Laatst gecontroleerd: 8 juli 2026
Kort antwoord
Een security-eis in een aanbesteding is niet automatisch een harde knock-out eis. Kijk eerst of de eis is geformuleerd als uitsluitende eis, geschiktheidseis, gunningscriterium, contractvoorwaarde of bewijsverzoek. Dat verschil bepaalt of je moet voldoen vóór inschrijving, punten kunt scoren met onderbouwing, of vooral moet uitleggen welke maatregelen, bewijsstukken en open punten je hebt.
Kort gezegd: reageer niet te snel met “ja, wij voldoen”. Lees eerst wat de aanbestedende dienst precies vraagt, welk bewijs verplicht is, welke scope geldt en of er ruimte is voor gelijkwaardige onderbouwing. Bij twijfel kun je een aanbesteding met informatiebeveiligingseisen laten beoordelen voordat je inschrijft of security-antwoorden aanlevert.
Let op: dit artikel gaat over de security-inhoud van aanbestedingseisen. Het is geen juridisch aanbestedingsadvies en geen garantie dat een inschrijving wordt geaccepteerd.
Voor wie is dit artikel?
Dit artikel is bedoeld voor MKB-leveranciers die in een aanbesteding, offerteaanvraag of inkoopdocument zinnen tegenkomen zoals:
- “Inschrijver beschikt over ISO 27001.”
- “Inschrijver dient aantoonbaar passende informatiebeveiligingsmaatregelen te treffen.”
- “Leverancier moet voldoen aan de beveiligingseisen uit bijlage X.”
- “Beschrijf hoe u MFA, back-ups, logging en incidentmelding heeft ingericht.”
- “Upload certificaten, beleid of bewijsstukken.”
- “Niet voldoen aan deze eis leidt tot uitsluiting.”
De vraag is dan niet alleen: “hebben we dit?” De betere vraag is: wat is het gewicht van deze eis en welk bewijs wordt verwacht?
Eerst bepalen: knock-out, wens of bewijsverzoek?
Niet elke security-eis werkt hetzelfde. Deze tabel helpt om de taal in aanbestedingsstukken sneller te herkennen.
| Type eis | Waar herken je het aan? | Praktische betekenis | Wat moet je doen? |
|---|---|---|---|
| Knock-out eis | “moet”, “dient”, “uitsluiting”, “minimumeis”, “niet voldoen leidt tot afwijzing” | Niet voldoen kan betekenen dat je inschrijving ongeldig of kansloos is | Controleer vóór inschrijving of je echt voldoet en welk bewijs verplicht is |
| Geschiktheidseis | De eis gaat over of je als leverancier geschikt bent | Vaak randvoorwaarde om mee te mogen doen | Verzamel formeel bewijs en check of scope/termijn klopt |
| Gunningscriterium | Er worden punten toegekend aan kwaliteit, aanpak of volwassenheid | Je hoeft niet altijd alles te hebben, maar betere onderbouwing kan punten opleveren | Schrijf concreet, bewijsbaar en realistisch |
| Contractvoorwaarde | Eis geldt bij uitvoering van de opdracht | Je moet kunnen waarmaken wat je belooft na gunning | Leg roadmap, planning en verantwoordelijkheden goed vast |
| Bewijsverzoek | Er wordt gevraagd om beleid, procedure, certificaat, screenshot of toelichting | De klant wil aantoonbaarheid, niet alleen een ja/nee | Koppel maatregel aan bewijs en beperk wat je deelt tot relevante informatie |
Deze indeling is geen juridische kwalificatie. Gebruik hem als eerste security-inhoudelijke triage. Bij twijfel over uitsluiting, bezwaar, nota van inlichtingen of interpretatie van aanbestedingsregels is juridisch aanbestedingsadvies verstandig.
De 7 checks vóórdat je antwoordt
Voordat je een securitybijlage invult of documenten uploadt, controleer je deze punten.
| Check | Vraag | Waarom dit belangrijk is |
|---|---|---|
| 1. Formulering | Staat er “moet”, “dient”, “uitsluiting” of “minimumeis”? | Dit kan wijzen op een harde eis |
| 2. Scope | Geldt de eis voor je hele organisatie, specifieke dienst, projectteam of dataverwerking? | Te breed antwoorden vergroot risico |
| 3. Timing | Moet je nu voldoen of bij start uitvoering? | Soms is een roadmap mogelijk, soms niet |
| 4. Bewijs | Wordt een certificaat, verklaring, beleid of beschrijving gevraagd? | Bewijssoort bepaalt je antwoordruimte |
| 5. Gelijkwaardigheid | Staat er “of gelijkwaardig”, “aantoonbaar” of “passend”? | Dit kan ruimte geven voor onderbouwing |
| 6. Contractrisico | Wordt je antwoord later onderdeel van contractafspraken? | Overclaimen kan later tegen je werken |
| 7. Open punten | Welke maatregelen zijn nog niet volledig ingericht? | Die moet je eerlijk koppelen aan planning en risico |
Krijg je daarnaast een Excel, PDF of klantportaal met securityvragen? Dan lijkt de situatie vaak op een securityvragenlijst van klant invullen of een vendor assessment hulp, maar met extra aanbestedingsrisico.
