De Baseline Informatiebeveiliging Overheid (BIO) vormt al jaren de basis voor informatiebeveiliging bij gemeenten. Met de komst van de BIO 2.0 wordt die basis verder verstevigd. Want waar de oude BIO vooral draaide om naleving van regels, legt BIO 2.0 juist de nadruk op risicogestuurd werken en continue verbetering. Een belangrijk onderdeel daarvan is de interne controlecyclus: hoe toets je structureel of je maatregelen ook echt doen wat ze moeten doen? Niet één keer per jaar omdat het moet, maar continu, als onderdeel van je dagelijkse praktijk. In deze blog laat ik zien hoe je die controlecyclus slim en werkbaar inricht.

Download hier een pdf van deze blog

Waarom is de interne controlecyclus belangrijk?

De interne controlecyclus is eigenlijk gewoon de manier de manier waarop je plant wat je doet, het uitvoert, controleert of het werkt en verbetert waar nodig, ofwel de bekende Plan-Do-Check-Act (PDCA)-cyclus. Hiermee houd je grip op de vraag: doen we de juiste dingen, en doen we ze goed genoeg? In het kader van informatiebeveiliging betekent dit dus dat je regelmatig kijkt of maatregelen goed zijn ingevoerd, of mensen doen wat ze hebben afgesproken, en of dat alles het gewenste effect heeft. De BIO 2.0 en ook de Cyberbeveiligingswet (Cbw) legt meer nadruk op risicogestuurd werken: Dat betekent: niet alles tegelijk willen toetsen, maar juist focussen op de grootste risico’s. Waar zit de meeste impact? Waar ging het eerder mis? Welke maatregelen zijn nieuw of kwetsbaar? Als je die focus aanbrengt, voorkom je een ‘vinkjescultuur’ en maak je toetsing echt zinvol.

Waar het vaak misgaat

Bovenstaande klinkt logisch, maar in de praktijk worstelen veel gemeenten hiermee. De intentie is goed, maar de uitvoering schiet er vaak bij in. In plaats van een strategisch hulpmiddel om processen te verbeteren en risico’s te beheersen, wordt de interne audit nog te vaak ingezet als sluitstuk van de jaarrekeningverantwoording, een vinkje voor de accountant of het auditcomité, in plaats van een intern sturingsinstrument. Het resultaat: toetsing wordt een verplicht nummer, in plaats van een kans om beter te worden. Hieronder een paar valkuilen die ik daarbij vaak tegenkom:

• Te veel controles: alles moet worden getoetst, waardoor de werkdruk oploopt, het onoverzichtelijk en tijdrovend wordt.
• Geen focus: er wordt gecontroleerd op bijzaken, terwijl de échte risico’s onder de radar blijven.
• Versnippering: verschillende afdelingen voeren hun eigen controles uit, zonder samenhang of overzicht.
• Weinig tot geen opvolging: bevindingen worden wel opgeschreven, maar niet vertaald naar verbeteracties.

Zo maak je toetsing wél werkbaar en effectief

De interne controlecyclus klinkt misschien wat abstract, maar in de praktijk draait het gewoon om slim organiseren: weten wát je toetst, hóe je dat doet en vooral: waarom. Als je de juiste focus aanbrengt en het goed inbedt in de organisatie, wordt toetsing geen papieren exercitie maar een handig middel voor sturing. Met deze zes stappen maak je toetsing echt werkbaar en effectief:

1. Begin bij het risico: Niet alle maatregelen zijn even belangrijk. Begin daarom met een risicoanalyse: wat zijn de grootste bedreigingen voor jouw organisatie? Denk aan datalekken, systeemuitval of onbevoegde toegang. Richt je controles dáár op. Dat maakt ze relevanter én beter uitvoerbaar.
   
   
2. Sluit aan bij wat er al is: Toetsing hoeft geen extra administratie te zijn. Integreer het in bestaande processen, zoals interne audits, kwaliteitsmanagement of compliancecontroles. Gebruik bestaande dashboards of rapportages, zodat management direct inzicht heeft in hoe het staat met de informatiebeveiliging, zonder extra rapporten.
   
   
3. Maak het concreet: Ontwikkel toetscriteria die begrijpelijk zijn voor iedereen, niet alleen voor securityspecialisten. Vermijd technisch jargon en abstracte vragen. Stel praktische toetsvragen als: Worden toegangsrechten regelmatig gecontroleerd? Hebben medewerkers hun securitytraining afgerond?Worden incidenten goed geregistreerd en opgevolgd?Zo begrijpt iedereen wat er bedoeld wordt, van applicatiebeheerder tot teamleider.
   
