Officieel beveiligingscertificaat op donker bureau naast USB-beveiligingssleutel en gesloten laptop, in stalen blauwtinten.

Een grote klant vraagt om een bewijs dat we veilig zijn, wat moet ik aanleveren?

Een grote klant stuurt een e-mail met de vraag of jullie kunnen aantonen dat de organisatie veilig is. Herkenbaar? Dit soort verzoeken komen steeds vaker voor, zeker nu cybersecurity compliance een standaard onderdeel wordt van inkoopprocessen en leveranciersbeoordelingen. Maar wat wordt er nu precies bedoeld, en hoe pak je zoiets aan? In dit artikel beantwoorden we de meest gestelde vragen rondom het aanleveren van bewijs van veiligheid aan klanten.

Wat bedoelt een klant als hij bewijs van veiligheid vraagt?

Als een klant vraagt om bewijs van veiligheid, wil die aantonen dat jouw organisatie aantoonbaar maatregelen heeft genomen om data, systemen en processen te beschermen. Dit kan gaan om een certificaat, een auditrapport, een pentestrapport of een ingevulde vragenlijst. De exacte invulling verschilt per klant en per sector.

Achter zo’n verzoek zit vrijwel altijd een zakelijke reden. Grote organisaties, zeker in de financiële sector, de zorg of de overheid, zijn zelf verplicht om hun leveranciersketen te beoordelen. Dat noemen we third-party risk management. Ze willen weten of een zwakke schakel in hun keten hen kwetsbaar maakt. Door jou te vragen om bewijs van veiligheid dekken ze zichzelf in.

Soms is het verzoek concreet: “Stuur ons je ISO 27001-certificaat.” Maar vaker is het vaag: “Kunnen jullie aantonen dat jullie cybersecurity op orde is?” In dat laatste geval is het slim om eerst te vragen wat de klant precies nodig heeft en welk niveau van bewijs volstaat. Dat scheelt veel onnodige inspanning.

Welke documenten of certificaten worden het vaakst gevraagd?

De meest gevraagde bewijzen van veiligheid zijn een ISO 27001-certificaat, een recent pentestrapport, een vulnerability scanrapport, een ingevulde beveiligingsvragenlijst of een ISAE 3402-verklaring. Welk document een klant verwacht, hangt af van de sector, de gevoeligheid van de data en de interne eisen van de klant.

Een overzicht van wat het vaakst voorkomt:

  • ISO 27001-certificering: De internationale norm voor informatiebeveiliging. Dit is het meest erkende en breed geaccepteerde bewijs van veiligheid. Het toont aan dat een organisatie een gedocumenteerd en geaudit Information Security Management System (ISMS) heeft.
  • Pentestrapport: Een verslag van een penetratietest uitgevoerd door een ethische hacker. Dit laat zien welke kwetsbaarheden zijn gevonden en hoe ze zijn opgelost.
  • Vulnerability scanrapport: Een minder diepgaand maar sneller te verkrijgen overzicht van bekende kwetsbaarheden in systemen.
  • Beveiligingsvragenlijsten (zoals SIG of CAIQ): Gestandaardiseerde vragenlijsten die organisaties invullen om hun beveiligingsmaatregelen te beschrijven.
  • ISAE 3402 of SOC 2-rapportage: Audits die bewijzen dat interne beheersingsmaatregelen effectief zijn, populair bij IT-dienstverleners en SaaS-aanbieders.
  • NIS2-compliance documentatie: Steeds vaker gevraagd nu de NIS2-richtlijn in 2026 breed wordt gehandhaafd.

Wat is het verschil tussen een audit, een pentest en een vulnerability scan?

Een audit beoordeelt of beleid, processen en maatregelen aanwezig en effectief zijn. Een penetratietest simuleert een echte aanval om te ontdekken wat een aanvaller kan bereiken. Een vulnerability scan is een geautomatiseerde check die bekende technische kwetsbaarheden in kaart brengt. Ze vullen elkaar aan, maar meten verschillende dingen.

Het onderscheid is belangrijk als je bepaalt welk bewijs je kunt aanleveren:

  • Audit: Gericht op governance en beleid. Kijkt of de organisatie de juiste procedures volgt. Resultaat is een auditrapport of certificaat zoals ISO 27001.
  • Penetratietest: Technisch en hands-on. Een ethische hacker probeert actief in te breken in systemen, applicaties of netwerken. Het rapport toont aan welke aanvalsroutes mogelijk zijn en hoe ernstig de risico’s zijn.
  • Vulnerability scan: Geautomatiseerd en snel. Geeft een momentopname van bekende zwaktes, maar bewijst niet dat die zwaktes ook daadwerkelijk uitgebuit kunnen worden.

Voor een klant die echt wil weten of jouw systemen weerbaar zijn, is een pentestrapport het meest overtuigende bewijs van veiligheid. Een vulnerability scan is een goed startpunt, maar wordt door veel grote klanten als onvoldoende beschouwd.

Hoe snel kan een organisatie zo’n bewijs aanleveren?

