Auditvoorbereiding voor compliance (ISO 27001, AVG, NIS2)

Er komt een audit aan. Misschien wist je het al weken, misschien kreeg je net een e-mail die je maag deed omdraaien. De eerste reactie is bijna altijd hetzelfde: waar staat dat document ook alweer?

Agnes kent dat gevoel. Ze heeft het meegemaakt. Een klant die vroeg om bewijs van AVG-compliance, een ISO 27001-certificering die eraan kwam, en een inbox vol losse bestanden die nergens op sloegen. Twee weken paniek, nachtwerk, en het gevoel dat ze eigenlijk al veel eerder had moeten beginnen.

Ze had gewacht tot de druk groot genoeg was. Net als de meeste mensen.

Maar hier is het goede nieuws: auditvoorbereiding hoeft geen paniekmoment te zijn. Het kan gewoon onderdeel zijn van je dagelijkse werk, als je weet wat je nodig hebt en waar het staat. Stap voor stap, niet alles tegelijk.

Wat heb je nodig bij een audit?

Of het nu gaat om een ISO 27001-audit, een AVG-controle door de Autoriteit Persoonsgegevens, of een NIS2-toetsing: auditors willen bewijs zien. Niet dat je alles perfect hebt, maar dat je weet wat je doet en waarom.

Verwerkingsregister (RoPA)

Je verwerkingsregister is het fundament. Hierin staat welke persoonsgegevens je verwerkt, waarom, hoe lang je ze bewaart, en wie er toegang toe heeft. Onder de AVG is dit verplicht voor de meeste organisaties. Start met een verwerkingsregister dat écht werkt.

Een goed verwerkingsregister is:

• Actueel (niet iets dat je twee jaar geleden hebt ingevuld en nooit meer hebt bekeken)
• Volledig (alle verwerkingen, niet alleen de voor de hand liggende)
• Gekoppeld aan je systemen en leveranciers

Verwerkersovereenkomsten

Elke leverancier die namens jou persoonsgegevens verwerkt, heeft een verwerkersovereenkomst (DPA) nodig. Auditors willen zien dat deze er zijn, dat ze actueel zijn, en dat ze de juiste afspraken bevatten. Bekijk ook welke eisen kun je stellen aan je leveranciers.

Denk aan:

• Je e-mailprovider
• Je CRM-systeem
• Je boekhoudsoftware
• Cloud-opslagdiensten
• Analysetools

Databeheerbeleid

Hoe lang bewaar je gegevens? Waar sla je ze op? Hoe maak je back-ups? Auditors willen zien dat je hier over hebt nagedacht, niet dat je een perfect systeem hebt, maar dat je bewuste keuzes maakt.

Belangrijke onderdelen:

• Bewaartermijnen per type data
• Back-upbeleid en herstelplannen
• Verwijderingsprocessen

Documentatie van beveiligingsmaatregelen

Welke technische en organisatorische maatregelen heb je genomen? Denk aan toegangscontrole, versleuteling, wachtwoordbeleid, en bewustwordingstraining. Je hoeft geen Fort Knox te zijn, maar je moet wel kunnen uitleggen wat je doet en waarom. Meer over ISO 27001-certificering lees je in onze guide.

Belangrijk: het gaat hier niet om het "beveiligen" van je bedrijf, maar om het documenteren van de keuzes die je maakt. Welke risico's heb je geïdentificeerd? Welke maatregelen heb je genomen? Waarom juist die? ComplianceHive helpt je dit bij te houden, de keuzes zelf zijn aan jou.

Overzicht van alle systemen en tools

Welke software gebruikt je organisatie? Wie heeft er toegang? Welke data verwerkt elk systeem? Dit klinkt simpel, maar in de praktijk weet bijna niemand dit precies.

Een compleet tooloverzicht bevat:

• Naam en leverancier van elk systeem
• Wie het gebruikt (afdeling, rollen)
• Welke data het verwerkt
• Of er een verwerkersovereenkomst is
• Beveiligingsmaatregelen (2FA, SSO, versleuteling)

Certificaten van leveranciers

Heeft je cloudprovider een ISO 27001-certificaat? Is je hostingpartij SOC 2-gecertificeerd? Auditors willen weten dat je niet alleen je eigen huis op orde hebt, maar ook dat je kritisch kijkt naar de partijen waarvan je afhankelijk bent. Zo kun je certificaten van leveranciers bijhouden.

Houd bij:

• Welke certificaten je leveranciers hebben
• Wanneer ze verlopen
• Of ze nog geldig zijn

Risicoanalyses

Bij een ISO 27001-audit of NIS2-toetsing wordt verwacht dat je risico's hebt geïdentificeerd en gedocumenteerd. Welke bedreigingen zijn er voor je data? Wat is de impact als een systeem uitvalt? Welke maatregelen heb je genomen om die risico's te beperken?

Een risicoanalyse hoeft geen academisch rapport te zijn. Het gaat erom dat je kunt laten zien dat je erover hebt nagedacht:

• Welke risico's zie je?
• Hoe groot zijn ze (kans × impact)?
• Wat doe je eraan?
• Wanneer heb je dit voor het laatst bekeken?

Incidentregistratie

Heb je ooit een datalek gehad? Een beveiligingsincident? Zelfs een bijna-incident? Auditors willen weten hoe je daarmee bent omgegaan. En als je nog nooit een incident hebt gehad, willen ze weten wat je zou doen als het wel gebeurt.

Documenteer:

• Wat er is gebeurd
• Wanneer het is ontdekt
• Welke stappen je hebt genomen
• Of je het hebt gemeld (en aan wie)
• Welke verbeteringen je hebt doorgevoerd

Hoe bereid je je voor (zonder paniek)?

De grootste fout die bedrijven maken? Auditvoorbereiding behandelen als een project met een deadline. Twee weken voor de audit alles bij elkaar schrapen, nachtwerk draaien, en hopen dat het genoeg is.

Dat werkt niet. En het hoeft ook niet.

Start vroeg, heel vroeg

Auditvoorbereiding begint niet twee weken van tevoren. Het begint op de dag dat je besluit dat compliance belangrijk is. Dat kan vandaag zijn.

Je hoeft niet alles in één keer te doen. Begin met één ding: maak een lijst van je software. Of verzamel je verwerkersovereenkomsten. Of vul je verwerkingsregister aan met twee extra verwerkingen. Elke stap telt.

Werk stapsgewijs

Compliance is geen sprint, het is een marathon. Of eigenlijk: het is een wandeling. Je hoeft niet te rennen. Je hoeft alleen maar te blijven lopen.

Verdeel het werk in kleine stukken:

• Week 1: Inventariseer je tools en systemen
• Week 2: Controleer je verwerkersovereenkomsten
• Week 3: Werk je verwerkingsregister bij
• Week 4: Documenteer je beveiligingsmaatregelen

Na een maand heb je een solide basis. Niet perfect, maar goed genoeg om een audit met vertrouwen tegemoet te gaan.

Betrek het hele team

Compliance is geen IT-project. Het is ook geen juridisch project. Het is een bedrijfsbreed onderwerp. De marketingafdeling weet welke tools ze gebruiken. De salesafdeling weet welke klantgegevens ze verwerken. HR weet welke medewerkersdata er is.

Als je alles alleen probeert te doen, mis je informatie. Betrek je collega's. Niet door ze te overstelpen met werk, maar door ze de juiste vragen te stellen. Lees ook waarom compliance teamwerk is.

Houd alles bij in één plek

De grootste tijdverspilling bij auditvoorbereiding? Zoeken. Zoeken in je inbox naar die ene verwerkersovereenkomst. Zoeken op je gedeelde drive naar dat beleidsdocument. Zoeken in je hoofd naar wie verantwoordelijk is voor welk systeem.

Als alles op één plek staat, hoef je niet te zoeken. Je opent je overzicht, en je hebt alles wat je nodig hebt.

Hoe ComplianceHive helpt

ComplianceHive is gebouwd voor precies dit moment. Niet om je compliance te "doen", maar om je de structuur te geven waarmee je het zelf kunt bijhouden.

Verwerkingsregister altijd up-to-date

Je RoPA is geen statisch document dat in een la ligt. In ComplianceHive is het een levend overzicht dat je stap voor stap opbouwt en bijhoudt. Voeg verwerkingen toe wanneer je ze tegenkomt, niet pas wanneer een auditor erom vraagt.

Leveranciersdocumenten centraal opgeslagen

Verwerkersovereenkomsten, certificaten, contactgegevens, alles bij elkaar. Geen losse bestanden meer in verschillende inboxen. Eén plek waar je altijd kunt vinden wat je zoekt.

Automatische reminders

Certificaten verlopen. Contracten moeten vernieuwd worden. ComplianceHive houdt bij wanneer iets aandacht nodig heeft, zodat jij het niet hoeft te onthouden.

Exporteer voor je auditor

Wanneer het moment daar is, kun je je documentatie exporteren en delen. Geen paniek, geen nachtwerk, gewoon laten zien wat je al hebt bijgehouden.

Na de audit

Een audit is geen eindpunt. Het is een momentopname. En het mooie is: als je na de audit doorgaat met bijhouden, ben je de volgende keer al voorbereid.

Documenteer bevindingen

Heeft de auditor verbeterpunten gevonden? Schrijf ze op. Niet in een los notitieboekje, maar op dezelfde plek waar je al je andere compliance-informatie bijhoudt.

Maak er een ritme van

Plan een maandelijks moment om je documentatie te bekijken. Zijn er nieuwe tools bijgekomen? Nieuwe leveranciers? Veranderingen in je dataverwerking? Vijftien minuten per maand kan het verschil maken tussen paniek en rust bij de volgende audit.

Elke stap telt

Je hoeft niet perfect te zijn. Geen enkel bedrijf is dat. Maar je kunt wel elke maand een stukje beter worden. En dat is precies wat auditors willen zien: niet perfectie, maar progressie.

Veelgemaakte fouten bij auditvoorbereiding

Sommige fouten zien we keer op keer terugkomen bij MKB-bedrijven. Herken je er een paar? Geen zorgen, je bent niet de enige.

Alles uitstellen tot het laatste moment

De nummer één fout. "We hebben nog tijd." Tot je die tijd niet meer hebt. Begin vandaag met iets kleins, het maakt niet uit wat.

Denken dat compliance een eenmalig project is

Je verwerkingsregister invullen en dan nooit meer aankijken? Dat is geen compliance. Compliance is een doorlopend proces. Je tools veranderen, je leveranciers veranderen, je data verandert. Je documentatie moet meebewegen.

Alleen IT of legal erbij betrekken

De persoon die het meest weet over welke klantgegevens er worden verwerkt, is vaak niet de IT-afdeling. Het is de verkoper die dagelijks met klanten werkt, of de marketeer die campagnes draait. Compliance is teamwerk.

Geen eigenaarschap toewijzen

Als niemand verantwoordelijk is, gebeurt er niets. Wijs per systeem, per leverancier, per proces iemand aan die ervoor zorgt dat de informatie klopt en up-to-date blijft.

Klaar om auditvoorbereiding onderdeel te maken van je dagelijkse werk?

Start met een gratis proefperiode van 30 dagen. Geen creditcard, geen prijs per gebruiker, zodat privacy, legal en tech met één gedeelde, EU-gehoste informatiebasis werken.