ISO 27001 in een aanbesteding: certificaat of aantoonbare beheersing?
ISO 27001 is een veelvoorkomende bron van verwarring. In aanbestedingen kan ISO op verschillende manieren terugkomen:
| Formulering | Mogelijke betekenis | Veilige aanpak |
|---|---|---|
| “Inschrijver beschikt over een geldig ISO 27001-certificaat” | Waarschijnlijk formele certificaateis | Niet vervangen met losse documenten. Controleer scope, geldigheid en eventuele gelijkwaardigheid |
| “ISO 27001 of gelijkwaardig” | Mogelijk ruimte voor alternatief bewijs | Onderbouw welke maatregelen, processen en bewijsstukken vergelijkbaar relevant zijn |
| “Werkt volgens ISO 27001-principes” | Meestal geen certificaatclaim, maar wel beheersingsvraag | Beschrijf je aanpak zonder te zeggen dat je gecertificeerd bent |
| “Aantoonbare informatiebeveiliging” | Bewijsverzoek of kwaliteitscriterium | Koppel maatregelen aan bewijsstukken en roadmap |
| “Certificering binnen X maanden na gunning” | Contract- of uitvoeringsvoorwaarde | Beoordeel haalbaarheid, kosten, planning en risico vóór inschrijving |
Belangrijk: als een geldig ISO 27001-certificaat binnen een specifieke scope hard verplicht is, kun je dat niet vervangen met een Bewijsmap. Maar als de aanbesteding vooral vraagt om aantoonbare beheersing, basismaatregelen en verbeterpunten, kan een Cybersecurity Bewijsmap helpen om je onderbouwing te structureren.
Heb je geen certificaat maar vraagt de aanbesteding wel ISO-taal? Lees dan ook: zonder ISO 27001 toch security aantonen.
Welke bewijsstukken kunnen relevant zijn?
Bij security-eisen in aanbestedingen wordt vaak gevraagd om bewijs. Dat hoeft niet altijd een certificaat te zijn. Afhankelijk van de eis kan het gaan om:
| Thema | Mogelijk bewijs | Let op |
|---|---|---|
| MFA | Geanonimiseerd beleid, Conditional Access-overzicht, beheerinstelling | Deel geen adminaccounts of tenantdetails |
| Back-ups | Backupbeleid, restore-testdatum, herstelprocedure | Maak onderscheid tussen beleid en daadwerkelijk geteste restore |
| Incidenten | Incidentprocedure, meldpad, rolverdeling | Claim geen 24/7 response als je die niet hebt |
| Toegangsbeheer | Rollenmatrix, joiner-mover-leaverproces, reviewdatum | Deel geen volledige gebruikerslijsten zonder noodzaak |
| Logging | Beschrijving van logging, alerting en bewaartermijnen | Wees eerlijk als monitoring beperkt is |
| Leveranciers | Subverwerkersoverzicht, leveranciersregister, DPA-proces | Let op privacy en contractuele gevoeligheid |
| Beleid | Informatiebeveiligingsbeleid, acceptabel-gebruikbeleid, awarenessafspraken | Zorg dat beleid echt wordt toegepast |
| Roadmap | Verbeterplan, planning, eigenaar, status | Geen vage “wordt opgepakt”-zinnen zonder datum of eigenaar |
Een goed aanbestedingsantwoord koppelt meestal drie dingen: maatregel, bewijs en beperking. Als iets nog niet volledig is ingericht, benoem dan ook de roadmap.
Voorbeelden van veilige formuleringen
Gebruik geen te harde claims als je bewijs of scope beperkt is. Dit zijn veiligere patronen.
| Situatie | Te hard | Beter |
|---|---|---|
| MFA gedeeltelijk ingericht | “MFA is overal actief” | “MFA is actief voor beheerders en Microsoft 365. Uitrol naar overige applicaties staat gepland.” |
| Geen ISO-certificaat | “Wij voldoen aan ISO 27001” | “Wij zijn niet ISO 27001-gecertificeerd. Wel kunnen wij maatregelen en bewijsstukken aanleveren rond toegangsbeheer, back-ups en incidentproces.” |
| Back-up niet getest | “Back-ups zijn op orde” | “Back-ups zijn ingericht. De laatste restore-test is nog niet formeel vastgelegd; dit staat op de roadmap.” |
| Logging beperkt | “Wij monitoren security 24/7” | “Voor de relevante systemen is logging ingericht. Er is geen 24/7 SOC-dienst inbegrepen.” |
| Aanbesteding vraagt bewijs | “Zie bijlage, alles geregeld” | “In bijlage A koppelen wij per eis de maatregel, het beschikbare bewijs en eventuele open punten.” |
Wanneer moet je een vraag stellen in de Nota van Inlichtingen?