Dat hangt af van welk bewijs gevraagd wordt. Een vulnerability scanrapport is binnen enkele dagen beschikbaar. Een pentestrapport kost doorgaans één tot drie weken. Een ISO 27001-certificering vereist maanden van voorbereiding en een externe audit. Wie al een pentest heeft laten uitvoeren, kan snel leveren.

Praktische tijdsindicaties per type bewijs:

  • Vulnerability scan: 1 tot 5 werkdagen, inclusief rapportage.
  • Penetratietest: 1 tot 3 weken, afhankelijk van de scope en complexiteit.
  • Beveiligingsvragenlijst: Enkele dagen tot een week, mits de informatie beschikbaar is.
  • ISO 27001-certificering: Minimaal 3 tot 6 maanden voor een organisatie die dit van de grond af opbouwt.
  • NIS2-compliance documentatie: Afhankelijk van de volwassenheid van de organisatie, maar een nulmeting is snel te organiseren.

Als de deadline krap is, is een recente pentest of vulnerability scan de snelste manier om iets concreets aan te leveren. Combineer dit eventueel met een begeleidende brief of verklaring van een CISO of beveiligingsverantwoordelijke.

Wat als een organisatie nog geen enkel bewijs heeft?

Als een organisatie nog geen enkel bewijs van veiligheid heeft, is de eerste stap een nulmeting: breng in kaart wat er al aanwezig is aan beleid, maatregelen en technische beveiliging. Vervolgens bepaal je welk bewijs het snelst haalbaar is en het beste aansluit bij de klantvraag. Beginnen zonder enige basis is zeldzamer dan je denkt.

Veel organisaties hebben al meer dan ze denken. Denk aan firewallconfiguraties, toegangsbeleid, back-upprocedures of een privacybeleid. Het ontbreekt vaak niet aan maatregelen, maar aan de documentatie en aantoonbaarheid ervan.

Een praktische aanpak als je van nul start:

  1. Voer een nulmeting of cyber assessment uit om te zien waar je staat.
  2. Laat een vulnerability scan of pentest uitvoeren als snel aantoonbaar technisch bewijs.
  3. Documenteer bestaande maatregelen in een informatiebeveiligingsbeleid.
  4. Communiceer transparant naar de klant over de huidige stand en het verbetertraject.

Een klant waardeert eerlijkheid. Als je aangeeft dat je bezig bent met certificering en al concrete stappen zet, is dat vaak een acceptabele tussenoplossing. Zwijgen of iets beloven wat er niet is, werkt altijd averechts.

Wie binnen de organisatie is verantwoordelijk voor dit bewijs?

De verantwoordelijkheid voor het aanleveren van een beveiligingsbewijs ligt primair bij de CISO (Chief Information Security Officer) of, als die rol ontbreekt, bij de IT-manager of directie. In kleinere organisaties is dit vaak de directeur zelf. Zonder aangewezen eigenaar blijven dit soort verzoeken liggen.

In de praktijk zijn meerdere mensen betrokken:

  • CISO of beveiligingsverantwoordelijke: Coördineert het verzamelen en beoordelen van het bewijs.
  • IT-afdeling: Levert technische rapportages, scanresultaten en configuratiedocumentatie aan.
  • Juridische of compliance afdeling: Beoordeelt wat gedeeld mag worden en welke vertrouwelijkheidsafspraken nodig zijn.
  • Directie of management: Ondertekent verklaringen en draagt eindverantwoordelijkheid.

Organisaties die geen CISO hebben, werken soms met een virtuele CISO, een externe specialist die deze rol op afstand invult. Dit is een effectieve oplossing voor mkb-organisaties die wel de kennis nodig hebben, maar geen volledige interne functie kunnen vullen.

Hoe Q-Cyber helpt bij het aantonen van veiligheid aan klanten

Wij begrijpen dat een verzoek om bewijs van veiligheid soms overweldigend aanvoelt, zeker als je niet precies weet waar je staat. Q-Cyber helpt organisaties om snel en concreet antwoord te geven op dit soort klantvragen, van de eerste nulmeting tot een volledig dossier dat klanten overtuigt.

Wat wij voor jou kunnen doen:

  • Penetratietesten en vulnerability scans uitvoeren die resulteren in professionele rapportages die je direct kunt delen met klanten.
  • Nulmetingen en cyber assessments waarmee je snel inzicht krijgt in je huidige beveiligingsniveau.
  • Beleid schrijven en documenteren zodat bestaande maatregelen aantoonbaar worden.
  • NIS2-compliance begeleiding voor organisaties die moeten voldoen aan de nieuwe Europese eisen.
  • Virtuele CISO-diensten voor organisaties die een vaste beveiligingsverantwoordelijke nodig hebben zonder een fulltime aanstelling.

Of je nu een pentest nodig hebt voor volgende week of een langetermijnstrategie wilt opbouwen, wij denken pragmatisch en onafhankelijk mee. Neem contact op via q-cyber.nl/contact en we kijken samen wat het snelste en meest passende bewijs is voor jouw situatie.