Begrippenlijst
Beveiligingsonderzoek zit vol vaktermen en afkortingen. Deze lijst legt de begrippen uit die u tegenkomt in een pentestrapport, een offerte of een gesprek over compliance, in gewone taal en zonder onnodig jargon. Bedoeld voor bestuurders, IT-verantwoordelijken en inkopers, niet alleen voor specialisten.
38 begrippen · laatst bijgewerkt juli 2026
Aanvalsoppervlak
Het aanvalsoppervlak is het geheel van punten waar een aanvaller een systeem kan proberen binnen te komen. Denk aan inlogpagina's, API-endpoints, uploadfuncties, open poorten en koppelingen met andere systemen. Hoe groter en complexer een applicatie, hoe groter het aanvalsoppervlak. Een van de doelen van een penetratietest is dit oppervlak volledig in kaart te brengen, ook de onderdelen die een team zelf niet meer scherp op het netvlies heeft.
Authenticatie
Authenticatie is het proces waarmee een systeem vaststelt wie een gebruiker is, bijvoorbeeld via een wachtwoord, een tweede factor of een certificaat. Het beantwoordt de vraag of iemand werkelijk is wie hij zegt te zijn. Zwakke authenticatie, zoals het ontbreken van meervoudige verificatie of het toestaan van eenvoudige wachtwoorden, is een veelvoorkomende bevinding. Authenticatie wordt vaak verward met autorisatie, terwijl het om twee verschillende zaken gaat.
Zie ook: Autorisatie
Autorisatie
Autorisatie bepaalt wat een reeds ingelogde gebruiker mag zien en doen. Waar authenticatie vaststelt wie iemand is, regelt autorisatie welke gegevens en handelingen bij die persoon horen. Fouten in de autorisatie, zoals een gebruiker die door het aanpassen van een ID de gegevens van een ander kan opvragen, behoren tot de meest voorkomende en meest schadelijke kwetsbaarheden in webapplicaties.
Zie ook: IDOR
AVG
De Algemene verordening gegevensbescherming is de Europese privacywet, internationaal bekend als GDPR. De wet stelt eisen aan de manier waarop organisaties persoonsgegevens verzamelen, bewaren en beveiligen. Passende technische maatregelen zijn verplicht, en een penetratietest is een gangbare manier om aan te tonen dat u die maatregelen serieus toetst. Bij een datalek met risico voor betrokkenen geldt bovendien een meldplicht bij de Autoriteit Persoonsgegevens.
Zie ook: Meldplicht
Bevinding
Een bevinding is een concreet resultaat uit een penetratietest, bijvoorbeeld een kwetsbaarheid, een verkeerde instelling of een risico dat tijdens het onderzoek is vastgesteld. In het rapport krijgt elke bevinding een omschrijving, reproductiestappen, een inschatting van de ernst en een aanbeveling. Niet elke bevinding is even urgent, daarom worden ze geprioriteerd zodat uw team weet welke zaken als eerste aandacht verdienen.
Zie ook: Risicoclassificatie
BIO
De Baseline Informatiebeveiliging Overheid is het verplichte normenkader voor informatiebeveiliging bij de Nederlandse overheid, waaronder gemeenten, provincies en waterschappen. De BIO is gebaseerd op de ISO 27000-reeks en vertaalt die naar concrete maatregelen voor de publieke sector. Voor veel overheidssystemen is periodiek technisch testen onderdeel van het aantoonbaar voldoen aan de BIO.
Zie ook: ENSIA
Blackbox-test
Bij een blackbox-test krijgt de tester vooraf geen informatie over de binnenkant van het systeem, net als een echte aanvaller van buitenaf. Deze aanpak laat goed zien wat iemand zonder voorkennis kan bereiken, maar kost meer tijd aan verkenning en mist mogelijk zaken die dieper in de code verborgen zitten. Voor de meeste opdrachten is een tussenvorm efficiënter.
Zie ook: Whitebox-test
CSRF
Cross-Site Request Forgery is een aanval waarbij een kwaadwillende de browser van een ingelogde gebruiker ongemerkt een handeling laat uitvoeren, bijvoorbeeld een wachtwoordwijziging of een betaling. De server ziet een geldig verzoek van een geauthenticeerde gebruiker en voert het uit. Bescherming bestaat onder meer uit anti-CSRF-tokens en een juist gebruik van de SameSite-instelling op cookies.
Zie ook: SameSite-cookie-bypass
CVE
Een CVE, voluit Common Vulnerabilities and Exposures, is een uniek nummer voor een publiek bekende kwetsbaarheid in specifieke software. Het nummer, bijvoorbeeld CVE-2024-12345, zorgt ervoor dat iedereen ondubbelzinnig naar dezelfde kwetsbaarheid verwijst. In een pentestrapport verwijzen we naar CVE's wanneer een bevinding voortkomt uit bekende, verouderde software waarvoor al een oplossing beschikbaar is.
