Terug naar kennisbankAanbestedingen

Security-eis in aanbesteding: knock-out, wens of bewijsverzoek?

Security-eis in een aanbesteding? Lees hoe je knock-out eisen, gunningswensen, contractvoorwaarden en bewijsverzoeken veilig beoordeelt.

InstantSecureBijgewerktBijgewerkt 8 juli 202611 min
Aanbestedingsdocument met security-eisen, bewijsstukken en roadmapnotities

Laatst gecontroleerd: 8 juli 2026

Kort antwoord

Een security-eis in een aanbesteding is niet automatisch een harde knock-out eis. Kijk eerst of de eis is geformuleerd als uitsluitende eis, geschiktheidseis, gunningscriterium, contractvoorwaarde of bewijsverzoek. Dat verschil bepaalt of je moet voldoen vóór inschrijving, punten kunt scoren met onderbouwing, of vooral moet uitleggen welke maatregelen, bewijsstukken en open punten je hebt.

Kort gezegd: reageer niet te snel met “ja, wij voldoen”. Lees eerst wat de aanbestedende dienst precies vraagt, welk bewijs verplicht is, welke scope geldt en of er ruimte is voor gelijkwaardige onderbouwing. Bij twijfel kun je een aanbesteding met informatiebeveiligingseisen laten beoordelen voordat je inschrijft of security-antwoorden aanlevert.

Let op: dit artikel gaat over de security-inhoud van aanbestedingseisen. Het is geen juridisch aanbestedingsadvies en geen garantie dat een inschrijving wordt geaccepteerd.

Voor wie is dit artikel?

Dit artikel is bedoeld voor MKB-leveranciers die in een aanbesteding, offerteaanvraag of inkoopdocument zinnen tegenkomen zoals:

  • “Inschrijver beschikt over ISO 27001.”
  • “Inschrijver dient aantoonbaar passende informatiebeveiligingsmaatregelen te treffen.”
  • “Leverancier moet voldoen aan de beveiligingseisen uit bijlage X.”
  • “Beschrijf hoe u MFA, back-ups, logging en incidentmelding heeft ingericht.”
  • “Upload certificaten, beleid of bewijsstukken.”
  • “Niet voldoen aan deze eis leidt tot uitsluiting.”

De vraag is dan niet alleen: “hebben we dit?” De betere vraag is: wat is het gewicht van deze eis en welk bewijs wordt verwacht?

Eerst bepalen: knock-out, wens of bewijsverzoek?

Niet elke security-eis werkt hetzelfde. Deze tabel helpt om de taal in aanbestedingsstukken sneller te herkennen.

Type eisWaar herken je het aan?Praktische betekenisWat moet je doen?
Knock-out eis“moet”, “dient”, “uitsluiting”, “minimumeis”, “niet voldoen leidt tot afwijzing”Niet voldoen kan betekenen dat je inschrijving ongeldig of kansloos isControleer vóór inschrijving of je echt voldoet en welk bewijs verplicht is
GeschiktheidseisDe eis gaat over of je als leverancier geschikt bentVaak randvoorwaarde om mee te mogen doenVerzamel formeel bewijs en check of scope/termijn klopt
GunningscriteriumEr worden punten toegekend aan kwaliteit, aanpak of volwassenheidJe hoeft niet altijd alles te hebben, maar betere onderbouwing kan punten opleverenSchrijf concreet, bewijsbaar en realistisch
ContractvoorwaardeEis geldt bij uitvoering van de opdrachtJe moet kunnen waarmaken wat je belooft na gunningLeg roadmap, planning en verantwoordelijkheden goed vast
BewijsverzoekEr wordt gevraagd om beleid, procedure, certificaat, screenshot of toelichtingDe klant wil aantoonbaarheid, niet alleen een ja/neeKoppel maatregel aan bewijs en beperk wat je deelt tot relevante informatie

Deze indeling is geen juridische kwalificatie. Gebruik hem als eerste security-inhoudelijke triage. Bij twijfel over uitsluiting, bezwaar, nota van inlichtingen of interpretatie van aanbestedingsregels is juridisch aanbestedingsadvies verstandig.

De 7 checks vóórdat je antwoordt

Voordat je een securitybijlage invult of documenten uploadt, controleer je deze punten.

CheckVraagWaarom dit belangrijk is
1. FormuleringStaat er “moet”, “dient”, “uitsluiting” of “minimumeis”?Dit kan wijzen op een harde eis
2. ScopeGeldt de eis voor je hele organisatie, specifieke dienst, projectteam of dataverwerking?Te breed antwoorden vergroot risico
3. TimingMoet je nu voldoen of bij start uitvoering?Soms is een roadmap mogelijk, soms niet
4. BewijsWordt een certificaat, verklaring, beleid of beschrijving gevraagd?Bewijssoort bepaalt je antwoordruimte
5. GelijkwaardigheidStaat er “of gelijkwaardig”, “aantoonbaar” of “passend”?Dit kan ruimte geven voor onderbouwing
6. ContractrisicoWordt je antwoord later onderdeel van contractafspraken?Overclaimen kan later tegen je werken
7. Open puntenWelke maatregelen zijn nog niet volledig ingericht?Die moet je eerlijk koppelen aan planning en risico

Krijg je daarnaast een Excel, PDF of klantportaal met securityvragen? Dan lijkt de situatie vaak op een securityvragenlijst van klant invullen of een vendor assessment hulp, maar met extra aanbestedingsrisico.

ISO 27001 in een aanbesteding: certificaat of aantoonbare beheersing?

ISO 27001 is een veelvoorkomende bron van verwarring. In aanbestedingen kan ISO op verschillende manieren terugkomen:

FormuleringMogelijke betekenisVeilige aanpak
“Inschrijver beschikt over een geldig ISO 27001-certificaat”Waarschijnlijk formele certificaateisNiet vervangen met losse documenten. Controleer scope, geldigheid en eventuele gelijkwaardigheid
“ISO 27001 of gelijkwaardig”Mogelijk ruimte voor alternatief bewijsOnderbouw welke maatregelen, processen en bewijsstukken vergelijkbaar relevant zijn
“Werkt volgens ISO 27001-principes”Meestal geen certificaatclaim, maar wel beheersingsvraagBeschrijf je aanpak zonder te zeggen dat je gecertificeerd bent
“Aantoonbare informatiebeveiliging”Bewijsverzoek of kwaliteitscriteriumKoppel maatregelen aan bewijsstukken en roadmap
“Certificering binnen X maanden na gunning”Contract- of uitvoeringsvoorwaardeBeoordeel haalbaarheid, kosten, planning en risico vóór inschrijving

Belangrijk: als een geldig ISO 27001-certificaat binnen een specifieke scope hard verplicht is, kun je dat niet vervangen met een Bewijsmap. Maar als de aanbesteding vooral vraagt om aantoonbare beheersing, basismaatregelen en verbeterpunten, kan een Cybersecurity Bewijsmap helpen om je onderbouwing te structureren.

Heb je geen certificaat maar vraagt de aanbesteding wel ISO-taal? Lees dan ook: zonder ISO 27001 toch security aantonen.

Welke bewijsstukken kunnen relevant zijn?

Bij security-eisen in aanbestedingen wordt vaak gevraagd om bewijs. Dat hoeft niet altijd een certificaat te zijn. Afhankelijk van de eis kan het gaan om:

ThemaMogelijk bewijsLet op
MFAGeanonimiseerd beleid, Conditional Access-overzicht, beheerinstellingDeel geen adminaccounts of tenantdetails
Back-upsBackupbeleid, restore-testdatum, herstelprocedureMaak onderscheid tussen beleid en daadwerkelijk geteste restore
IncidentenIncidentprocedure, meldpad, rolverdelingClaim geen 24/7 response als je die niet hebt
ToegangsbeheerRollenmatrix, joiner-mover-leaverproces, reviewdatumDeel geen volledige gebruikerslijsten zonder noodzaak
LoggingBeschrijving van logging, alerting en bewaartermijnenWees eerlijk als monitoring beperkt is
LeveranciersSubverwerkersoverzicht, leveranciersregister, DPA-procesLet op privacy en contractuele gevoeligheid
BeleidInformatiebeveiligingsbeleid, acceptabel-gebruikbeleid, awarenessafsprakenZorg dat beleid echt wordt toegepast
RoadmapVerbeterplan, planning, eigenaar, statusGeen vage “wordt opgepakt”-zinnen zonder datum of eigenaar

Een goed aanbestedingsantwoord koppelt meestal drie dingen: maatregel, bewijs en beperking. Als iets nog niet volledig is ingericht, benoem dan ook de roadmap.

Voorbeelden van veilige formuleringen

Gebruik geen te harde claims als je bewijs of scope beperkt is. Dit zijn veiligere patronen.

SituatieTe hardBeter
MFA gedeeltelijk ingericht“MFA is overal actief”“MFA is actief voor beheerders en Microsoft 365. Uitrol naar overige applicaties staat gepland.”
Geen ISO-certificaat“Wij voldoen aan ISO 27001”“Wij zijn niet ISO 27001-gecertificeerd. Wel kunnen wij maatregelen en bewijsstukken aanleveren rond toegangsbeheer, back-ups en incidentproces.”
Back-up niet getest“Back-ups zijn op orde”“Back-ups zijn ingericht. De laatste restore-test is nog niet formeel vastgelegd; dit staat op de roadmap.”
Logging beperkt“Wij monitoren security 24/7”“Voor de relevante systemen is logging ingericht. Er is geen 24/7 SOC-dienst inbegrepen.”
Aanbesteding vraagt bewijs“Zie bijlage, alles geregeld”“In bijlage A koppelen wij per eis de maatregel, het beschikbare bewijs en eventuele open punten.”

