Een beveiligingsaudit beoordeelt of uw fysieke beveiliging daadwerkelijk werkt zoals u denkt. Verschil tussen wat op papier staat (beveiligingsplan, procedures, certificaten) en wat in praktijk werkt (deuren die opengaan, codes die zijn gedeeld, camera's die buiten focus staan) is soms aanzienlijk. Een freelance specialist voert een onafhankelijke audit uit, levert een rapport met bevindingen, en helpt u het remediation-traject op te zetten.
Wat doet een audit-specialist?
De rol omvat zowel documentatie-review als feitelijke veld-controle. Documentatie-review checkt of beveiligingsplan, BORG-conformiteitsverklaring, NEN-EN-conformiteitsdocumentatie en procedures actueel zijn en in lijn met de werkelijke installatie. Veld-controle test in praktijk: lopen alle deuren in scherp-stand, registreren camera's in de juiste richting, hebben gebruikerscodes nog steeds de juiste mensen, werkt de PAC-aansluiting bij gesimuleerde uitval van het primaire pad.
De specialist toetst tegen de relevante normen en eisen voor uw situatie: NEN-EN 50131 voor inbraakbeveiliging, NEN-EN 50132 voor video, NEN-EN 50136 voor PAC, NEN-EN 60839-11 voor toegangscontrole. Voor BORG-conformiteit wordt getoetst tegen het beveiligingsplan en de BORG-eisen.
Voor NIS2-context komt aansluiting met ISMS-audit erbij. Fysieke-beveiligings-controls binnen ISO 27001-bijlage A.7 (Physical and Environmental Security) en de NIS2-artikel 21 risk-management-measures moeten op orde zijn. De specialist toetst deze laag in samenhang.
Wanneer past een audit?
Periodieke audit (typisch jaarlijks) is voor BORG-objecten verplicht. Voor non-BORG-installaties is jaarlijkse audit een goede practice die voorkomt dat veroudering of drift onopgemerkt blijft.
Bij audit-bevindingen door verzekeraar, certificeerder, of NIS2-toezichthouder is een onafhankelijke pre-audit waardevol om te weten waar u staat. Voorkomen is goedkoper dan repareren onder tijdsdruk.
Bij organisatorische wijzigingen (fusie, overname, verhuizing, grote uitbreiding) is een audit logisch om de overgangs-staat te documenteren. Wat is meegegaan, wat is veranderd, wat is nu suboptimaal.
Bij incidenten of bijna-incidenten (succesvolle inbraak, bijna-inbraak, ontdekt sabotage) levert een audit een gestructureerd inzicht in wat heeft gefaald en wat moet worden aangepast om herhaling te voorkomen.
Onze aanpak
De eerste fase is een scope-bepaling met de audit-eigenaar (typisch security manager, facilitair manager of CISO). Welke objecten, welke normen, welke documentatie, welke veld-testen. De scope bepaalt de doorlooptijd; een typisch mid-market kantoor is twee tot vijf dagen werk voor een grondige audit.
De documentatie-review is meestal de eerste werkdag. We verzamelen beveiligingsplan, conformiteitsverklaringen, procedures, gebruikerscode-uitgiftes, sleutel-administraties, jaarlijkse onderhouds-rapportages en eventuele incident-rapportages. We toetsen of deze documenten actueel zijn en intern consistent.
De veld-controle volgt. We lopen de werkelijke installatie door en testen onaangekondigd: kunnen ex-medewerkers via hun nog-niet-uitgeschakelde toegangspas binnenkomen, werkt de PIR-detector op donderdag 14:00 wanneer er een keer minder zonblootstelling is, registreert de PTZ-camera in zone 5 daadwerkelijk wat hij volgens specs zou moeten registreren. We documenteren bevindingen met foto en ondersteunende info.
De interview-fase vraagt key-users: receptie, security operations, facilitair manager, en eventueel sample-medewerkers. Hoe vertegenwoordigen procedures de praktijk, waar wijken ze af, en welke informele workarounds bestaan. Deze laag onthult vaak meer dan documentatie alleen.
De rapportage levert een prioriteerd bevindingen-overzicht. Per bevinding: ernst-classificatie, root-cause, aanbevolen maatregel, en geschat herstel-traject. Voor het bestuur leveren we een executive summary met top-risico's en investerings-aanvraag. Voor de operationele zijde een werkboek met concrete acties.
Valkuilen in de praktijk
Audit door eigen installateur. De installateur die de installatie heeft geleverd, heeft een belang bij positieve bevindingen. Een echt onafhankelijke audit komt van buiten dit netwerk.
Veld-controle overslaan. Een papieren-audit-alleen levert audit-rapport zonder waarde. De grootste bevindingen komen vrijwel altijd uit de feitelijke veld-controle en interviews.
Geen vervolg-traject. Een audit-rapport in een lade levert geen verbetering. De specialist hoort het remediation-plan op te leveren en deelname in opvolging te organiseren.
Te brede scope zonder diepgang. Een audit die alle aspecten oppervlakkig dekt, geeft minder waarde dan een focused audit op de grootste risico-gebieden.
Wat onderscheidt een goede audit-specialist?
Onafhankelijkheid van installateurs en leveranciers. De specialist mag geen commerciele relatie hebben met de leveranciers die in scope zitten.
Audit-praktijk op meerdere installaties. Patronen van bevindingen komen pas naar boven na meerdere audits; eerste-audit-specialisten missen die ervaring.
Norm-kennis plus praktische sense. Pure normvariantie kunnen voorlezen is niet genoeg; de specialist moet weten welke afwijkingen materieel zijn en welke alleen op papier.
Communicatie-vaardigheid. Audit-bevindingen moeten worden besproken met installateurs, leveranciers en de eigen organisatie. Een specialist die conflict-georienteerd schrijft of spreekt levert audit-rapporten waar weerstand ontstaat in plaats van actie. Goede audit-werk vraagt om duidelijke en feitelijke communicatie.
Hoe wij u koppelen
Stuur ons uw object-omvang, de scope (BORG, NIS2, verzekerings-eis, of brede review), en de aanleiding. Wij reageren binnen één werkdag en dragen één freelance audit-specialist voor. Plan via het formulier hieronder.
Verwant: Specialist fysieke beveiliging inhuren, Risicoanalyse fysieke beveiliging