SURFaudit FAQ  

Een audit is een systematische en periodieke controle op drie niveaus:

1. Opzet van beleid – hoe het beleid eruit moet zien
2. Bestaan van beleid – beleid is opgesteld en vastgesteld
3. Werking volgens beleid – beleid wordt structureel uitgevoerd en is aantoonbaar

SURFaudit is de dienst van SURF die de jaarlijkse benchmark organiseert, resultaten vertrouwelijk deelt en samen met de sector het SURFaudit-toetsingskader onderhoudt.

De SURFaudit benchmark geeft een sectorbreed overzicht van audits. Je ziet de ontwikkeling van jouw instelling, de vergelijking met het sectorgemiddelde en de groei van de sector door de jaren heen.

Een audit kan verschillende vormen hebben:

- Zelfevaluatie - een interne IT-auditor of functionaris met IT-affiniteit voert de evaluatie uit
- Peer review - een andere instelling controleert jouw zelfevaluatie en bewijslast (en andersom)
- Externe audit - een onafhankelijke auditor geeft een onafhankelijk oordeel

Combinaties zijn ook mogelijk, bijvoorbeeld een zelfevaluatie met deelwaarneming door een externe auditor, of een externe audit voor bepaalde domeinen gecombineerd met zelfevaluatie voor andere domeinen.

Let op: de gekozen auditvorm bepaalt direct de kwaliteit en betrouwbaarheid van de benchmarkcijfers. Volg altijd de afspraken die in jouw sector gelden.

SURF houdt geen toezicht en voert geen audits uit. Voor deelname aan de SURFaudit benchmark werk je samen met een onafhankelijke auditor. Die zorgt voor een objectieve en gestructureerde beoordeling, waardoor het vertrouwen bij bestuurders, toezichthouders en het ministerie toeneemt. Alle auditors gebruiken het SURFaudit-toetsingskader als rapportagetemplate met uniforme scoreberekening.

Geselecteerde auditors per sector (via SURF-aanbesteding):

- Mbo: Deloitte
- Hbo: EY, Bureau Veritas Cybersecurity, Duijnborgh Audit
- Universiteiten: EY, Bureau Veritas Cybersecurity, Duijnborgh Audit

Zo huur je een auditor in:
- Mbo-instellingen: collectief via MBO-Digitaal
- Hbo / universiteiten:
0 Wel deelgenomen aan de aanbesteding? Kies uit de auditors hierboven.
0 Niet deelgenomen? Vrije keuze, maar houd je aan sectorale afspraken, aanbestedingsgrenzen en gebruik het SURFaudit-toetsingskader.

Twijfel over aanbestedingsdeelname? Mail naar support@surfaudit.nl

Download de auditmethodiek voor jouw sector. Daarin staat het auditproces stap voor stap uitgelegd. Het SURFaudit-toetsingskader informatiebeveiliging gebruik je als rapportagetemplate.

Beschikbare hulpmiddelen:
- Auditmethodiek hbo
- Auditmethodiek universiteiten
- Uitgebreide hulpmiddelen voor het auditproces

De harde deadline is 31 januari. Tot die datum kun je auditresultaten inleveren over het vorige kalenderjaar. Ben je te laat? Dan worden jouw resultaten niet verwerkt en als niet ingeleverd gerapporteerd.

Hoe kunnen MBO-instellingen hun auditresultaten inleveren?
- Vanuit TrustBound lever je de resultaten in bij MBO Digitaal. Zij zorgen voor verdere verwerken.

Hoe kunnen HBO- en universitaire instellingen hun auditresultaten inleveren?
- Gebruik je Trustbound? Deel je auditrapportage rechtstreeks vanuit de applicatie.
- Jouw CISO heeft toegang tot de HBO-CISO of U-CISO teams omgevingen. Daar kan de spreadsheet met de auditresultaten ingeleverd worden.
- Lever een Excel-bestand aan via SURFfilesender (er is een aparte handleiding beschikbaar)

Instellingen laten audits uitvoeren volgens een vaste cyclus door onafhankelijke auditors. Hbo- en universiteiten leveren hun resultaten uiterlijk 31 januari rechtstreeks bij SURF aan. Mbo-instellingen doen dit via MBO Digitaal.