CVSS
Het Common Vulnerability Scoring System is een gestandaardiseerde methode om de ernst van een kwetsbaarheid uit te drukken in een cijfer van 0 tot 10. De score houdt rekening met zaken als hoe eenvoudig de kwetsbaarheid te misbruiken is en wat de impact is. CVSS geeft een objectief vertrekpunt, maar de uiteindelijke prioriteit hangt ook af van uw specifieke context en bedrijfsrisico.
Zie ook: Risicoclassificatie
Datalek
Een datalek is een inbreuk op de beveiliging waarbij persoonsgegevens verloren gaan of in verkeerde handen komen, bijvoorbeeld na een hack, een verkeerd verstuurde e-mail of een gestolen laptop. Onder de AVG moet u een datalek met risico voor betrokkenen binnen 72 uur melden bij de Autoriteit Persoonsgegevens, en soms ook bij de betrokkenen zelf. Veel datalekken beginnen bij een kwetsbaarheid die met tijdig testen te vinden was geweest.
Zie ook: Meldplicht, AVG
DigiD-assessment
Organisaties die DigiD gebruiken om burgers te laten inloggen, moeten jaarlijks aantonen dat hun aansluiting veilig is. Dat gebeurt via een DigiD-assessment volgens een vaste norm, uitgevoerd door een registeraccountant of IT-auditor. Een penetratietest van de betrokken systemen is een verplicht onderdeel van dat assessment. De uitkomst gaat naar Logius, de beheerder van DigiD.
Zie ook: ENSIA
ENSIA
ENSIA staat voor Eenduidige Normatiek Single Information Audit en is de jaarlijkse verantwoordingssystematiek waarmee gemeenten hun informatiebeveiliging aantonen. Het bundelt meerdere verantwoordingen, waaronder die over DigiD en de basisregistraties, in één cyclus. De planning kent een vaste ritmiek, waardoor gemeenten hun pentests doorgaans in het eerste halfjaar inplannen.
Zie ook: Pentest voor gemeenten
Exploit
Een exploit is een stuk code, een reeks handelingen of een techniek waarmee een kwetsbaarheid daadwerkelijk wordt misbruikt. Het verschil tussen een kwetsbaarheid en een exploit is het verschil tussen een openstaand raam en iemand die er ook echt doorheen klimt. Tijdens een penetratietest wordt een kwetsbaarheid waar dat verantwoord kan ook echt uitgebuit, om de werkelijke impact aan te tonen in plaats van die te veronderstellen.
Zie ook: Kwetsbaarheid
Greybox-test
Een greybox-test is de veelgebruikte tussenvorm tussen blackbox en whitebox. De tester krijgt beperkte voorkennis, bijvoorbeeld een gewoon gebruikersaccount en globale documentatie, en werkt van daaruit verder alsof hij een aanvaller met een voet tussen de deur is. Voor de meeste opdrachten geeft dit de beste verhouding tussen diepgang en tijd, met genoeg context om snel door te stoten zonder alles vooraf weg te geven.
Zie ook: Blackbox-test, Whitebox-test
Hertest
Een hertest is een gerichte controle nadat uw team de gevonden kwetsbaarheden heeft opgelost. Niet de hele applicatie wordt opnieuw onderzocht, alleen de eerdere bevindingen. Per bevinding leggen we vast of die is opgelost, gemitigeerd of nog open staat. De hertest wordt als aparte verklaring aan het rapport toegevoegd en is bruikbaar als bewijs richting klanten, auditors of toezichthouders. Bij Resync is de hertest bij de vaste prijs inbegrepen.
Zie ook: Voorbeeldrapport
IDOR
Insecure Direct Object Reference is een kwetsbaarheid waarbij een gebruiker toegang krijgt tot gegevens van iemand anders door simpelweg een verwijzing aan te passen, bijvoorbeeld een klantnummer of document-ID in de URL. De applicatie controleert wel of iemand is ingelogd, maar niet of die persoon recht heeft op juist die gegevens. IDOR komt veel voor en kan leiden tot grootschalige datalekken.
Zie ook: Autorisatie
ISO 27001
ISO 27001 is de internationale norm voor een managementsysteem voor informatiebeveiliging. De norm richt zich op een aantoonbaar proces waarmee een organisatie risico's beheerst, meer dan op losse technische maatregelen. Periodiek technisch testen, zoals een penetratietest, is een gangbare invulling van de eis om beveiligingsmaatregelen te evalueren. Een pentestrapport is bruikbaar bewijs tijdens een certificeringsaudit.
