De auditor is vroeg. De documentatie niet.

Het is maandag 8:03. Je koffie is nog niet op. De receptie belt: de R2-auditor staat in de lobby. Je compliancemanager staat niet in de lobby. Je compliancemanager staat op de parking en stapt met de vastberadenheid van iemand die net een bericht kreeg: "de auditor is te vroeg".

De auditor is altijd te vroeg. Dat is geen toeval. Het is strategie. Ze willen de operatie zien voor jij tijd had om de operatie toonbaar te maken.

Je compliancemanager komt binnen, licht buiten adem, en begint het ritueel: vier systemen openen, drie browsertabs, twee gedeelde drives en een map op iemands desktop met de naam "Certificates 2025 FINAL (2)" — waarbij "(2)" de meest angstaanjagende tekens in het hele compliancelandschap zijn.

De speurtocht

R2-certificering vraagt documentatie. Veel documentatie. Keten van bewaring voor elk toestel. Wiscertificaten voor elk datadragend asset. Documentatie van downstream vendors. Milieucompliancerecords. Procesdocumentatie. Trainingsrecords. De auditor wil alles zien, en wel op een manier die logisch is.

In een doorsnee ITAD-operatie leeft die documentatie in:

— Het inventoriesysteem (een deel)
— Het rapportageportaal van de erasuresoftware (nog een deel)
— Een gedeelde drive met 14 mappen, waarvan 6 "Archive" heten (verrassend veel)
— E-mail (alles wat nergens anders te vinden is)
— Iemands hoofd (alles wat nooit is uitgeschreven)
— Een dossierkast achteraan op kantoor die niemand opent omdat ze achter een kapotte plank staat (het echt oude spul)

De auditor vraagt de keten van bewaring voor asset RV-000024107. Je compliancemanager opent het inventoriesysteem: ontvangen op 3 februari. Opent het erasureportaal: gewist op 8 februari. Opent de gedeelde drive: certificaat niet te vinden. Opent e-mail: vindt een PDF van de erasurevendor van 9 februari. Opent de dossierkast: vindt een geprint verwerkingsrapport van 7 februari dat niemand heeft gescand.

De keten van bewaring heeft vijf schakels en ze liggen op vijf plaatsen. De auditor schrijft iets op. Die notitie wordt een finding. Die finding wordt een actiepunt. Je maandag is net langer geworden.

Een audit test niet je compliance. Ze test je documentatie. Je kunt volledig compliant zijn en toch zakken als je het niet kunt bewijzen.

Het drie-mensen-twee-weken-model

De meeste ITAD-operaties bereiden audits op dezelfde manier voor: drie mensen spenderen twee weken aan documentatie samenstellen. Ze exporteren rapporten, kruisen spreadsheets, zoeken ontbrekende certificaten en maken er een presentatie van die professioneel oogt en 200 mensuren kostte.

Dat is waanzin. Niet omdat het werk nutteloos is — documentatie doet er echt toe — maar omdat het werk geen assemblage zou mogen zijn. Als je processen documentatie produceren terwijl ze lopen, valt er niets samen te stellen. Het wiscertificaat hangt aan het asset zodra de wissing gebeurt. De keten van bewaring bouwt zichzelf op terwijl het toestel door je magazijn beweegt. Het verwerkingsrapport ontstaat wanneer verwerking afgerond is.

Auditvoorbereiding hoort geen project te zijn. Het hoort een knop te zijn. Trek het rapport. Stuur de link. Ga verder werken.

Wat "altijd audit-ready" echt betekent

Het betekent niet dat je meer tijd aan compliance besteedt. Het betekent dat je nul extra tijd aan compliance besteedt, omdat compliancedocumentatie een bijproduct is van je normale operatie.

Je ontvangt een toestel. Het systeem logt de ontvangst: datum, tijd, operator, bron, conditie. Je test het. Het systeem logt de test: resultaten, pass/fail, tester, timestamp. Je wist het. Het wiscertificaat wordt automatisch gekoppeld: per drive, geverifieerd, gelinkt. Je verplaatst het. Het systeem logt de beweging: van, naar, reden, wie, wanneer.

Als de auditor de keten van bewaring voor asset RV-000024107 vraagt, typ je de ID en de volledige historiek verschijnt. Receiving, testing, gegevenswissing, beweging, grading, listing, verkoop. Elke stap met timestamp, eigenaar en link. Geen speurtocht. Geen "(2)"-mappen. Geen sprint vanaf de parking.

De auditor is te vroeg. In een goed draaiende operatie is dat prima. In een typische operatie is het een adrenalinemoment. Het verschil is niet de auditor. Het verschil is of je documentatie op één plaats leeft of op vijf, of ze zichzelf opbouwt of met de hand wordt samengesteld, of je maandag begint met koffie of met een sprint.