PENTEST 101 20 mei 2026 ~7 min lezen Door Sofyan Aarrass

Wat is een penetratietest en wanneer heeft u er één nodig?

Pentest, vulnerability scan, security audit — de termen worden door elkaar gebruikt, maar leveren totaal verschillende resultaten op. Een praktische uitleg voor de IT-manager, CISO of bestuurder die voor het eerst overweegt een penetratietest aan te schaffen.

Wat een penetratietest werkelijk is

Een penetratietest — afgekort pentest — is een gecontroleerde, geautoriseerde aanval op uw systemen, uitgevoerd door een mens. Het doel is niet om een lijst van bekende kwetsbaarheden af te vinken, maar om te onderzoeken of een aanvaller daadwerkelijk binnen kan komen en, zo ja, hoever hij of zij in uw omgeving komt voordat iemand het merkt.

De officiële definitie hanteert termen als "geautoriseerde simulatie van een aanval" en "verificatie van technische beveiligingsmaatregelen". In de praktijk komt het neer op één ding: een ervaren specialist die dezelfde gereedschappen, technieken en denkpatronen gebruikt als een aanvaller — maar dan met een handtekening eronder dat dit mocht.

Een pentest is dus uitdrukkelijk niet een geautomatiseerde scan. Het verschil is fundamenteel en wordt vaak verkeerd begrepen door zowel inkopers als leveranciers.

Pentest, scan, audit — wat is wat?

Er zijn drie verwante diensten die regelmatig met elkaar verward worden. Het verschil is meer dan semantisch — het bepaalt direct wat u krijgt en wat u niet krijgt.

Aspect Vulnerability scan Penetratietest Security audit
Wat het doet Geautomatiseerd controleren op bekende kwetsbaarheden Handmatig proberen binnen te komen, exploiteren en escaleren Beleid, processen en documentatie tegen norm leggen
Vindt logica-fouten Nee Ja Nee (alleen via interview)
Vindt IDOR Bijna nooit Standaard Nee
Doorlooptijd Minuten tot uren 3–10 werkdagen 1–3 weken
Bewijs van veiligheid Beperkt Sterk Procesmatig sterk, technisch beperkt

Een goede beveiligingsstrategie gebruikt alle drie de instrumenten — maar voor verschillende doelen, op verschillende momenten. Wie een scanner inhuurt en denkt dat dit een pentest is, koopt het verkeerde product.

Wat een pentest niet is

Even de lucht klaren over een paar veelvoorkomende misverstanden:

  • Een pentest is geen audit. Een auditor controleert of u op papier voldoet aan een norm (NEN 7510, ISO 27001, BIO). Een pentester valideert of die maatregelen technisch ook werken in de praktijk. Beide zijn nodig — geen vervanger van elkaar.
  • Een pentest is geen permanent monitoringproduct. Het is een momentopname. Een week later kan een nieuwe ontwikkelaar een kwetsbaarheid introduceren die bij de test niet aanwezig was. Periodiek herhalen is daarom de norm.
  • Een pentest is geen vervanging van veilige ontwikkeling. Het is een eindcheck. Als u de basis (input validatie, autorisatie, secret management) overslaat en denkt "de pentester vindt het wel", betaalt u uiteindelijk veel meer dan nodig.
  • Een pentest is geen DDoS-test. Beschikbaarheidstesten zijn een aparte discipline, en worden zonder uitdrukkelijke toestemming nooit uitgevoerd — al was het maar omdat een mislukte test uw productie kan platleggen.

Wanneer u een pentest nodig heeft

Er zijn vier situaties waarin een penetratietest het juiste antwoord is. Als één of meer van toepassing is, is wachten doorgaans geen optie.

1. U moet aantoonbaar voldoen aan een norm of wet

NIS2, NEN 7510, ISO 27001, SOC 2, AVG, DigiD-aansluitvoorwaarden — vrijwel elke moderne compliance-eis verwacht periodieke verificatie van technische beveiligingsmaatregelen. Een pentest is daarvoor het standaardbewijs. Geen pentest? Dan moet u op een andere manier uitleggen hoe u die verificatie invult.

2. U gaat live met een nieuwe applicatie

Voor productierelease van een nieuwe webapplicatie, API of klantportaal is een pentest het laatste filter. Niet omdat ontwikkelaars onkundig zijn, maar omdat een externe blik op de applicatie systematisch andere dingen ziet dan iemand die het zelf gebouwd heeft. Een halve dag exploitatie kan een week aan herstel besparen na een productie-incident.

