Een audit is het moment waarop duidelijk wordt of beleid echt werkt of alleen op papier bestaat.

Hoe kun je je voorbereiden op een informatiebeveiliging audit?

Toezichthouders stellen scherpere eisen, interne processen moeten beter aansluiten op risico’s en samenwerking tussen afdelingen is vaak nog onvoldoende zichtbaar. Zonder voorbereiding blijven knelpunten onopgemerkt, of worden maatregelen verkeerd begrepen. Auditmomenten bieden juist kansen om inzicht te krijgen, bij te sturen en de organisatie structureel te versterken.

Wie weet wat telt, vergroot niet alleen de kans op een goed resultaat, maar ook op blijvend vertrouwen in de beheersing van informatiebeveiliging.

1. Wat een audit inhoudt

Een informatiebeveiliging audit richt zich op het aantoonbaar maken van beheersing van risico’s rondom gegevens en continuïteit. De audit beoordeelt niet alleen of beleid aanwezig is, maar vooral of het daadwerkelijk wordt uitgevoerd en ingebed in de organisatie. Voor bestuurders en managers met beperkte technische achtergrond is het relevant dat een audit geen IT-inspectie is, maar een toets op processen, verantwoordelijkheden en naleving.

Een informatiebeveiliging audit brengt in kaart hoe volwassen de organisatie omgaat met gegevensbescherming, risicoafweging en interne controle.

Het auditproces sluit aan op wettelijke verplichtingen en externe verwachtingen. Zoals eerder besproken gaan audits verder dan documentcontrole en richten zij zich op de koppeling tussen beleid, uitvoering en toezicht. Dit betekent dat managementbeslissingen, procesafspraken en samenwerking tussen teams even belangrijk zijn als technische maatregelen. De audit toetst daarmee niet alleen het systeem, maar ook de governance eromheen.

Doel van toetsing op beveiligingsbeleid

Het primaire doel van een audit is bepalen of de organisatie werkt volgens afgesproken normen en interne kaders. De focus ligt op effectiviteit van maatregelen, niet op het aantal documenten. Auditors beoordelen hoe risico’s worden herkend, geanalyseerd en opgevolgd. Dit sluit aan bij de verschuiving naar continue verbetering, waarbij evaluatie en herziening een terugkerend onderdeel vormen van het beveiligingsprogramma.

Doelen die in dit kader vaak centraal staan:

• Vaststellen of risico’s structureel worden beheerd
• Controleren of wetgeving en interne kaders worden gevolgd
• Toetsen of processen consistent en aantoonbaar worden uitgevoerd
• Beoordelen of maatregelen daadwerkelijk functioneren binnen de organisatie

Deze aanpak biedt bestuur en management zicht op waar sturing nodig is en waar processen het gewenste resultaat opleveren.

Toenemende externe druk

Toezichthouders en ketenpartners stellen hogere eisen aan aantoonbare beheersing van risico’s. De toename van datalekken heeft geleid tot meer aandacht voor governance, procesverantwoordelijkheid en documentatie. Voor organisaties met gevoelige gegevens betekent dit dat audits frequenter worden ingezet om inzicht te krijgen in de betrouwbaarheid van interne processen.

Deze druk is niet alleen juridisch van aard. Externe partijen gebruiken auditresultaten als indicator voor stabiliteit, zorgvuldigheid en risicobewustzijn. Hiermee verschuift de positie van audits richting strategisch instrument, waarbij volwassenheid in informatiebeveiliging invloed heeft op samenwerking, contracten en reputatie.

Audit als managementinstrument

Een audit fungeert steeds meer als stuurmiddel voor het management. Het biedt inzicht in waar beleid niet aansluit op de praktijk en waar verantwoordelijkheden onduidelijk zijn. Door bevindingen te gebruiken in besluitvorming ontstaat gerichte verbetering in plaats van ad-hocmaatregelen. Dit versterkt zowel interne samenwerking als externe verantwoording.

