Bewijsvoering voor access reviews: wat bewaar je en waar?
Een review zonder bewijs is voor de auditor een review die niet heeft plaatsgevonden. Hier wat je bewaart, in welk formaat, en hoe lang.
Bij een ISO-audit vragen auditors om bewijs. "Wij doen reviews" is niet voldoende — ze willen zien wat er gebeurd is, door wie, wanneer.
Per review bewaren
- Snapshot-export: wie had waar toegang op het reviewmoment.
- Beslissingen per rij: keep/revoke/change + eventuele motivatie.
- Betrokkenen: wie heeft welke beslissingen genomen.
- Tijdlijn: start, sluiting, uitvoering van acties.
- Uitvoering: bevestiging dat revoke-acties daadwerkelijk zijn uitgevoerd.
- Eindrapport: 2-pagina PDF met samenvatting, namen, handtekening.
Formaat
PDF is ideaal voor audit-overdracht. Veel tools genereren dit automatisch — zie de AccessGuard-demo voor een voorbeeld-rapport.
Bewaartermijn
Minimaal 3 jaar voor ISO-doeleinden. Praktijk: bewaar zolang je ISO-gecertificeerd bent + 1 jaar.
Opslaglocatie
Eén centrale plek in je wiki/documentensysteem, met ACL op "alleen compliance-team + directie". Niet verspreid over mailboxen.
Wat auditors afwijzen
- Losse screenshots zonder context.
- Rapport zonder datum of namen.
- Geen koppeling tussen beslissing en uitvoering.
- Review-datum in toekomst ("gepland voor volgende week").
Zie ook: pre-audit checklist, review-pillar.
Volledige gids: Periodieke access reviews: proces, frequentie, bewijsvoering
Dit artikel is onderdeel van onze uitgebreide Access reviews-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →