Projecten Aanpak Over Frits Blog Tech-woordenboek WhatsApp Contact
Lexicon · Security

Penetration testing

Definitie

Penetration testing (kortweg pentest) is een georganiseerde aanval op je eigen systemen, websites of applicaties door specialisten die de rol van een aanvaller spelen. Doel: kwetsbaarheden ontdekken voordat echte criminelen dat doen. De testers werken met expliciete toestemming en rapporteren bevindingen zodat je ze kunt repareren.

Er zijn verschillende varianten: black-box (de tester weet niets vooraf), white-box (volledige toegang tot informatie en code), grey-box (beperkte voorkennis). Tests kunnen gericht zijn op een specifieke applicatie, op de netwerkinfrastructuur, op fysieke beveiliging of op social engineering (phishing-tests).

Waarom het ertoe doet voor MKB

Voor MKB met waardevolle data of kritieke systemen is een pentest een verstandige investering. Het brengt aan het licht wat geautomatiseerde scans missen: logische fouten, verkeerd geconfigureerde rechten, kwetsbaarheden die alleen door menselijk denken gevonden worden. De kosten variëren van 5.000 euro voor een eenvoudige pentest tot 30.000 euro voor uitgebreide audits.

Voor jouw bedrijf is de timing belangrijk: vraag een pentest na een grote software-update, voor een belangrijke compliance-deadline (NIS2, ISO 27001), of nadat je een nieuw kritisch systeem in gebruik hebt genomen. Een eenmalige pentest is bovendien niet voldoende; periodieke herhaling (jaarlijks of bij grote wijzigingen) is nodig.

Concreet voorbeeld

Een financieel dienstverlener met 40 medewerkers liet zijn klantportaal aan een pentest onderwerpen voorafgaand aan ISO 27001-certificering. De externe specialisten kregen 5 dagen om kwetsbaarheden te vinden, vanuit een grey-box opzet (beperkte voorkennis).

Resultaat: 14 bevindingen, waarvan 3 kritiek. Eén kritieke vondst: een gebruiker met beperkte rechten kon door URL-manipulatie inzage krijgen in dossiers van andere klanten. Een geautomatiseerde scan had dit niet gevonden, omdat het een logische fout was, geen technische. De bevindingen werden binnen 6 weken opgelost en de certificering kon doorgaan.

Misverstanden en valkuilen

  • “Een vulnerability-scan is hetzelfde.” Scans vinden bekende technische problemen, pentests vinden logische en context-afhankelijke problemen. Beide zijn nuttig en niet uitwisselbaar.
  • “Eens een pentest, voor altijd veilig.” Pentest geeft een momentopname. Bij wijzigingen in software, infrastructuur of personeel kunnen nieuwe kwetsbaarheden ontstaan. Periodieke herhaling is essentieel.
  • “Goedkoper kan ook.” Een goedkope pentest kan een onvolledige pentest zijn. Vraag naar de aanpak, de inzet (mensdagen) en het rapport. Een rapport zonder context en aanbevelingen is weinig waard.
  • “Pentest = compliance.” Een pentest helpt aantonen dat je beveiligingsmaatregelen werken, maar is op zichzelf geen certificering. Compliance vraagt vaak meer (beleid, documentatie, procedures).

Wanneer moet je hier wakker liggen, wanneer niet

Wakker liggen: als je een klantportaal, webshop of bedrijfssoftware met financiële of persoonsgegevens beheert en daar nog nooit een pentest op hebt laten doen. Of als je onder NIS2 of vergelijkbare regelgeving valt zonder periodieke pentesting.

Niet wakker liggen: als je vooral standaard SaaS-tools gebruikt waar leveranciers zelf pentests laten uitvoeren (vraag eens naar hun rapporten). Voor jou is dan vooral je eigen configuratie en toegangsbeheer aandacht waard.

Gerelateerde termen

  • NIS2: pentesten zijn vaak onderdeel van compliance.
  • AVG: aantoonbaar testen versterkt AVG-naleving.
  • 2FA: een veelgevonden vulnerability is gebrek aan 2FA.
  • DevOps: moderne DevOps integreert security-testing in de pipeline.
Filed under Security
Leestijd 2 min
Gepubliceerd 21 mei 2026

Zie ook

2FA
2FA staat voor Two-Factor Authentication: inloggen met twee verschillende bewijsstukken (meestal wachtwoord plus code via app of sms). Significant veiliger...
AVG
AVG (Algemene Verordening Gegevensbescherming) is de Europese privacywetgeving die regelt hoe organisaties met persoonsgegevens moeten omgaan. Voor MKB betekent het:...
Encryption
Encryption (versleuteling) zet data om in een onleesbare vorm die alleen met de juiste sleutel terug te lezen is. Beschermt...
NIS2
NIS2 is Europese richtlijn voor cyberveiligheid die strengere eisen stelt aan kritieke en belangrijke organisaties. Voor MKB in specifieke sectoren...
OAuth
OAuth is een standaardprotocol waarmee een applicatie toegang krijgt tot data in een andere applicatie, zonder dat de gebruiker zijn...
SSL/TLS
SSL/TLS is de technologie achter het hangslot-icoon in je browser. Het zorgt voor versleutelde verbinding tussen jouw computer en een...

Verder lezen

Freelancer, bureau of fractional partner: wie moet je software bouwen?
Voor MKB-projecten is er een derde optie: vergelijk freelancer, bureau en fractional partner op kosten, risico en werkwijze.
Het one-person tech team: waarom je geen team van 5 nodig hebt
Je zoekt een developer voor je nieuwe platform. Het bureau komt met een offerte: projectmanager, UX-designer, twee developers, een tester. Vijf mensen, zes maanden,...
Technische schuld: wat het je echt kost en hoe je het oplost
Je herkent het waarschijnlijk. Elke aanpassing aan je software duurt langer dan verwacht. Je IT-kosten stijgen jaar na jaar, maar je systemen voelen niet...