Vereisten:
- Auditresultaten mogen niet ouder zijn dan één jaar
- Zijn ze ouder? Dan vragen we om bijwerking

SURF stelt drie rapportages op:
1. Individuele benchmark – vergelijking van jouw instelling met de rest van de sector
2. Sectorbeeld – ontwikkeling per sector (mbo, hbo, universiteiten) door de jaren heen
3. Sectoroverstijgend beeld – overzicht van de gehele onderwijs- en onderzoekssector

Samen vormen deze rapportages de SURFaudit benchmark, die in april wordt gedeeld met instellingen en sectorale CISO-overleggen.

Vertrouwelijkheid: Alle gegevens worden strikt vertrouwelijk en niet-herleidbaar gepresenteerd. Sectoren kunnen er in hun CISO-overleg voor kiezen om informatie over koplopers en achterblijvers te gebruiken om hun beleid te verbeteren.

SURF deelt:
- Met elke instelling: jouw individuele score ten opzichte van de sector
- Met sectorale CISO-overleggen: het sectorbeeld met gemiddelde scores en historische ontwikkeling

De koepelorganisaties delen hun sectorbeeld met het Ministerie van OCW.

Het jaartal verwijst altijd naar het vorige kalenderjaar. Zo rapporteert de SURFaudit benchmark 2026 (n) over audits uit 2025 (n-1).

Cyclus: instellingen voeren audits uit in het kalenderjaar → inlevering uiterlijk 31 januari van het volgende jaar → verwerking en presentatie → start nieuwe cyclus.

Het SURFaudit toetsingskader hanteert een volwassenheidsmodel waarin elk niveau een stap hoger is in implementatie en beheer. Het model kent de volgende vijf niveaus:

1. Maatregelen zijn ad hoc
Beheersmaatregelen zijn niet of slechts gedeeltelijk vastgesteld en/of worden op een inconsistente manier uitgevoerd en zijn sterk afhankelijk van individuen.

2. Maatregelen bestaan en worden op consistente wijze uitgevoerd
Beheersmaatregelen bestaan en worden op een gestructureerde en consistente, maar informele manier uitgevoerd.

3. Maatregelen zijn gedocumenteerd en de uitvoering is aantoonbaar
Beheersmaatregelen zijn gedocumenteerd en worden op een gestructureerde en formele manier uitgevoerd. Uitvoering van de maatregelen is aantoonbaar, getest en effectief.

4. Er is een verbetercyclus aanwezig en gedocumenteerd
De effectiviteit van beheersmaatregelen wordt periodiek beoordeeld en indien nodig verbeterd. Deze beoordeling is gedocumenteerd.

5. Er is een bedrijfsbrede aanpak van risico’s
Een bedrijfsbreed risico- en beheersprogramma voorziet in continue en effectieve beheersing en aanpak van risico's.

Elke auditronde geeft per maatregel een cijfer. Zo volg je de ontwikkeling van jouw instelling door de tijd en kun je jouw scores vergelijken met collega’s.

De sector heeft met het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) afgesproken te streven naar een gemiddeld niveau van 3.

Per sector gelden verschillende streefdata voor het behalen van gemiddeld niveau 3. Deze worden momenteel vastgesteld.

Berekening: het gemiddelde wordt berekend over alle statements in scope. Een score van 4 op het ene statement en 2 op het andere levert gemiddeld niveau 3 op. Ditzelfde principe geldt voor het sectorgemiddelde.

Nee. Certificering voor toetsingskaders is niet mogelijk. 
SURF en andere certificeringsinstanties bieden momenteel geen ISAE-verklaringen op basis van het SURFaudit-toetsingskader.

Dit kan in de toekomst wel een mogelijke ontwikkeling zijn.

Het SURFaudit toetsingskader is opgesteld vanuit een risicoperspectief.