Kwetsbaarheid
Een kwetsbaarheid is een zwakke plek in software, configuratie of proces die een aanvaller kan misbruiken. Dat kan een programmeerfout zijn, een verkeerde instelling of verouderde software met bekende gebreken. Een kwetsbaarheid is niet hetzelfde als een incident, het is de mogelijkheid tot misbruik en niet het misbruik zelf. Een penetratietest brengt kwetsbaarheden in kaart voordat een aanvaller dat doet.
Zie ook: Exploit
Meldplicht
De meldplicht verplicht organisaties om bepaalde incidenten binnen een korte termijn te melden. Onder de AVG geldt een meldplicht voor datalekken met risico voor betrokkenen bij de Autoriteit Persoonsgegevens. Onder de Cyberbeveiligingswet (NIS2) komt daar een meldplicht bij voor significante incidenten, richting de toezichthouder en het CSIRT. De termijnen zijn kort, dus een geoefend meldproces is belangrijk.
Zie ook: NIS2
NEN 7510
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm stelt eisen aan de manier waarop zorgorganisaties omgaan met patiëntgegevens en andere gevoelige informatie. Verschillende beheersmaatregelen vragen impliciet om technische toetsing, bijvoorbeeld rond toegangsbeveiliging en veilige ontwikkeling. Een penetratietest van patiëntportalen en zorgapplicaties levert het bewijs dat die maatregelen ook echt werken.
Zie ook: Pentest voor de zorg
NIS2 en de Cyberbeveiligingswet
NIS2 is de Europese richtlijn voor de digitale weerbaarheid van essentiële en belangrijke organisaties. In Nederland wordt deze richtlijn omgezet in de Cyberbeveiligingswet. De wet introduceert een zorgplicht, een meldplicht en registratie bij de overheid. Overheidsorganisaties, waaronder gemeenten, vallen er standaard onder. De verwachte inwerkingtreding is 15 augustus 2026, zonder overgangsperiode.
Zie ook: Cyberbeveiligingswet uitgelegd
OWASP Top 10
De OWASP Top 10 is een breed gedragen lijst van de tien meest kritieke risico's voor webapplicaties, samengesteld door de non-profit OWASP. Categorieën als Broken Access Control en Injection komen er telkens in terug. De lijst is een goed vertrekpunt en geen volledige checklist. Een handmatige penetratietest gaat verder dan de Top 10 en zoekt ook naar logische fouten die geen enkele lijst dekt.
Penetratietest
Een penetratietest, kortweg pentest, is een gecontroleerde aanval op uw systemen door een securityspecialist, met uw toestemming en binnen een afgesproken scope. Het doel is kwetsbaarheden vinden en de werkelijke impact aantonen voordat een echte aanvaller dat doet. Een goede pentest is handwerk en gaat verder dan een geautomatiseerde scan, die alleen bekende patronen herkent en de context van uw applicatie mist.
Zie ook: Wat is een penetratietest?
Privilege escalation
Privilege escalation, of rechtenescalatie, is het verkrijgen van meer rechten dan iemand hoort te hebben. Bij horizontale escalatie krijgt een gebruiker toegang tot gegevens van een gelijkwaardige gebruiker, bij verticale escalatie klimt iemand op naar bijvoorbeeld beheerdersrechten. Het is vaak de tweede stap van een aanval, eerst ergens binnenkomen en dan de verkregen positie uitbouwen tot bredere controle.
Zie ook: Autorisatie
PTES
PTES, de Penetration Testing Execution Standard, beschrijft de fasen die een gedegen penetratietest doorloopt, van voorbereiding en verkenning tot exploitatie en rapportage. Het geeft opdrachtgever en tester een gedeeld beeld van wat een test inhoudt en voorkomt dat een test blijft steken bij oppervlakkig scannen.
Responsible disclosure
Responsible disclosure, tegenwoordig vaker Coordinated Vulnerability Disclosure genoemd, is de afspraak dat wie een kwetsbaarheid ontdekt deze eerst vertrouwelijk bij de eigenaar meldt, zodat die tijd krijgt om te herstellen voordat er iets openbaar wordt. Veel organisaties publiceren hiervoor een beleid en een securitycontact. Het is een teken van volwassen omgang met beveiliging, ook bij de eigen systemen.
Risicoclassificatie
Risicoclassificatie is het indelen van bevindingen naar ernst, doorgaans in kritiek, hoog, medium en laag. De indeling combineert hoe eenvoudig een kwetsbaarheid te misbruiken is met hoe groot de gevolgen zijn. Zo weet uw team welke bevindingen als eerste aandacht verdienen. De classificatie steunt vaak op CVSS, maar houdt daarnaast rekening met uw specifieke situatie en de waarde van de betrokken gegevens.
