Mei 2026. Organisaties met een ISO 27001-certificaat krijgen elk jaar surveillance. In 2026 zien we dat auditors minder accepteren van beleid zonder steekproef op uitvoering. Certificerende instellingen kijken naar SoA, management review, leveranciers, logging en corrective actions.
Thema’s die vaker terugkomen
- Statement of Applicability: afwijkingen met actuele risico-afweging en eigenaar.
- Management review: besluiten, KPI’s en open acties — niet alleen notulen.
- Leveranciers: reviews op high-risk vendors, niet alleen contracttemplates.
- Logging & monitoring: wie beheert alerts, wat is de responstijd?
- Corrective actions: sluiten interne bevindingen echt af?
Voorbereiding zonder paniek
Begin 8–10 weken voor surveillance: herlees vorige bevindingen, update SoA, verzamel bewijs per control-set. Meer: auditvoorbereiding en bewijslast. Een soepele surveillance is bijna altijd een surveillance waar eigenaarschap het hele jaar zichtbaar was.
Steekproef-tips
- Bundel evidence per Annex A-cluster in één map of tool.
- Laat lijnmanagers hun eigen controls uitleggen — niet alleen CISO.
- Toon change- en patchtickets naast beleid voor technische controls.
Surveillance in 2026 legt extra nadruk op keten en cloud: auditors vragen hoe SaaS-leveranciers in de SoA staan en of access reviews echt plaatsvinden. Bereid steekproeven op IdP-rollen, privileged accounts en logging-retentie voor — met datums in de steekproefperiode.
Management review moet zichtbare besluiten tonen over open risico’s, investeringen en geaccepteerde uitzonderingen. Zonder bestuurlijk spoor kan een technisch sterke organisatie alsnog een major krijgen op governance.
Herlees bevindingen van de vorige surveillance en interne audit. Toon dat CAP’s gesloten zijn of dat rest-risico expliciet geaccepteerd werd. Dat is het verschil tussen herhalende non-conformities en een matige audit.
Hele jaar zichtbaar eigenaarschap
Surveillance-audits mislukken zelden op één ontbrekend document; vaker op gebrek aan consistentie tussen wat beleid zegt en wat steekproeven tonen. Laat control owners het hele jaar evidence bijhouden — niet twee weken voor de auditor alles verzamelen.
Interne audit en vorige surveillance-bevindingen zijn uw checklist: toon dat CAP’s zijn gesloten of dat rest-risico expliciet in management review is geaccepteerd. Herhalende minors op hetzelfde thema escaleren sneller naar major.
Bereid lijnmanagers voor op korte uitleg van hun controls. Een auditor die alleen de CISO spreekt, mist signalen over werkelijke uitvoering in teams.
Houd een kalender met evidence-deadlines gekoppeld aan uw auditcyclus. Quarterly reviews van leveranciers, access en logging passen daar natuurlijk in.
Plan een dry-run vier weken voor surveillance: zelfde steekproeven als de auditor waarschijnlijk doet. Interne audit kan dat faciliteren. Bevindingen daar zijn goedkoper dan bij de certificerende instelling.
Voorbereiding vier weken vóór surveillance
Plan een dry-run met dezelfde steekproeven die de auditor waarschijnlijk neemt: drie changes, twee offboardings, één restore, logging uit één week. Interne audit of de CISO kan faciliteren — bevindingen daar zijn goedkoper dan bij de certificerende instelling.
Controleer dat management review-notulen, interne auditrapporten en CAP-status actueel zijn. Surveillance in 2026 focust op werking: kunt u in de steekproefperiode bewijs tonen dat controls daadwerkelijk draaiden?
Communiceer scopewijzigingen sinds de vorige audit expliciet in het openingsgesprek. Verrassingen over nieuwe SaaS of locaties leiden vaker tot bevindingen dan technische tekortkomingen.
Vervolgstappen in uw ISMS
Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.
Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.
Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.
Wat doet u deze week?
Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.
Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.