3. U heeft een belangrijk auditmoment

Een klant gaat een vendor risk assessment doen. Een verzekeraar vraagt om bewijs. Een investeerder begint due diligence. In al deze gevallen is een recent pentestrapport het sterkste documentatie-instrument dat u kunt overleggen. Wachten tot het gevraagd wordt betekent vertraging en dealrisico.

4. U bent gehackt geweest of een leverancier wel

Een incident bij uw organisatie of bij een nauw verbonden leverancier verandert de risico-evaluatie. Een gerichte pentest direct na herstel laat zien dat de geleerde lessen ook technisch geïmplementeerd zijn — niet alleen op papier.

Korte beslisboom

Vraagt iemand u nu of binnen 6 maanden om bewijs van technische beveiliging (auditor, klant, toezichthouder)? → Plan een pentest in. Gaat u live met een nieuwe klantgerichte applicatie? → Plan een pentest in. Twijfelt u, en behandelt uw applicatie persoonsgegevens of financiële transacties? → Plan in elk geval een gratis intake.

Wat krijgt u uit een pentest?

Een serieuze pentest levert vier dingen op die u niet uit een scan haalt:

  1. Een lijst van werkelijk exploiteerbare kwetsbaarheden, geprioriteerd naar impact en exploiteerbaarheid — niet een lijst van "potential issues" met CVSS-scores zonder context.
  2. Reproductiestappen per bevinding. Een ontwikkelaar kan elke bevinding zelf nalopen, repliceren en patchen.
  3. Een managementsamenvatting waarmee u richting bestuur, klant of toezichthouder kunt verantwoorden waar u staat — in begrijpelijke taal, zonder jargon.
  4. Een hertest na herstel — bij Resync standaard inbegrepen — om aantoonbaar vast te leggen dat de bevindingen daadwerkelijk verholpen zijn.

Wat u niet krijgt, is een 200-pagina-rapport vol met scanner-output. Een goed pentestrapport is doorgaans 30–60 pagina's, waarvan de helft technische diepte en de helft management-leesbaar.

Hoeveel kost een pentest?

Eerlijk antwoord: dat hangt af van de scope. Een kleine SaaS-applicatie met ~5 endpoints en eenvoudige autorisatie kost meestal minder dan een gemeentelijk portaal met DigiD-koppeling, backoffice en externe ketens. Daarom werkt Resync met vaste prijs op basis van scope — u weet vóór de test exact wat de prijs is. Geen verrassingen, geen uurtje-factuurtje.

Een eerste indicatie krijgt u doorgaans binnen één werkdag na een kort intakegesprek. Daar zit u nergens aan vast.

Hoe vaak moet ik testen?

De praktijkrichtlijn: jaarlijks voor stabiele applicaties, per release voor sterk veranderende applicaties, en altijd na een significante architectuurwijziging. Voor compliance-gedreven omgevingen (NEN 7510, ISO 27001, SOC 2) is jaarlijks doorgaans het minimum. Voor snel ontwikkelende SaaS-producten is een combinatie van een jaarlijkse diepe pentest plus continue automated scanning vaak effectief.

Conclusie

Een penetratietest is geen luxe en geen formaliteit — het is het enige mechanisme dat aantoonbaar maakt of uw beveiliging in de praktijk werkt. Een scanner doet uitspraken op basis van patronen. Een audit doet uitspraken op basis van documentatie. Een pentest doet uitspraken op basis van wat een aanvaller in uw omgeving werkelijk kan.

Als u twijfelt of een pentest het juiste antwoord is voor uw situatie: een gratis intakegesprek geeft binnen 30 minuten helderheid — zonder verplichtingen, zonder verkooppraatje. Daar is precies een eerste contact voor bedoeld.

Klaar voor uw eerste pentest?

Vaste prijs op basis van scope, hertest inbegrepen, reactie binnen 1 werkdag.

Plan gratis intake →

Lees verder

NIS2 · GEMEENTE

NIS2 en gemeentes

Wat verwacht de toezichthouder van uw gemeente onder de Cyberbeveiligingswet?
AI · VIBE CODING

Waarom vibe-coded apps vaker kwetsbaar zijn

Apps gegenereerd met Cursor, Bolt of Lovable hebben voorspelbare zwaktes.