Interne audit ISO 27001 uitbesteden vs. zelf doen: Een kosten-baten analyse (2025)
Gepost door
Rob Veen
11 dec 2025
Het zelf uitvoeren van de ISO 27001 interne audit lijkt voordeliger, maar kost door interne uren en verborgen risico’s vaak aanzienlijk meer (€4.000+) dan uitbesteden (€1.600 - €2.500). Bovendien eisen certificeringsinstanties strikte objectiviteit: u mag uw eigen werk niet controleren. Uitbesteden voorkomt bedrijfsblindheid en verhoogt de slagingskans tijdens de externe audit. U heeft maanden gewerkt aan uw informatiebeveiliging en het ISMS (Information Security Management System). Het beleid is geschreven, de risicoanalyse is afgerond en het team is geïnstrueerd. U bent bijna klaar voor de certificering. Maar dan stuit u op paragraaf 9.2 van de ISO 27001 norm: De Interne Audit. Voordat de externe auditor (van bijvoorbeeld TÜV of DigiTrust) langskomt, bent u verplicht uw eigen organisatie door te lichten. Hier staan veel ondernemers voor een dilemma: "Laten we dit door een eigen medewerker doen om kosten te besparen, of huren we een expert in?" In dit artikel maken we de eerlijke balans op voor 2025, ondersteund door rekenvoorbeelden en scenario's.
De vergeten verplichting: Waarom de interne audit vaak het struikelblok is
Het probleem bij veel organisaties is dat de interne audit wordt gezien als een administratief vinkje. "Even snel controleren of we alles hebben." Maar de ISO-norm stelt harde eisen aan deze audit: hij moet objectief en onpartijdig zijn.
Het objectiviteitsdilemma
In een bedrijf met 25 tot 50 medewerkers zijn de rollen vaak verweven. De IT-manager heeft het beleid geschreven en de systemen ingericht. Wanneer u deze persoon vraagt de interne audit te doen, vraagt u feitelijk: "Wilt u uw eigen huiswerk nakijken en streng beoordelen?"
De norm is hierover helder: Auditors mogen hun eigen werk niet auditen.
Dit betekent dat u iemand anders in de organisatie moet vinden die aan drie voorwaarden voldoet:
Kennis: Heeft verstand van de ISO 27001 norm.
Onpartijdigheid: Is niet betrokken geweest bij de implementatie.
Capaciteit: Heeft tijd om alle processen door te spitten.
In 90% van de MKB-bedrijven is deze persoon simpelweg niet aanwezig.
Expert Tip: Een zwakke interne audit is de nummer 1 oorzaak van afwijkingen tijdens de externe audit. Zie het niet als een verplichting, maar als de generale repetitie.
Kostenvergelijking: Zelf doen vs. Uitbesteden
Laten we de emotie weglaten en naar de harde cijfers kijken. We vergelijken de situatie voor een gemiddeld MKB-bedrijf (IT/Dienstverlening, 50 medewerkers) in 2025.
Scenario A: Zelf doen (Intern)
U wijst een operationeel manager aan (geen IT, want die heeft geïmplementeerd) om de audit te doen.
Training/Inlezen ISO 27001: 8 uur (minimaal).
Voorbereiding auditvragen: 4 uur.
Uitvoeren interviews & checks: 12 uur.
Rapportage schrijven: 6 uur.
Totaal: 30 uur.
Bij een interne kostprijs (bruto loon + werkgeverslasten + overhead + opportunity cost) van €85,- per uur, kost dit project u intern €2.550,-.
Het verborgen risico: De kans dat een ongetrainde collega fouten mist, is groot. Vindt de externe auditor deze fouten wel? Dan volgt een her-audit. Kosten: ca. €1.500,- extra.
Totale geschatte impact: €4.050,- (plus de nodige stress).
Scenario B: Uitbesteden (Extern via AuditDirect)
U huurt een specialist in die dit dagelijks doet.
Inlezen: Gebeurt efficiënt vooraf.
Uitvoering: Audit op locatie of remote in 1 dag. De expert prikt door zwakke plekken heen.
Rapportage: Direct bruikbaar als bewijslast voor de externe auditor.
Kosten: Vaste prijs, gemiddeld tussen €1.600 - €2.500 (afhankelijk van omvang).
De Balans: Intern vs. Extern
Onderdeel | Interne Audit (Zelf doen) | Interne Audit (Uitbesteden) |
Directe Kosten | €2.550,- (tijdsinvestering) | €1.600 - €2.500 (factuur) |
Kwaliteit | Laag tot gemiddeld (bedrijfsblindheid) | Hoog (specialistische blik) |
Objectiviteit | Risico op belangenverstrengeling | 100% Onafhankelijk |
Risico Her-audit | Hoog | Minimaal |
Impact Team | Belasting van kerntaken (30+ uur) | Minimaal (alleen interviews) |
Het 'WC-eend' effect en schijnveiligheid
De consequentie van "we doen het zelf wel" is vaak het zogeheten WC-eend effect: "Wij van WC-eend adviseren WC-eend."
