9001- of ISO 27001-verplichting, maar in de praktijk heb je weinig zicht op je echte kwetsbaarheden.

    Wat een moderne leveranciersbeoordeling wél doet

    Leveranciersbeoordeling is geen formaliteit, maar een onmisbaar onderdeel van je compliance- en risicostrategie. Zeker als je werkt met normen als ISO 9001, ISO 27001 of als je moet voldoen aan de NIS2.

    Een slimme aanpak:

    • Koppelt leveranciers aan bedrijfsmiddelen
      Denk aan systemen, klantdata, infrastructuur of operationele processen. Een leverancier die je cloudomgeving beheert, vraagt om een andere beoordeling dan je koffieleverancier.
    • Beoordeelt op basis van risico’s
      Niet elke leverancier is even kritisch. Beoordeel op impact: wie beïnvloedt je continuïteit, je informatiebeveiliging of je kwaliteit?
    • Kijkt verder dan een rapportcijfer
      Beoordeel leveranciers niet alleen op algemene indruk, maar op actuele prestaties, incidenthistorie, certificering en contractuele naleving.
    • Is cyclisch en continu
      Een eenmalige score is waardeloos zonder opvolging. Plan herbeoordelingen in, koppel acties aan uitkomsten en blijf monitoren.
    • Is aantoonbaar, gestructureerd en schaalbaar
      Auditoren vragen niet of je iets hebt beoordeeld, maar hóé. Welke criteria? Welke acties zijn genomen? Welke risico’s zijn geïdentificeerd?

    Praktijkvoorbeeld: waarom context alles is

    Stel, je werkt met een externe IT-partner die jouw klantportaal beheert. Die partner scoort elk jaar een 8,5 in je Excel-beoordeling.
    Maar…

    • “Je weet niet meer of ze nog een geldige ISO 27001-certificering hebben.”
    • “Je hebt geen zicht op incidenten die ze hebben meegemaakt.”
    • “Ze beheren systemen die klantdata bevatten, maar dat is nergens gekoppeld.”

    Als er een datalek ontstaat, kun je het niet terugleiden naar een actuele risico-inschatting.

    Had je wél gewerkt met een systeem dat deze leverancier koppelt aan je kritieke systemen, dan had je direct gezien dat hier meer controle over was – en had je eerder kunnen bijsturen.

    Hoe begin je zelf?

    Een goede eerste stap richting structurele leveranciersbeoordeling is het koppelen van leveranciers aan je bedrijfsmiddelen. Denk hierbij aan:

    • IT-systemen (zoals je CRM of klantportaal)
    • Gevoelige datasets (klantgegevens, gezondheidsinformatie)
    • Kernprocessen (productie, logistiek, support)
    • Fysieke middelen (toegang tot kantoor, apparatuur)

    Daarna: bepaal voor elk bedrijfsmiddel wat de impact is bij falen, en bepaal welk risico je accepteert. Hoe hoger de impact, hoe hoger de beoordelingsfrequentie en de eisen aan je leverancier.

    Gebruik vervolgens tooling zoals CompliTrack om:

    • Leveranciers te koppelen aan bedrijfsmiddelen
    • Risicoanalyses automatisch uit te voeren
    • Incidenten te registreren en te koppelen aan leveranciers
    • Beoordelingen te plannen, acties toe te wijzen en opvolging te borgen
    • Certificaten, contracten en prestaties inzichtelijk te houden

    Waarom dit nú belangrijk is

    De wereld verandert. Leveranciers hebben vaker directe toegang tot je informatie, je infrastructuur en je klanten. En dat betekent: hun fouten worden jouw risico’s.

    Tegelijkertijd worden de eisen strenger:

    • ISO 9001 vraagt om objectieve en herhaalbare leveranciersbeoordeling
    • ISO 27001 stelt eisen aan beheersmaatregelen voor derde partijen
    • NIS2 eist aantoonbare controle over je toeleveringsketen

    Met andere woorden: je kunt het je niet veroorloven om leveranciersbeoordeling te blijven zien als een Excel-ritueel.

