SURFaudit FAQ  

Een audit is een systematische en periodieke controle op drie niveaus:

1. Opzet van beleid – hoe het beleid eruit moet zien
2. Bestaan van beleid – beleid is opgesteld en vastgesteld
3. Werking volgens beleid – beleid wordt structureel uitgevoerd en is aantoonbaar

SURFaudit is de dienst van SURF die de jaarlijkse benchmark organiseert, resultaten vertrouwelijk deelt en samen met de sector het SURFaudit Toetsingskader onderhoudt.

De SURFaudit benchmark geeft een sectorbreed overzicht van audits. Je ziet de ontwikkeling van jouw instelling, de vergelijking met het sectorgemiddelde en de groei van de sector door de jaren heen.

Een audit kan verschillende vormen hebben:

- Zelfevaluatie - een interne IT-auditor of functionaris met IT-affiniteit voert de evaluatie uit.
- Peer review - een andere instelling controleert jouw zelfevaluatie en bewijslast (en andersom).
- Externe audit - een onafhankelijke auditor geeft een onafhankelijk oordeel.

Combinaties zijn ook mogelijk, bijvoorbeeld een zelfevaluatie met deelwaarneming door een externe auditor, of een externe audit voor bepaalde domeinen gecombineerd met zelfevaluatie voor andere domeinen.

Let op: de gekozen auditvorm bepaalt direct de kwaliteit en betrouwbaarheid van de benchmarkcijfers. Volg altijd de afspraken die in jouw sector gelden.

De SURFaudit benchmark volgt een vaste cyclus die is afgesproken met de koepels:

Universiteiten
Jaarlijks een volledige audit door een onafhankelijke auditor.
- 2025: volledige audit
- 2026: volledige audit

Hbo-instellingen
Tweejaarlijks een volledige audit door een onafhankelijke auditor, in het tussenjaar hergebruik of self-assessment.
- 2025: volledige audit
- 2026: self-assessment of hergebruik resultaten vorig jaar

Mbo-instellingen
Jaarlijks een gesplitste audit – het ene jaar de opzet en het bestaan van beleid, het andere jaar de werking volgens beleid.
- 2025: volledige audit onder begeleiding van MBO Digitaal
- 2026: audit voor opzet en bestaan van beleid onder begeleiding van MBO Digitaal

Let op: Je bent als instelling zelf verantwoordelijk om te voldoen aan de afspraken die voor jouw sector gelden.

Benchmark rapportage
De resultaten van de audits worden gerapporteerd via de Benchmark volgens het onderstaande schema:

- Resultaten van audits 2025, worden gepubliceerd als SURFaudit benchmark 2026
- Resultaten van audits 2026, worden gepubliceerd als SURFaudit benchmark 2027

Zie ook: Naar werk jaar verwijst het jaartal achter de SURFaudit benchmark?

SURF houdt geen toezicht en voert geen audits uit. Voor deelname aan de SURFaudit benchmark werk je samen met een onafhankelijke auditor. Die zorgt voor een objectieve en gestructureerde beoordeling, waardoor het vertrouwen bij bestuurders, toezichthouders en het ministerie toeneemt. Alle auditors gebruiken het SURFaudit-toetsingskader als rapportagetemplate met uniforme scoreberekening.

Geselecteerde auditors per sector (via SURF-aanbesteding):

- Mbo: Deloitte
- Hbo: toegedeeld aan een specifieke auditor: EY, Bureau Veritas Cybersecurity of Duijnborgh Audit
- Universiteiten: EY, Bureau Veritas Cybersecurity, Duijnborgh Audit

Zo huur je een auditor in:
- Mbo-instellingen: collectief via MBO-Digitaal
- Hbo / universiteiten:
0 Wel deelgenomen aan de aanbesteding? Kies uit de auditors hierboven.
0 Niet deelgenomen? Vrije keuze, maar houd je aan sectorale afspraken, aanbestedingsgrenzen en gebruik het SURFaudit-toetsingskader.

Twijfel over aanbestedingsdeelname? Mail naar support@surfaudit.nl

Download de auditmethodiek voor jouw sector. Daarin staat het auditproces stap voor stap uitgelegd. Het SURFaudit Toetsingskader informatiebeveiliging gebruik je als rapportagetemplate.

Beschikbare hulpmiddelen:
- Auditmethodiek hbo
- Auditmethodiek universiteiten
- Uitgebreide hulpmiddelen voor het auditproces

De harde deadline is 31 januari. Tot die datum kun je auditresultaten inleveren over het vorige kalenderjaar. Ben je te laat? Dan worden jouw resultaten niet verwerkt en als niet ingeleverd gerapporteerd.