Uit audits komen vaak inzichten voort zoals:

• Rollen die wel benoemd zijn maar niet worden uitgevoerd
• Procesafspraken die niet zijn ingebed in het dagelijks werk
• Onvoldoende evaluatie van eerder genomen maatregelen
• Beveiligingsmaatregelen die niet aansluiten op actuele risico’s

Deze inzichten helpen bestuurders hun prioriteiten scherp te stellen en te bepalen waar aanvullende aanpassingen nodig zijn.

Toezichthouders en nalevingsdruk

Wanneer toezichthouders betrokken zijn, vormt de audit vaak het eerste toetsingsmoment. Hierbij beoordelen zij niet alleen of beleid aanwezig is, maar vooral of het aantoonbaar werkt binnen processen en teams. De nadruk ligt op structurele borging in plaats van incidentele inspanningen.

Veelgevraagde aandachtspunten zijn onder meer:

• Toepassing van beveiligingsmaatregelen in de praktijk
• Periodieke evaluatie van risico’s en processen
• Governance en betrokkenheid van management
• Documentatie die de werking van maatregelen ondersteunt

Een goed voorbereide audit voorkomt dat tekortkomingen leiden tot aanvullende verplichtingen of herstelopdrachten vanuit externe partijen.

Onduidelijkheid rond technische controles

Veel organisaties verwarren audits met technische beveiligingstests. Dit leidt tot verkeerde voorbereidingen, gefragmenteerde acties en onnodige druk op IT-teams. Een audit richt zich vooral op procesmatige en organisatorische borging. Technische controles kunnen onderdeel zijn van het totale beeld, maar zijn niet leidend bij een audit op informatiebeveiliging.

Helder onderscheid helpt om verwachtingen te managen:

• Een technische test zoekt kwetsbaarheden in systemen
• Een audit beoordeelt of maatregelen structureel zijn ingericht en uitgevoerd
• Procesborging en verantwoordelijkheden vormen de kern van de toetsing

Door dit verschil vooraf duidelijk te maken, ontstaat een realistischer beeld van de voorbereiding die nodig is.

Betekenis voor interne en externe stakeholders

Auditresultaten worden steeds vaker gebruikt als legitimatie voor samenwerking. Interne stakeholders gebruiken de bevindingen om prioriteiten te bepalen en verbetertrajecten te structureren. Externe stakeholders gebruiken ze om in te schatten of een organisatie voldoende veerkrachtig is tegen incidenten, fouten en misconfiguraties.

Dit zorgt ervoor dat auditvoorbereiding ook communicatieve waarde krijgt. Management legt steeds vaker uit hoe bevindingen worden opgevolgd en welke keuzes zijn gemaakt op basis van risico’s en proportionaliteit. Hierdoor wordt het auditproces een integraal onderdeel van strategisch risicobeheer.

Noodzaak van interne samenwerking

Een audit die alleen door één afdeling wordt voorbereid, levert een beperkt beeld op. Processen waarbij gegevens worden opgeslagen, verwerkt of gedeeld, lopen door meerdere afdelingen heen. Dit vraagt om multidisciplinaire betrokkenheid in de voorbereiding en uitvoering van audits.

Vormen van interne samenwerking:

• Gezamenlijke verantwoordelijkheden tussen proces- en lijnmanagers
• Afstemming tussen juridische, operationele en administratieve teams
• Overzicht van gegevensstromen en risico’s per afdeling
• Periodieke afstemming over maatregelen, controles en verbeteracties

Deze samenwerking zorgt ervoor dat de audit een volledige weergave geeft van de situatie en dat verbeterpunten organisatiebreed kunnen worden aangepakt.

2. Waar auditors naar kijken

Auditors toetsen of de organisatie aantoonbaar grip heeft op risico’s en verantwoordelijkheden. Daarbij ligt de focus op de effectiviteit van beheersmaatregelen en niet op de volledigheid van documentatie alleen. Wat telt, is of het beleid wordt toegepast, processen in de praktijk functioneren, en of er structureel wordt gestuurd op verbetering.

De audit richt zich op samenhang tussen maatregelen, inzicht in risico’s en het vermogen om consistent te handelen bij afwijkingen.

De scope van de audit is afhankelijk van het normenkader, maar de werkwijze van auditors is vrijwel altijd risicogedreven. Zij willen zien hoe bewust keuzes zijn gemaakt, hoe die keuzes zijn vastgelegd, en hoe de uitvoering aantoonbaar wordt gecontroleerd. Het gaat dus niet alleen om wat op papier staat, maar of die documenten worden gebruikt zoals bedoeld.

Beoordeling van maatregelen en keuzes

Auditors stellen vragen over de onderbouwing van maatregelen. Waarom is gekozen voor bepaalde controls? Zijn die keuzes gebaseerd op een actuele risicoanalyse? En hoe vaak worden deze keuzes herzien? Een maatregel zonder context of evaluatie is niet voldoende. De consistentie tussen risico-inzicht, keuzes en uitvoering wordt beoordeeld als één geheel.

Kenmerken waar auditors specifiek naar kijken:

• Maatregelen die gebaseerd zijn op een systematische risicobeoordeling
• Controlemechanismen die aantonen dat uitvoering plaatsvindt
• Beschrijvingen van taken en verantwoordelijkheden per rol
• Periodieke evaluaties van effectiviteit en actualiteit

Het ontbreken van documentatie is minder problematisch dan het ontbreken van logica of inzicht. Transparante keuzes en verantwoording zijn belangrijker dan volledig uitgewerkte procedures.

Risicoanalyse als fundament

Een van de eerste documenten waar auditors naar vragen is de risicoanalyse. Niet vanwege de vorm, maar vanwege de onderliggende redenering. Hoe zijn dreigingen en kwetsbaarheden beoordeeld, en welke impact is aanvaardbaar geacht? De risicoanalyse vormt de basis voor vrijwel alle andere maatregelen, dus inconsistenties in dit document vallen snel op.

Belangrijke kenmerken van een relevante risicoanalyse:

• Gebaseerd op actuele gegevensstromen en systemen
• Inclusief inschatting van impact en waarschijnlijkheid
• Gekoppeld aan concrete beheersmaatregelen
• Herzien bij veranderingen in processen of wetgeving

Het ontbreken van een duidelijke koppeling tussen risico en maatregel leidt vaak tot opmerkingen in het auditrapport. Zonder die koppeling is het niet mogelijk om keuzes te onderbouwen of verbeteracties te prioriteren.

Bewijs van uitvoering

Auditors vragen niet alleen naar documenten, maar ook naar bewijs dat maatregelen worden nageleefd. Dit kan gaan om logboeken, procesregistraties, controles, of vergadernotulen. Wat telt, is dat de uitvoering kan worden aangetoond met objectieve gegevens. In dit stadium worden ook veel informele processen zichtbaar die nog niet structureel zijn vastgelegd, maar wel relevant zijn.

Voorbeelden van bewijs dat vaak wordt opgevraagd:

• Logging van systeemtoegang of wijzigingen
• Actielijsten van incidentbesprekingen
• Overzichten van uitgevoerde awareness-trainingen
• Updates van leveranciersbeoordelingen

Hiermee ontstaat een beeld van hoe actief en bewust er wordt omgegaan met informatiebeveiliging op operationeel niveau.

Rol van management in praktijk

Auditors letten op de betrokkenheid van het management. Dit betekent niet alleen dat beleidsdocumenten zijn ondertekend, maar vooral dat de organisatie top-down zichtbaar stuurt op naleving en continue verbetering. Afwezigheid van managementbetrokkenheid leidt vaak tot zwakke beheersing op uitvoerend niveau.

Indicatoren die worden gebruikt om dit te beoordelen:

• Periodieke reviews van informatiebeveiligingsbeleid
• Deelname van management aan overleggen over risico’s
• Verslaglegging van besluitvorming over maatregelen
• Escalatieprocedures bij structurele tekortkomingen

Wanneer management geen actieve rol speelt in het toezicht, worden andere maatregelen vaak als kwetsbaar beoordeeld, ook als ze formeel wel bestaan.

Relevantie van proceskennis

Auditors toetsen ook of afdelingen weten wat van hen wordt verwacht. Dit gebeurt vaak via gesprekken of steekproeven, waarbij niet wordt gekeken naar technische kennis, maar naar procesinzicht. Weten medewerkers wat zij moeten doen bij een incident? Begrijpen proceseigenaren hun rol in toegangsbeheer of leveranciersbeoordeling?

Veel bevindingen ontstaan doordat processen wel zijn vastgelegd, maar onvoldoende zijn uitgelegd of ingeoefend. Dit uit zich in:

• Onbekendheid met escalatieprocedures
• Onzekerheid over rollen bij datalekken
• Geen routine in risicoregistratie of opvolging
• Gebrek aan periodieke checks in kritieke processen

Auditors gebruiken dit soort signalen om in te schatten hoe robuust het beveiligingsbeleid is in de praktijk.

Samenhang tussen onderdelen

Een sterk punt van aandacht is de interne consistentie. Auditors zoeken naar samenhang tussen het risicobeeld, het beleid, de processen en de uitvoerende maatregelen. Wanneer een risico wordt herkend in de analyse, maar nergens wordt geadresseerd in maatregelen of opvolging, ontstaat een gat. Dergelijke inconsistenties zijn voor auditors een indicatie dat informatiebeveiliging niet integraal wordt benaderd.

Samenhang wordt beoordeeld op onder meer:

• Koppeling van maatregelen aan risico’s
• Koppeling van incidentmeldingen aan verbeteracties
• Relatie tussen externe eisen en interne afspraken
• Aansluiting tussen ISMS en andere managementsystemen

Inzicht in deze samenhang is belangrijk om te kunnen aantonen dat maatregelen niet losstaan van het bredere sturingsmechanisme binnen de organisatie.

Verwachtingen bij audits met certificeringsdoel

Bij audits gericht op certificering (zoals ISO 27001) gelden extra eisen aan volledigheid en traceerbaarheid. Hier wordt strenger gekeken naar de formele inrichting van het ISMS, de volledigheid van het risicoregister en de aantoonbaarheid van corrigerende acties. Dat betekent niet dat elk document perfect moet zijn, maar wel dat keuzes verklaarbaar zijn en procesmatig worden bijgehouden.

Bij dit type audits wordt ook gekeken naar:

• Regelmaat van herziening van beleid en risicoanalyses
• Bewijs van interne audits en managementreviews
• Documentatie van incidenten en bijbehorende evaluaties
• Actualiteit van leveranciersovereenkomsten en DPIA’s

Zonder samenhang en opvolging verliezen maatregelen hun waarde. De auditor beoordeelt niet de kwaliteit van de techniek, maar de kwaliteit van de beheersing.

3. Hoe het auditproces verloopt

Een audit op informatiebeveiliging is een gestructureerd proces dat uit meerdere fasen bestaat. Het begint niet bij de beoordeling, maar bij de planning, communicatie en afstemming tussen organisatie en auditor. Dit vereist coördinatie tussen verschillende afdelingen en duidelijkheid over wat beoordeeld wordt.

De audit verloopt volgens een vast patroon waarbij voorbereiding, uitvoering, analyse en opvolging elkaar logisch opvolgen. Elke fase heeft een eigen impact op het resultaat en vraagt betrokkenheid van zowel management als operationele teams.

Het auditproces is ontworpen om inzicht te geven in hoe informatiebeveiliging daadwerkelijk wordt beheerd. Het doel is niet om te controleren op incidenten of fouten, maar om te beoordelen hoe goed de organisatie in staat is risico’s te herkennen, beheersen en verbeteren. Daarom is het proces zelf net zo belangrijk als de uitkomsten.

Voorbereiding en afbakening

De eerste stap in het auditproces is het vaststellen van de scope. Hierbij wordt bepaald welke locaties, systemen, processen en afdelingen binnen de beoordeling vallen. De reikwijdte moet passen bij de risico’s van de organisatie. Een te brede scope leidt tot onoverzichtelijke bevindingen, een te smalle scope tot blinde vlekken.

Belangrijke onderdelen van deze fase:

• Vaststellen van auditdoel en beoordelingskader
• Benoemen van relevante afdelingen en processen
• Inplannen van interviews en documentcontroles
• Aanleveren van een self-assessment of pre-auditvragenlijst

De voorbereidingsfase is ook het moment om intern verwachtingen af te stemmen. Welke informatie wordt gevraagd? Wie is beschikbaar voor interviews? Welke documentatie moet op orde zijn? Onduidelijkheid op dit punt leidt later tot vertraging of incomplete beoordeling.