    Van incident naar inzicht: een echt voorbeeld

    Een middelgroot IT-bedrijf – klant van ons – gebruikte jarenlang een jaarlijkse vragenlijst in Excel om leveranciers te beoordelen. Eén van hun leveranciers scoorde altijd keurig een 9. Tot bleek dat deze leverancier geen actuele ISO-certificering meer had én toegang had tot klantdata. Na een incident was er geen duidelijk zicht op wie waarvoor verantwoordelijk was.

    Sindsdien gebruiken ze CompliTrack om leveranciers structureel te koppelen aan systemen, risico’s en maatregelen. Beoordelingen zijn nu risico gestuurd, geautomatiseerd en gekoppeld aan incidenthistorie. En audits? Die doorstaan ze nu zonder gedoe, en met vertrouwen.

    Klaar om afscheid te nemen van Excel?

    Leveranciersbeoordeling hoeft geen corvee te zijn. Het kan je juist helpen om risico’s te verkleinen, audits soepel te laten verlopen en je organisatie soepeler en veerkrachtiger te maken.

    Wil je verder lezen? Bekijk dan ook:

    Of: plan direct een vrijblijvende demo. Dan laten we je zien hoe je met één centrale tool leveranciersbeoordeling wél overzichtelijk, efficiënt en impactvol maakt.

  • Onze leverancier scoorde een 9 in de audit. En toch ging het mis.

    Onze leverancier scoorde een 9 in de audit. En toch ging het mis.

    Auditresultaat: 0. Risico-inschatting: laag. Conclusie: alles onder controle.
    Totdat de productie stilvalt. Of klantdata uitlekt. Of er wéér een storing is. En ineens blijkt die ‘9’ niet zo geruststellend als gedacht.

    In deze blog lees je waarom een goed auditrapport van je leverancier geen garantie is voor werkelijke veiligheid, en hoe je voorkomt dat je leveranciersbeoordelingen vooral compliance-theater worden.

    Het leek waterdicht, tot het fout ging

    Een technisch dienstverlener in de energiesector werkte samen met een IT-partner die ISO 27001-gecertificeerd was. Die partner scoorde een 9,3 in de jaarlijkse leveranciersbeoordeling. Alle vinkjes stonden op groen. Toch ging het mis.

    Wat bleek?
    Het cloudplatform waarop zij klantdata hostten, inclusief netwerkinformatie en gebruikersgegevens, viel buiten de scope van hun ISO-certificering. In het auditrapport stond keurig vermeld: “Deze omgeving is operationeel, maar valt buiten de ISMS-scope.” Alleen: niemand heeft dat gelezen. En niemand heeft gevraagd wat dat in de praktijk betekende.

    Toen de cloudomgeving werd getroffen door een ransomware-aanval, was er geen noodscenario. Geen back-upplan. En geen aansprakelijkheid, want: de risico’s waren niet besproken, laat staan vastgelegd in een contract.

    Waarom een 9 geen garantie is

    We vertrouwen graag op auditcijfers, certificaten en beoordelingslijsten. Een hoge score voelt veilig. Maar een score vertelt niets over:

    • Welke processen en systemen precies onder die audit vallen.
    • Welke maatregelen werkelijk effectief zijn – en voor jouw situatie relevant.
    • Wat de leverancier niet heeft geregeld, of wat jij zelf moet aanvullen.
    • Hoe snel en adequaat wordt gehandeld als het wél misgaat.
    • Of er juridische afspraken zijn die aansluiten op de feitelijke risico’s (zoals DPA’s, exit-clausules of SLA’s).

    Een audit is een momentopname. En dat moment zegt niets over de praktijk van morgen, volgende week of volgend kwartaal. Toch vertrouwen veel organisaties op die momentopnames als basis voor hun leveranciersstrategie. Zo ontstaat compliance zonder context, ofwel: compliance-theater.

    De veelgemaakte denkfout

    De meeste organisaties stellen wél eisen aan leveranciers (“moet ISO-gecertificeerd zijn”, “moet aanleveren voor de audit”), maar vergeten drie essentiële vragen:

    • Waar raakt deze leverancier mijn kritieke processen of gegevens?
    • Wat is de impact als deze leverancier faalt, en wie merkt dat als eerste?
    • Hebben wij aanvullende maatregelen genomen om dát risico af te dekken?

    Zonder deze drie vragen loop je het risico dat je je risicobeoordeling uitbesteedt aan de marketingafdeling van je leverancier. En dat is – op z’n zachtst gezegd – geen geruststellend vooruitzicht.

