De drie wettelijke kaders waar mensen overheen kijken
1. GDPR Article 30 — register van verwerkingen
Iedere organisatie die persoonsgegevens verwerkt — en een gemeentelijke beheer-applicatie verwerkt minstens werknemers-data, vaak ook bewoners-data via meldingen — moet een register bijhouden waarin staat wie de data ziet, welke data ze zien, en waarom. Niet één keer per jaar invullen, maar continu actueel.
Excel kan dit niet. Sticky notes ook niet. Een systeem zonder audit-log voldoet hier per definitie niet aan.
2. NEN 7510 — informatiebeveiliging in de zorg-/publieke sector
NEN 7510 (Nederlandse implementatie van ISO 27001 voor de zorgsector, in toenemende mate toegepast op gemeentelijke infrastructuur) vereist logging van alle toegang tot persoonlijke of vertrouwelijke data. Concreet: elke keer dat een gebruiker een melding, project of asset opent, raadpleegt of wijzigt, moet dat traceerbaar zijn. Voor minimaal 12 maanden.
Voor wegbeheerders die met aanbestedingsdata werken, geldt dit ook. Voor toezichthouders die met bewoners-klachten werken al helemaal.
3. Wet open overheid (Woo) — actieve openbaarmaking
Sinds 2022 zijn gemeenten verplicht om besluitvorming proactief openbaar te maken. Inclusief de onderbouwing. Wanneer een wethouder beslist om de Burgemeester Elsenweg pas in 2028 te renoveren, en er ontstaat in 2027 een dodelijk ongeval door wegdek-falen, moet aantoonbaar zijn dat die beslissing op gronden van toentertijd-bekende-data is genomen.
Zonder audit-log? Geen verdediging. Niet juridisch, niet bestuurlijk, niet publiekelijk.
Wat een echte audit-trail is
Het woord "audit-log" wordt veel gebruikt. Maar er is een groot verschil tussen een lijstje van wijzigingen en een compliance-grade audit-trail. Het tweede heeft minimaal:
- Append-only: rijen kunnen alleen toegevoegd worden, nooit gewijzigd of verwijderd. Niet door admins, niet door developers, niet door database-beheerders.
- Wie: user-ID + email (gedenormaliseerd, want users kunnen later gedeactiveerd worden — de log moet bewaard blijven).
- Wat: actie-type (melding.create, user.role_change, asset.delete) + entiteit-ID.
- Wanneer: UTC-tijdstempel.
- Waar: IP-adres, user-agent, request-ID voor correlatie over micro-services.
- Vóór en na: bij wijzigingen — de oude en nieuwe waarden. Niet alleen "user gewijzigd", maar "user.role: contractor → admin".
Dit is niet ingewikkeld. Het is wel een fundamentele ontwerpkeuze die je vanaf dag 1 maakt — niet iets dat je achteraf "even toevoegt".
Waarom de meeste leveranciers het níet hebben
Eerlijk: append-only audit-logging is duur in opslag, complex in maintenance, en heeft zelden directe verkoopwaarde. Een leverancier die het niet heeft, ziet er feature-rijker uit op een eerste demo (meer schermen, meer kleuren, meer beloften). Pas bij een echte compliance-toets blijkt het verschil.
Dat verschil is dan vaak fatal. Een gemeente die met 18 maanden vertraging ontdekt dat haar leverancier geen 12-maands log heeft, kan niet alsnog terug-loggen. De data is weg.
De morele dimensie
Burgers betalen via belasting voor infrastructuur. Ze hebben er recht op te weten waarom bepaalde wegen prioriteit kregen boven andere, en op basis van welke data. Een wegbeheerder die geen audit-trail kan overleggen, zegt impliciet: "vertrouw me — ik herinner me wel hoe het zat."
In 2026 is dat geen acceptabel antwoord meer. Burgers vragen bewijs. Wethouders vragen bewijs. Verzekeraars vragen bewijs. Rechters vragen bewijs.
Audit-trail is daarom geen feature die je kunt aanvinken op een offerte-formulier. Het is een grondrecht — niet voor de organisatie die haar gebruikt, maar voor de burgers wier infrastructuur ermee wordt beheerd.
Wat te vragen aan je leverancier
- Is je audit-log append-only? Kan ik dat technisch verifiëren?
- Hoe lang worden audit-records bewaard? Wat gebeurt er bij anonymisering (GDPR Article 17) — wordt het record gewist of alleen de PII?
- Kan ik de log exporteren voor een audit door derden, in een ongemanipuleerd formaat?
- Worden API-calls (incl. machine-to-machine) ook gelogd, of alleen UI-handelingen?
- Welke acties zijn niet-loggable? Waarom?
Een leverancier die op deze vragen geen direct antwoord heeft, of die het over "binnenkort" heeft, is niet klaar voor publieke-sector compliance.
Tot slot
Bij FieldOps is iedere mutatie — van inloggen tot het wijzigen van een rol tot het uploaden van een foto — onveranderlijk gelogd met actor, tijdstempel, IP en before/after. Niet omdat we daar marketingruimte voor hebben, maar omdat dat in 2026 het minimum is voor software die publieke middelen beheert.
Het is geen feature. Het is een grondrecht.
Wil je zien hoe een audit-bound infrastructuur-platform werkt? Plan een 20-min demo.