   
4. Combineer verschillende toetsmethoden: Een mix van toetsmethoden werkt het best. Gebruik documentreviews om te controleren of beleid en procedures nog actueel zijn, voer interviews met proceseigenaren om te horen hoe het er in de praktijk aan toe gaat, en doe steekproeven op toegangsrechten of incidentmeldingen om te zien of afspraken ook echt worden nageleefd. Laat daarnaast teams zelfreflecties uitvoeren, zodat ze bewust nadenken over hun eigen rol en naleving. Op die manier krijg je niet alleen cijfers, maar ook waardevol inzicht in gedrag, bewustzijn en de cultuur binnen de organisatie.
   
   
5. Betrek mensen actief: Toetsing werkt alleen als mensen het zien als iets dat hen helpt, niet als controle van bovenaf. Betrek daarom proceseigenaren en medewerkers bij het opstellen van de toetscriteria, bij de uitvoering en bij de evaluatie. Als teams begrijpen waarom iets belangrijk is, gaan ze vanzelf meedenken over verbeteringen. Bovendien zorgt het voor draagvlak én betere opvolging van die verbeteringen.
   
   
6. Gebruik de resultaten om te verbeteren: Een lijst met bevindingen dat in een map verdwijnt heeft geen waarde. Vertaal bevindingen daarom meteen naar concrete verbeteracties: wie doet wat, en wanneer? Volg die acties op en koppel terug in de volgende cyclus. Zo wordt de PDCA-gedachte ook echt doorlopen. Een tip: gebruik een actievolgsysteem of dashboard waarin verbetermaatregelen zichtbaar zijn voor iedereen. Dat zorgt voor transparantie en eigenaarschap.

Waar ligt de verantwoordelijkheid?

Binnen gemeenten ligt de uitvoering voor de interne audit meestal bij het team Control of de concerncontroller. Zij houden zich bezig met controles op rechtmatigheid, doelmatigheid en of interne processen goed werken. Formeel ligt die verantwoordelijkheid bij het College van Burgemeester en Wethouders (B&W), maar in de praktijk pakt de controlfunctie dit op. Slechts een klein aantal gemeenten heeft een echte, onafhankelijke interne auditfunctie die breder kijkt dan alleen de financiële kant. Daardoor blijft de interne toetsing vaak beperkt tot het afvinken van de jaarlijkse verantwoordingsplicht, in plaats van dat het echt gebruikt wordt om te verbeteren en risico’s beter te beheersen. En vergeet niet: ook de CISO heeft hierin een rol. Die moet namelijk toetsen of het informatiebeveiligingsbeleid goed is ingevoerd en of de PDCA-cyclus binnen het Information Security Management System (ISMS) ook echt draait in de praktijk.

Praktische tips voor gemeenten

Een goede controlecyclus neerzetten hoeft niet ingewikkeld te zijn, zolang je het slim aanpakt en dicht bij de praktijk blijft. Kleine verbeteringen kunnen al veel effect hebben, zeker als je ze consequent toepast. Met deze tips maak je toetsing behapbaar én waardevol voor de hele organisatie:

• Plan slim: niet alles hoeft elk jaar. Bepaal de frequentie op basis van risico’s en veranderende omstandigheden.
• Automatiseer waar het kan: gebruik tooling voor het vastleggen en rapporteren van controles, dat scheelt tijd en maakt opvolging makkelijker.
• Communiceer open: deel resultaten niet alleen met het management, maar ook met medewerkers. Zo groeit het bewustzijn én de betrokkenheid.
• Zorg voor de juiste kennis: investeer in training van toetsers, zodat zij weten waar ze op moeten letten en hoe ze bevindingen goed kunnen duiden.

Conclusie

Een goed ingerichte controlecyclus helpt je organisatie groeien in volwassenheid én in vertrouwen. Je weet waar de zwakke plekken zitten, kunt sneller verbeteren en staat sterker bij audits of incidenten.

De BIO 2.0 biedt daarvoor een stevig kader, maar het succes zit in de uitvoering. Als toetsing geen verplichting meer is, maar een manier van werken, dan wordt informatiebeveiliging echt onderdeel van het dagelijks denken en doen. En dat is uiteindelijk waar het om draait: een veilige, betrouwbare overheid waar inwoners op kunnen vertrouwen.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of ondersteuning nodig binnen jouw gemeente bij het inrichten en uitvoeren van de Interne audit functie? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.