    Excel werkt niet voor structurele beoordeling

    Veel organisaties beheren leveranciersinformatie nog in Excel of SharePoint-lijstjes. Je kunt daar wel vinkjes bijhouden, maar:

    • Je weet niet aan welke bedrijfsmiddelen of processen de leverancier gekoppeld is.
    • Risico’s blijven abstract: er is geen directe relatie met impact of context.
    • Incidenten worden niet automatisch meegenomen in je beoordeling.
    • Audits worden elk jaar opnieuw opgebouwd, in plaats van structureel bijgehouden.
    • Er is geen koppeling tussen risicoanalyse, contractbeheer en maatregelen.

    Zo blijft leveranciersbeoordeling statisch. Je vult jaarlijks een lijst in, scoort een 8,7 en gaat verder. Tot het misgaat.

    Hoe CompliTrack dit voorkomt

    CompliTrack is een lichtgewicht GRC-tool die leveranciers structureel koppelt aan je organisatie:

    • Koppel leveranciers aan bedrijfsmiddelen, processen of datatypes.
    • Voer risicoanalyses uit per leverancier, afgestemd op jouw situatie.
    • Krijg realtime inzicht in maatregelen, certificaten, SLA’s en incidenthistorie.
    • Beoordeel de impact op continuïteit en compliance als een leverancier wegvalt.
    • Plan evaluatiemomenten automatisch in en berg opvolging.

    Zo ontstaat niet alleen een vollediger beeld, maar ook een betere discussie met je leveranciers. Want een leverancier die op papier scoort, maar risico’s ontwijkt, krijgt geen 9 meer. Die krijgt een gesprek.

    Wat als jij dit over het hoofd ziet?

    Veel bedrijven hebben het niet in de gaten. Ze vertrouwen op de jaarlijkse vragenlijst, op de ISO-stempel, op het auditrapport in PDF-vorm. Tot er een storing is. Of een datalek. Of een leverancier ineens afhaakt.

    De tijd om kritische vragen te stellen, is vóór de storing. Niet erna.

    Dus: zorg dat je leveranciersbeoordeling niet stopt bij cijfers, maar begin met risico’s, processen en praktijk.

    Meer weten?

    Lees ook:

    Een hoge score is mooi. Maar als je niet weet wat níet gemeten is, weet je ook niet wat je mist.
    Wil je weten hoe je wél grip krijgt op leveranciersrisico’s? We laten het je graag zien, plan gerust een demo.

  • Auditvoorbereiding in ritme: altijd aantoonbaar zonder stress

    Auditvoorbereiding in ritme: altijd aantoonbaar zonder stress

    De audit komt eraan.

    Je weet het al weken, maar toch voelt het alsof alles ineens tegelijk moet gebeuren. Documenten opzoeken. Incidenten nog snel registreren. Acties afvinken die maanden geleden zijn blijven liggen. Niet omdat je je werk niet goed doet – maar omdat het nergens goed is vastgelegd.

    Veel organisaties herkennen die stress. Maar wat als auditvoorbereiding géén jaarlijkse spoedklus hoeft te zijn? Wat als het gewoon onderdeel is van je normale werkritme?

    In deze blog laat ik je zien hoe je dat ritme opbouwt – en hoe je aantoonbaar compliant blijft, zonder tijdsdruk of paniek.

    Waarom audits vaak voelen als een sprint

    Audits worden zelden spannend omdat je iets verkeerd doet. Ze worden spannend omdat je wél iets doet, maar het niet kunt laten zien.

    Wat ik vaak zie?

    • Je informatie is verspreid over Excel, e-mails en gedeelde netwerkschijven.
    • Verbeteracties zijn besproken, maar niet formeel vastgelegd.
    • Incidenten zijn afgehandeld, maar nergens geregistreerd.
    • Taken zijn ooit toegewezen, maar niemand weet meer aan wie – of waarom.

    Dan komt de auditor langs, en ineens is alles urgent.

    Wat als auditvoorbereiding geen project meer is?

    De meeste normen – ISO 9001, ISO 27001, NEN 7510 – eisen aantoonbaarheid. Niet perfectie. En al helemaal geen jaarlijkse sprint. Ze laten je juist ruimte om je eigen ritme te kiezen.