Het principe: implementeer niet alles blind, maar bepaal eerst:
- Welke risico’s specifiek voor jouw instelling gelden
- Welke mitigatiemethoden het beste passen
- Welke risico’s prioriteit hebben

SURF organiseert:
- Masterclasses over het SURFaudit-toetsingskader
- Vertrouwelijke verwerking van auditresultaten tot de jaarlijkse benchmark
- Vertrouwelijke deling van benchmarkresultaten
- Aanbestedingen voor auditors en de GRC-applicatie

SURF coördineert:
- Onderhoud van het toetsingskader met sectorbetrokkenen
- Discussiefora voor kennisuitwisseling over het gebruik van de GRC-applicatie
- Afstemming tussen auditors voor soepele auditrondes

Let op: SURF voert geen audits uit en is geen toezichthouder. We rapporteren wél afwijkingen van sectorale afspraken aan de koepelorganisaties.

Het SURFaudit toetsingskader heeft zich in de loop der jaren ontwikkeld. Dit zijn de belangrijkste mijlpalen:

2008 – eerste meting informatiebeveiligingsstatus
2011 – NIHO 2011 met 36 statements uit ISO27002:2005
2015 – uitgebreid raamwerk (NIHO, BIHO, TIHO 2015) – inmiddels verouderd
2016 – NBA/NOREA publiceren volwassenheidsmodel (schaal 1–5)
2017 – idee voor NBA-model als risicogebaseerd toetsingskader
2019 – goedkeuring en eerste toepassing SURFaudit-toetsingskader
2020 – vernieuwing met NBA versie 2.0, uitbreiding naar universiteiten en mbo

Het volwassenheidsmodel onderscheidt zich van normenkaders doordat het ontwikkeling meetbaar maakt in plaats van alleen voldoende/onvoldoende.

Het toetsingskader ontwikkelt zich continu. Op dit moment lopen meerdere discussies:

- Meer risicogebaseerd werken
- Voorstel om ISO/IEC 27001:2022 als basis te gebruiken
- Mogelijke aanwijzing van hbo en universiteiten onder de Cyberbeveiligingswet (Cbw - de Nederlandse invulling van NIS2)

Alle onderwerpen worden nog uitgewerkt. Tot 2027 blijft het huidige SURFaudit-toetsingskader in gebruik.

Normenkader = het recept
- Geeft ingrediënten en instructies (“gebruik veilige wachtwoorden”)
- Resultaat: voldoende/onvoldoende (certificering mogelijk)
- Voorbeeld: ISO 27001

Toetsingskader = de meetlat
- Meet effectiviteit en naleving van maatregelen
- Geeft een cijfer per maatregel → ontwikkeling zichtbaar
- Maakt vergelijking met anderen mogelijk
- Ontwikkeling door de tijd meetbaar

Analogie: een HAVO-diploma (norm) versus een cijferlijst (toetsingskader). Beide hebben waarde, maar het toetsingskader laat sterker zien waar je goed of minder goed in bent.

ISO 27001 / 27002
- 27001: beschrijft de vereisten voor een ISMS en zegt wat je moet bereiken
- 27002: geeft richtlijnen voor implementatie, maar zegt nog steeds niet hoe
- Universeel toepasbaar en internationaal erkend
- Biedt geen criteria of methoden voor controle op naleving

SURFaudit
- Toetsingskader op maat voor de Nederlandse onderwijs- en onderzoekssector
- Meet niet alleen of je de norm haalt, maar ook in welke mate
- Het volwassenheidsmodel laat ontwikkeling door verschillende stadia zien
- Houdt rekening met specifieke regionale nuances en de onderwijscontext
- Niet internationaal erkend

SURF sloot in december 2023 na een openbare aanbesteding een vierjarig contract met Trustbound. Het contract kan twee keer met één jaar worden verlengd. In 2027 volgt het verlengingsbesluit. Bij brede adoptie loopt het contract uiterlijk tot 2029.

De GRC-applicatie is een dienst van SURF en wordt geleverd binnen de afspraken van de aanbesteding GRC.
Stuur een e-mail naar support@surfaudit.nl om het proces van aanschaf te starten.