Communicatie en samenwerking

Gedurende het proces is heldere communicatie essentieel. De audit wordt vaak gecoördineerd door één aanspreekpunt, meestal de CISO of functionaris informatiebeveiliging. Deze rol is verantwoordelijk voor het verzamelen van bewijs, het begeleiden van auditors en het informeren van interne stakeholders. Succesvolle audits kenmerken zich door actieve ondersteuning vanuit het management en goed georganiseerde informatievoorziening.

Effectieve communicatie vraagt:

• Wekelijkse updates over voortgang en openstaande acties
• Centrale coördinatie van documentaanlevering
• Duidelijke uitleg aan afdelingen over wat van hen verwacht wordt
• Beschikbaarheid van sleutelfiguren voor toelichting of interviews

Door samenwerking vanaf het begin goed te organiseren, kan veel tijdverlies worden voorkomen en ontstaat een gezamenlijk draagvlak voor het proces.

Uitvoering en beoordeling

De feitelijke audit vindt meestal plaats in een korte, intensieve periode. Auditors stellen vragen, bestuderen documenten en nemen steekproeven op processen. Het auditteam kijkt of wat op papier staat ook wordt toegepast in de praktijk. De nadruk ligt op risicoafweging, procesconsistentie en de aanwezigheid van corrigerende mechanismen.

In deze fase komt naar voren:

• Of beleid en maatregelen zijn geïmplementeerd zoals beschreven
• Of teams op de hoogte zijn van hun rol en verantwoordelijkheden
• Of monitoring en controle daadwerkelijk plaatsvinden
• Of afwijkingen worden gesignaleerd en opgevolgd

Auditors stellen vaak verdiepende vragen om te controleren of maatregelen niet alleen bestaan, maar ook worden toegepast en geëvalueerd. Deze vragen gaan meestal over incidentbeheer, toegangsbeheer, leveranciersafspraken en periodieke reviews.

Bevindingen en risicowaardering

Na de uitvoeringsfase volgt de analyse van bevindingen. Auditors documenteren wat zij hebben aangetroffen, plaatsen dit in de context van de organisatie en beoordelen de impact. Bevindingen worden niet alleen als goed of fout bestempeld, maar worden gekoppeld aan risico’s en verbeterpotentieel. Dit maakt het rapport bruikbaar voor management en beleidsteams.

Kenmerken van deze fase:

• Classificatie van bevindingen op basis van ernst en impact
• Koppeling aan normen of interne eisen
• Uitleg over wat de bevinding betekent voor de organisatie
• Suggesties voor verbetermaatregelen of herstelacties

Niet alle bevindingen zijn tekortkomingen. Soms wijzen auditors ook op sterke punten of kansen voor optimalisatie. Deze signalen zijn waardevol om richting te geven aan het verbeterprogramma.

Rapportage en terugkoppeling

Het auditrapport is meer dan een lijst met constateringen. Het vormt een integraal beeld van de staat van informatiebeveiliging binnen de scope. Een goed rapport biedt context, argumentatie en praktische handvatten voor verbetering. Het is de taak van het management om deze informatie te gebruiken als stuurinformatie, niet alleen als verantwoording.

In deze fase is belangrijk:

• Het rapport te bespreken met betrokken afdelingen
• Te prioriteren welke bevindingen actie vereisen
• Tijdsgebonden actieplannen op te stellen
• Follow-up vast te leggen in bestaande overleggen of formats

Voor organisaties die audits cyclisch uitvoeren, is dit ook het moment om leerpunten op te nemen in de planning van de volgende audit. Zo ontstaat een lerende cyclus van verbetering en borging.

Rol van interne audits in voorbereiding

Een effectieve manier om externe audits te ondersteunen is het structureel uitvoeren van interne audits. Hiermee kan vroegtijdig worden vastgesteld waar processen afwijken, documentatie ontbreekt of naleving zwak is. Interne audits zijn niet minder waardevol; ze helpen om blinde vlekken zichtbaar te maken en verhogen de volwassenheid van het ISMS.

