Forensische technologie 5 januari 2026 6 min leestijd

Strafdossier validatie checklist: artefacten, extractievalidatie, timestamps en het technische auditrapport

Welke digitale artefacten vraag je op, hoe valideer je extracties op consistentie en volledigheid, hoe ga je om met timestamp-anomalieën, en hoe stel je een gestructureerd technisch auditrapport op zonder bewijswaardering?

strafdossierdigitale forensiekvalidatieartefactentimestampsclock driftauditrapportbewijsuitsluitingCellebriteNFI

Een digitaal forensisch rapport in een strafdossier kan op meerdere punten technisch aanvechtbaar zijn, zonder dat daarvoor wiskundige kennis of diepgaande forensische expertise vereist is. Veel betwistbare elementen zijn procedureel van aard: artefacten zijn niet opgevraagd, extracties zijn niet gevalideerd op consistentie, of timestamps zijn niet gecorrigeerd voor systeemklokafwijkingen.

Dit artikel biedt een gestructureerd kader voor technische validatie van digitaal forensisch bewijs in strafdossiers. Het gaat uitdrukkelijk over technische verificatie — de inhoudelijke bewijswaardering is het domein van de rechter en het OM.

Welke artefacten je minimaal moet opvragen

Als verdedigingskant bij de beoordeling van een digitaal forensisch rapport heb je toegang nodig tot meer dan de human-readable PDF die standaard in het dossier zit. De volgende artefacten zijn de minimale basis voor technische validatie.

Voor apparaat-gebaseerd onderzoek: de SHA-256 hash van de originele acquisitie, zowel van het volledige imago als van relevante deelbestanden; de hash van de analysekopie die aan het rapport ten grondslag ligt, inclusief de verificatietimestamp; het extractierapport van de forensische tool in machine-leesbaar formaat zoals XML of UFDR in plaats van alleen de PDF; het exacte versienummer van de tool inclusief buildnummer en licentiegegevens; het acquisitielog met tijdstippen, de naam van de analyst, en het serienummer van de write blocker; en bestandssysteeminformatie met de tijdzoneconfiguratie van het apparaat op het moment van acquisitie.

Voor verkeersdata en telecomdata: de provider-metadata inclusief formaat, systeem en exportdatum; de hash van de aangeleverde data door de provider, of expliciet bewijs dat dit niet is bepaald; documentatie van de tijdzone die de provider gebruikt in de uitgeleverde data — UTC, lokale tijd, of Unix epoch timestamp; en bewijs dat de data is aangeleverd voor het verstrijken van de wettelijke bewaartermijn.

Eén van deze elementen ontbreekt in de meeste dossiers. Dat is al een startpunt voor een gegronde technische vordering bij de rechter-commissaris.

Extractievalidatie: consistentie, volledigheid en gaps

Het feit dat een forensisch rapport ontleend is aan een professionele tool garandeert niet dat het volledig of correct is. Validate op drie aspecten.

Consistentie gaat over de vraag of de data intern klopt in tijd en inhoud. Inconsistenties kunnen duiden op selectieve extractie, op gedeeltelijke verwijdering van berichten vóór acquisitie, of op een technisch artefact van de extractietool. Controleer op gespreksthreads zonder openingsbericht, op antwoorden zonder bijbehorende vragen, en op grote chronologische lacunes in communicatiedata.

Volledigheid vraagt of de extractie compleet is of dat er data buiten de scope van het rapport valt. Staat er in het rapport welke apps zijn geëxtraheerd, en expliciet welke niet — bijvoorbeeld versleutelde applicaties die niet konden worden geëxtraheerd? Vermeldt het rapport de aanwezigheid van verwijderde of gedeeltelijk herstelde bestanden, of stelt het expliciet dat dit niet is onderzocht? Zijn partiële extracties gemarkeerd?

Gaps zijn de perioden waarvoor geen data beschikbaar is in het rapport. Noteer de start- en einddatum van de beschikbare data per datakategorie. Zijn er ontbrekende perioden in relatie tot de tijdlijn van het ten laste gelegde feit? En is die gap verklaarbaar — fabrieksreset, wisseling van apparaat, periode vóór aankoop — of onverklaard?

Timestamps: klokafwijking, tijdzones en normalisatie

Timestamps zijn in digitale forensiek kwetsbaar. Apparaatklokken zijn niet noodzakelijk nauwkeurig, en tijdzoneconfiguraties kunnen foutief of inconsistent zijn.

Clock drift is normaal voor mobiele apparaten, computers en servers. Een drift van enkele minuten is acceptabel bij periodieke NTP-synchronisatie. Een drift van uren of dagen is een serieus technisch probleem dat de tijdlijn van een strafdossier significant kan verstoren. Verificeer via NTP-synchronisatielogboeken waar beschikbaar, of vergelijk device-timestamps met event-timestamps uit externe bronnen zoals telecomdata of e-mailheaders om een eventuele offset te reconstrueren.