    Veel organisaties werken daarom met drie vaste auditmomenten, verspreid over een jaar. Geen grote trajecten, maar logische ankerpunten die helpen om overzicht te houden.

    1. Kwartaalrondes

    Vier keer per jaar even checken: klopt wat er staat nog met hoe je werkt?

    Denk aan:

    • Zijn risicoanalyses nog actueel?
    • Zijn openstaande acties nog opgevolgd?
    • Is het beleid nog relevant?

    Je hoeft hier geen dik rapport van te maken. Een korte interne update of rondgang is vaak al genoeg om afwijken vroeg te signaleren.

    2. Managementreview

    Halverwege het jaar neem je afstand. Je kijkt met het managementteam niet alleen terug, maar vooral vooruit.

    Wat komt daar zoal aan bod?

    • Welke verbeteracties zijn wel of juist niet opgepakt?
    • Wat blijkt uit incidenten, afwijkingen of interne audits?
    • Lopen je doelen nog synchroon met je beleid?
    • Zijn er risico’s, trends of wetgevingswijzigingen die je moet meenemen?

    Je staat ook stil bij de kernvraag: werkt het systeem nog voor ons? Of moet het mee evolueren met de praktijk?

    Zo’n review is dus méér dan een verplicht agendapunt. Het is een strategisch rustmoment.

    3. Interne audits

    Een interne audit is geen toets om te slagen. Het is een spiegel.

    Je kijkt: doen we wat we zeggen dat we doen? Sluiten procedures nog aan bij hoe we echt werken?

    Sommige bedrijven plannen één grote audit per jaar, anderen verdelen het over teams of processen. Wat je ook kiest: de sleutel is continuïteit, niet perfectie.

    💡Veel bedrijven plannen hun auditcyclus bewust vroeg in het jaar. Zo voorkom je dat alles zich ophoopt vlak voor een externe toetsing.

    Hoe CompliTrack je auditritme ondersteunt

    Natuurlijk kun je dit auditritme vastleggen in Excel. En voor sommigen werkt dat – tot het druk wordt. Dan verdwijnen lijstjes, raken notulen kwijt, en weet niemand meer waar de laatste versie van het beleid ligt.

    Daarom helpt een tool als CompliTrack om het proces niet alleen in te richten, maar ook vol te houden.

    Wat CompliTrack voor je doet:

    • Plant je auditmomenten door het jaar heen, met auditdoelstellingen per auditmoment.
    • Legt bewijslast vast op de juiste plek, gekoppeld aan risico’s of normen.
    • Maakt opvolging inzichtelijk, met taken, deadlines en verantwoordelijkheden.
    • Geeft realtime overzicht van wat er nog openstaat – en wat aantoonbaar is geregeld.

    Zo bouw je ongemerkt een logboek op dat zichzelf vult. Bij een externe audit hoef je niet te verzamelen. Je laat gewoon zien wat er al ís.

    📎Meer hierover? Lees ook: De risicoanalyse – een onmisbaar instrument voor elke ondernemer

    Van stress naar overzicht: een praktijkvoorbeeld

    Een klant in de installatiesector werkte jarenlang nog met losse Word- en Excelbestanden. Elk jaar dezelfde auditstress. Documenten zoeken, taken nalopen, incidenten terugzoeken.

    Sinds de overstap naar CompliTrack hebben ze het anders ingericht:

    1. Elk kwartaal krijgen de juiste mensen een taakherinnering.
    2. Bewijslast wordt direct toegevoegd bij de maatregelen.
    3. Tijdens de audit? Alles stond al klaar.

    De laatste externe audit ging soepel. Geen stress, geen gaten. Alles aantoonbaar.

    Conclusie: audit als routine, niet als reddingsactie

    Wil je auditstress structureel voorkomen, dan is de oplossing niet om nóg harder te werken. Het is slimmer organiseren.

    Met een simpel auditritme en een ondersteunende tool bouw je aantoonbaarheid op terwijl je werkt. Geen paniek, geen losse eindjes. Gewoon grip, overzicht en rust.

    📘Meer weten? Lees ook: De initiële ISO-audit – stapsgewijze gids naar certificering.