Kenmerken van succesvolle interne audits:

• Onafhankelijke beoordeling door interne of externe auditor
• Focus op representatieve processen en thema’s
• Gebruik van dezelfde normenset als externe audit
• Rapportage en opvolging via bestaande governance-structuren

Door interne audits te integreren in de reguliere beleidscyclus ontstaat meer grip op het eigen verbetervermogen en wordt de organisatie beter voorbereid op externe toetsing.

4. Rol van de CISO in het proces

De CISO is een sleutelfiguur in de voorbereiding, uitvoering en opvolging van audits op informatiebeveiliging. Deze functie vervult niet alleen een adviserende rol, maar is direct verantwoordelijk voor de coördinatie van het Information Security Management System (ISMS) en het borgen van compliance binnen alle lagen van de organisatie.

Tijdens het auditproces fungeert de CISO als verbindingspunt tussen strategie en operatie, en zorgt voor samenhang tussen beleid, uitvoering en rapportage.

De effectiviteit van een audit wordt sterk beïnvloed door de mate waarin de CISO zicht heeft op risico’s, verbeterpunten en de volwassenheid van bestaande processen. Daarbij is niet alleen inhoudelijke kennis van informatiebeveiliging vereist, maar ook organisatorisch overzicht, communicatieve vaardigheid en inzicht in interne verhoudingen.

Coördinatie van auditvoorbereiding

De CISO is verantwoordelijk voor het verzamelen van de juiste documentatie, het afstemmen met betrokken afdelingen en het voorbereiden van interne interviews. Deze voorbereiding is meer dan een logistieke taak. Het gaat om het waarborgen van consistentie in informatie, het identificeren van hiaten in beleid of uitvoering, en het zorgen dat de context van keuzes helder is voor auditors.

Typische coördinatietaken van de CISO:

• Samenstellen van relevante beleidsdocumenten, registraties en rapportages
• Beoordelen van de volledigheid en actualiteit van risicoanalyses
• Toetsen of maatregelen aantoonbaar worden uitgevoerd
• Organiseren van pre-audits of dry runs met interne belanghebbenden

Deze voorbereidingen zorgen ervoor dat auditors direct inzicht krijgen in de opbouw van het ISMS en de mate van beheersing binnen de organisatie.

Inhoudelijke sturing en prioritering

Naast de procesmatige kant van auditvoorbereiding, heeft de CISO ook een inhoudelijke verantwoordelijkheid. Het gaat om het maken van keuzes: welke risico’s worden geaccepteerd, welke maatregelen krijgen voorrang, en waar is extra borging nodig? De CISO vertaalt technische en juridische vereisten naar concrete beheersmaatregelen en stemt deze af met de directie.

Ondersteunende taken hierbij zijn:

• Adviseren over proportionaliteit van maatregelen
• Opstellen van prioriteitenlijsten voor herstelacties
• Afstemmen van risicoacceptatie met leidinggevenden
• Bewaken van consistentie tussen verschillende afdelingen

De effectiviteit van de CISO hangt hierbij samen met de mate waarin er beslissingsruimte is en het mandaat om maatregelen af te dwingen.

Begeleiding van de audit zelf

Tijdens de uitvoering van de audit is de CISO aanwezig bij interviews, levert toelichting op documentatie en bewaakt dat de interpretatie van auditors aansluit bij de context van de organisatie. Dit vereist inzicht in normen, maar ook het vermogen om keuzes te onderbouwen binnen de grenzen van beschikbare middelen en risico’s.

Belangrijke aandachtspunten tijdens de audit:

• Zorgen voor beschikbaarheid van juiste personen en gegevens
• Uitleg geven over verbanden tussen beleid en uitvoering
• Interpreteren van auditorvragen en -bevindingen
• Signaleren van misverstanden of onvolledige interpretaties

De CISO zorgt ervoor dat de organisatie zichtbaar ‘in control’ is, niet alleen op papier, maar ook in hoe er wordt gereageerd op vragen en verzoeken van het auditteam.

Borging van opvolging en verbeteringen

Na afronding van de audit begint het werk opnieuw. De CISO stelt samen met andere betrokkenen een plan van aanpak op voor opvolging van bevindingen. Daarbij worden prioriteiten bepaald op basis van risico, haalbaarheid en impact. De voortgang van deze verbetermaatregelen moet niet alleen gemonitord worden, maar ook vastgelegd en herijkt bij nieuwe risico-inschattingen.