Hoe kunnen MBO-instellingen hun auditresultaten inleveren?
Vanuit TrustBound lever je de resultaten in bij MBO Digitaal. Zij zorgen voor verdere verwerken.

Hoe kunnen HBO- en universitaire instellingen hun auditresultaten inleveren? Hiervoor zijn de onderstaande drie opties.

Optie 1, via TrustBound:
Deel je auditrapportage rechtstreeks vanuit de applicatie.

Optie 2, via Excel:
Jouw CISO heeft toegang tot de HBO-CISO of U-CISO teams omgevingen. Daar kan de spreadsheet met de auditresultaten ingeleverd worden.

Optie 3, via Excel:
Lever een Excel-bestand aan via SURFfilesender:
- Lees de instructie in de handreiking
- Maak gebruik van de template

Instellingen laten audits uitvoeren volgens een vaste cyclus door onafhankelijke auditors. Hbo- en universiteiten leveren hun resultaten uiterlijk 31 januari rechtstreeks bij SURF aan. Mbo-instellingen doen dit via MBO Digitaal.

Vereisten:
- Auditresultaten mogen niet ouder zijn dan één jaar
- Zijn ze ouder? Dan vragen we om bijwerking

SURF stelt drie rapportages op:
1. Individuele benchmark – vergelijking van jouw instelling met de rest van de sector
2. Sectorbeeld – ontwikkeling per sector (mbo, hbo, universiteiten) door de jaren heen
3. Sectoroverstijgend beeld – overzicht van de gehele onderwijs- en onderzoekssector

Samen vormen deze rapportages de SURFaudit benchmark, die in april wordt gedeeld met instellingen en sectorale CISO-overleggen.

Vertrouwelijkheid: Alle gegevens worden strikt vertrouwelijk en niet-herleidbaar gepresenteerd. Sectoren kunnen er in hun CISO-overleg voor kiezen om informatie over koplopers en achterblijvers te gebruiken om hun beleid te verbeteren.

De rangschikking in de SURFaudit benchmark werkt anders dan je misschien verwacht. Je positie is geen hiërarchische ranking, maar gebaseerd op clusters van gelijke scores. De benchmark laat zien in welke 'prestatieklasse' een instelling zich bevindt ten opzicht van de rest van de sector.

Wat betekent dit concreet?
Stel: jouw instelling bevindt zich in het vierde cluster. Dat betekent niet dat er maar drie instellingen zijn met een hoger gemiddelde. Het betekent dat er drie clusters van instellingen zijn met hogere gemiddelde scores, en in elk cluster kunnen meerdere instellingen zitten.

Voorbeeld
- Cluster 1: twee instellingen scoren gemiddeld 3.5 → beiden hebben de hoogste score.
- Cluster 2: vijf instellingen scoren gemiddeld 3.2 → alle vijf hebben ze de tweede hoogste score, achter de twee instellingen uit cluster 1.
- Cluster 3: vier instellingen scoren gemiddeld 3.1 → Alle vier hebben ze de derde hoogste score, met in totaal zeven instellingen uit clusters 1 en 2 die hogere scores behaalden.

Waarom geen individuele rangorde?
Binnen een cluster is geen verdere rangschikking mogelijk:
- Instellingen met dezelfde gemiddelde score zijn gelijkwaardig aan elkaar'
- De instellingsscore is een gemiddelde van álle statements. Het kan dus zijn dat instelling A een hogere score heeft op statement 3, terwijl instelling B een hogere score heeft op statement 4, maar beiden uiteindelijk dezelfde gemiddelde score behalen.

SURF deelt:
- Met elke instelling: jouw individuele score ten opzichte van de sector
- Met sectorale CISO-overleggen: het sectorbeeld met gemiddelde scores en historische ontwikkeling

De koepelorganisaties delen hun sectorbeeld met het Ministerie van OCW.

Het jaartal verwijst altijd naar het vorige kalenderjaar. Zo rapporteert de SURFaudit benchmark 2026 (n) over audits uit 2025 (n-1).

Cyclus: instellingen voeren audits uit in het kalenderjaar → inlevering uiterlijk 31 januari van het volgende jaar → verwerking en presentatie → start nieuwe cyclus.