  • Wat is SOC 2 (en waarom je ‘m niet haalt met een mapje Word-bestanden)

    Wat is SOC 2 (en waarom je ‘m niet haalt met een mapje Word-bestanden)

    “We hadden alles netjes in een mapje. Beleid, procedures, risicoanalyse – het zat er allemaal in. Maar toen de auditor vroeg: ‘Welk bewijs heb je dat dit écht wordt nageleefd?’, werd het stil.”

    Steeds meer organisaties in de IT en zakelijke dienstverlening krijgen ermee te maken: klanten vragen om een SOC 2-verklaring. Niet omdat ze daar zelf op zitten te wachten, maar omdat hún klanten, toezichthouders of investeerders het eisen. En dus moet je als leverancier kunnen aantonen dat je gegevensbescherming, beschikbaarheid en procesbeheersing écht op orde hebt.

    Dat klinkt overzichtelijk. Tot je beseft wat SOC 2 in de praktijk vraagt.

    Wat is SOC 2 precies?

    SOC 2 (Service Organization Control 2) is een Amerikaanse standard voor het beoordelen van hoe een organisatie omgaat met klantdata. Het rapport wordt opgesteld door een onafhankelijke auditor, op basis van jouw eigen processen en maatregelen. Die moeten aantoonbaar bijdragen aan het waarborgen van de zogeheten Trust Service Criteria:

    1. Beveiliging (Security) – zijn je systemen beschermd tegen ongeautoriseerde toegang?
    2. Beschikbaarheid (Availability) – is je dienst beschikbaar zoals afgesproken?
    3. Verwerkingsintegriteit (Processing Integrity) – worden gegevens correct en volledig verwerkt?
    4. Vertrouwelijkheid (Confidentiality) – blijven vertrouwelijke gegevens intern en beschermd?
    5. Privacy – hoe wordt omgegaan met persoonsgegevens van klanten?

    Het grote verschil met veel andere normen? SOC 2 schrijft niet exact voor wat je moet doen, maar vraagt om bewijs dat maatregelen daadwerkelijk werken in de praktijk. Het draait om betrouwbaarheid in de uitvoering.

    SOC 2 vs. ISO 27001: twee wegen naar vertrouwen

    Veel organisaties denken dat SOC 2 en ISO 27001 inwisselbaar zijn. Maar hoewel beide draaien om informatiebeveiliging, verschillen ze sterk in aanpak:

    • ISO 27001 is een internationale norm voor het opzetten van een Information Security Management System (ISMS). Het draait om het structureren van je beleid, processen, risicoanalyse en continue verbetering. Je voldoet aan een vast eisenkader, en krijgt een certificaat van een geaccrediteerde instantie.
    • SOC 2 is een auditrapport, geen certificaat. Er zijn geen verplichte maatregelen, maar je moet kunnen aantonen dat de maatregelen die je zelf hebt gekozen, ook daadwerkelijk worden uitgevoerd en gevolgd. Een SOC 2-audit kijkt terug: wat heb je gedaan, en wat kun je bewijzen?

    Kort samengevat:

    ISO 27001SOC 2
    VormCertificeringAssurance-rapport
    Norm of frameworkFormele normPrincipe-gebaseerd framework
    DoelSysteem opzetten en onderhoudenAantonen dat processen werken
    ReikwijdteInformatiebeveiliging in de breedte (inclusief privacy, beschikbaarheid en vertrouwelijkheid binnen ISMS)Klantdata en betrouwbaarheid volgens Trust Service Criteria
    ToetsingVoldoen aan vaste eisenWerking aantonen over tijd (bijv. 6-12 maanden)

    Het is geen kwestie van kiezen tussen SOC 2 of ISO 27001. Veel organisaties gebruiken ze juist samen: ISO voor structuur en SOC 2 om klantvertrouwen te versterken.

    Waarom je SOC 2 niet haalt met een mapje Word-bestanden

    Het is verleidelijk om te beginnen met een gedeelde map: een Word-bestand met het beleid, een Excel-sheet met risico’s, een PDF’je met je security controls. Maar zodra de auditor je vraagt:

    • “Wanneer is deze controle uitgevoerd?”
    • “Wie heeft dit beoordeeld?”
    • “Is er opvolging geweest na dit incident?”
    • “Wat was de laatste wijziging en door wie is die gedaan?”