Bij aanbestedingen is het soms beter om verduidelijking te vragen dan zelf te gokken. Overweeg een vraag als:
- de security-eis onduidelijk is geformuleerd;
- niet duidelijk is of ISO 27001 verplicht is of als voorbeeld wordt genoemd;
- de scope van het certificaat of bewijs niet is gespecificeerd;
- de eis technisch niet past bij de opdracht;
- de deadline of uitvoeringsfase onduidelijk is;
- een alternatief of gelijkwaardig bewijs mogelijk lijkt, maar niet expliciet wordt genoemd.
Voorbeeldvraag:
“Kunt u bevestigen of ISO 27001 als verplicht certificaat wordt gevraagd, of dat aantoonbare gelijkwaardige maatregelen en bewijsstukken ook worden geaccepteerd?”
Laat zulke vragen bij voorkeur juridisch controleren als ze gevolgen kunnen hebben voor je inschrijving.
Wat moet je niet claimen?
Bij aanbestedingen is voorzichtigheid extra belangrijk, omdat antwoorden later contractuele waarde kunnen krijgen.
Zeg liever niet:
- “Wij zijn NIS2-compliant” als dit niet formeel is vastgesteld;
- “Wij voldoen aan ISO 27001” zonder geldig certificaat of duidelijke scope;
- “Alles is op orde” zonder bewijs;
- “Wij hebben 24/7 monitoring” als dit geen echte dienst of proces is;
- “Geen risico’s”;
- “Auditproof”;
- “Gegarandeerd geaccepteerd”.
Zeg liever:
- wat wel is ingericht;
- voor welke scope dat geldt;
- welk bewijs beschikbaar is;
- welke beperkingen er zijn;
- welke verbeterpunten op de roadmap staan.
Hoe InstantSecure hierbij helpt
InstantSecure is geen aanbestedingsjurist en geeft geen garantie op gunning. We helpen wel met de security-inhoud van klant- en aanbestedingsvragen.
Bij een aanbesteding met informatiebeveiligingseisen helpen we bijvoorbeeld met:
- onderscheid maken tussen harde eisen, wensen, bewijsverzoeken en contractvoorwaarden;
- ISO 27001-, NIS2-, Cbw- of SC10/SC20-taal vertalen naar praktische verplichtingen;
- bepalen welk bewijs al beschikbaar is;
- veilige conceptantwoorden formuleren;
- open punten koppelen aan een realistische roadmap;
- signaleren wanneer juridisch aanbestedingsadvies nodig is.
Moet je dezelfde bewijsstukken vaker bij klanten of aanbestedingen gebruiken? Dan kan een Cybersecurity Bewijsmap helpen om maatregelen, bewijs en roadmap herbruikbaar te maken.
Checklist vóór verzending
Gebruik deze checklist voordat je security-antwoorden in een aanbesteding indient:
- Is duidelijk of de eis knock-out, wens, contractvoorwaarde of bewijsverzoek is?
- Is de scope van de eis helder?
- Is duidelijk welk bewijs verplicht is?
- Zijn certificaatclaims gecontroleerd?
- Zijn open punten eerlijk benoemd?
- Zijn gevoelige screenshots of exports geanonimiseerd?
- Is er juridisch advies gevraagd als de eis uitsluiting of contractrisico raakt?
- Is de interne eigenaar bekend voor maatregelen die je belooft?
- Is de roadmap realistisch en concreet?
Bronnen en actuele informatie
- NCSC — Cyberbeveiligingswet (NIS2): https://www.ncsc.nl/cyberbeveiligingswet-nis2
- NCSC — De Cyberbeveiligingswet en toeleveranciers: https://www.ncsc.nl/cyberbeveiligingswet-nis2/de-cyberbeveiligingswet-en-toeleveranciers
- PIANOo — Expertisecentrum Aanbesteden: https://www.pianoo.nl/nl
Hulp nodig?
Twijfel je of een security-eis in een aanbesteding een harde eis, wens of bewijsverzoek is? Laat de aanbestedingseis beoordelen. We kijken naar de security-inhoud, mogelijke bewijsstukken en veilige formulering. Voor juridische aanbestedingsvragen verwijzen we naar een aanbestedingsjurist.



