Chain of custody voor digitale documenten: wat auditors en belastingdiensten werkelijk vereisen
Fysiek bewijs heeft een chain of custody: een log van elke persoon die het heeft behandeld, wanneer en waarom. Die keten bewijst dat het bewijs niet is gemanipuleerd tussen verzameling en presentatie. Rechtbanken weigeren fysiek bewijs zonder.
Digitale documenten hebben hetzelfde probleem en in de meeste EU-jurisdicties dezelfde vereiste. De vraag is niet of je document ergens is opgeslagen. De vraag is of je kunt bewijzen wat ermee is gebeurd tussen aanmaak en vandaag.
Wat chain of custody betekent voor een document
Chain of custody voor een digitaal document betekent kunnen aantonen:
- Het document is aangemaakt op een specifiek moment
- Elke volgende wijziging, verwerkingsstap, conversie of transmissie is vastgelegd
- Elke stap is toe te schrijven aan een specifieke actor (persoon, systeem, dienst)
- Geen stap is achteraf weggelaten of gewijzigd
- Het document dat vandaag wordt gepresenteerd, is hetzelfde document dat die stappen heeft doorlopen
Voor een fysiek object wordt custody vastgesteld door fysieke overdrachten. Voor een digitaal document wordt het vastgesteld door cryptografisch bewijs: hashes, tijdstempels en ondertekende auditinvoeringen.
Wat EU-belastingdiensten vereisen
De vereisten varieren per land maar hebben een gemeenschappelijke structuur.
Duitsland (GoBD): De Grundsatze zur ordnungsmasigen Fuhrung und Aufbewahrung von Buchern definieert dat elektronisch gearchiveerde documenten beschermd moeten zijn tegen wijziging, vindbaar moeten zijn en de oorspronkelijke staat reconstrueerbaar moet zijn. De kernterm is “Unveranderbarkeit” (onveranderlijkheid): documenten moeten worden gearchiveerd op een manier die latere wijzigingen technisch verhindert of ten minste detecteerbaar maakt. GoBD vereist ook dat het archiveringsproces zelf wordt gedocumenteerd, wat betekent dat de keten van het originele document naar het archief traceerbaar moet zijn.
Frankrijk (DGFiP): De Direction Generale des Finances Publiques vereist dat elektronische facturen in hun originele vorm worden bewaard, met integriteit gewaarborgd door een technisch middel. Voor facturen ontvangen in pdf- of hybride formaat moet de integriteitswaarborg de gehele bewaartermijn dekken (zes jaar voor boekhoudkundige documenten, tien jaar voor contracten).
Nederland (Belastingdienst): De vereiste is zeven jaar bewaring met verificeerbaarheid. De Belastingdienst-richtlijnen over elektronisch archiveren stellen uitdrukkelijk dat een document in leesbare vorm reproduceerbaar moet zijn en dat de integriteit van het document aantoonbaar moet zijn.
Belgie: De FOD Financien sluit aan bij EU-richtlijn 2006/112/EG: authenticiteit van oorsprong, integriteit van inhoud en leesbaarheid moeten worden gewaarborgd. Het technische middel (EDI, elektronische handtekening of auditspoor) moet worden gedocumenteerd.
De rode draad: het archiveren van het document is niet voldoende. Je moet ook het bewijs van integriteit archiveren.
Waar auditors werkelijk naar zoeken
Wanneer een auditor een document opvraagt, wil hij doorgaans vaststellen:
- Het document is authentiek (niet achteraf gefabriceerd)
- Het document is niet gewijzigd sinds het werd aangemaakt of ontvangen
- Het document is verwerkt op een manier die consistent is met je opgegeven procedures
Voor belastingcontroles staan de eerste twee centraal. Voor complianceaudits (AVG, NIS2, sectorspecifiek) is het derde vaak even belangrijk.
Auditors accepteren over het algemeen geen “vertrouw me”-antwoorden. Ze zoeken naar technische controls die fabricage of wijziging detecteerbaar maken. De controls die hen tevredenstellen zijn:
Onveranderbare tijdstempels van een vertrouwde derde partij. Een tijdstempel die je zelf hebt gegenereerd, is geen onafhankelijk bewijs. Een tijdstempel van een vertrouwde autoriteit (een RFC 3161 gekwalificeerde TSA) is dat wel. Zie RFC 3161-tijdstempels uitgelegd voor hoe dit in de praktijk werkt.
Auditlogs die niet retroactief kunnen worden gewijzigd. Een logbestand op je eigen server waar alleen jij toegang toe hebt, is geen onafhankelijk bewijs. Een auditspoor waarbij elke vermelding cryptografisch is gekoppeld aan de vorige (een hashketen) betekent dat elke wijziging van een eerdere vermelding alle volgende vermeldingen ongeldig maakt. Een auditor kan dit lokaal verifiëren.