    …dan blijkt dat een map vol documenten weinig waard is zonder context, logging en opvolging.

    SOC2 Type II-audits beoordelen de effectiviteit van je controles over een periode van 6 tot 12 maanden. Het gaat niet alleen om wat je opschrijft, maar of je kunt aantonen dat je het structureel doet. Iedere maand. Elke medewerker. Alle maatregelen. En dat vraagt meer dan alleen statische documenten.

    Praktijkvoorbeeld: de audit die nét niet lukte

    Een SaaS-bedrijf kreeg een grote klant uit de financiële sector in het vizier. Er was maar één voorwaarde: een SOC 2-rapport. In allerijl werd een intern team samengesteld, het beleid opgepoetst, en alles netjes gedocumenteerd. Excel voor risico’s, SharePoint voor processen, Word voor het beveiligingsbeleid. Het team had er vertrouwen in.

    Tot de auditor langskwam.

    De controles waren afgesproken, maar niet aantoonbaar uitgevoerd. Incidenten werden besproken in meetings, maar nergens vastgelegd. Rollen waren informeel verdeeld, maar nergens expliciet. De maatregelen leken prima – maar het bewijs ontbrak.

    Resultaat: geen SOC 2-rapport, geen deal, en opnieuw beginnen.

    Wat je wél nodig hebt

    Een succesvolle SOC 2-audit vraagt niet om perfectie, maar om aantoonbaarheid. Je moet laten zien dat je processen zijn ingebed in de dagelijkse praktijk. Dat betekent:

    • Duidelijke rollen en verantwoordelijkheden
      Wie is verantwoordelijk voor het beoordelen van toegangsrechten? Wie logt incidenten? Wie volgt ze op?
    • Terugkerende taken en logging
      Worden maandelijks back-ups gecontroleerd? Zijn security-updates tijdig uitgevoerd? Met bewijs?
    • Versiebeheer op beleid en maatregelen
      Wat is het actuele beleid? Wanneer is het gewijzigd? Door wie?
    • Incidentbeheer en verbeteracties
      Worden incidenten structureel geregistreerd? Zijn er trends zichtbaar Is er een evaluatie gedaan?
    • Audit-trail
      Kun je per maatregel zien wie iets heeft uitgevoerd, wanneer en wat de uitkomst was?

    CompliTrack is ontwikkeld met dat doel: een toegankelijke GRC-oplossing voor organisaties die serieus aan de slag willen met risico- en compliance beheer, zonder zware implementaties of langdurige consultancytrajecten.

    Met CompliTrack kun je:

    • Incidenten registreren en opvolgen
    • Terug taken inplannen en loggen
    • Risicoanalyse uitvoeren en koppelen aan maatregelen
    • Documentatie beheren
    • Interne audits plannen en opvolgen
    • Alles centraal vastleggen – met bewijslast

    Kortom: het juiste evenwicht tussen eenvoud en aantoonbaarheid.

    Tot slot: vertrouwen win je niet met een Excel-sheet

    Een SOC-2 audit is geen toneelstuk waarin je laat zien dat je iets hebt opgeschreven. Het is een evaluatie van hoe je organisatie werkelijk functioneert. Dag in en dag uit.

    Wil je SOC 2 halen zonder dat je organisatie verandert in een papieren compliance-machine? Ontdek hoe CompliTrack je helpt om wél aantoonbaar te zijn – en niet alleen compliant te lijken, maar het ook écht te zijn.

    Plan een vrijblijvende demo of neem contact op voor advies over hoe jij je auditproces concreet aanpakt.

  • Zorgeloos auditen: Hoe een GRC-tool je interne audits eenvoudiger maakt dan ooit

    Zorgeloos auditen: Hoe een GRC-tool je interne audits eenvoudiger maakt dan ooit

    Voor veel MKB-bedrijven is het uitvoeren van interne audits een verplichting waar men tegenop ziet. Toch zijn audits een krachtig instrument voor verbetering, mits je het goed aanpakt. In deze blog lees je hoe een toegankelijke GRC-tool zoals CompliTrack auditstress kan omzetten in grip en gemak.

    Wat is auditen eigenlijk – en waarom zou je het doen?