Wanneer moet je een vraag stellen in de Nota van Inlichtingen?

Bij aanbestedingen is het soms beter om verduidelijking te vragen dan zelf te gokken. Overweeg een vraag als:

  • de security-eis onduidelijk is geformuleerd;
  • niet duidelijk is of ISO 27001 verplicht is of als voorbeeld wordt genoemd;
  • de scope van het certificaat of bewijs niet is gespecificeerd;
  • de eis technisch niet past bij de opdracht;
  • de deadline of uitvoeringsfase onduidelijk is;
  • een alternatief of gelijkwaardig bewijs mogelijk lijkt, maar niet expliciet wordt genoemd.

Voorbeeldvraag:

“Kunt u bevestigen of ISO 27001 als verplicht certificaat wordt gevraagd, of dat aantoonbare gelijkwaardige maatregelen en bewijsstukken ook worden geaccepteerd?”

Laat zulke vragen bij voorkeur juridisch controleren als ze gevolgen kunnen hebben voor je inschrijving.

Wat moet je niet claimen?

Bij aanbestedingen is voorzichtigheid extra belangrijk, omdat antwoorden later contractuele waarde kunnen krijgen.

Zeg liever niet:

  • “Wij zijn NIS2-compliant” als dit niet formeel is vastgesteld;
  • “Wij voldoen aan ISO 27001” zonder geldig certificaat of duidelijke scope;
  • “Alles is op orde” zonder bewijs;
  • “Wij hebben 24/7 monitoring” als dit geen echte dienst of proces is;
  • “Geen risico’s”;
  • “Auditproof”;
  • “Gegarandeerd geaccepteerd”.

Zeg liever:

  • wat wel is ingericht;
  • voor welke scope dat geldt;
  • welk bewijs beschikbaar is;
  • welke beperkingen er zijn;
  • welke verbeterpunten op de roadmap staan.

Hoe InstantSecure hierbij helpt

InstantSecure is geen aanbestedingsjurist en geeft geen garantie op gunning. We helpen wel met de security-inhoud van klant- en aanbestedingsvragen.

Bij een aanbesteding met informatiebeveiligingseisen helpen we bijvoorbeeld met:

  1. onderscheid maken tussen harde eisen, wensen, bewijsverzoeken en contractvoorwaarden;
  2. ISO 27001-, NIS2-, Cbw- of SC10/SC20-taal vertalen naar praktische verplichtingen;
  3. bepalen welk bewijs al beschikbaar is;
  4. veilige conceptantwoorden formuleren;
  5. open punten koppelen aan een realistische roadmap;
  6. signaleren wanneer juridisch aanbestedingsadvies nodig is.

Moet je dezelfde bewijsstukken vaker bij klanten of aanbestedingen gebruiken? Dan kan een Cybersecurity Bewijsmap helpen om maatregelen, bewijs en roadmap herbruikbaar te maken.

Checklist vóór verzending

Gebruik deze checklist voordat je security-antwoorden in een aanbesteding indient:

  • Is duidelijk of de eis knock-out, wens, contractvoorwaarde of bewijsverzoek is?
  • Is de scope van de eis helder?
  • Is duidelijk welk bewijs verplicht is?
  • Zijn certificaatclaims gecontroleerd?
  • Zijn open punten eerlijk benoemd?
  • Zijn gevoelige screenshots of exports geanonimiseerd?
  • Is er juridisch advies gevraagd als de eis uitsluiting of contractrisico raakt?
  • Is de interne eigenaar bekend voor maatregelen die je belooft?
  • Is de roadmap realistisch en concreet?

Bronnen en actuele informatie

Hulp nodig?

Twijfel je of een security-eis in een aanbesteding een harde eis, wens of bewijsverzoek is? Laat de aanbestedingseis beoordelen. We kijken naar de security-inhoud, mogelijke bewijsstukken en veilige formulering. Voor juridische aanbestedingsvragen verwijzen we naar een aanbestedingsjurist.

Veelgestelde vragen

Nee. Een security-eis kan een harde minimumeis, geschiktheidseis, gunningscriterium, contractvoorwaarde of bewijsverzoek zijn. Lees daarom altijd de formulering, scope en gevolgen van niet voldoen.

Verder lezen

Gerelateerde gidsen