Zie ook: CVSS
Scope
De scope legt vast wat wel en niet wordt getest, welke applicaties, domeinen, omgevingen en soorten aanvallen binnen de opdracht vallen. Een heldere scope beschermt beide partijen en zorgt dat de tijd naar de belangrijkste onderdelen gaat. Bij Resync bepaalt de scope ook de vaste prijs, die na een korte intake vaststaat. Zaken buiten scope worden niet getest en niet in rekening gebracht.
Zie ook: Wat kost een pentest?
Security misconfiguration
Een security misconfiguration is een kwetsbaarheid die niet in de code zit maar in de instellingen. Denk aan een standaardwachtwoord dat nooit is gewijzigd, een testomgeving die per ongeluk publiek toegankelijk is, te uitgebreide foutmeldingen of ontbrekende beveiligingsheaders. Deze fouten zijn vaak eenvoudig te maken en eenvoudig te misbruiken, maar gelukkig ook doorgaans eenvoudig op te lossen.
SQL-injectie
Bij SQL-injectie misbruikt een aanvaller een invoerveld om eigen databasecommando's mee te sturen, omdat de applicatie invoer onvoldoende scheidt van de query. In het ergste geval kan een aanvaller zo de hele database uitlezen of aanpassen. Het is een klassieke maar nog altijd voorkomende kwetsbaarheid. De oplossing, het gebruik van geparametriseerde queries, is bekend maar wordt niet overal consequent toegepast.
SSRF
Server-Side Request Forgery is een kwetsbaarheid waarbij een aanvaller de server verzoeken laat versturen naar bestemmingen die de aanvaller zelf niet kan bereiken, bijvoorbeeld interne systemen achter de firewall. SSRF wordt gevaarlijker in cloudomgevingen, waar interne diensten soms gevoelige gegevens teruggeven. Het is een van de risico's die de laatste jaren sterk aan belang hebben gewonnen.
Vals-positief
Een vals-positief is een gemelde kwetsbaarheid die bij nader onderzoek geen echt probleem blijkt te zijn. Geautomatiseerde scanners produceren er veel, omdat ze op patronen afgaan zonder de context te begrijpen. Bij handmatig testen wordt elke bevinding geverifieerd, zodat een rapport alleen bevestigde bevindingen bevat.
Vulnerability scan
Een vulnerability scan is een geautomatiseerde controle die software en systemen aftast op bekende kwetsbaarheden en verkeerde instellingen. Zo'n scan is snel en goedkoop en zinvol als doorlopende bewaking, maar herkent alleen bekende patronen en levert vaak vals-positieven op. Een penetratietest gaat verder, doordat een specialist ook logische fouten en misbruikketens vindt die geen enkele scanner ziet.
Zie ook: Penetratietest, Vals-positief
Whitebox-test
Bij een whitebox-test krijgt de tester vooraf inzicht in de binnenkant van het systeem, zoals broncode, documentatie en inloggegevens. Daardoor kan de test dieper en efficiënter, omdat geen tijd verloren gaat aan het van buitenaf raden hoe iets werkt. Voor de meeste opdrachten is een tussenvorm, greybox, het meest waardevol, met genoeg voorkennis om diep te gaan zonder blinde vlekken.
Zie ook: Blackbox-test
XSS
Cross-Site Scripting is een kwetsbaarheid waarbij een aanvaller eigen scriptcode in een pagina krijgt die vervolgens in de browser van andere gebruikers wordt uitgevoerd. Daarmee kan sessie-informatie worden gestolen of kunnen handelingen namens het slachtoffer worden verricht. XSS ontstaat wanneer invoer onvoldoende wordt geschoond voordat die wordt getoond. Het blijft een van de meest voorkomende kwetsbaarheden in webapplicaties.
Zero-day
Een zero-day is een kwetsbaarheid die bij de leverancier nog niet bekend is en waarvoor dus nog geen oplossing bestaat. De naam verwijst naar het aantal dagen dat de maker de tijd heeft gehad om te herstellen, namelijk nul. Omdat er geen patch tegen bestaat, leunt verdediging op gelaagde beveiliging en snelle detectie.
Zorgplicht
De zorgplicht is de verplichting uit de Cyberbeveiligingswet (NIS2) om passende technische en organisatorische maatregelen te nemen tegen digitale risico's. De wet schrijft geen exacte maatregelen voor, maar verwacht dat ze in verhouding staan tot het risico. Het periodiek laten testen van uw systemen en het aantoonbaar opvolgen van bevindingen is een gangbare en verdedigbare invulling van die plicht.
Zie ook: NIS2
Een term in de praktijk laten toetsen?
Benieuwd wat deze begrippen betekenen voor uw eigen applicatie? Plan een gratis, vrijblijvende intake.
Plan gratis intake →Meer lezen? Bekijk wat een penetratietest is, de opbouw van een voorbeeldrapport, of wat een pentest kost.