De afgelopen weken was er veel aandacht voor het MIAUW‑framework. Wij schreven daar recent deze blog [LINK] over. In het verleden hebben we tevens een vergelijkbaar artikel over het CCV Keurmerk Pentesten geschreven. Deze frameworks bieden structuur en houvast voor opdrachtgevers en leveranciers, en worden door klanten steeds vaker gezien als een kwaliteitskeurmerk. Ze zeggen echter vooral iets over het proces en de manier waarop pentesten worden georganiseerd. Zie het als het BOVAG keurmerk voor auto garages. Een garage met een BOVAG keurmerk heeft ook het stempel van kwaliteit, terwijl we allemaal weten dat de kwaliteit tussen verschillende garages met dit keurmerk enorm kunnen verschillen.
Waar de pentest frameworks minder op sturen, is de daadwerkelijke inhoudelijke kwaliteit van de pentest zelf. Een aanbesteding die alleen toetst op naleving van MIAUW of CCV, selecteert vooral op procesdiscipline. Dat is belangrijk, maar het zegt niet of een leverancier in staat is om jouw meest kritische kwetsbaarheden te vinden en te duiden.
En juist daar willen wij met dit artikel bij helpen. We laten zien hoe je een aanbesteding zo opstelt dat je naast een solide proces ook kunt selecteren op écht vakmanschap. We gaan hier uit van een volume-contract, geen eenmalige pentest. Het doel: een selectie die niet alleen voldoet aan een keurmerk, maar je ook de beste testers oplevert voor jouw specifieke risico’s.
Te veel aanbestedingen voor pentesten eindigen als een wedstrijd wie het dikste pak papier kan produceren. Voor sommige partijen voelt dat als hun thuisspel. Ze scoren hoog op frameworks, checklists en formele antwoorden, omdat ze het spel van aanbestedingen tot in de puntjes kennen. Dat zegt echter niet automatisch iets over wie de meest kwaliteitatieve pentesters in het veld heeft.
Wie écht vakmanschap wil binnenhalen, moet de spelregels herschrijven: minder papier, meer bewezen kwaliteit.
Begin met een helder doel
Een aanbesteding voor pentesten gaat niet over het verzamelen van zoveel mogelijk vinkjes, maar over het inkopen van kwalitatief goede testcapaciteit die aansluit bij de behoeften.
Sterke aanbestedingen starten met een duidelijke omschrijving van het IT‑landschap en een analyse van het huidige pentestproces, inclusief de voor- en nadelen. Vervolgens wordt er ingezoomd op de verschillende soorten testen die gevraagd worden (denk aanweb, infra, mobiel, OT, cloud, etc.), de mate van diepgang (geautomatiseerd of handmatig) en de gewenste frequentie van testen: eenmalig, periodiek of zelfs continu.
Ook is het verstandig om expliciet te maken of de scope vastligt of dat leveranciers mogen meedenken en bijsturen. Dat ene punt bepaalt of je vooral uitvoerende capaciteit zoekt of juist strategische sparringpartners.
Houd het speelveld open
Zorg ervoor dat pentesten niet een onderdeel wordt van een grote aanbesteding inclusief andere diensten zoals MDR en/of Security Awereness. Splits daarnaast opdrachten op per testvorm waarbij er een schaarste aan specialisten is in de markt, bijvoorbeeld OT of Red Teaming. Bijkomend voordeel is dat specialisten hun kracht kunnen tonen zonder te concurreren op terrein waar ze minder sterk in zijn. Vraag leveranciers om hun expertiseniveaus per testtype zelf te rangschikken. Zo kunnen kleinere partijen hoog scoren waar ze echt sterk in zijn, zonder afgestraft te worden op minder relevante onderdelen.
Kijk vooruit
Meerjarige samenwerkingen vragen om meebewegen met nieuwe aanvalstechnieken en verdediging. Vraag naar concrete innovaties, borging van kennisontwikkeling en hoe het team bijblijft. Leveranciers die structureel investeren in opleiding en tooling leveren niet alleen vandaag topkwaliteit, maar blijven dat doen in de toekomst.
Eis daarnaast een dedicated team voor het contract, zodat inzichten opgedaan uit de pentesten zich opbouwen en behouden.
Beoordeel met de juiste bril
Vraag naar referenties, maar laat sector‑specifieke eisen los. Veel belangrijker is dat referenties vergelijkbaar zijn in omvang en complexiteit met jouw opdracht. Een leverancier die in een andere sector werkt, kan uitstekend presteren als hij ervaring heeft met systemen, risico’s en schaal die overeenkomen met jouw situatie. Door hierop te focussen krijg je een beter beeld van hun relevantie en bewezen capaciteiten. Bel vervolgens ook de referenten na. Het geeft een compleet beeld en kan net de beoordeling doen verschuiven van goede naar zeer goed.
Maak daarnaast niet te veel eisen tot een knock‑outcriterium. Strenge instapeisen, zoals omzetdrempels, aantallen standaardcertificeringen, kunnen onbedoeld kleinere, zeer specialistische partijen buitensluiten. Juist deze partijen brengen vaak unieke diepgang en creativiteit in hun testen. Richt je KO‑criteria op écht onmisbare randvoorwaarden en laat ruimte voor nieuwe, innovatieve spelers om mee te dingen.
Leg het zwaartepunt bij kwaliteit (80% kwaliteit, 20% prijs). Zo zorg je dat de beoordelingsfase niet alleen de gebruikelijke favorieten oplevert, maar ook de verrassend sterke challengers die inhoudelijk kunnen winnen.