    Een audit is een gestructureerde beoordeling van processen, documenten en gedragingen binnen een organisatie. Het doel: vaststellen of je doet wat je zegt én zegt wat je doet. Je kijkt dus of je processen op papier én in de praktijk kloppen, en of ze bijdragen aan je organisatiedoelen.

    Er zijn externe audits (bijvoorbeeld voor een ISO-certificaat) en interne audits, die je zelf uitvoert. Die laatste zijn vaak verplicht als je ISO-gecertificeerd wilt blijven. Maar zelfs zonder certificering zijn interne audits waardevol: ze geven inzicht in risico’s, procesafwijkingen en verbetermogelijkheden.

    Lees ook: Verschil interne en externe audit: wat je moet weten (14 januari 2025)

    Wat vragen normen zoals ISO 9001 en ISO 27001 over audits?

    Normen als ISO 9001 (kwaliteitsmanagement) en ISO 27001 (informatiebeveiliging) stellen dat organisaties periodiek interne audits moeten uitvoeren. Zo zorg je ervoor dat je managementsysteem blijft werken en dat je leert van fouten of afwijkingen.

    ISO 9001 vereist bijvoorbeeld dat je een auditplanning maakt, audits uitvoert volgens een methode, en opvolging geeft aan bevindingen. ISO 27001 stelt dat je je ISMS (Informatiebeveiligingsmanagementsysteem) moet toetsen op effectiviteit. Ook normen als ISO 14001 (milieumanagement) en ISO 22301 (continuïteit) kennen vergelijkbare eisen.

    Lees ook: Hoe CompliTrack MKB’s helpt voldoen aan ISO 9001 (7 oktober 2024)

    De grootste valkuilen bij interne audits

    Veel kleinere organisaties maken bij audits dezelfde fouten:

    • Geen duidelijke planning: audits worden ad-hoc of laat uitgevoerd.
    • Bevindingen verdwijnen in de la: verbeterpunten worden niet opgevolgd.
    • Geen centrale vastlegging: informatie zit verspreid in Excelbestanden of e-mails.
    • Gebrek aan betrokkenheid: audits worden als verplicht nummer gezien in plaats van kans tot verbetering.

    Deze fouten maken het lastig om grip te houden op je managementsysteem en zorgen voor stress bij externe controles.

    Lees ook: ISO 27001 Veelgemaakte fouten: 5 valkuilen en hoe je ze voorkomt (26 januari 2025)

    Hoe CompliTrack je audits eenvoudig maakt

    Met een slimme GRC-tool zoals CompliTrack kun je veel auditfrustratie voorkomen. En dat zonder hoge kosten of complexiteit. Dit is hoe het helpt:

    Vooraf plannen

    In CompliTrack leg je je auditplanning voor het hele jaar vast. Je krijgt meldingen wanneer een audit eraan komt, zodat je nooit meer verrast wordt.

    Auditplannen en checklists

    Je stelt eenvoudig je auditdoelstellingen, scope en checklists op, alles op één plek. Geen losse Word- of Excelbestanden meer.

    Bevindingen vastleggen en opvolgen

    Elke auditbevinding leg je vast in het systeem. Je koppelt direct een actie, verantwoordelijke en deadline. Zo voorkom je dat verbeterpunten verdwijnen in vergetelheid.

    Overzicht en rapportage

    Je krijgt automatisch een overzicht van uitgevoerde audits, openstaande acties en trends. Dit maakt rapporteren richting management of certificerende instellingen veel eenvoudiger.

    Lees ook: Van chaos naar controle: Hoe organisaties grip krijgen op interne taken (5 maart 2025)

    Conclusie: Audits zonder stress, met grip op verbetering

    Interne audits zijn meer dan een verplichting, ze zijn dé manier om je organisatie structureel te verbeteren. Maar dan moet je ze wel serieus aanpakken, en dat kan alleen als het proces behapbaar is. CompliTrack biedt hiervoor precies de juiste balans tussen eenvoud en effectiviteit, tegen een eerlijke prijs.

    Overweeg jij audits professioneler aan te pakken zonder extra kopzorgen? Dan is dit het moment om CompliTrack te proberen.

    Meer weten? Neem contact met ons op voor een vrijblijvende kennismaking of demo van de mogelijkheden.