Het SURFaudit Toetsingskader hanteert een volwassenheidsmodel waarin elk niveau een stap hoger is in implementatie en beheer. Het model kent de volgende vijf niveaus:

1. Maatregelen zijn ad hoc
Beheersmaatregelen zijn niet of slechts gedeeltelijk vastgesteld en/of worden op een inconsistente manier uitgevoerd en zijn sterk afhankelijk van individuen.

2. Maatregelen bestaan en worden op consistente wijze uitgevoerd
Beheersmaatregelen bestaan en worden op een gestructureerde en consistente, maar informele manier uitgevoerd.

3. Maatregelen zijn gedocumenteerd en de uitvoering is aantoonbaar
Beheersmaatregelen zijn gedocumenteerd en worden op een gestructureerde en formele manier uitgevoerd. Uitvoering van de maatregelen is aantoonbaar, getest en effectief.

4. Er is een verbetercyclus aanwezig en gedocumenteerd
De effectiviteit van beheersmaatregelen wordt periodiek beoordeeld en indien nodig verbeterd. Deze beoordeling is gedocumenteerd.

5. Er is een bedrijfsbrede aanpak van risico’s
Een bedrijfsbreed risico- en beheersprogramma voorziet in continue en effectieve beheersing en aanpak van risico's.

Elke auditronde geeft per maatregel een cijfer. Zo volg je de ontwikkeling van jouw instelling door de tijd en kun je jouw scores vergelijken met collega’s.

De sector heeft met het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) afgesproken te streven naar een gemiddeld niveau van 3.

Per sector gelden verschillende streefdata voor het behalen van gemiddeld niveau 3. Deze worden momenteel vastgesteld.

Berekening: het gemiddelde wordt berekend over alle statements in scope. Een score van 4 op het ene statement en 2 op het andere levert gemiddeld niveau 3 op. Ditzelfde principe geldt voor het sectorgemiddelde.

Je gebruikt het SURFaudit toetsingskader informatiebeveiliging of privacy, maar voor jouw sector zijn er geen sectorspecifieke afspraken. Je bent geen MBO, HBO of universiteit. Wat nu?

Het ligt eraan of jouw organisatie bij SURF is aangesloten.

Ben je aangesloten bij SURF? Dan heb je drie opties:

1. Autonoom auditen: je gebruikt de toetsingskaders zelfstandig en plant je eigen audits en self-audits wanneer het jou uitkomt. Er is geen vergelijking met branchegenoten.

2. Aansluiten bij een bestaand schema: je haakt aan bij het schema van een vergelijkbare sector (mbo, hbo of universiteiten). SURF verwerkt jouw resultaten en maakt een rapportage waarin je jouw relatieve positie ziet ten opzichte van de gekozen sector.

3. Een sectorspecifiek schema opzetten: je neemt het initiatief om met sectorgenoten tot passende afspraken te komen. Jullie vergelijken onderling auditresultaten. SURF kan met de bestaande infrastructuur een sectorspecifieke benchmarkrapportage maken. Neem contact op met SURF voor een verkennende bijeenkomst over wat er komt kijken bij een sectorspecifieke benchmark.

Ben je niet aangesloten bij SURF? Dan kun je de toetsingskaders en de baseline gebruiken – ze zijn open source. Ook delen we graag onze ervaring met het collectief organiseren van benchmarks. Maar je kunt niet meedraaien in SURF-verband. Opties 2 en 3 zijn dan niet mogelijk.

Nee. Certificering voor toetsingskaders is niet mogelijk. 
SURF en andere certificeringsinstanties bieden momenteel geen ISAE-verklaringen op basis van het SURFaudit Toetsingskader.

Dit kan in de toekomst wel een mogelijke ontwikkeling zijn.

Het SURFaudit toetsingskader is opgesteld vanuit een risicoperspectief.

Het principe: implementeer niet alles blind, maar bepaal eerst:
- welke risico’s specifiek voor jouw instelling gelden
- welke mitigatiemethoden het beste passen
- welke risico’s prioriteit hebben

SURF organiseert:
- masterclasses over het SURFaudit-toetsingskader
- vertrouwelijke verwerking van auditresultaten tot de jaarlijkse benchmark
- vertrouwelijke deling van benchmarkresultaten
- aanbestedingen voor auditors en de GRC-applicatie

SURF coördineert:
- onderhoud van het toetsingskader met sectorbetrokkenen
- discussiefora voor kennisuitwisseling over het gebruik van de GRC-applicatie
- afstemming tussen auditors voor soepele auditrondes

Let op: SURF voert geen audits uit en is geen toezichthouder. We rapporteren wél afwijkingen van sectorale afspraken aan de koepelorganisaties.