Tijdzoneconfiguratie is een veelvoorkomende bron van fouten. Een apparaat ingesteld op UTC terwijl de gebruiker in CET/CEST opereerde, geeft timestamps die twee uur afwijken. Cellebrite UFED heeft een configuratieoptie voor tijdzoneinterpretatie; vraag op welke instelling actief was bij de extractie. Als de forensische tool timestamps interpreteert als lokale tijd terwijl ze in UTC zijn opgeslagen, kunnen alle tijdstippen in het rapport systematisch onjuist zijn.

Bij normalisatie over meerdere databronnen moet voor elke bron de oorspronkelijke tijdzone, de toegepaste normalisatie en de residuele onzekerheidsmarge zijn gedocumenteerd. Als dat niet het geval is, is de gecombineerde tijdlijn onbetrouwbaar.

Reproduceerbarheid bij versieverschillen

Bij een heranalyse door de verdediging is de kans groot dat een andere toolversie beschikbaar is dan bij de originele analyse gebruikt. De aanpak is stapsgewijs. Identificeer eerst de exacte toolversie van de originele analyse — vraag dit op als het ontbreekt in het rapport. Probeer dan de heranalyse eerst uit te voeren met dezelfde versie, die bij de leverancier of via archieven beschikbaar kan zijn. Als de exacte versie niet beschikbaar is, gebruik dan de meest recente stabiele versie en documenteer het versieverschil expliciet. Vergelijk daarna de outputs structureel: zijn de resultaten identiek, komen er extra records bij, of vallen records weg? Documenteer elke discrepantie met de versie als mogelijke oorzaak en vraag om een verklaring bij de originele analyst.

De structuur van een technisch auditrapport

Een technisch auditrapport van de verdediging heeft een onderscheiden doel: technische bevindingen rapporteren over de betrouwbaarheid en volledigheid van het forensisch onderzoek. Het rapport waardeert geen bewijs inhoudelijk. Het stelt technische vragen, documenteert technische observaties en geeft aan waar onzekerheidsmarges van toepassing zijn.

Een goed technisch auditrapport bevat een beschrijving van de opdracht en de scope, een uitleg van de gehanteerde methodologie met verwijzing naar relevante normen zoals ISO/IEC 27037, ISO/IEC 27042 en NIST SP 800-86, en bevindingen per categorie. Die categorieën zijn: hashing en integriteitsborging, documentatie van acquisitie, toolversie en configuratie, timestampanalyse en tijdzoneconsistentie, en extractievolledigheid inclusief geïdentificeerde gaps. Het rapport sluit af met een samenvatting van de technische bevindingen en de relevantie ervan voor de betrouwbaarheid van het forensisch bewijs.

Bewijswaardering hoort niet in een technisch auditrapport. Of de verdachte schuldig is, is niet aan de technische expert. Of de technische grondslag van het bewijsmateriaal betrouwbaar is, wel.

Standpunt

Ik werk met strafdossiers omdat het domein me bezighoudt op een manier die weinig andere domeinen dat doen. Digitale forensiek in strafzaken combineert twee dingen die elk voor zich al complex zijn: techniek en recht. Bij elkaar opgeteld zie ik regelmatig rapporten die technisch onvolledig zijn, door mensen die juridisch op gezag van die rapporten beslissingen nemen die het leven van iemand permanent kunnen beïnvloeden.

Dat wil ik verbeteren. Niet vanuit wantrouwen tegenover forensisch onderzoekers — de meesten zijn deskundig en consciëntieus — maar vanuit de overtuiging dat verificatie niet hetzelfde is als wantrouwen. In de wetenschap is onafhankelijke verificatie de hoeksteen van betrouwbaarheid. In de rechtszaal is dat niet anders.

De checklist in dit artikel is geen aanval op het forensisch systeem. Het is een instrument voor kwaliteitsborging. Als alle punten groen zijn, is dat goed nieuws voor alle partijen. Als punten rood zijn, is het beter dat dat aan het licht komt vóór een vonnis dan erna.

CyberSecurity AD heeft deze aanpak als vertrekpunt genomen bij het ontwerp van ons analyse-platform. Elk rapport dat onze omgeving verlaat, bevat de hash van de inputdata, de versie van elk serieus gebruikte tool, de gelogde analysestappen met timestamps in UTC en een verwijzing naar het audittrail dat al deze activiteiten vastlegt. Dat is niet meer dan de basisnorm zou moeten zijn. Het is wat we aan onze opdrachtgevers kunnen bieden: technische validatie die de toets van een onafhankelijke tegenexpert kan doorstaan.

Voor advocaten die voor het eerst met deze materie te maken krijgen: begin met de hash. Staat er een hash in het rapport? Is die hash geverifieerd en gedocumenteerd? Dat is één vraag. Het antwoord zegt al heel veel.

Bronnen

Domeincontext

Dit artikel behandelt strafdossier, digitale forensiek, validatie, artefacten, timestamps, clock drift, auditrapport, bewijsuitsluiting, Cellebrite, NFI binnen de domeinen van cyberbeveiliging, digitale forensiek en strafprocedureel recht in Nederland. Bestemd voor strafrechtadvocaten, compliance-professionals en forensisch onderzoekers.

P.W. Oldenburger

Oprichter, CyberSecurity AD

Over de auteur →

Bijgewerkt: 5 januari 2026

Lees ook

CyberSecurity AD · P.W. Oldenburger · Amsterdam