Een auditrapport is een momentopname, geen actieplan. Toch zien we in de praktijk vaak dat het rapport zelf als opvolging gebruikt wordt: een tabel met bevindingen, een paar kolommen voor “actie” en “deadline”, en die wordt rondgestuurd. Drie maanden later weet niemand meer welke acties nu echt verbetering opleverden, welke alleen symptomen verzachtten, en welke nooit zijn uitgevoerd.
In dit artikel zetten we een werkmodel neer waarmee je auditbevindingen omvormt tot een actieplan dat klopt op risico-niveau, eigenaarschap heeft, en aantoonbaar leidt tot blijvende verbetering. We gebruiken voorbeelden uit zorg- en MSP-audits omdat die structureel terugkeren in ons werk, maar de aanpak werkt sectorbreed.
Wat een auditrapport eigenlijk zegt
Een auditrapport bevat doorgaans vier soorten observaties:
- Major non-conformity: een wezenlijke afwijking van de norm die het managementsysteem ondermijnt. Onmiddellijke actie nodig, certificering staat op het spel.
- Minor non-conformity: een afwijking die op zichzelf beperkt is, maar als patroon zou kunnen wijzen op een groter probleem.
- Observation: geen non-conformity, wel een opmerking. Meestal “het kan beter”.
- Opportunity for improvement (OFI): vrijblijvende suggestie.
De grootste fout die we zien: elke bevinding gelijk behandelen. Een major over ontbrekend incident-proces krijgt dezelfde rij in de tabel als een observation over inconsistente policy-versienummers. Beide krijgen een actie, beide krijgen een deadline, en omdat de versienummers makkelijker te fixen zijn dan een proces, gaat daar de aandacht naartoe. Het incident-proces blijft tot de volgende audit een major.
Een ander veelvoorkomend patroon: de bevinding wordt te letterlijk genomen. De auditor schrijft “geen aantoonbare review van wachtwoordbeleid sinds 2023”. De actie wordt: review wachtwoordbeleid. De review wordt gedaan, de bevinding wordt afgevinkt, en niemand vraagt zich af waarom het beleid in twee jaar niet is gereviewed. De oorzaak (geen review-ritme, geen eigenaar, geen herinneringen) blijft staan, en bij de volgende audit komt dezelfde bevinding terug op een ander beleidsstuk.
Stap 1: hertaal de bevinding tot risico
Voordat je in actie schiet, hertaal je de bevinding tot het risico dat erachter zit. Een bevinding is namelijk een symptoom; het risico is de werkelijkheid waar het symptoom uit voortkomt.
Voorbeeld 1: bevinding “geen aantoonbare review van het wachtwoordbeleid sinds 2023”.
Het risico daarachter is niet “ons wachtwoordbeleid is verouderd”. Het echte risico is dat beleid dat geen review-cyclus heeft, geleidelijk los komt te staan van de operationele werkelijkheid. Zwakke wachtwoorden, ontbrekende MFA op nieuwe systemen, beleid dat afwijkt van technische enforcement: allemaal mogelijke gevolgen.
De actie wordt dan twee-traps. Tactisch: review uitvoeren en aanpassingen doorvoeren. Structureel: een beleids-eigenaar aanwijzen, een review-frequentie vastleggen, en automatische herinneringen instellen.
Voorbeeld 2: bevinding “geen incident-registratie aangetroffen van het ransomware-incident in mei 2025”.
Het risico daarachter is niet alleen administratief. Wie een incident niet registreert, leert er niets van, kan trends niet zien, en mist meldplicht-momenten. Onder NIS2 leidt dit tot zware sancties.
De actie is opnieuw twee-traps. Tactisch: het incident alsnog reconstrueren en registreren. Structureel: het incident-proces toetsen op waarom registratie niet gebeurde (drempel te hoog? geen tooling? geen eigenaarschap?) en daar repareren.
Wij behandelen dit hertaal-moment als een verplichte stap. Pas wanneer een bevinding is omgevormd tot een risico-formulering, kan een goed actieplan ontstaan. Sla deze stap over, en je krijgt symptoombestrijding.
Stap 2: vind de root cause
Niet elke bevinding heeft een diepe root cause. Maar de meeste majors en patronen van minors wel. Voor die gevallen werkt de 5-whys techniek nog altijd, mits je hem niet rituelistisch toepast.
Concreet voorbeeld uit een NEN 7510-audit:
Bevinding: drie van de tien gesamplede medewerkers hadden niet de verplichte jaarlijkse security awareness training afgerond.