Elke twee maanden is er overleg met vertegenwoordigers van de sectoren, SURF en alle auditors. Tijdens dit overleg bespreken we de voortgang van de jaarlijkse auditrondes en benoemen we eventuele knelpunten. Omdat meerdere auditpartijen betrokken zijn, ontwikkelen we ook hulpmiddelen om de audits uniform te houden en de kwaliteit te waarborgen.

Ga direct naar de SURFaudit hulpmiddelen.

Normenkader = het recept
- Geeft ingrediënten en instructies (“gebruik veilige wachtwoorden”)
- Resultaat: voldoende/onvoldoende (certificering mogelijk)
- Voorbeeld: ISO 27001

Toetsingskader = de meetlat
- Meet effectiviteit en naleving van maatregelen
- Geeft een cijfer per maatregel → ontwikkeling zichtbaar
- Maakt vergelijking met anderen mogelijk
- Ontwikkeling door de tijd meetbaar

Analogie: een HAVO-diploma (norm) versus een cijferlijst (toetsingskader). Beide hebben waarde, maar het toetsingskader laat sterker zien waar je goed of minder goed in bent.

ISO 27001 / 27002
- 27001: beschrijft de vereisten voor een ISMS en zegt wat je moet bereiken
- 27002: geeft richtlijnen voor implementatie, maar zegt nog steeds niet hoe
- Universeel toepasbaar en internationaal erkend
- Biedt geen criteria of methoden voor controle op naleving

SURFaudit
- toetsingskader op maat voor de Nederlandse onderwijs- en onderzoekssector
- meet niet alleen of je de norm haalt, maar ook in welke mate
- het volwassenheidsmodel laat ontwikkeling door verschillende stadia zien
- houdt rekening met specifieke regionale nuances en de onderwijscontext
- is niet internationaal erkend

Het SURFaudit toetsingskader heeft zich in de loop der jaren ontwikkeld. Dit zijn de belangrijkste mijlpalen:

2008 – eerste meting informatiebeveiligingsstatus
2011 – NIHO 2011 met 36 statements uit ISO27002:2005
2015 – uitgebreid raamwerk (NIHO, BIHO, TIHO 2015) – inmiddels verouderd
2016 – NBA/NOREA publiceren volwassenheidsmodel (schaal 1–5)
2017 – idee voor NBA-model als risicogebaseerd toetsingskader
2019 – goedkeuring en eerste toepassing SURFaudit-toetsingskader
2020 – vernieuwing met NBA versie 2.0, uitbreiding naar universiteiten en mbo

Het volwassenheidsmodel onderscheidt zich van normenkaders doordat het ontwikkeling meetbaar maakt in plaats van alleen voldoende/onvoldoende.

Nee, die is er niet en gaat er ook niet komen.

Er is ooit een poging geweest om een Engelstalige versie te maken. Deze poging is op niets uitgelopen omdat je in de nuances van de vertaling onherroepelijk vastloopt. Tijdens een formele audit hebben woordkeuzes een lading. In een vertaling vanuit het Nederlands roep je over jezelf af dat elke Engelse woordkeuze de deur open zet naar een andere uitleg tussen het Nederlandstalige kader en een Engelse vertaling.

Het toetsingskader ontwikkelt zich continu. Op dit moment lopen meerdere discussies:

- Meer risicogebaseerd werken
- Voorstel om ISO/IEC 27001:2022 als basis te gebruiken
- Mogelijke aanwijzing van hbo en universiteiten onder de Cyberbeveiligingswet (Cbw - de Nederlandse invulling van NIS2)

Alle onderwerpen worden nog uitgewerkt. Tot 2027 blijft het huidige SURFaudit-toetsingskader in gebruik.

SURF sloot in december 2023 na een openbare aanbesteding een vierjarig contract met TrustBound. Het contract kan twee keer met één jaar worden verlengd. In 2027 volgt het verlengingsbesluit. Bij brede adoptie loopt het contract uiterlijk tot 2029.

De GRC-applicatie is een dienst van SURF en wordt geleverd binnen de afspraken van de aanbesteding GRC.
Stuur een e-mail naar support@surfaudit.nl om het proces van aanschaf te starten.

Stuur een e-mail naar support@surfaudit.nl.
TrustBound neemt contact met je op en je krijgt een proeftuin van één maand. Je kunt de GRC-applicatie daarin zelf uitproberen, zonder kosten of verplichtingen.

