ISO 27001 en bezoekersregistratie: wat verwacht een auditor?

Is een bezoekersregister verplicht voor ISO 27001?

Niet expliciet, maar in de praktijk wel. ISO 27001 schrijft geen specifieke registervorm voor, maar de standaard eist dat u fysieke toegang tot gevoelige ruimtes beheerst én vastlegt. Zonder enige vorm van bezoekersregistratie kunt u dat niet aantonen, en zonder bewijs kan een externe auditor de bijbehorende controls niet als "werkend" beoordelen.

De relevante controls staan in Annex A van ISO/IEC 27001:2022, het themagebied Physical controls. Vooral A.7.2 (Physical entry) en A.7.3 (Securing offices, rooms and facilities) raken direct aan bezoekersregistratie.

Welke ISO 27001-controls raken bezoekersregistratie?

De huidige versie van ISO 27001 (ISO/IEC 27001:2022) groepeert Annex A in vier thema's met in totaal 93 controls. Vijf daarvan zijn voor bezoekersregistratie direct relevant.

A.7.2 Physical entry (fysieke toegangscontrole)

De kern-control. Vereist dat "veilige zones beschermd worden door passende toegangscontroles, zodat alleen geautoriseerde personen toegang krijgen". Voor bezoekers betekent dit dat u:

• identificeert wie het gebouw betreedt en waarom;
• de aanwezigheid en het tijdstip van check-in en check-out vastlegt;
• een procedure heeft voor begeleiding (escort) van bezoekers in beveiligde zones;
• kunt aantonen dat deze processen werken (logs, steekproeven).

A.7.3 Securing offices, rooms and facilities

Aanvullend op A.7.2. Vraagt dat u serverruimtes, archieven en andere gevoelige zones extra beschermt. Voor bezoekersregistratie relevant: voor deze zones moet u een striktere procedure hebben, vaak gekoppeld aan een specifieke bezoekreden-categorie (bv. "Onderhoud datacenter") en verplichte escort.

A.5.34 Privacy and protection of PII

Bezoekersgegevens zijn persoonsgegevens (PII). Deze control eist dat u privacy borgt in lijn met AVG. Een papieren register waar iedereen elkaars naam ziet liggen voldoet daar in principe niet aan. Voor de overlap met AVG, lees ook ons artikel AVG en bezoekersregistratie: wat is verplicht?

A.5.33 Protection of records

Records (zoals bezoekers-logs) moeten worden beschermd tegen verlies, vernietiging, vervalsing, ongeautoriseerde toegang en ongeautoriseerde publicatie. Bewaartermijnen moeten zijn vastgesteld. Voor een digitaal register betekent dit: rolgebaseerde toegang, audit-trail, geen onbeperkte bewaartermijn.

A.5.15 Access control

Vraagt om een toegangscontrolebeleid dat is afgestemd op zakelijke vereisten en informatiebeveiligingseisen. Bezoekers zijn een specifieke gebruikersgroep met eigen rechten (en beperkingen). Uw beleid moet beschrijven hoe u bezoekers identificeert, hoe u beslist of zij toegang krijgen tot welke zones, en hoe u dat documenteert.

Waar gaat het bij audits mis?

We zien drie terugkerende bevindingen bij ISO 27001-audits, vrijwel altijd gerelateerd aan papieren of half-digitale bezoekersregisters.

1. Geen sluitend overzicht van aanwezigheid

Een papieren register klopt vrijwel nooit. Bezoekers vergeten uit te checken, de receptionist vult achteraf een check-out-tijd in, of monteurs gaan via de zij-ingang naar buiten. Een auditor vraagt dan: "Hoeveel bezoekers zijn er nu in het gebouw, en kun je dat aantonen?" In 99% van de papieren scenario's is het antwoord "ongeveer" - en dat is niet sluitend.

2. Lekkende vertrouwelijkheid op het register zelf

Bij een papieren register zien bezoekers elkaars naam, bedrijf en bezoekreden. Een externe IT-leverancier ziet dat de concurrent gisteren ook over de vloer was. Een sollicitant ziet welke uitzendbureaus eerder kandidaten brachten. Onder A.5.34 en A.7.2 is dat een non-conformiteit: u beschermt persoonsgegevens van bezoeker A onvoldoende tegen bezoeker B.

3. Geen audit-trail of bewaartermijn

Papieren registers worden in de praktijk niet beschermd tegen wijzigingen (iemand kan met Tipp-Ex een naam wegwerken), niet versleuteld bewaard (de map ligt op de balie), en hebben geen vaste retentie (sommige kantoren bewaren 20 jaar oude registers, andere gooien ze na een jaar weg zonder bewijs). Auditor: "Toon mij het besluit hoe lang u bezoekersgegevens bewaart en waarom."

Wat een auditor specifiek vraagt

Een ervaren ISO 27001-auditor stelt voorspelbare vragen rond bezoekersregistratie. Bereid u op deze concreet voor:

• "Mag ik op een willekeurig moment een lijst zien van de bezoekers die nu in het pand zijn?"
• "Wie ziet die lijst standaard, en wie kan er bij in uitzonderingsgevallen (BHV, calamiteit)?"
• "Hoe weet u dat een bezoeker daadwerkelijk is vertrokken? Wat gebeurt er als hij vergeten is uit te checken?"
• "Welke gegevens registreert u, en hoe heeft u die set gerechtvaardigd (proportionaliteit)?"
• "Welke akkoord-verklaringen ondertekent een bezoeker (huisregels, NDA, AVG)? Hoe is dat per bezoekreden geregeld?"
• "Hoe lang bewaart u bezoekersgegevens en wat is de procedure voor verwijdering na die termijn?"
• "Welke logs heeft u van toegang tot het bezoekersregister zelf? Wie heeft wanneer een record gewijzigd of geraadpleegd?"
• "Hoe loopt de ontruimingsprocedure: kan de BHV-coördinator binnen 30 seconden de aanwezigheidslijst pakken?"

