Informatiebeveiliging en privacy zijn cruciaal binnen iedere organisatie, en zeker voor gemeenten die dagelijks werken met gevoelige persoonsgegevens en kritieke processen. Het effectief beheersen van risico’s, naleven van wet- en regelgeving en continu verbeteren van de organisatie zijn hierbij onmisbaar. Naast IT- en security experts speelt ook de interne auditafdeling een belangrijke rol. Maar hoe zorg je ervoor dat audits meer zijn dan een verplicht vinklijstje en daadwerkelijk bijdragen aan verbeteringen? In deze blog gaan we in op de belangrijkste stappen, uitdagingen en tips uit de praktijk.

Download hier een pdf van deze blog

Wat is een interne audit?

Een interne audit is eigenlijk een onafhankelijke controle op hoe processen, systemen en beleid binnen een organisatie werken. Dit helpt gemeenten om scherp te blijven, hun doelstellingen te bewaken en risico’s effectief te beheren. In plaats van alleen achteraf te controleren, verschuift de rol van interne audits steeds meer naar proactief adviseren tijdens het werkproces. Hoewel externe bureaus ook audits kunnen doen, zijn interne audits juist waardevol omdat de auditors vaak dicht bij de organisatie staan en weten wat er speelt. Door hun onafhankelijke positie en nauwe samenwerking met verschillende afdelingen kunnen ze risico’s blootleggen die nog niet voldoende gedekt zijn en bijdragen aan een sterke informatiebeveiliging en privacybescherming.

Waarom belangrijk?

Voor gemeenten wordt de rol van interne audits steeds belangrijker, mede door strengere wet- en regelgeving. Zo vereist de Wet politiegegevens (Wpg) al een verplichte interne audit. Via het ENSIA-proces leggen gemeenten verantwoording af over verschillende onderdelen van informatieveiligheid, waaronder ook het gebruik van Suwinet. Voor Suwinet geldt dat gemeenten wettelijk verplicht zijn om interne controles uit te voeren en hierover te rapporteren binnen ENSIA. Met de komst van de Cyberbeveiligingswet (NIS2) neemt het belang van aantoonbare beveiligingsmaatregelen verder toe: gemeenten moeten kunnen laten zien dat zij risico’s beheersen en voldoen aan de gestelde eisen.

De meerwaarde van interne audits gaat dus verder dan alleen compliance. Ze helpen gemeenten om continu te verbeteren, risico’s tijdig te signaleren en de juiste maatregelen te treffen. Dit zorgt niet alleen voor een veiligere en efficiëntere werkwijze, maar ook voor meer bewustwording binnen de organisatie. Uiteindelijk draagt een goed ingerichte interne audit bij aan een betrouwbare en weerbare overheid die verantwoord omgaat met gevoelige gegevens en digitale dreigingen.

De fasen van een auditproces: hoe pak je het aan?

Een audit hoeft geen ingewikkeld proces te zijn. Door gestructureerd te werken, zorg je dat het nuttig en effectief is. Een goede audit bestaat uit vijf fasen: planning, voorbereiding, uitvoering, rapportage en opvolging. Hieronder lees je hoe je elke fase concreet aanpakt.