Taken die hierbij horen:

• Uitwerken van corrigerende maatregelen
• Plannen van evaluatiemomenten en opvolgaudits
• Rapporteren van voortgang aan directie en governance-comités
• Integreren van auditbevindingen in bredere verbetercycli

Zonder deze opvolging verliest de audit zijn betekenis. De CISO voorkomt dat bevindingen eindigen in projectmappen, en zorgt dat verbeteracties aantoonbaar zijn ingebed in het dagelijks functioneren van de organisatie.

Verbindende schakel tussen afdelingen

Omdat informatiebeveiliging dwars door afdelingen heen loopt, fungeert de CISO als bruggenbouwer. Tijdens een audit wordt duidelijk waar processen vastlopen, waar verantwoordelijkheden onduidelijk zijn of waar maatregelen onvoldoende worden gedragen. De CISO brengt deze knelpunten in beeld en faciliteert overleg om tot werkbare oplossingen te komen.

Effectieve samenwerking met:

• HR voor screening, bewustwording en exitprocessen
• IT voor technische maatregelen, logging en incidentbeheer
• Inkoop voor afspraken met leveranciers
• Juridische dienst voor naleving van contractuele verplichtingen

De kwaliteit van het auditresultaat hangt samen met de mate waarin deze samenwerking is georganiseerd en geborgd.

Rapportage aan directie en toezicht

De CISO vertaalt auditbevindingen naar inzichten die bruikbaar zijn voor het management. Niet in de vorm van technische details, maar als signalen over volwassenheid, beheersing en governance. Hierbij hoort ook het adviseren over risicoacceptatie, investeringsbehoeften en het bewaken van consistentie met andere interne controlesystemen.

Inhoudelijke aandachtspunten in rapportages:

• Relevantie van bevindingen voor strategische doelen
• Risico-inschatting bij uitgestelde verbetermaatregelen
• Verhouding tussen normeisen en operationele realiteit
• Ontwikkeling van het ISMS ten opzichte van eerdere audits

De CISO bouwt hiermee aan vertrouwen bij interne en externe belanghebbenden, en zorgt dat informatiebeveiliging structureel aandacht blijft krijgen in de besluitvorming.

5. Valkuilen en verbeteracties na de audit

Een audit op informatiebeveiliging legt niet alleen sterktes bloot, maar vaak ook structurele zwaktes. Het omgaan met deze bevindingen bepaalt in hoge mate of de organisatie er sterker uitkomt.

In de praktijk blijkt dat veel instellingen moeite hebben met het vertalen van auditresultaten naar concrete verbeteracties. Dit heeft vaak te maken met onduidelijke verantwoordelijkheden, gebrekkige opvolging of onvoldoende capaciteit. Ook het ontbreken van een systematische aanpak is een veelvoorkomende oorzaak dat auditbevindingen blijven liggen of slechts tijdelijk worden aangepakt.

Auditors kijken niet alleen naar de reactie op een incident, maar vooral naar het vermogen van een organisatie om structureel te leren, aan te passen en risico’s te beheersen. Dit vraagt om meer dan symptoombestrijding. Een duurzame opvolging begint bij het erkennen van de bevindingen, het koppelen van verbeteracties aan risico’s en het inbedden van controles in bestaande processen.

Veelvoorkomende tekortkomingen

Bij audits komen vaak dezelfde typen bevindingen naar voren. Niet omdat de organisaties onverschillig zijn, maar omdat deze onderwerpen structureel lastig zijn om te organiseren zonder centrale regie en overzicht. De aard van de zorgpraktijk – met hoge werkdruk, veel afdelingen en beperkte tijd – maakt het extra lastig om processen stabiel te houden.

Typische tekortkomingen:

• Beleid dat niet aansluit op actuele werkwijzen
• Onvoldoende bewijs van uitgevoerde controles of evaluaties
• Gebrekkige opvolging van eerdere risicoanalyses of incidenten
• Verantwoordelijkheden die onduidelijk zijn of niet worden opgevolgd
• Maatregelen die zijn ingevoerd maar niet worden gemonitord

Het zijn niet per se technische fouten, maar organisatorische zwaktes die de effectiviteit van beveiliging ondermijnen.

