Wat kost een penetratietest?
De korte versie: bij Resync betaalt u een vaste prijs op basis van scope. U weet vooraf exact wat u krijgt en wat het kost. Geen uurtje-factuurtje, geen meerwerkbrieven, geen verrassingen achteraf. Een eerste indicatie ontvangt u doorgaans binnen één werkdag na een kort intakegesprek.
Waarom geen uurtarief
Een pentest op uurbasis lijkt flexibel, maar dat is een illusie. U weet niet vooraf hoeveel uren u gaat afnemen, en u betaalt voor opzoekwerk dat strikt genomen niet bij úw applicatie hoort. Bovendien creëert het een ongezonde prikkel: de tester verdient meer naarmate hij langer bezig is, niet naarmate hij sneller of grondiger werkt.
Bij een vaste prijs ligt de scope vast. Wat eronder valt, wordt getest — diepgaand, zonder klok. Loopt de test om wat voor reden ook uit, dan blijft de prijs hetzelfde. Loopt het juist sneller, ook dan blijft de prijs hetzelfde. U koopt een resultaat, niet een aantal uren.
Welke factoren bepalen de prijs
- Aantal endpoints en subsystemen. Een MVP met vijf endpoints is sneller te testen dan een platform met honderden.
- Type test. Web applicatie, API, mobiele app, infrastructuur — elk vraagt een andere aanpak.
- Aantal rollen. Elke rol is een aparte autorisatieboom die separaat getest moet worden.
- Complexiteit van authenticatie en autorisatie. SSO met meerdere identity providers vraagt meer dan een username/wachtwoord-flow.
- Compliance-context. NIS2, NEN 7510, ISO 27001 of SOC 2 bepalen welke aanvullende eisen aan de rapportage worden gesteld.
Niet de duur in uren is dus de doorslaggevende factor, maar wat er getest moet worden.
De drie scope-categorieën
Globaal werken we met drie scope-categorieën. Ze geven richting voor uw planning en budget; de exacte prijs hoort u na de intake.
| Scope | Typische context | Doorlooptijd | Vanaf |
|---|---|---|---|
| Compact | Eén web applicatie of API met beperkte rollen en endpoints — bijvoorbeeld een MVP, intern dashboard of klein klantenportaal. | 1–2 weken | |
| Standaard | SaaS-product, gemeentelijk portaal of zorgapplicatie met meerdere rollen, API-koppelingen en authenticatieflows. | 2–3 weken | |
| Uitgebreid | Complex platform met meerdere applicaties, infrastructuur, externe ketens of multi-tenant architectuur. | 3–5 weken |
Intake, scoping, de handmatige test, het technische rapport, de managementsamenvatting, prioritering naar impact en uitbuitbaarheid, en de hertest na patching. Alles inclusief — geen los gefactureerde meerwerkposten, geen verborgen kosten.
Wat een goedkope pentest u uiteindelijk kost
Pentest-aanbiedingen variëren wild in prijs. Een vulnerability scan met een rapportje eroverheen kost een fractie van een handmatige pentest — maar levert ook een fractie van de bevindingen. Wie €1.500 betaalt voor "een pentest" en in werkelijkheid een scanner-output krijgt, heeft niet bespaard maar misleid besteed.
Een serieuze handmatige pentest kost meer dan dat. Maar wat u ervoor terugkrijgt — werkelijk exploiteerbare bevindingen, reproductiestappen die uw ontwikkelaar dezelfde dag kan inzetten, een hertest die afsluit met bewijs van herstel — is precies wat u nodig hebt richting een auditor, klant of toezichthouder.
Wat u krijgt vóór u iets betaalt
- Een vrijblijvend intakegesprek (gratis, geen verplichtingen)
- Een schriftelijke scopebepaling en doelstellingen
- Een vaste prijs offerte met daarin precies wat erbij zit
- Een planning tot en met de hertest
Pas als u akkoord geeft op offerte en planning, start het project. Tot dat moment kost het u alleen 30 minuten van uw tijd.
Hoe vraag ik een prijs aan?
De snelste route is een korte intake. U stuurt via het contactformulier wat u getest wilt hebben en welke deadline u in gedachten heeft. Doorgaans heeft u binnen één werkdag een eerste reactie. Voor de volledige uitleg van het proces verwijzen we naar de pagina penetratietest laten uitvoeren.
Concrete prijs binnen 1 werkdag
Stuur uw scope, krijg een vaste prijs offerte. Geen verplichtingen, geen verkooppraatje.
Plan gratis intake →