  • ISO 27001 risicoanalyse: In 5 stappen van dreiging naar beheersing

    ISO 27001 risicoanalyse: In 5 stappen van dreiging naar beheersing

    Ben je verantwoordelijk voor informatiebeveiliging binnen je organisatie? Dan weet je vast al dat risico’s overal op de loer liggen. Maar hoe krijg je die risico’s goed in beeld én onder controle? Zeker als je werkt met ISO 27001 is een duidelijke risicoanalyse onmisbaar. In deze blog neem ik je stap voor stap mee door het proces – van dreiging tot beheersing. Lekker praktisch, zonder overbodige jargon.

    Wat is nou eigenlijke een goede risicoanalyse?

    Een goede risicoanalyse draait niet om een ellenlange lijst met gevaren, maar om inzicht en actie. Je brengt in kaart:

    • Welke risico’s er zijn (dreigingen + kwetsbaarheden),
    • Hoe groot de kans is dat ze optreden,
    • Wat de impact is als het fout gaat,
    • En vooral: wat je eraan gaat doen.

    Het is dus géén papieren tijger, maar een hulpmiddel om prioriteiten te stellen en grip te houden. Eerder schreef ik al over het belang hiervan in De risicoanalyse: Een onmisbaar instrument voor elke ondernemer.

    Wat vraagt ISO 27001 van je?

    ISO 27001 is dé standaard voor informatiebeveiliging. En ja, daar hoort een gestructureerde risicoanalyse gewoon bij. De norm vraagt je om:

    • Criteria op te stellen: wat vind jij acceptabel qua risico?
    • Risico’s systematisch te beoordelen en vast te leggen,
    • En passende beheersmaatregelen te kiezen (die vind je in de Annex A van de norm).

    Geen paniek, het hoeft niet ingewikkeld te zijn. Als je het slim aanpakt, heb je zo een goed werkend proces staan.

    In 5 stappen van risico naar beheersing

    Stap 1 – Bepaal de context

    Begin met een goed beeld van je organisatie. Wat zijn je belangrijkste processen, systemen en informatie? En wat kan daar misgaan?

    Stap 2 – Breng risico’s in kaart

    Denk aan dreigingen zoals cyberaanvallen, datalekken of menselijke fouten. En kijk welke zwakke plekken er zijn in je systemen of processen.

    Stap 3 – Beoordeel de risico’s

    Hoe groot is de kans dat iets gebeurt? En wat zijn de gevolgen als het misgaat? Een eenvoudige risicomatrix (bijv. 5×5) helpt je om dit inzichtelijk te maken.

    Stap 4 – Koppel maatregelen aan risico’s

    Hier komt ISO 27002 (Annex A) om de hoek kijken. Daarin staan allerlei beheersmaatregelen. Kies er eentje die past bij jouw risico. Voorbeeld:

    • Phishing –> A.6.3 Training en bewustwording
    • Onveilige toegang –> A.5.15 Toegangsbeveiliging

    Stap 5 – Maak een risicobehandelplan

    Leg vast wat je gaat doen, door wie en wanneer. En bepaal ook welke risico’s je accepteert (want niet alles kun of hoef je op te lossen).

    Nog meer weten over de stap naar actie? Lees dan ook Van risicoanalyse naar actie: Hoe je risico’s daadwerkelijk beheerst.

    Zo helpt CompliTrack je hierbij

    Bij CompliTrack hebben we een oplossing ontwikkelt die jou écht helpt zonder ingewikkelde toeters en bellen. Wat kun je ermee?

    • Risico’s registreren, beoordelen en classificeren
    • Risico’s koppelen aan ISO 27001 beheersmaatregelen
    • Taken aanmaken om risico’s aan te pakken
    • Audits plannen en registreren om maatregelen te toetsen
    • Externe auditbevindingen vastleggen en opvolgen

    En dat allemaal op een overzichtelijke manier, zonder dat je een fortuin kwijt bent. Voor €90 per maand heb je al een complete, praktische GRC-tool in handen.

    Ook aan de slag met risicobeheersing?

    Wil je zelf ervaren hoe eenvoudig en doeltreffend risicoanalyse kan zijn? Neem dan contact op via onze contactpagina. Wij denken graag met je mee over een aanpak die past binnen jouw organisatie.