Mei 2026. Organisaties met een ISO 27001-certificaat krijgen elk jaar surveillance. In 2026 zien we dat auditors minder accepteren van “we hebben beleid” zonder steekproef op uitvoering.
Thema’s die vaker terugkomen
- Statement of Applicability: afwijkingen met actuele risico-afweging en eigenaar.
- Management review: besluiten, niet alleen notulen — KPI’s en open acties.
- Leveranciers: reviews op high-risk vendors, niet alleen contracttemplates.
- Logging & monitoring: wie beheert alerts, wat is de responstijd?
- Corrective actions: sluiten interne bevindingen echt af?
Voorbereiding zonder paniek
Begin 8–10 weken voor surveillance: herlees vorige bevindingen, update SoA, verzamel bewijs per control-set in één map of tool. Meer: auditvoorbereiding en bewijslast.
Een surveillance die “soepel” verloopt, is bijna altijd een surveillance waar eigenaarschap het hele jaar door zichtbaar was.