Vermijd de papieren tijger, zet in op een tweetrapsraket
De meest effectieve aanbestedingen werken als een tweetrapsraket. De eerste trap: een selectiefase die scherp filtert op inhoud en relevantie, zonder kleine specialisten uit te sluiten. De tweede trap: een praktijkproef, waarin de overgebleven partijen zich bewijzen door daadwerkelijk te testen in een realistisch scenario.
Vijf pijlers voor een sterke selectiefase
1. Capaciteit en samenstelling van het team
De waarde van een goede pentestpartij begint bij het team:
- Grootte en verdeling (junior, medior, senior) geven beeld van de slagkracht.
- Een vast, dedicated team voorkomt dat kennis telkens opnieuw moet worden opgebouwd.
- Lage verloopcijfers en herkenbare gezichten versterken continuïteit.
2. Praktijkervaring
Echte waarde ontstaat wanneer certificeringen en concrete cases samen een verhaal vertellen:
- Leveranciers rangschikken hun expertise per testtype (web, infrastructuur, mobile, cloud, hardware, broncode).
- Praktijkervaring in vergelijkbare omgevingen ondersteund met certificeringen.
- Successen en leerpunten uit eerdere projecten tonen dat het team meer doet dan checklisten afvinken.
3. Beschikbaarheid en locatie
Flexibiliteit betekent dat een partij kan leveren waar en wanneer het ertoe doet:
- Mogelijkheden voor on‑site werk in Nederland én remote testen (EU/buiten EU).
- Realistische inzettermijnen en het vermogen om pieken op te vangen zonder kwaliteitsverlies.
- Afstemming op jouw interne planning of release cycles.
4. Procesfit en kennisborging
Pentesten moet verankerd zijn in de cultuur en werkwijze van de leverancier:
- Core business, geen bijproduct.
- Duidelijke kwaliteitssystemen per testmethodiek voor consistent resultaat.
- Structurele kennisontwikkeling via interne trainingen, actuele tooling en deelname aan security-events.
- Rapportages die bevindingen onderbouwen en direct vertalen naar herstelacties.
5. Relevante referenties
Referenties zijn geen formaliteit, ze zijn een toetssteen:
- Maximaal drie klantreferenties die passen qua omvang, type en complexiteit bij jouw scope. Sectorrelevantie wordt vaak overschat.
- Contactdetails om direct te verifiëren hoe de samenwerking en rapportkwaliteit werd ervaren.
- Lessen uit vergelijkbare uitdagingen en hoe die zijn opgelost.
De tweede trap: de praktijkproef, laat kwaliteit spreken
De tweede fase is waar papier niet langer het spel bepaalt. Het is het moment waarop je ziet wie beloftes kan omzetten in tastbaar resultaat. Je kunt het vergelijken met een proefrit: alle kandidaten krijgen hetzelfde parcours, dezelfde bochten en hetzelfde wegdek.
Een sterke praktijkproef begint met het kiezen van een scenario dat lijkt op je echte omgeving. Dit kan een moderne webapplicatie zijn met API‑integraties, een cloudcomponent of een OT‑segment. Vul deze met fictieve, maar realistische data.
Ga voor een whitebox‑methodiek: geef testers zoveel mogelijk relevante informatie om diep te gaan. Denk aan architectuuroverzichten, technische documentatie, API‑specificaties, testaccounts, whitelisting waar nodig én toegang tot relevante broncode. Hierdoor kunnen de pentestteams maximale diepgang creeren.
De scope moet helder en afgebakend zijn, met een duidelijke tijdspanne (bv. Drie dagen met 2 pentesters) zodat alle partijen gelijke kansen hebben.
Interactie tijdens de proef is minstens zo belangrijk als het eindresultaat. Laat testers op locatie werken . Zo zie je hun communicatie, probleemoplossing en samenwerking. Soms vertelt een gesprek tijdens de testfase meer over toekomstige samenwerking dan een rapport.
Daarna volgt de beoordeling van de test. Beoordeel de test op:
- de kwaliteit van de bevindingen;
- de onderbouwing;
- het aantal bevindingen;
- de kwaliteit van de hersteladviezen;
- de diepgang.
Maar daarnaast verdient de samenwerking tijdens de test aandacht: hoe nemen testers je mee in hun voortgang en hoe vertalen zij hun bevindingen naar korte en krachtige managementsamenvattingen? Kunnen zij complexe bevindingen vertalen naar duidelijke, begrijpelijke taal en prioriteiten, zodat bestuurders en managers snel beslissingen kunnen nemen? Zo beoordeel je niet alleen technische scherpte, maar ook wie in staat is om risico’s en oorzaken glashelder over te brengen en het adviesdeel van de pentest met echte toegevoegde waarde uit te voeren.
Op deze manier wordt de praktijkproef een volwaardig bewijs van vakmanschap, niet slechts een momentopname.
Tot slot
Wie een goede aanbesteding voor pentesten wil, moet keuzes maken: minder focus op papier, meer op vakmanschap. Met een duidelijke doelstelling, strategische criteria, vijf scherpe pijlers in de selectiefase en een realistische whitebox‑praktijkproef vergroot je de kans dat de beste partij wint. Niet de beste aanbestedingschrijver. Zo wordt de aanbesteding geen papieren tijger, maar een kwaliteitsproef.
Securify is altijd bereid om het gesprek hierover verder aan te gaan. Dat kan rechtstreeks met Kees Stammes, Managing Director, die graag in discussie gaat over hoe aanbestedingen voor pentesten inhoudelijk sterker kunnen worden ingericht.