Forensisch onderbouwde evidence: wat auditors en verzekeraars echt willen zien

Q: Wat willen cyberverzekeraars precies zien?

Bij het afsluiten willen ze aantoonbare basishygiëne; bij een claim willen ze kunnen reconstrueren wat de staat was rond het incident. Gedateerde, herleidbare evidence ondersteunt beide en kan discussie over dekking voorkomen.

Q: Is forensische evidence hetzelfde als een compliancekeurmerk?

Nee. Evidence is feitelijk, technisch bewijs. Compliance is een breder organisatorisch geheel van beleid, processen en bestuur. Evidence is een noodzakelijke bouwsteen daarvan, geen stempel op zichzelf.

Q: Hoe lang moet ik evidence bewaren?

Bewaar het zolang het een doel dient: voor audits over de looptijd van je verplichtingen, voor verzekeringen rond de polisperiode en eventuele claims, en voor klanten zolang het contract loopt. Een doorlopende tijdlijn is waardevoller dan losse momentopnamen.

Gepubliceerd op 16 juni 2026

Bijna elke securitytool kan een lijst met kwetsbaarheden produceren. Het probleem is dat zo'n lijst de verkeerde vraag beantwoordt. Een auditor, een cyberverzekeraar en een grote klant vragen namelijk niet "heb je een rapport?" maar "kun je aantonen dat het klopt, en dat je er iets mee hebt gedaan?" Dat is een wezenlijk andere eis, en het is precies waar de meeste rapportages tekortschieten.

Dit artikel gaat over het verschil tussen een lijst en bewijs. Wat forensisch onderbouwde evidence is, waarom auditors en verzekeraars het willen zien, en hoe je het opbouwt zonder jezelf rijk te rekenen.

In het kort

Een lijst kwetsbaarheden is geen bewijs. Het zegt wat er mogelijk mis is, niet hoe het is vastgesteld of dat het is opgevolgd.
Forensisch onderbouwde evidence legt de keten vast: wat is aangetroffen, hoe, wanneer en wat ermee is gedaan. Vergelijkbaar met een chain of custody.
Auditors, verzekeraars en grote klanten beoordelen je proces, niet alleen een momentopname. Herleidbaar, gedateerd bewijs is wat dat proces verdedigbaar maakt.
Evidence is een bouwsteen, geen keurmerk. Het onderbouwt compliance, het vervangt die niet.

Waarom een lijst kwetsbaarheden geen bewijs is

Een kwetsbaarhedenlijst voelt geruststellend: het ziet eruit als grip. Maar het mist drie dingen die er bij beoordeling toe doen. Het zegt niet hoe de bevinding is verkregen, dus je kunt het niet controleren. Het zegt niet of het nog actueel is, dus het kan al achterhaald zijn. En het zegt niets over opvolging, dus het toont geen proces.

Voor een bestuur betekent dat het verschil tussen een rapport dat je móet geloven en een rapport dat je kunt navertellen. Hoe je van losse signalen naar stuurbare informatie gaat, beschrijven we in van CVE-lijst tot directierapportage, en waarom een lijst nog geen bestuursbewijs is in van kwetsbaarhedenlijst naar bestuursbewijs.

Wat forensisch onderbouwde evidence is

Forensisch onderbouwde evidence legt per bevinding de hele keten vast. Niet alleen "deze dienst is kwetsbaar", maar: welke module keek, naar welk doelwit, op welk moment, en welke onderliggende observatie tot die conclusie leidde. Daarmee ontstaat iets dat lijkt op een chain of custody in de forensiek: een aaneengesloten keten van waarnemingen die je kunt navertellen en, als het moet, verdedigen.

Het verschil zit dus niet in wéten dat er een kwetsbaarheid is, maar in kunnen laten zien hoe en wanneer die is aangetroffen en opgevolgd. Dat is wat een zorgplicht verdedigbaar maakt in plaats van een papieren belofte. Scannen levert die evidence, maar scannen alleen maakt je niet compliant; die nuance staat in scannen is geen NIS2-compliance.

Wat auditors willen zien

Een auditor toetst niet of je op één moment veilig was, maar of je een proces hebt dat aantoonbaar werkt. Concreet zoekt die naar: gedateerde bevindingen met herkomst, een eigenaar en een besluit per bevinding, een afgesproken hersteltermijn, en een hercontrole die bevestigt dat het herstel echt is doorgevoerd. Een map met die vier elementen, over de tijd opgebouwd, is bij een audit meer waard dan een beleidsdocument zonder bewijs van uitvoering.

Wat cyberverzekeraars willen zien

Bij verzekeraars speelt evidence op twee momenten. Bij het afsluiten van de polis willen ze aantoonbare basishygiëne zien; dat bepaalt mede je premie en voorwaarden. Bij een claim willen ze kunnen reconstrueren wat de staat van je omgeving was rond het incident. Gedateerde, herleidbare evidence ondersteunt beide en kan discussie over dekking voorkomen. Zonder die onderbouwing val je terug op je woord, en dat is precies wat een verzekeraar niet accepteert.

Wat grote klanten willen zien

Lever je aan een organisatie die onder NIS2 valt, dan moet die haar eigen ketenzorgplicht kunnen onderbouwen. Dat vertaalt zich naar vragenlijsten en audits waarin jouw bewijs onderdeel wordt van hun dossier. Een gedateerde scanrapportage met herstelstatus zegt daar meer dan een pagina proza; hoe je zo'n uitvraag aanpakt, lees je in een NIS2-leveranciersvragenlijst beantwoorden.

Hoe bouw je dit op?

Meet doorlopend, niet eenmalig. Een tijdlijn is bewijs van een proces; een losse scan is dat niet.
Leg per bevinding de herkomst vast. Wanneer, hoe en door welke module is het aangetroffen?
Koppel eigenaar, besluit en termijn. Wie pakt het op, of waarom accepteer je het risico bewust, en binnen welke termijn?
Hercontroleer en bewaar het resultaat. Bevestig dat herstel daadwerkelijk is doorgevoerd, en houd dat vast.
Maak het overlegbaar. Vertaal de evidence naar rapportages die je richting auditor, verzekeraar of klant kunt overleggen.

Exposentry is hierop gebouwd: NL-soevereine monitoring die per bevinding forensisch onderbouwd bewijs vastlegt, voor je eigen domeinen en je keten. Bekijk de tarieven of start een scan van je organisatie, zodat je het bewijs al hebt liggen vóór iemand erom vraagt.

Veelgestelde vragen

Wat is forensisch onderbouwde evidence? Bewijs dat per bevinding vastlegt hoe en wanneer die is verkregen, vergelijkbaar met een chain of custody, zodat het navertelbaar en verdedigbaar is.

Waarom is een lijst kwetsbaarheden niet genoeg? Een lijst zegt wat er mogelijk mis is, maar niet hoe het is vastgesteld, of het klopt en of het is opgevolgd. Beoordelaars kijken naar je proces.

Wat willen cyberverzekeraars precies zien? Bij het afsluiten aantoonbare basishygiëne, bij een claim een reconstructie van de staat rond het incident. Gedateerde evidence ondersteunt beide.

Is forensische evidence hetzelfde als een compliancekeurmerk? Nee. Evidence is feitelijk technisch bewijs en een noodzakelijke bouwsteen, geen stempel op zichzelf.

Hoe lang moet ik evidence bewaren? Zolang het een doel dient: rond audits, polisperiodes en de looptijd van klantcontracten. Een doorlopende tijdlijn is waardevoller dan losse momentopnamen.

Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.