BG Beter Geregeld ICT
Compliance · 2 min leestijd · 11 oktober 2025

Een ISO-risk-register dat werkt (en er niet uitziet als een consultant-export)

Een risk register hoeft geen 300-regelige spreadsheet te zijn. Voor een MKB zijn 30-60 risico's realistisch. Hier het format dat een audit overleeft én dagelijks bruikbaar is.

Het risk register is de centrale lijst van "wat kan er misgaan". Consultants leveren soms 300-regelige sheets met theoretische risico's. Voor het MKB is 30-60 realistisch. Elk risico moet concreet kunnen worden uitgelegd aan een niet-technische CFO.

Per risico leg je vast

  • Korte omschrijving ("verlies van laptop met klant-data")
  • Welk asset of proces raakt het
  • Dreiging (diefstal) en kwetsbaarheid (geen disk-encryption)
  • Kans (1-5) × impact (1-5) = score
  • Huidige maatregelen
  • Eigenaar (naam)
  • Restrisico-score
  • Verdere actie (optioneel) + deadline

Realistische scoring

Kans: 1 = zeer zeldzaam, 3 = kan eens per jaar, 5 = dagelijkse realiteit. Impact: 1 = ongemak, 3 = dagwerk verlies, 5 = bedrijf in gevaar. Een score 15+ is actie-vereist.

Review-cadans

  • Elk kwartaal: lopend nalopen, nieuwe risico's toevoegen.
  • Jaarlijks: volledige review in de management review.
  • Na elk incident: risk-register bijwerken met de lesson learned.

Voorbeelden van realistische MKB-risico's

  1. Ransomware op een medewerker-laptop via phishing-mail
  2. Ex-medewerker heeft nog toegang tot klant-data (offboarding-gap)
  3. Boekhoud-admin wordt maandenlang niet gereviewd (review-lag)
  4. Cloud-provider valt uit tijdens hoogseizoen
  5. Medewerker klikt op phishing-mail en MFA-fatigue-attack slaagt
  6. Gedeeld wachtwoord lekt via Slack-paste

Zie voor incident-registratie: incidentenlog opzetten.

Onderwerpen

#iso-27001 #risk-register #risicomanagement

Volledige gids: ISO 27001 voor het MKB zonder €50k aan consultants

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 voor het MKB zonder €50k aan consultants

ISO 27001 is behapbaar als je de structuur snapt. Hier het minimale werk dat een 30-man MKB nodig heeft om door een Stage 2-audit te komen, wat het kost, en waar consultants wél waarde toevoegen.

2 min
Compliance

ISO 27001 kosten: van eerste gap-analyse tot certificaat

Realistische budget-plaatje voor een 30-mans MKB. Interne uren, externe audit, consultancy (zo min mogelijk), jaarlijkse onderhoud. Geen marketingpraatjes.

2 min
Compliance

ISO 27001 of SOC 2? Welke past bij jouw Nederlandse MKB?

ISO 27001 is Europees-geörienteerd, SOC 2 Amerikaans. Welke hebben je klanten nodig? En kun je ze combineren? Hier het praktijk-verschil voor een MKB.

2 min
Compliance

NEN 7510 voor zorgondernemers: extra bovenop ISO 27001

Werk je in of met de zorg? Dan is NEN 7510 naast (of in plaats van) ISO 27001 realiteit. De overlap is groot, de verschillen zitten in patiëntgegevens en specifieke Annex-controls.

2 min
Compliance

De management review: wat moet erin en wie doet mee?

Eén van de sectie-9-eisen van ISO 27001. Jaarlijks, met de directie, 2 uur. Hier de agenda die een auditor accepteert én die voor jou als oefening bruikbaar is.

2 min
Compliance

De PDCA-cyclus uitgelegd voor bestuurders

Plan-Do-Check-Act klinkt bureaucratisch. In de praktijk is het: schrijf op wat je doet, doe het, kijk of het werkt, pas het aan. Hier de kortste bruikbare uitleg.

2 min
← Alle artikelen in "Compliance"