- Waarom 1: omdat ze geen herinnering hadden ontvangen.
- Waarom 2: omdat het LMS-koppelingen met HR niet automatisch worden bijgewerkt voor nieuwe medewerkers in tijdelijke contracten.
- Waarom 3: omdat de definitie van “medewerker” in de awareness procedure alleen vaste contracten dekt.
- Waarom 4: omdat de procedure in 2019 is geschreven toen flexibele contracten geen substantieel aandeel hadden.
- Waarom 5: omdat de procedure geen periodieke heroverweging op scope heeft.
Bevinding op het oppervlak: drie mensen mist hun training. Root cause: de scope van het awareness-proces is niet meegegroeid met de personeelssamenstelling. De actie “haal die drie mensen alsnog door de training” is correct maar onvoldoende. De structurele actie is een scope-review op het awareness-proces.
Sommige bevindingen vragen minder. “Beleid wachtwoordlengte staat op 8, beleidsdocument zegt 12” is een eenvoudige inconsistentie die je in een PR fixt. Niet elke bevinding verdient 5 whys. Maar elke major en elke terugkerende minor wel.
Stap 3: koppel aan domein, control en eigenaar
Hier wordt het werk traceerbaar. Voor elke actie noteer je:
- Risico: welk risico adresseert deze actie?
- Domein: bij welk organisatorisch domein hoort dit? (toegangsbeheer, medische apparatuur, leveranciersbeheer, etc.)
- Control(s): aan welke security control(s) raakt het, en welke kader-eisen worden daarmee geraakt? (Bijvoorbeeld: ISO 27002 5.16 + NEN 7510-2 5.16 + NIS2 art 21 lid 2(i))
- Eigenaar: wie is verantwoordelijk voor uitvoering, en wie tekent voor afronding? Dit zijn niet noodzakelijk dezelfde persoon.
- Bewijs: wat is het concrete bewijs dat de actie is voltooid en effectief is?
Eigenaarschap aan een domein in plaats van een persoon is een sleutel. Domeinen blijven bestaan, mensen wisselen. Wie de actie aan een persoonsnaam koppelt zonder domein-borging, moet bij elke personele wisseling een sweep doen door open acties.
Het bewijs-veld is de strengste discipline. “Actie voltooid” is geen bewijs. Een bijgewerkte procedure, een training-log, een configuratiescreenshot, een retest-rapport: dat is bewijs. Wie geen bewijs kan benoemen voordat de actie begint, heeft de actie niet scherp genoeg gemaakt.
Stap 4: prioriteer met een risico-lens
Niet elke actie is even urgent. De prioriteringslogica die wij toepassen heeft drie assen.
As 1: impact bij niet-handelen. Wat gebeurt er als deze bevinding niet wordt opgelost? Niet de impact van de bevinding zelf, maar de impact van de risico’s die ze blootlegt. Een major op incident-proces kan bij een echt incident leiden tot meldplicht-overtreding (NIS2-boete), patientimpact (zorgcontext), en verlies van certificering. Een minor op beleidsversie heeft beperktere impact.
As 2: waarschijnlijkheid van escalatie. Bevindingen die op een patroon wijzen, escaleren sneller. Drie minors op verschillende aspecten van toegangsbeheer wegen samen zwaarder dan elk afzonderlijk. Een observation die ook in twee voorgaande audits is benoemd, is operationeel een major.
As 3: time-to-mitigation. Hoe snel kun je realistisch handelen? Sommige acties zijn quick wins (een beleidsdocument bijwerken kan in een uur). Anderen zijn architectuurbeslissingen die maanden vragen. Voor de architectuurbeslissingen plan je een compensating control voor de tussentijd.
Combineer deze drie en je krijgt een drieluik:
- Doen-deze-week: hoge impact, hoge waarschijnlijkheid van escalatie, lage time-to-mitigation. Quick wins met groot effect.
- Doen-deze-maand: hoge impact, hoge waarschijnlijkheid, langere time-to-mitigation. Plan met compensating controls.
- Doen-dit-kwartaal: lagere prioriteit, meeplannen in normale ritme.
Een veelgemaakte fout: alles wat een “major” is op deadline-zes-weken zetten omdat de certificerende instelling die termijn vraagt. Dat is een minimale benadering, geen risico-benadering. Soms is een major operationeel binnen een week op te lossen, en moet dat ook. Soms is een major een structureel probleem dat vier maanden vraagt, en moet je dat onderkennen en bespreken in plaats van een schijn-oplossing op zes weken te plannen.