Wanneer collega's elkaar auditen, durft men vaak niet diep te graven. "Collega X heeft het druk gehad, ik zie dat dit document niet af is, maar ik weet dat hij er mee bezig is. Ik keur het goed." Dit is menselijk, maar risicovol voor uw certificering. U creëert schijnveiligheid en laat blinde vlekken zitten die een externe auditor van NEN of een certificerende instelling direct ziet.
Een externe partij zoals AuditDirect kijkt met dezelfde bril als de certificerende auditor:
Ontbreekt er een procedure? Wij zien het.
Klopt de bewijsvoering niet? Wij melden het.
Weten uw medewerkers niet wat ze moeten antwoorden? Wij coachen ze.
Begrippenlijst voor ISO 27001 Audits
Om de interne audit goed te begrijpen, is het belangrijk de juiste terminologie te hanteren. Dit helpt u ook bij het interpreteren van het auditrapport.
Non-Conformity (Afwijking): Het niet voldoen aan een eis van de norm.
Major: Een ernstige tekortkoming waardoor certificering niet mogelijk is.
Minor: Een kleinere tekortkoming die binnen een bepaalde tijd opgelost moet zijn.
Objectiviteit: De eis dat de auditor onpartijdig moet zijn en geen belang mag hebben bij de uitkomst van de audit.
ISMS (Information Security Management System): Het geheel van beleid, procedures en processen dat wordt gecontroleerd.
Externe Audit: De officiële keuring door een geaccrediteerde partij om het certificaat te verkrijgen.
Conclusie: Koop geen audit, koop zekerheid
Onder aan de streep is uitbesteden vaak goedkoper dan het zelf doen, zeker als u de 'opportunity cost' van uw eigen personeel meerekent. Maar de echte winst zit niet in de euro's, die zit in de kwaliteit.
Met een audit door AuditDirect verandert de interne audit van een verplicht nummer in een waardevolle generale repetitie. U elimineert de stress voor de externe audit, omdat u weet dat de gaten al gedicht zijn.
Klaar voor de volgende stap?
Wilt u zeker weten dat u slaagt voor uw ISO 27001 certificering zonder uw eigen personeel te belasten met taken waar ze niet voor zijn opgeleid?
Kijk dan snel hier om uw Interne Audit zo snel mogelijk in te plannen!
Staat u nog in de startblokken richting een ISO 27001 certificering? Bekijk hier onze Nulmeting. Hiermee kijken we samen met u grondig naar uw huidige situatie en bouwen wij voor u een pragmatisch plan van aanpak zodat uw certificeringstraject foutloos start!
Stressloos begeleiding zodat uw hele certificeringstraject vlekkeloos verloopt? Boek hier vrijblijvend gratis een gesprek met ons in om te kijken hoe wij u kunnen helpen van start tot en met de certificering.
AuditDirect: Een frisse blik voor een vaste prijs. Wij leveren geen lijst met fouten, maar een lijst met oplossingen.
Mag ik de ISO 27001 interne audit zelf uitvoeren?
Ja, u mag de interne audit zelf uitvoeren, mits u voldoet aan de strikte eis van objectiviteit. Dit betekent dat de auditor niet zijn eigen werk of implementatie mag controleren. Daarnaast moet de interne auditor voldoende kennis hebben van de ISO 27001 norm. Omdat deze combinatie intern vaak lastig te vinden is, kiezen veel bedrijven voor uitbesteden.
Wat zijn de kosten van een ISO 27001 interne audit?
Het uitbesteden van een interne audit kost gemiddeld tussen de €1.600 en €2.500. Hoewel zelf doen gratis lijkt, kost dit door interne uren (inlezen, uitvoeren, rapporteren) en 'opportunity cost' vaak meer dan €2.500. Reken je het risico op een her-audit mee door gemiste fouten, dan kunnen de totale kosten bij zelf doen oplopen tot boven de €4.000.
Waarom is onafhankelijkheid verplicht bij de interne audit?
Paragraaf 9.2 van de ISO 27001 norm eist dat de audit objectief en onpartijdig is. Als u uw eigen werk controleert (het 'WC-eend effect'), ontstaat er bedrijfsblindheid en schijnveiligheid. Een onafhankelijke auditor garandeert dat fouten eerlijk worden gerapporteerd, wat cruciaal is voor het behalen van de certificering.
Wat is het verschil tussen een interne audit en de externe audit?
De interne audit is een verplichte 'generale repetitie' die u zelf organiseert om te controleren of uw ISMS voldoet aan de norm. De externe audit wordt uitgevoerd door een geaccrediteerde instantie (zoals TÜV of DigiTrust). Een sterke interne audit verhoogt de slagingskans tijdens de officiële externe audit aanzienlijk.
Wat gebeurt er als de interne audit niet goed wordt uitgevoerd?
Als de interne audit zwak is of door bedrijfsblindheid fouten mist, zal de externe auditor deze afwijkingen (Non-Conformities) constateren. Dit leidt vaak tot een verplichte her-audit, wat extra kosten (circa €1.500) en vertraging in het certificeringstraject met zich meebrengt.