Een GRC-applicatie (TrustBound) is een toolset die veel raakvlakken heeft met de rest van jouw organisatie: afdelingen, diensten, medewerkers en bestuurders. Het is verstandig om de GRC-applicatie gefaseerd in te voeren.

- SURF ontwikkelt een organisatorische implementatiegids die inbedding in organisatieprocessen beschrijft (beschikbaar vanaf Q3 2025).
- De GRC-applicatie is krachtig, maar je hoeft niet alles (van TrustBound) tegelijk te gebruiken. De modulaire opbouw maakt een gefaseerde invoering mogelijk.
- De GRC-applicatie ondersteunt jouw instelling bij de groei in het volwassenheidsniveau, je gebruikt alleen de modules die hierbij passen.

Goed om te weten: je betaalt één prijs. Ga je later meer modules gebruiken, dan wordt het niet duurder.

TrustBound biedt zelf de leermiddelen:

- Introductiefilm: community.trustbound.com
- Zelftrainingen in het training playbook: training playbook
- Implementatievideo en projectplan (kick-off playbook): kick-off playbook
- Documentatie in de applicatie zelf (via het ?-icoon): Training, Quick start, DPIA
- Wekelijkse starterclasses – deelname gratis met code TB2025: trustbound.com/nl/starterclass

Extra: elke maandag van 16.00–17.00 uur is er een gratis inloopspreekuur voor de SURF-community. Je kunt vragen stellen én leren van collega’s. Je hoeft je niet aan te melden, gewoon bijwonen via: edu.nl/grc.

Word lid van de SURF TrustBound community: een forum voor vragen, ervaringen en input voor de roadmap.

Aanmelden in 6 stappen:

1. Klik: aanmeldlink
2. Klik op Aanvraag onder Acties
3. Wacht op goedkeuring door SURF
4. Open Teams → klik op je profielfoto/initialen
5. Kies Switch organisatie / Overschakelen naar SURF
6. Je hebt nu toegang tot de fora

Heb jij je al aangemeld?
Ga dan hier direct naar de SURF TrustBound community.

 Vergeet niet het wekelijkse inloopspreekuur (maandag 16.00–17.00 uur via edu.nl/grc). Je leert ook veel van de vragen van anderen.

Je kunt ervoor kiezen functioneel beheer bij TrustBound onder te brengen. Op basis van een strippenkaart ondersteunen ze je bij de configuratie van jouw GRC-omgeving, bijvoorbeeld met:

- Modules activeren/deactiveren
- Gebruikersbeheer
- Content importeren/exporteren
- Koppelingen met TOPdesk
- Persoonlijke Q&A-sessies en maatwerktraining

Je koopt een strippenkaart van 10 of 20 uur per jaar.
Facturatie gebeurt vooraf, resterende uren vervallen na één jaar.

Aanschaf van een strippenkaart kan alleen via jullie afdeling inkoop. 
Let op: Alleen inkopers hebben voldoende rechten op het inkoopportaal.
Op mijn.surf.nl zien ze volgende opties:

1 - GRC-applicatie (licentie)
2 - Functioneel beheer van de GRC-applicatie, pakket 10 uur
3 - Functioneel beheer van de GRC-applicatie, pakket 20 uur

Opties 2 en 3 zijn de strippenkaarten voor functioneel beheer. 

Ja. TrustBound is via de moedermaatschappij ISO 27001:2022 gecertificeerd. Het meest recente certificaat dateert van december 2024 en is geldig tot 2027.
De audit is uitgevoerd door DNV Business Assurance. Het afschrift van hun certificaat vind je hier: https://community.trustbound.com/about/iso/

De SURF Security Baseline is een set minimale beveiligingsregels en -instellingen die systemen en gegevens standaard beschermt. Het vormt de basis waarop je verder kunt bouwen.

Elke maatregel heeft een BIV-classificatie en een verantwoordelijke rol, zodat je direct ziet wat voor jou relevant is. De baseline legt vast wat we als sector minimaal belangrijk vinden en hoe je dat toepast. De huidige versie is up-to-date.

De toekomst van de baseline is onzeker. Steeds meer instellingen sluiten aan bij internationaal erkende standaarden zoals ISO/IEC 27001:2022 en de CIS Controls. Die zijn breed bekend, praktisch toepasbaar en verminderen administratieve lasten. Daarom verwachten we weinig verdere doorontwikkeling, tenzij er duidelijk sectorbreed draagvlak komt.