Kantyra Kantyra

← Alle artikelen

Aantonen

Wat een auditor werkelijk wil zien

Alain Rees · 07-07-2026 · 2 min leestijd

Er bestaat een hardnekkig misverstand over audits: dat de auditor komt controleren of alles perfect is. Dat is niet zo. Een auditor komt controleren of je organisatie wéét waar ze staat, of de keuzes zijn onderbouwd en of het bewijs klopt met het verhaal. Aantonen, de laatste fase van het model, draait dus niet om perfectie, maar om navolgbaarheid.

Bewijs hoort bij het oordeel te wonen

Het klassieke auditprobleem is niet dat het bewijs ontbreekt, maar dat het overal en nergens staat: in mappen, mailboxen en de hoofden van collega's. De oplossing is een simpele woonplaatsregel: elk bewijsstuk hoort bij het oordeel dat het onderbouwt. Een schermafdruk van de MFA-instellingen hangt aan de maatregel over toegangsbeveiliging, het getekende beleid hangt aan de eis over governance. Wie die regel volhoudt, verandert de auditvoorbereiding van weken zoekwerk in een controle van wat er al staat.

De Verklaring van Toepasselijkheid als export

De Verklaring van Toepasselijkheid is het eerste document dat elke auditor opvraagt, en bij veel organisaties is het een jaarlijkse reconstructie achteraf. Het kan andersom: wanneer je per maatregel de status, de motivering en het bewijs bijhoudt, is de verklaring een uitdraai van de actuele stand, met de versie van de norm erbij. Hetzelfde geldt voor de andere kaders, van de Cyberbeveiligingswet tot eigen klanteneisen: één druk op de knop, gedateerd en ondertekenbaar.

De keten vraagt vaker dan de toezichthouder

Wie alleen aan de toezichthouder denkt, onderschat hoe vaak aantoonbaarheid wordt gevraagd. Leveranciersbeoordelingen van grote klanten, aanbestedingen, verzekeraars en certificeringstrajecten stellen allemaal dezelfde vraag in een ander jasje: laat zien dat je in control bent. Elke uitvraag die je binnen een dag beantwoordt, is commercieel een voorsprong, want de concurrent die drie weken moet zoeken, wekt precies de twijfel die jij wegneemt.

En de directie dan?

Aantonen richt zich ten slotte ook naar binnen. De wet legt de verantwoordelijkheid uitdrukkelijk bij het bestuur, en een bestuur kan alleen verantwoordelijkheid dragen voor wat het kan zien. Een managementrapportage met de open risico's, de voortgang op de kaders en de incidenttrend maakt van het kwartaalgesprek over beveiliging een gesprek over feiten. Zo sluit de cirkel van het model: wat je signaleert, beoordeelt en oplost, kun je aantonen, en wat je aantoont, stuurt de volgende ronde.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo