De Rijksoverheid heeft aangekondigd dat ze het voornemen heeft om medio 2026 een raamovereenkomst voor pentesten te sluiten. De aanbesteding en raamovereenkomst zullen gebaseerd worden op de MIAUW‑methodiek (Methodiek voor Informatiebeveiligingsonderzoek met Audit Waarde). Volgens ICT Magazine moet de MIAUW-methodiek een einde maken aan “magie en vaagheid” in de pentestmarkt. Transparantie, reproduceerbaarheid en controleerbaarheid worden gepresenteerd als dé oplossing voor onduidelijke rapportages en onvergelijkbare onderzoeken.
Dat streven is begrijpelijk. Maar wie MIAUW goed bekijkt, ziet vooral een bekend patroon: dit is in essentie het CCV Keurmerk Pentesten, maar dan strakker dichtgetimmerd, met minder vrijheid en een zwaardere nadruk op bewijslast.
We zijn blij dat onze eerdere blog gezorgd heeft voor een kritische blik op het CCV Keurmerk Pentesten. Toch zien we de MIAUW-methodiek niet als de goede weg vooruit, en vragen we ons af het juiste probleem wordt opgelost als deze methodiek als basis wordt gebruikt voor een raamwerkovereenkomst.
Meer bewijslast, maar tegen welke prijs?
MIAUW borduurt verder op het bestaande CCV‑keurmerk met extra verplichtingen en documentatie. Het doel is auditbaarheid en juridische onderbouwing. Maar het verzamelen van die bewijslast kost tijd; tijd die niet naar het inhoudelijke onderzoek gaat.
En hier ontstaat een nieuwe spanning: klanten krijgen het narratief dat een MIAUW‑pentest automatisch kwalitatief is. In werkelijkheid zegt het vooral dat een proces is gevolgd; over de daadwerkelijke diepgang en creativiteit van de test is niets gegarandeerd. Het risico is dat het keurmerk een stempel van kwaliteit suggereert, terwijl inhoudelijke verschillen tussen leveranciers blijven bestaan.
Bovendien heeft bewijslast alleen waarde als iemand die ook kan lezen en beoordelen. Tenzij opdrachtgevers zelf gekwalificeerde pentesters in dienst hebben, of externe specialisten inhuren om alle stappen en artefacten te controleren, blijft die bewijslast grotendeels theoretisch. Wie wél controle wil, betaalt dus twee keer.
Dubbele last voor leveranciers
Als pentestleveranciers hanteren we nu al het CCV‑keurmerk. Daarbovenop komt MIAUW met zijn eigen eisen en bewijslast. Dat is een dubbele administratieve last. Onvermijdelijk rijst de vraag: waar eindigt dit?
Voor leveranciers wordt het onduidelijk wat leidend gaat zijn. Is dat het CCV‑keurmerk Pentesten, dat nu al als kwaliteitsborging geldt? Of wordt de MIAUW‑methodiek straks de nieuwe standaard? Wat is de waarheid en waarom is er überhaupt niet gesproken over een samenvoeging van beide kaders om dubbel werk te voorkomen?
Wij begrijpen dat opdrachtgevers grip willen krijgen op kwaliteit. Maar elk nieuw keurmerk of methodiek verhoogt de administratieve last, terwijl de kern, het uitvoeren van een kwalitatief goede pentest en het vinden van kwetsbaarheden, juist tijd en creativiteit vraagt.
Wij denken dat dit anders kan. Daarom publiceren we morgen een nieuwe blog: “Waar moet een goede pentestaanbesteding aan voldoen?” Daarin beschrijven we hoe je echt kunt selecteren op inhoud en vakmanschap, in plaats van alleen op proces.
Open source als sterke basis, mits governance op orde is
Het open source karakter van MIAUW is een sterke stap: geen betaalmuur en volledige toegang tot de inhoud en formats. Maar open source is geen garantie voor open governance.
Om de kracht van deze openheid te benutten, moeten er duidelijke, onafhankelijke structuren komen voor wijziging en interpretatie. Zonder die waarborgen is de methode kwetsbaar voor eenzijdige sturing.
Afvinklijstjes en het verlies van creativiteit
Een bekende kritiek op het CCV‑keurmerk keert bij MIAUW in versterkte vorm terug: de beperking van creativiteit. Een checklist of minimumbasis is nuttig om te garanderen dat kernpunten niet worden vergeten. Pentesten is echter geen afvinklijst, maar een vak waarin onverwachte aanvalspaden, intuïtie en ervaring cruciaal zijn.
De uitdaging is hoe MIAUW ruimte blijft geven aan deze creatieve, risico‑gedreven aanvallen binnen een strak proces. Als de lijst het doel wordt in plaats van het middel, zet je vakmanschap buitenspel.
Proces is geen vakmanschap
Een uniforme methodiek kan voorwaarden scheppen, maar vervangt geen ervaring, patroonherkenning en contextbegrip. Twee testers kunnen hetzelfde proces volgen en toch totaal verschillende resultaten behalen.
Het risico is dat opdrachtgevers procesuniformiteit verwarren met kwaliteitsuniformiteit. Dit is een gevaarlijke overschatting.
Rem op innovatie
Daarnaast zien we de marktvraag verschuiven naar een continu gedreven pentest aanpak, zeker op de meest kritische systemen van onze klanten. Een continue aanpak waarbij alleen bevindingen worden gerapporteerd via het ticketingsysteem van de klant. Hierdoor worden bevindingen sneller opgelost. De MIAUW methodiek helpt hierbij niet, want het past niet in het rapportage format. Hierdoor blijven we doorgaan met achterhaalde PDF’s, waarbij het bewezen is dat bevindingen langer blijven liggen.
Tot slot
We erkennen de waarde van transparantie en standaarden. Maar meer bewijslast en meer keurmerken zijn niet per definitie gelijk aan betere pentests. Het gevaar is dat MIAUW leidt tot hogere kosten, meer administratieve taken, minder innovatie en een focus op naleving boven vakmanschap.
En dat maakt organisaties niet veiliger, alleen beter aantoonbaar compliant. Daarom zetten wij onze vraagtekens bij het gebruik van de MIAUW-methodiek als basis voor de raamwerkovereenkomst voor pentesten. Hoe je wel als overheid op kwaliteit kan sturen? Dat leggen we uit in onze volgende blog “Hoe ziet een goede aanbesteding pentesten eruit”.