Helpcentrum

Actieplannen

Een actieplan is een concrete taak met een eigenaar en een vervaldatum. Het zet "we zouden dat moeten doen" om in "klaar, geverifieerd, gedateerd". Zonder actieplannen blijft uw risicoregister een dood document.

Wanneer een actieplan aanmaken?

Een risico vraagt een controle die u nog niet heeft.
Een audit onthult een gat dat u moet dichten.
Een bestaande controle moet verbeterd of hertest worden.
Een incident onthulde een kwetsbaarheid om te dichten.

Waarom een status "Geverifieerd"?

De splitsing tussen Voltooid ("de toegewezene zegt dat het klaar is") en Geverifieerd ("een derde bevestigt") is bewust. Dit is wat auditors functiescheiding noemen — een sleutelprincipe van NIS2 / ISO 27001.

Concreet voorbeeld: Marc krijgt "MFA uitrollen op alle admin-accounts". Hij rolt het uit, markeert het plan voltooid, voegt een schermafbeelding toe. Sophie (manager) opent het plan, controleert effectief dat het toegepast is, en zet het op geverifieerd. Die dubbele controle is wat auditors bewijst dat het werk correct is uitgevoerd.

Bewijs van voltooiing

Het veld "Bewijs van voltooiing" maakt van uw plan een auditbaar artefact. Wees specifiek over wat een auditor onafhankelijk kan verifiëren.

Jira/GitLab-ticketnummer ("MFA-1234")
Link naar de bijgewerkte procedure
Schermafbeelding van de toegepaste configuratie
Testrapport (pentest, backup-restore, crisisoefening)
Bevestigingsmail van een klant of leverancier

Automatische meldingen

De toegewezene wordt verwittigd bij aanmaak en hertoewijzing.
Melding 7 dagen voor vervaldatum, dan opnieuw bij overschrijden.
De eigenaar van het ouder-Risico/Controle wordt verwittigd wanneer het plan voltooid wordt.
De toegewezene wordt verwittigd wanneer het plan geverifieerd wordt — positieve feedback.