Stuur een e-mail naar support@surfaudit.nl.
Trustbound neemt contact met je op en je krijgt een proeftuin van één maand. Je kunt de GRC-applicatie daarin zelf uitproberen, zonder kosten of verplichtingen.

Een GRC-applicatie (Trustbound) is een toolset die veel raakvlakken heeft met de rest van jouw organisatie: afdelingen, diensten, medewerkers en bestuurders. Het is verstandig om de GRC-applicatie gefaseerd in te voeren.

- SURF ontwikkelt een organisatorische implementatiegids die inbedding in organisatieprocessen beschrijft (beschikbaar vanaf Q3 2025).
- De GRC-applicatie is krachtig, maar je hoeft niet alles (van Trustbound) tegelijk te gebruiken. De modulaire opbouw maakt een gefaseerde invoering mogelijk.
- De GRC-applicatie ondersteunt jouw instelling bij de groei in het volwassenheidsniveau, je gebruikt alleen de modules die hierbij passen.

Goed om te weten: je betaalt één prijs. Ga je later meer modules gebruiken, dan wordt het niet duurder.

Trustbound biedt zelf de leermiddelen:

- Introductiefilm: community.trustbound.com
- Zelftrainingen in het training playbook: training playbook
- Implementatievideo en projectplan (kick-off playbook): kick-off playbook
- Documentatie in de applicatie zelf (via het ?-icoon): Training, Quick start, DPIA
- Wekelijkse starterclasses – deelname gratis met code TB2025: trustbound.com/nl/starterclass

Extra: elke maandag van 16.00–17.00 uur is er een gratis inloopspreekuur voor de SURF-community. Je kunt vragen stellen én leren van collega’s. Je hoeft je niet aan te melden, gewoon bijwonen via: edu.nl/grc.

Word lid van de SURF Trustbound community: een forum voor vragen, ervaringen en input voor de roadmap.

Aanmelden in 6 stappen:

1. Klik: aanmeldlink
2. Klik op Aanvraag onder Acties
3. Wacht op goedkeuring door SURF
4. Open Teams → klik op je profielfoto/initialen
5. Kies Switch organisatie / Overschakelen naar SURF
6. Je hebt nu toegang tot de fora

 Vergeet niet het wekelijkse inloopspreekuur (maandag 16.00–17.00 uur via edu.nl/grc). Je leert ook veel van de vragen van anderen.

Ja. Je kunt dit bij Trustbound onderbrengen. Zij ondersteunen bij de configuratie van jouw omgeving, bijvoorbeeld met:

- Modules activeren/deactiveren
- Gebruikersbeheer
- Content importeren/exporteren
- Koppelingen met TOPdesk
- Persoonlijke Q&A-sessies en maatwerktraining

Je koopt een strippenkaart van 10 of 20 uur per jaar (€ 88 per uur, excl. btw).

Facturatie vooraf; resterende uren vervallen na een jaar. Bestel via mijn.surf.nl (inkopers van jouw organisatie hebben toegang).

Ja. Trustbound is via de moedermaatschappij ISO 27001:2022 gecertificeerd. Het meest recente certificaat dateert van december 2024 en is geldig tot 2027.
De audit is uitgevoerd door DNV Business Assurance.

De SURF Security Baseline is een set minimale beveiligingsregels en -instellingen die systemen en gegevens standaard beschermt. Het vormt de basis waarop je verder kunt bouwen.

Elke maatregel heeft een BIV-classificatie en een verantwoordelijke rol, zodat je direct ziet wat voor jou relevant is. De baseline legt vast wat we als sector minimaal belangrijk vinden en hoe je dat toepast. De huidige versie is up-to-date.

De toekomst van de baseline is onzeker. Steeds meer instellingen sluiten aan bij internationaal erkende standaarden zoals ISO/IEC 27001:2022 en de CIS Controls. Die zijn breed bekend, praktisch toepasbaar en verminderen administratieve lasten. Daarom verwachten we weinig verdere doorontwikkeling, tenzij er duidelijk sectorbreed draagvlak komt.