Stel dat een toezichthouder bij u langskomt en vraagt om aan te tonen dat een bepaalde maatregel al maanden op orde is. U laat een document zien met een datum erop. Logische vervolgvraag: hoe weet de controleur dat die datum echt is, en dat het document niet gisteren is opgesteld of aangepast?
Dat is een wezenlijk punt. Bewijs is pas overtuigend als vaststaat dat het niet achteraf is bijgewerkt. In dit artikel leggen we uit hoe dat werkt, zonder technisch jargon.
Het verschil tussen bewijs en betrouwbaar bewijs
Iedereen kan een document maken met een datum erin. Een datum in een bestand zegt op zichzelf weinig: bestanden kunnen worden overschreven, datums kunnen worden veranderd. Voor een toezichthouder, een verzekeraar of een opdrachtgever die uw beveiliging beoordeelt, telt daarom niet alleen dat u bewijs heeft, maar of dat bewijs integer is. Integer betekent hier: het staat vast dat er niet ongemerkt aan gesleuteld is.
Bij een geschil of een controle is achteraf aangepast bewijs erger dan geen bewijs. Het ondermijnt uw geloofwaardigheid over de hele linie. De vraag is dus niet alleen of u iets kunt laten zien, maar of het standhoudt onder kritisch bekijken.
Een auditspoor in mensentaal
De oplossing heet een auditspoor, of audit-trail. Het idee is eenvoudig: elke handeling in uw dossier wordt vastgelegd in een doorlopende lijst. Wie deed wat, wanneer, en aan welke maatregel. Die lijst groeit alleen aan; er wordt nooit iets uit verwijderd of in herschreven.
Het krachtige zit in hoe die lijst aan elkaar geknoopt is. U kunt het vergelijken met een ketting waarvan elke schakel een afdruk van de vorige schakel bevat. Wijzigt iemand achteraf een schakel die ergens in het midden zit, dan klopt de afdruk in de volgende schakel niet meer. De ketting breekt zichtbaar op precies dat punt.
Dat betekent twee dingen:
- Iets toevoegen kan altijd. Het dossier blijft gewoon groeien met nieuwe handelingen.
- Iets achteraf veranderen blijft niet onopgemerkt. Elke poging breekt de keten en wordt daardoor zichtbaar.
U bewijst niet alleen dat iets gebeurd is, maar ook dat de vastlegging ervan sindsdien niet is aangeraakt.
Waarom dit uw aantoonbaarheid versterkt
Voor de meeste verplichtingen, of die nu uit de AVG, de aankomende Cyberbeveiligingswet (de Nederlandse NIS2-implementatie, naar verwachting in 2026 van kracht) of een sectorkader komen, geldt dezelfde onderliggende eis: u moet kunnen aantonen dat u passende maatregelen neemt. De AVG noemt dit de verantwoordingsplicht. Aantonen is meer dan beweren. Het vraagt om bewijs dat een buitenstaander serieus kan nemen.
Een manipulatie-bestendig auditspoor levert precies dat. Het verandert uw positie van "wij zeggen dat het geregeld is" naar "wij laten zien dat het geregeld is, en dat aan die vastlegging sindsdien aantoonbaar niet ongemerkt is gesleuteld". Dat is een wezenlijk sterkere uitgangspositie, of u nu tegenover een toezichthouder, een grote opdrachtgever of uw eigen bestuur staat.
"Goed bewijs laat zien dat iets gebeurd is. Sterk bewijs laat daarbovenop zien dat niemand het achteraf heeft bijgesteld."
Wat dit voor u betekent
U hoeft hiervoor zelf geen techniek te begrijpen of bij te houden. Het auditspoor draait op de achtergrond mee terwijl u uw compliance op orde houdt. Het verschil merkt u pas op het moment dat het ertoe doet: wanneer iemand vraagt om bewijs, en u dat kunt leveren op een manier die aantoonbaar maakt dat de vastlegging sindsdien niet ongemerkt is gewijzigd.
Wilt u eerst helder krijgen welke verplichtingen op uw organisatie rusten, dan helpt een korte scope-check u op weg. Van daaruit wordt zichtbaar welk bewijs u straks moet kunnen aantonen.
Bron: Autoriteit Persoonsgegevens: Verantwoordingsplicht AVG
Wilt u weten welk bewijs u straks moet kunnen aantonen, en hoe u borgt dat manipulatie ervan zichtbaar wordt?