Op alle bovenstaande vragen verwacht de auditor een feitelijk antwoord plus bewijs. Geen "dat regelt de receptionist" - wel "hier ziet u het overzicht in onze tool, hier de configuratie van rolrechten, hier de audit-trail van vorige week."

Hoe een digitaal bezoekersregister dit oplost

Een digitale tablet bij de ingang dekt het overgrote deel van de Annex A.7 en A.5.x-controls af, mits u 'm goed inricht. Concreet:

• Sluitend aanwezigheidsoverzicht. Op elk moment een live lijst van wie binnen is, te exporteren naar de BHV-coördinator. Niet schatten, máár aantonen.
• Privacy by design. De bezoeker ziet alleen het eigen formulier. Geen lijst, geen voorgangers. A.5.34 is daarmee aantoonbaar geregeld.
• Audit-trail. Elke check-in, check-out, wijziging en inzage staat in het log. Wie heeft wanneer wat gedaan? Op de seconde terug te halen.
• Rolgebaseerde toegang. Receptie, beheerder en BHV krijgen elk hun eigen scope. Sluit aan op A.5.15.
• Akkoord-verklaringen met bewijs. Huisregels, NDA en AVG-toestemming worden bij check-in vastgelegd, inclusief tijdstip, taal en exacte tekst. Bij een latere discussie: gewoon de log opvragen.
• Vaste bewaartermijn. Automatische opschoning na de door u gekozen periode (bijvoorbeeld 90 dagen of 1 jaar). Geen rommelige archiefdoos meer.
• Categorieën per bezoekreden. Externe IT-monteur krijgt een striktere flow (NDA, escort verplicht) dan een sollicitant. Zo borgt u A.7.3 voor gevoelige zones.

ISO 27001 en AVG: dezelfde feiten, andere bril

Veel organisaties behandelen ISO 27001 en AVG als twee aparte projecten. Voor bezoekersregistratie is dat onnodig. De feiten - wie was binnen, wanneer, met welke akkoorden - zijn voor beide regimes hetzelfde. Wat verschilt is het perspectief.

AVG kijkt vanuit de betrokkene (de bezoeker): welke gegevens verzamelen we, hoe minimaliseren we, hoe lang bewaren, en hoe respecteren we rechten op inzage of vergetelheid?

ISO 27001 kijkt vanuit de organisatie: hoe beheersen we het proces, kunnen we het aantonen, hebben we het ingebed in een managementsysteem dat ook bij personeelswisseling blijft werken?

Wanneer u uw bezoekersregistratie inricht met één digitaal systeem dat beide kanten dekt, slaat u twee vliegen in één klap: AVG-rechtmatig & ISO 27001 auditable, zonder twee parallelle administraties.

Checklist: is uw bezoekersregister ISO 27001-ready?

Loop deze punten langs voordat uw volgende audit eraan komt. Voor elk item: kunt u bewijs overhandigen, niet alleen een intentie?

• Er is een schriftelijk beleid voor bezoekersregistratie en escort.
• Bezoekers identificeren zich bij binnenkomst (naam + bedrijf minimaal).
• Check-in én check-out worden vastgelegd met tijdstip.
• Er is op elk moment een live aanwezigheidsoverzicht beschikbaar voor BHV.
• Bezoekers zien geen gegevens van andere bezoekers.
• Akkoord-verklaringen (huisregels, NDA, AVG) worden vastgelegd met bewijs (tijdstip + taal + tekst).
• Toegang tot het bezoekersregister is rolgebaseerd; alleen geautoriseerde rollen kunnen lezen of bewerken.
• Mutaties en inzages worden gelogd (audit-trail).
• Bewaartermijn is vastgesteld en wordt automatisch gehandhaafd.
• Procedure voor auto-checkout bij vergeten uitchecken is geconfigureerd.
• Voor gevoelige zones (datacenter, archief) bestaat een aparte bezoekreden-categorie met striktere flow.
• De receptionist of BHV-coördinator kan binnen 30 seconden de aanwezigheidslijst tonen.
• Er is een verwerkersovereenkomst (DPA) met de aanbieder van uw digitale register.
• Het systeem is opgenomen in uw Statement of Applicability (SoA) onder de relevante controls.

Tot slot

ISO 27001 is voor de meeste organisaties geen doel op zich, maar een formaliteit die klanten en partners vragen. Voor bezoekersregistratie geldt iets vergelijkbaars: het gaat zelden om de standaard, vaker om de praktische realiteit dat een papieren register simpelweg niet bestand is tegen een serieuze audit. Een digitale kiosk lost dat in één keer op - en geeft u tegelijk het BHV-overzicht waarvoor u al een tijdje op zoek was.

Wilt u sparren over hoe Bezoekregistratie.nl past in uw Statement of Applicability, of een korte demo van het audit-trail-scherm? Stuur gerust een mail naar hallo@bezoekregistratie.nl. Wij krijgen dit soort vragen vaak van CISO's en kwaliteitsmanagers, en denken graag mee.