2 juli 2026 • Werk veilig en zorgvuldig
Audits zijn een standaard onderdeel van compliance, certificering en risicomanagement. Toch wordt de term in veel organisaties nog steeds geassocieerd met stress, papierwerk en externe inspecteurs. Dat doet het concept tekort. Een goed uitgevoerde audit is geen bedreiging, maar een gestructureerde manier om te achterhalen of wat je denkt dat er gebeurt ook daadwerkelijk gebeurt. Deze gids legt uit wat audits zijn, welke soorten er bestaan en wat ze betekenen voor de beveiliging van jouw organisatie.
Wat is een audit?
Een audit is een systematisch, onafhankelijk onderzoek van processen, systemen, documenten of gedrag, afgezet tegen een vastgestelde norm of set van eisen. Het doel is vaststellen of de werkelijkheid overeenkomt met de norm, en waar dat niet zo is, te begrijpen waarom.
Audits worden in diverse domeinen ingezet: financiële audits controleren of de boekhouding een accuraat beeld geeft van de positie van een bedrijf, IT-audits onderzoeken of systemen voldoen aan security- of prestatienormen, en compliance-audits verifiëren of een organisatie voldoet aan wettelijke of regelgevende verplichtingen. In de context van cybersecurity en informatiebeveiliging verwijst de term meestal naar audits tegen frameworks zoals ISO 27001, NEN 7510, of richtlijnen zoals NIS2.
Wat is een interne audit?
Een interne audit wordt uitgevoerd door mensen binnen de organisatie, of door een team dat rapporteert aan het eigen management. De auditors maken geen deel uit van het proces dat zij onderzoeken, maar zijn ook geen externe partij.
Het doel van een interne audit is om het management een onafhankelijk beeld te geven van of de eigen procedures en maatregelen werken zoals bedoeld. Bij informatiebeveiliging worden interne audits vaak ingezet als voorbereiding op een externe certificeringsaudit, zodat tekortkomingen worden gevonden voordat een externe partij dat doet. ISO 27001 vereist expliciet dat organisaties interne audits uitvoeren als onderdeel van hun Information Security Management System (ISMS).
Interne audits volgen een terugkerende cyclus: plannen, uitvoeren, rapporteren, opvolgen. De resultaten worden doorgaans gedeeld met het management en gebruikt om verbeteringen door te voeren, niet om schuldigen aan te wijzen.
Wat doet een interne auditor?
Een interne auditor plant en voert auditactiviteiten uit binnen de organisatie. In de praktijk betekent dat: documentatie doorlichten, medewerkers interviewen, processen observeren en maatregelen testen om vast te stellen of ze functioneren zoals beschreven.
Een interne auditor die zich richt op informatiebeveiliging kijkt doorgaans naar onderwerpen als toegangscontrole, incidentbeheer, gegevensverwerking, leveranciersrelaties en security training. Hij of zij stelt een auditrapport op met bevindingen, zowel tekortkomingen als goed werkende elementen, en doet aanbevelingen voor corrigerende maatregelen.
De rol vereist een combinatie van technisch inzicht, communicatieve vaardigheden en onafhankelijkheid. Een interne auditor moet de juiste vragen kunnen stellen, bewijs kritisch beoordelen en bevindingen rapporteren op een manier waarop het management actie kan ondernemen.
Wat is een externe audit?
Een externe audit wordt uitgevoerd door een onafhankelijke partij buiten de organisatie. Externe audits zijn vereist voor formele certificering (zoals ISO 27001), voor controles op regelgevende naleving, of wanneer een organisatie een objectief, extern oordeel over haar maatregelen wil.
Bij ISO 27001-certificering verloopt de externe audit in twee fasen. De eerste fase beoordeelt de documentatie en controleert of het ISMS gereed is voor een volledige beoordeling. De tweede fase is een audit op locatie waarbij auditors toetsen of het managementsysteem daadwerkelijk in de praktijk werkt. Als de organisatie slaagt, ontvangt ze de certificering. Die wordt vervolgens jaarlijks gehandhaafd via surveillance-audits en elke drie jaar verlengd.
Externe audits wegen doorgaans zwaarder voor klanten, toezichthouders en partners dan interne audits, juist omdat ze onafhankelijk zijn. Dat is ook waarom voorbereiding telt: een organisatie met een goed functionerend intern auditprogramma staat er aanzienlijk beter voor bij een externe audit.
Waarom audits altijd op mensen uitkomen
Technische maatregelen en gedocumenteerde procedures zijn belangrijk, maar auditors stellen keer op keer vast dat menselijk gedrag de plek is waar het misgaat. Beleid dat is opgesteld maar niet wordt gevolgd. Training die is afgerond maar niet beklijft. Procedures die op papier bestaan maar in de praktijk worden omzeild.
Daarom is security awareness training een standaard onderdeel geworden van audits voor zowel NIS2 als ISO 27001. Auditors willen niet alleen zien dat training was ingepland. Ze willen bewijs dat medewerkers de risico's die ze lopen daadwerkelijk begrijpen en dat de organisatie kan aantonen dat er continu aandacht is voor awareness.
Guardey levert dat bewijs. Het platform registreert trainingsafronding, phishing-simulatieresultaten en awareness-voortgang in de tijd, zodat organisaties de documentatie hebben die ze nodig hebben om auditors te laten zien dat security awareness een actief, meetbaar programma is en geen aangevinkt vakje.
Security audit compliance begint met Guardey
Bouw een security cultuur op voordat de auditors aankloppen.
Vraag een demo aan