Laatst bijgewerkt: 11 februari 2026 • Leestijd: 7 minuten
Een incident in uw fabriek. De inspecteur vraagt om de audit log. U opent het logbestand en toont de registratie. Maar de inspecteur stelt de vraag die u niet verwachtte: “Hoe bewijst u dat deze log niet achteraf is aangepast?” Met een gewone database kunt u dat niet.
1. Het probleem: “gewone” logging is manipuleerbaar
Elk systeem dat data in een database opslaat, kan die data ook wijzigen. Dat geldt voor ERP-systemen, CMMS-platformen en zelfs voor veel zogenaamde “compliance-tools”.
Wat kan er fout gaan?
- Database-admin wijzigt een record. De originele waarde is voorgoed verdwenen
- Backup wordt overschreven. Het “bewijs” bestaat alleen als kopie die niet verifieerbaar is
- Software-update verandert logformaat. Historische data wordt onleesbaar of onvergelijkbaar
- Medewerker verwijdert onwelgevallige records. Niemand merkt het op
Waarom dit nu urgent is
NIS2 verplicht organisaties in essentiële en belangrijke sectoren om aantoonbaar onmanipuleerbare incident- en wijzigingsregistratie bij te houden. Een gewone database-log voldoet hier niet aan. De boetes bij non-compliance kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet.
2. Wat SHA-256 hashing doet
SHA-256 is een cryptografische hashfunctie die elke input omzet naar een unieke code van 64 tekens. De sleutel: zelfs de kleinste wijziging in de input produceert een compleet andere hash.
Input: "Monteur Jan | Pomp P-301 | Lager vervangen | 2026-02-11 14:30"
SHA-256: a7f3b2c1d8e9f0a1b2c3d4e5f6a7b8c9...f0e1d2c3
Input: "Monteur Jan | Pomp P-301 | Lager gecontroleerd | 2026-02-11 14:30"
SHA-256: e8d2a1f0c9b8a7d6e5f4c3b2a1f0e9d8...b7c8d9e0
✅ Wat het bewijst
- Het record is niet gewijzigd na registratie
- De exacte inhoud op het exacte tijdstip
- Elke afwijking is detecteerbaar
🔒 Eigenschappen
- Eenrichtingsverkeer: hash kan niet terug naar origineel
- Deterministic: zelfde input = altijd zelfde hash
- Collision-resistant: geen twee inputs geven dezelfde hash
3. NIS2 Artikel 21: wat eist de wet?
NIS2 Artikel 21 verplicht “passende en evenredige technische, operationele en organisatorische maatregelen” voor risicobeheersing. Voor audit logging vertaalt dit zich naar 5 concrete vereisten:
Integriteit
Logs moeten aantoonbaar ongewijzigd zijn sinds registratie. SHA-256 hashing levert dit bewijs.
Traceerbaarheid
Elke actie moet herleidbaar zijn naar een specifieke gebruiker, tijdstip en context.
Beschikbaarheid
Logs moeten op elk moment door bevoegde personen opvraagbaar zijn.
Retentie
Minimale bewaartermijnen moeten worden gerespecteerd (typisch 3-5 jaar, afhankelijk van sector).
Export-mogelijkheid
Logs moeten exporteerbaar zijn voor externe audit en rapportage aan toezichthouders.
4. Vergelijkingstabel: hashing vs logging vs blockchain
| Criterium | Basis logging | SHA-256 hashing | Blockchain |
|---|---|---|---|
| Manipulatie-bewijs | ❌ Nee | ✅ Ja | ✅ Ja |
| Implementatiekosten | Laag | Laag | Zeer hoog |
| Complexiteit | Laag | Gemiddeld | Zeer hoog |
| Performance-impact | Geen | Minimaal (<1 ms) | Hoog (seconds) |
| Offline-compatible | ✅ | ✅ | ❌ |
| NIS2-voldoende | ❌ Nee | ✅ Ja | ✅ Ja (overkill) |
| Geschikt voor MKB | ✅ | ✅ Ideaal | ❌ |
De sweet spot
SHA-256 hashing biedt hetzelfde integriteitsbewijs als blockchain, maar zonder de kosten, complexiteit en performance-problemen. Voor één organisatie die haar eigen audit trail beheert, is blockchain een overkill-oplossing voor een probleem dat hashing al oplost.
5. Hoe RaconWorks dit implementeert
RaconWorks berekent bij elke audit-actie een SHA-256 hash over de volledige inhoud van het record. Dit proces is volledig geautomatiseerd. De monteur merkt er niets van.
Registratie
Bij elke actie (werkorder aanpassen, status wijzigen, onderdeel registreren) wordt een audit record aangemaakt met gebruiker, tijdstip, actie en context. De SHA-256 hash wordt berekend over het volledige record.
Verificatie
Op elk moment kan de integriteit worden geverifieerd. Het systeem herberekent de hash en vergelijkt deze met de opgeslagen waarde. Bij afwijking wordt een INTEGRITEITSALARM getriggerd.
NIS2 Export
Het volledige audit trail is exporteerbaar als JSON of CSV , inclusief SHA-256 hashes, voor externe audit en rapportage aan toezichthouders. Zie ook de Data Export API.
Gelogde actietypen
🛡 Severity: HIGH
- Configuratiewijzigingen
- Gebruikersbeheer (toevoegen/verwijderen)
- Data-export acties
⚠ Severity: MEDIUM
- Werkorder status-wijzigingen
- Asset-aanpassingen
- Checklist-completering
NIS2-compliant audit trail nodig?
Ontdek hoe SHA-256 integriteitsverificatie uw onderhoud logging onmanipuleerbaar maakt.
Bekijk de audit trail
Gratis, vrijblijvend, 100% Nederlands.
Geschreven door
Ritchel Akwali
Oprichter van RaconSoft met 10+ jaar ervaring in OT/IT-integratie en procesoptimalisatie in de maakindustrie.
Dit artikel is samengesteld door de experts van RaconSoft, ondersteund door geavanceerde AI-tools voor analyse en redactie.