Stap 5: bewijslast continu opbouwen, niet pas voor de audit
De afronding van een actieplan is niet “actie is gedaan”. De afronding is “bewijs is gekoppeld aan de control, en is herbruikbaar in de volgende audit”.
Wat veel organisaties doen: actie uitvoeren, bewijs verzamelen in een mapje “audit 2025”, en daarna verder. Bij de volgende audit wordt er opnieuw verzameld. Wat wij aanbevelen: bewijs koppelen aan de control in een continu actuele evidence-store, met versiebeheer en eigenaar. Wanneer bewijs verouderd raakt (een policy die 18 maanden niet is gereviewed bijvoorbeeld), gaat automatisch een signaal naar de eigenaar.
In Pulse termen: control-eigenaarschap zit op het domein, bewijs hangt aan de control, en het systeem signaleert proactief wanneer bewijs zijn verloopdatum nadert. Dit is wat we bedoelen met “continu audit-ready”. Niet dat alles altijd perfect is, wel dat je op elk moment weet wat de stand van zaken is en je actie-historie traceerbaar blijft.
Stap 6: voorkomen dat de bevinding terugkomt
Een actie die de bevinding oplost maar niet voorkomt dat hij terugkomt, is een halve actie. De vraag die wij standaard stellen: welke control of welk proces voorkomt dat we deze bevinding over twee jaar opnieuw krijgen?
Voorbeeld: actie was “wachtwoordbeleid bijwerken en publiceren”. Wat voorkomt herhaling: een beleidsbeheer-proces met review-cyclus, een eigenaar per beleidsstuk, en een tooling die herinnert. Dat is geen extra actie, dat is dezelfde actie, beter geformuleerd.
Hier gaat preventie boven correctie. Een organisatie die elk jaar dezelfde categorie bevindingen krijgt (versiebeheer, eigenaarschap, review-ritme) heeft een procesprobleem, geen serie incidenten.
Vijf veelgemaakte fouten
Fout 1: actie = “communiceren naar medewerkers”. Een memo aan het team is geen actie. Een memo plus enforcement plus controle dat het werkt: dat is een actie.
Fout 2: één eigenaar voor twintig acties. De CISO krijgt het hele rapport op zijn naam. Drie maanden later is geen actie af. Verdeel naar domein, met de CISO als procescoordinator, niet als uitvoerder.
Fout 3: deadlines kiezen op basis van wat haalbaar lijkt zonder de operatie te raadplegen. Onhaalbare deadlines worden gemist, gemiste deadlines worden de norm. Realisme is een kwaliteitsattribuut.
Fout 4: bewijs accepteren zonder verificatie. “Procedure is bijgewerkt” zonder vergelijking met de eis. Pre-audit eigen review op alle gekoppelde bewijs is essentieel.
Fout 5: het rapport als enige bron gebruiken. Een auditor ziet wat zij sampled. Eigen risicoanalyse kan andere bevindingen blootleggen die net zo serieus zijn. Doe het werk om je eigen samples te trekken naast die van de auditor.
Hoe wij ernaar kijken
In de Pulse-aanpak is “actieplan na audit” niet een aparte project-fase, het is een momentopname van een continue verbeterstroom. De acties die uit een audit komen, gaan in dezelfde backlog als de acties die uit interne reviews, Gappie-bevindingen of risico-heroverwegingen komen. Dezelfde domeineigenaren, dezelfde control-mappings, dezelfde bewijslast.
Dat heeft consequenties voor hoe je je security en compliance organiseert. Wie ze ziet als twee parallelle activiteiten (security stuurt op risico, compliance op kader-eisen), krijgt twee parallelle actielijsten, twee parallelle review-ritmes, en twee parallelle audits. Wie ze ziet als een geintegreerd verbeterproces, met risico’s en controls als gemeenschappelijke taal, krijgt een systeem dat zichzelf voedt: een security-incident wordt een lessons-learned, dat wordt een control-aanpassing, dat wordt bewijs voor de eerstvolgende audit.
De diepste opbrengst van een goed actieplan is niet de afgevinkte bevinding. Het is een organisatie die structureel beter wordt in het stellen van de juiste vragen, en in het beantwoorden ervan met traceerbare verbeteringen. Dat is wat een toezichthouder of certificerende instelling uiteindelijk waardeert, en wat wij willen helpen mogelijk te maken.