Formatnalevingsdocumentatie. Als je beweert dat een factuur op de datum van verzending conform EN16931 was, heb je het validatierapport van die datum nodig, niet een validatie die je vandaag uitvoert. Het rapport moet naast het document worden opgeslagen.
Het hashketenmechanisme
Een hashketen implementeert een auditspoor dat manipulatie detecteerbaar maakt. Elke vermelding bevat:
- De gebeurtenisgegevens (wat er is gebeurd, wie, wanneer)
- De hash van het document op dat moment
- De hash van de vorige vermelding
Vermelding 1: {event: "aangemaakt", actor: "api:tenant-1", tijd: "2026-03-01T09:00:00Z",
docHash: "sha256:a3f...", prevHash: "0000...0000"}
vermeldingHash: sha256(Vermelding 1-gegevens) = "sha256:7c2..."
Vermelding 2: {event: "gevalideerd", actor: "systeem", tijd: "2026-03-01T09:00:01Z",
docHash: "sha256:a3f...", prevHash: "sha256:7c2..."}
vermeldingHash: sha256(Vermelding 2-gegevens) = "sha256:b19..."
Vermelding 3: {event: "tijdstempel", actor: "tsa:qualified-eu", tijd: "2026-03-01T09:00:02Z",
docHash: "sha256:a3f...", prevHash: "sha256:b19..."}
vermeldingHash: sha256(Vermelding 3-gegevens) = "sha256:f44..."Als iemand Vermelding 2 wijzigt (bijvoorbeeld om de actor of het tijdstip te veranderen), verandert de hash van Vermelding 2. De prevHash in Vermelding 3 komt niet meer overeen. De keten is gebroken. Een auditor die de keten berekent vanaf Vermelding 1, detecteert de inconsistentie.
Dit is hetzelfde principe als bij blockchain, maar toegepast op documentauditsporen zonder de overhead van een gedistribueerd grootboek. De keten is lineair, deterministisch en verifieerbaar met een SHA-256-implementatie.
De kloof tussen “opgeslagen” en “bewezen”
De meeste documentbeheersystemen bieden opslag met toegangscontroles. Sommige bieden versiegeschiedenis. Weinigen bieden bewijs.
De kloof is: een systeem waarbij alleen jij de controle hebt over het auditlog, biedt geen onafhankelijk bewijs van de integriteit van dat auditlog. Als je loginvoeringen kunt verwijderen of bewerken, kan een sceptische auditor het log niet vertrouwen.
De mechanismen die de kloof dichten zijn externe verankering (een gekwalificeerde RFC 3161-tijdstempel van een TSA die je niet zelf beheert), hashketenconsistentie (zodat logmanipulatie detecteerbaar is) en archivering op formaatniveau (PDF/A-3 zodat het document niet degradeert of anders wordt weergegeven door de tijd).
Dit zijn de componenten van een Legal Evidence Pack. Het pakket is de bewijseenheid die je produceert wanneer een auditor een document wil inzien.
Bewaartermijnen per documenttype (EU-overzicht)
| Documenttype | Bewaartermijn | Belangrijkste jurisdictie |
|---|---|---|
| Btw-facturen | 7 jaar | Duitsland (GoBD), Nederland |
| Btw-facturen | 10 jaar | Frankrijk, Belgie |
| Contracten | 10 jaar (commercieel) | Meeste EU-lidstaten |
| Personeelsdossiers | Duur dienstverband + 5-10 jaar | Varieert per land |
| Boekhoudkundige bescheiden | 10 jaar | Meeste EU-lidstaten |
| Medische dossiers | 10-30 jaar | Varieert aanzienlijk |
| Overheidsaanbestedingen | 5-10 jaar na contractsluiting | EU-richtlijn 2014/24/EU |
De bewaartermijn begint op verschillende momenten afhankelijk van documenttype en jurisdictie. Voor facturen begint hij doorgaans aan het einde van het boekjaar waarin de factuur werd uitgesteurd, niet op de factuurdatum.
SealDoc en chain of custody
SealDoc registreert een hashgekoppeld auditspoor voor elk document dat zijn pijplijn doorloopt. De keten begint bij het aanmaken van het document, omvat elke verwerkingsstap (validatie, conversie, ondertekening, archivering) en is verankerd met een RFC 3161-tijdstempel van een gekwalificeerde EU-TSA.
Het auditspoor wordt geexporteerd als onderdeel van het Legal Evidence Pack. Elke vermelding is machine-verifieerbaar onafhankelijk van de systemen van SealDoc. Als je organisatie documenten tien jaar bewaart en SealDoc in jaar acht niet meer bestaat, blijft het evidence pack onafhankelijk verifieerbaar: de keten wordt berekend uit de documenthashes en de RFC 3161-tijdstempel wordt geverifieerd aan de hand van het publieke certificaat van de TSA, dat openbaar is.
Die onafhankelijkheid is het punt. Bewijs dat afhankelijk is van de voortdurende werking van de bewijsuitgever, is geen betrouwbaar bewijs op de lange termijn.