• Planning: Begin met het vaststellen van de scope: welk proces, systeem of beleid wil je onderzoeken en wat wil je bereiken? Breng vervolgens de grootste risico’s in kaart en stel prioriteiten. Dit helpt om je audit gefocust en relevant te houden. Werk deze inzichten uit in een auditplan, waarin je bepaalt welke onderdelen onderzocht worden, welke methoden je gebruikt en wie je erbij betrekt. Zorg dat je het plan bespreekt met de juiste stakeholders, zodat er draagvlak is en iedereen weet wat er verwacht wordt. Houd hierbij ook rekening met de geldende wet- en regelgeving en de strategische doelen van de organisatie.
• Voorbereiding: Een goede voorbereiding voorkomt verrassingen tijdens de audit. Verzamel alle relevante documenten zoals beleidsstukken, risicoanalyses en eerder uitgevoerde controles. Vervolgens bepaal je de toetsingscriteria: ga je bijvoorbeeld werken met de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001 of NIS2 als normenkader? Kies daarna de juiste onderzoeksmethoden. Dit kan variëren van interviews met medewerkers tot steekproeven of een technische analyse van systemen. Vergeet niet om vooraf helder te communiceren over het auditproces. Dit helpt om weerstand te voorkomen en zorgt ervoor dat mensen begrijpen waarom de audit wordt uitgevoerd en wat hun rol is.
• Uitvoering: Nu begint het echte werk: verzamel informatie en analyseer hoe processen in de praktijk werken. Voer gesprekken met medewerkers om te begrijpen hoe ze omgaan met beleid en procedures. Kijk niet alleen naar de documentatie, maar controleer ook of de dagelijkse praktijk hiermee overeenkomt. Zijn er risico’s die in theorie gedekt zijn, maar in de praktijk toch misgaan? Analyseer systemen en documenten om te controleren of ze veilig en efficiënt functioneren. Let niet alleen op de tekortkomingen, maar benoem ook wat goed gaat. Door medewerkers actief te betrekken en door te vragen op risico’s, creëer je een compleet en realistisch beeld van de situatie.
• Rapportage: Alle inzichten uit de audit leg je vast in een duidelijk rapport. Beschrijf niet alleen de risico’s, maar ook waarom deze belangrijk zijn en wat de impact is als er niets aan wordt gedaan. Maak je advies concreet: wat kan de organisatie verbeteren en hoe? Onderbouw je aanbevelingen met risicoanalyses en best practices, zodat het management er direct mee aan de slag kan. Bespreek de bevindingen met de verantwoordelijken en help hen prioriteiten te stellen. Zorg ervoor dat er na dit gesprek concrete actiepunten met verantwoordelijken en deadlines liggen.
• Opvolging: Een audit is pas écht waardevol als de verbeterpunten daadwerkelijk worden opgepakt. Zorg dat je een opvolgtraject inricht: wie gaat de verbeteringen doorvoeren en hoe wordt dit gemonitord? Plan vervolgcontroles in om te kijken of de genomen maatregelen het gewenste effect hebben. Daarnaast kun je de resultaten van de audit gebruiken om risico’s beter te beheersen en strategische beslissingen te ondersteunen. Door audits niet als een verplicht nummer te zien, maar als een middel om de organisatie continu te verbeteren, haal je er echt waarde uit.

De voordelen van audits op het gebied van informatiebeveiliging

Interne audits helpen gemeenten om hun digitale systemen goed te beschermen, vooral als het gaat om de veiligheid van burgergegevens en de continuïteit van de gemeentelijke dienstverlening. Ze zorgen ervoor dat beveiligingsmaatregelen niet alleen mooi op papier staan, maar ook echt werken in de praktijk. Door regelmatig te checken of de gemeente voldoet aan wettelijke normen, zoals de BIO en de NIS2-richtlijn, blijft de organisatie scherp en worden risico’s op tijd aangepakt. Het gaat niet alleen om naleving, maar ook om voortdurende verbetering: elke audit laat zien waar de organisatie al goed scoort en waar nog stappen nodig zijn. Problemen die eerder zijn gevonden, worden opnieuw beoordeeld om te zien of ze daadwerkelijk zijn opgelost. Zo blijft informatiebeveiliging een doorlopend proces en wordt de gemeente steeds weerbaarder tegen digitale dreigingen.

Veelvoorkomende uitdagingen

Net als bij veel andere processen lopen gemeenten bij audits tegen een aantal bekende knelpunten aan. Gelukkig zijn er manieren om deze te tackelen en het interne auditproces soepel en doelgericht te laten verlopen.

• Niet iedereen staat te springen: Niemand vindt het leuk om gecontroleerd te worden, audits kunnen voelen als een examen waar je op afgerekend wordt. Zorg er daarom voor dat de audit niet als een straf voelt, maar als een kans om de organisatie sterker te maken. Benadruk dat het doel is om samen te kijken waar dingen beter kunnen, niet om fouten aan te wijzen. Een audit is als een spiegel: het laat zien waar je staat, helpt je te leren en te verbeteren, en zorgt ervoor dat je als organisatie steeds sterker wordt.
• Rapport blijft in de la liggen: Een auditrapport heeft geen waarde als er niets mee wordt gedaan. Zorg dat verbeterpunten niet verdwijnen in een stapel papierwerk, maar echt worden opgepakt. Wijs binnen het management duidelijke eigenaren aan voor actiepunten en plan opvolging in. Hoe sneller verbeteringen worden doorgevoerd, hoe meer impact een audit heeft.
• Werkbaar houden, niet doorslaan: Een audit moet niet alleen over ‘voldoen aan de norm’ gaan. Natuurlijk wil je aan normen voldoen, maar het moet ook bijdragen aan beter en slimmer werken. Zorg dat audits praktisch blijven en aansluiten bij de realiteit, anders worden ze een papieren tijger waar niemand iets aan heeft.
• Te weinig tijd, geld of mensen: Zonder de juiste middelen blijft een audit hangen in goede bedoelingen. Zorg dus dat er voldoende tijd, budget en expertise beschikbaar is om het goed te doen. Een half uitgevoerde audit levert alleen frustratie op en helpt de organisatie niet vooruit.
• Blijven leren en verbeteren: Cyberdreigingen, technologie en wetgeving veranderen continu. Een audit is dus geen eenmalige checklist, maar een doorlopend proces. Zorg dat de auditfunctie meegroeit en up-to-date blijft, zodat je niet achter de feiten aanloopt. Alleen zo blijft informatiebeveiliging echt effectief.

Waar is de interne auditfunctie belegd?

Veel gemeenten hebben geen interne auditfunctie buiten de controle op de jaarrekening. Dit betekent dat er weinig tot geen onafhankelijke check is op thema’s zoals informatiebeveiliging, privacy en efficiënte werkprocessen. De accountant controleert alleen de financiën en laat bredere risico’s en verbeterkansen buiten beschouwing. Hierdoor missen gemeenten inzicht in hun naleving van normen zoals de BIO en NIS2 en blijven kwetsbaarheden onopgemerkt. Een interne auditfunctie kan structureel helpen bij het identificeren van risico’s en het verbeteren van processen. Binnen gemeenten valt deze functie vaak direct onder het college van B&W en de gemeentesecretaris, zodat audits objectief blijven en dat bevindingen serieus worden genomen. Enkele voorbeelden uit de praktijk:

• Gemeente Leiden: Hier valt de Interne Audit Functie (IAF) onder de Concernstaf. De interne accountant, benoemd door het college, heeft vastgelegde bevoegdheden en rapporteert aan zowel het college als de gemeenteraad.
• Gemeente Amsterdam: In Amsterdam is de auditfunctie ondergebracht bij de directie Middelen en Control. De afdeling Interne Audit en Beleidsonderzoek telt zo’n 25 experts en combineert audits met beleidsadvies om de organisatie effectiever en beheersbaarder te maken.

Steeds meer gemeenten zien de meerwaarde van een bredere auditfunctie. Door niet alleen naar financiën, maar ook naar informatiebeveiliging en risicobeheer te kijken, kunnen ze beter inspelen op wetgeving en digitale dreigingen.

Waarom is onafhankelijkheid belangrijk?

Hoewel de plek van de interne auditfunctie per gemeente verschilt (of nog moet worden ingevuld), is één ding belangrijk: de functie moet onafhankelijk zijn en directe toegang hebben tot het hoogste management. Alleen zo kunnen interne audits onbevooroordeeld blijven en echt bijdragen aan verbeteringen en risicobeheersing. Het Instituut van Internal Auditors Nederland (IIA) onderstreept het belang hiervan voor goed bestuur en betrouwbare interne processen. Kortom, een onafhankelijke auditfunctie helpt gemeenten om transparant en goed georganiseerd te blijven.

Waar het op neerkomt

Een goede interne auditfunctie voor informatiebeveiliging en privacy helpt gemeenten om risico’s beter te beheersen, aan de regels te voldoen en stap voor stap te verbeteren. Het draait niet alleen om controleren, maar vooral om slimmer en veiliger werken. Door te focussen op de grootste risico’s, samen te werken met de juiste mensen en handige tools in te zetten (zoals frameworks, maturity assessments en benchmarks), wordt een audit een praktisch hulpmiddel in plaats van een verplicht nummertje.

Wil je aan de slag met interne audits?

 Wil je interne audits opzetten of advies over hoe je deze audits binnen jouw organisatie kunt borgen op het gebied van informatiebeveiliging en privacy? IB&P denkt graag met je mee en kan ook interne  audits op dit gebied voor je uitvoeren. Benieuwd wat IB&P voor jouw gemeente kan betekenen? Kijk op deze pagina voor meer informatie of neem direct contact met ons op om de mogelijkheden te bespreken.