Knelpunten in de opvolging

Na het ontvangen van het auditrapport ontstaat vaak druk om snel te reageren. Tegelijkertijd ontbreekt het aan een gestructureerd plan, waardoor maatregelen ad hoc worden genomen zonder duidelijke prioritering of eigenaarschap. Hierdoor blijft de impact beperkt en ontstaan bij vervolgtoetsen opnieuw vergelijkbare bevindingen.

Signalen van gebrekkige opvolging:

• Verbetermaatregelen zonder eigenaar of deadline
• Oplossingen die niet aansluiten op onderliggende risico’s
• Tijdelijke acties die niet structureel zijn geborgd
• Geen monitoring of periodieke evaluatie van de genomen stappen

Zonder integratie in de bestaande aansturingsstructuren blijven acties versnipperd en ad hoc.

Praktische tips voor auditvoorbereiding

Voor instellingen in de zorgsector is het essentieel om auditvoorbereiding slim, gestructureerd en praktisch aan te pakken. Niet alles hoeft perfect te zijn, maar keuzes moeten onderbouwd zijn en maatregelen moeten aantoonbaar effect hebben.

Enkele direct toepasbare tips:

• Begin op tijd. Minimaal drie maanden voorbereiding geeft ruimte voor interne checks en correcties.
• Breng rollen in kaart. Wijs voor elk thema een verantwoordelijke aan die aanspreekbaar is op inhoud én uitvoering.
• Gebruik eerdere audits. Analyseer oude rapporten en toets of bevindingen structureel zijn aangepakt.
• Documenteer slim. Gebruik beknopte formats voor beleid, logging en evaluaties die direct bruikbaar zijn als auditbewijs.
• Leg niets mooier voor dan het is. Auditors waarderen eerlijkheid over openstaande punten, mits er zicht is op verbetering.
• Train sleutelfiguren. Zorg dat betrokkenen weten wat hun rol is tijdens interviews en waar zij informatie kunnen vinden.
• Integreer in bestaande processen. Plan opvolging van bevindingen in reguliere overlegstructuren, niet in losse projectgroepen.

Deze aanpak voorkomt paniekreacties en maakt auditvoorbereiding een herhaalbaar onderdeel van kwaliteitsbeheer.

Aansturing en opvolging van verbetermaatregelen

De opvolging van auditbevindingen is geen eenmalige klus, maar een doorlopend proces. Het is essentieel dat acties worden geborgd in het ISMS en dat voortgang zichtbaar is voor management en toezicht. Dit vereist discipline, maar geen overmatige bureaucratie. Slimme keuzes maken het verschil.

Voor effectieve aansturing:

• Verbind elke maatregel aan een specifiek risico uit de analyse
• Plan kwartaalreviews om voortgang en effectiviteit te beoordelen
• Gebruik dashboards of overzichten die gekoppeld zijn aan managementrapportages
• Laat directie actief beslissen over uitgestelde of afgewezen maatregelen
• Koppel structurele zwaktes aan jaarlijkse verbeterdoelen

Zo ontstaat een cyclisch proces waarin bevindingen niet blijven liggen, maar leiden tot zichtbaar verbetervermogen.

Cultuurverandering rond audits

In organisaties waar audits worden gezien als verplichting of afrekening, is weinig draagvlak voor verbetering. Door audits te positioneren als onderdeel van kwaliteitsontwikkeling ontstaat een cultuur waarin teams zelf eigenaarschap nemen over processen. De CISO speelt hierin een verbindende rol, maar het gedrag van het management is bepalend.

Belangrijke cultuuraspecten:

• Bevindingen benoemen zonder schuldvraag
• Succesvolle verbetermaatregelen vieren en delen
• Teams betrekken bij het formuleren van oplossingen
• Auditresultaten gebruiken als onderbouwing voor middelen of capaciteit

Een organisatie die audits gebruikt om te leren en te verbeteren, ontwikkelt zich sneller en met minder externe druk.