Atlas Academy  ·  IT-audit · Checklist · MKB

IT-audit checklist voor MKB:
20 vragen die elk bedrijf moet kunnen beantwoorden

Een IT-audit hoeft geen groot project te zijn. Het begint met twintig vragen — over licenties, infrastructuur, integraties en beveiliging. Als jij of een medewerker meer dan vier van deze vragen niet kan beantwoorden, is er een blinde vlek in je IT-omgeving. Deze checklist geeft je de structuur om die in kaart te brengen.

Atlas Corporation · mei 2026 · ~1000 woorden

Sectie A: licenties en abonnementen

De meest voorkomende verspilling in MKB-IT zit in licenties. Niet door bewuste keuzes, maar door automatische verlenging, vertrokken medewerkers en overlappende tools. Begin hier:

Vraag 1: Heb je een lijst van alle software-abonnementen die je betaalt — inclusief de creditcardbetalingen die niet via de boekhouder lopen?

Vraag 2: Zijn alle betaalde gebruikerslicenties (Microsoft 365, Google Workspace, Slack, etc.) gekoppeld aan actieve medewerkers? Of lopen er licenties van vertrokken medewerkers door?

Vraag 3: Heb je tools die dezelfde functie vervullen? Twee projecttools, twee cloudopslag-abonnementen, een boekhoudpakket en een apart facturatiesysteem?

Vraag 4: Wanneer renew elk abonnement? Zijn de vervaldata ergens geregistreerd, of ontdek je ze pas als de automatische incasso langskomt?

Vraag 5: Wat zijn de contractuele opzegtermijnen? Zijn er licenties met jaarcontract die je al lang wil afbouwen maar niet kunt?

Sectie B: infrastructuur

Infrastructuur veroudert stilletjes. Hardware blijft na end-of-life draaien, software-updates worden uitgesteld. Na een paar jaar is er een technische schuld waar niemand meer overzicht op heeft.

Vraag 6: Is er een overzicht van alle hardware in gebruik — computers, servers, printers, switches, kassasystemen? Met aanschafdatum en verwachte levensduur?

Vraag 7: Draait er hardware waarvan de fabrikant geen updates of support meer levert (end-of-life)? Weet je welke dat zijn?

Vraag 8: Welke besturingssystemen zijn in gebruik? Zijn er nog Windows 10-machines actief? Windows 10 verliest in oktober 2025 zijn beveiligingsupdates.

Vraag 9: Hoe is het netwerk ingericht? Is wifi gesegmenteerd van bedrijfssystemen? Zijn er gast-netwerken gescheiden van de bedrijfssystemen?

Vraag 10: Wie heeft fysieke en digitale toegang tot de server- of NAS-omgeving? Is dat bijgehouden?

Sectie C: integraties en koppelingen

Integraties zijn het zwakste punt van de meeste MKB-IT-omgevingen. Ze werken — totdat ze niet meer werken. En dan weet niemand meer hoe ze gebouwd waren.

Vraag 11: Zijn er processen in je bedrijf die via een handmatige export-import lopen? Dataoverdracht via Excel, CSV of e-mail die iemand wekelijks of maandelijks uitvoert?

Vraag 12: Welke systemen zijn rechtstreeks aan elkaar gekoppeld? Is er documentatie van die koppelingen: wat wordt gesynchroniseerd, hoe vaak, en wat er moet gebeuren als het fout gaat?

Vraag 13: Als de persoon die een handmatige koppeling onderhoudt ziek wordt of vertrekt, kan een collega dat overnemen zonder documentatie te zoeken?

Vraag 14: Zijn er API-sleutels, wachtwoorden of toegangstokens opgeslagen in een spreadsheet, e-mail of persoonlijk account? Of zijn ze gedocumenteerd in een gecentraliseerde wachtwoordmanager?

Vraag 15: Heeft je kassa-systeem (POS) een directe koppeling met je ERP of boekhouding, of wordt die data handmatig overgedragen?

Sectie D: beveiliging en toegangsbeheer

Beveiliging hoeft niet ingewikkeld te zijn. Maar de basis moet kloppen — en bij de meeste MKB-bedrijven kloppen minstens twee van deze vijf punten niet.

Vraag 16: Is multi-factor authenticatie (MFA) verplicht voor alle medewerkers op mailboxen, het ERP-systeem en boekhoudpakket? Of kunnen medewerkers inloggen met alleen een wachtwoord?

Vraag 17: Is er een back-upbeleid? Waar worden back-ups opgeslagen, hoe vaak, en — cruciaal — is er ooit een restore-test gedaan om te bevestigen dat de back-up ook werkt?

Vraag 18: Wanneer zijn de wachtwoorden van kritieke accounts voor het laatst geroteerd? Zijn er accounts die ooit voor externe partijen zijn aangemaakt en sindsdien actief zijn gebleven?

Vraag 19: Zijn er verwerkersovereenkomsten (AVG/GDPR) afgesloten met alle leveranciers die persoonsgegevens van klanten verwerken? Staan die contracten ergens verzameld?

Vraag 20: Zijn er incidenten geweest — phishing, datalekken, ransomware, verloren hardware — die niet zijn gemeld bij de Autoriteit Persoonsgegevens? Weten medewerkers wanneer melden verplicht is?

Wat doe je met de uitkomst?

Tel het aantal vragen waarop je geen duidelijk antwoord hebt. Als dat meer dan vier zijn, is er een blinde vlek in je IT-regie. Dat hoeft geen crisis te zijn — maar het is wel een risico dat je bewust moet accepteren of adresseren.

Een IT-audit is geen sanctie en geen verkoopgesprek. Het is een gestructureerd overzicht op basis van deze twintig punten — uitgebreid met een beoordeling van de urgentie van elk knelpunt. Atlas voert IT-audits vendor-neutraal uit: we verdienen niets op de producten of leveranciers die we eventueel aanbevelen. De uitkomst is een prioriteitenlijst: wat fix je nu (hoog risico, lage kosten), wat plan je in, wat kun je parkeren.

Vaste prijs €1.250, doorlooptijd twee weken, schriftelijk rapport. Neem contact op voor een intake — we beoordelen in één gesprek of een audit voor jouw organisatie zinvol is.