Laatst gecontroleerd: 8 juli 2026
Kort antwoord
Krijg je een securityvragenlijst van een klant? Vul hem niet meteen regel voor regel in. Controleer eerst scope, deadline, harde eisen, bewijsverwachting en vragen waarbij je te snel te veel kunt beloven. Bij twijfel helpt securityvragenlijst van klant invullen om antwoorden te koppelen aan bewijs en open punten.
Kort gezegd: een goede securityvragenlijst gaat niet alleen over “ja” of “nee”. Je moet kunnen uitleggen wat geregeld is, welk bewijs je kunt delen, wat nog openstaat en welke roadmap daarbij hoort.
Voor wie is dit artikel?
Dit artikel is vooral bedoeld voor MKB-leveranciers die een Excel, PDF, klantportaal of procurement-vragenlijst ontvangen van een grotere klant. Bijvoorbeeld:
- een SaaS-leverancier die securityvragen krijgt vóór contractverlenging;
- een IT-dienstverlener of MSP die maatregelen moet aantonen;
- een marketingbureau of webbouwer dat toegang heeft tot klantdata of klantomgevingen;
- een detacheerder, consultant of zzp’er met corporate klanten;
- een leverancier die vragen krijgt over ISO 27001, NIS2/Cbw, MFA, back-ups of incidentprocedure.
Gaat het om een formele leveranciersbeoordeling via procurement of een klantportaal? Bekijk dan ook vendor assessment hulp.
Waarom je niet meteen moet invullen
Een securityvragenlijst lijkt vaak administratief werk. Toch kunnen je antwoorden later terugkomen in contracten, audits, aanbestedingen of incidentdiscussies. Het risico zit meestal niet in één losse vraag, maar in een te harde claim zonder bewijs.
Voorbeelden van risicovolle antwoorden:
- “Ja, MFA is overal actief” terwijl uitzonderingen bestaan.
- “Wij zijn ISO 27001-compliant” zonder certificaat of duidelijk ISMS.
- “Back-ups worden getest” zonder recente restore-test of bewijs.
- “Niet van toepassing” terwijl de klant juist jouw toegang, systemen of data bedoelt.
- “Ja” op logging, monitoring of incidentrespons zonder proces of eigenaar.
Een eerlijk onderbouwd antwoord is vaak sterker dan een te harde “ja” die je later niet kunt aantonen.
De 7 checks vóór je antwoordt
| Check | Waar kijk je naar? | Waarom belangrijk? |
|---|---|---|
| 1. Deadline | Wanneer moet de vragenlijst terug? Is uitstel mogelijk? | Voorkomt haastwerk en onvolledige antwoorden. |
| 2. Scope | Gaat het om je hele bedrijf, één dienst, één klantomgeving of één applicatie? | Veel verkeerde antwoorden ontstaan door te brede scope. |
| 3. Type vraag | Informatievraag, harde eis, contracteis of bewijsverzoek? | Bepaalt of je kunt toelichten of echt moet voldoen. |
| 4. Bewijsverwachting | Wil de klant alleen een antwoord, of ook bewijsstukken uploaden? | Zonder bewijs kan een “ja” zwak of riskant zijn. |
| 5. Rode vragen | ISO, NIS2/Cbw, auditrechten, pentest, datalekken, logging, subverwerkers. | Deze vragen kunnen juridische, contractuele of commerciële impact hebben. |
| 6. Eigenaar | Wie mag inhoudelijk akkoord geven op antwoorden? | Security, directie, IT, legal of externe beheerder moeten soms meekijken. |
| 7. Roadmap | Welke maatregelen zijn deels ingericht of gepland? | Hiermee kun je eerlijk antwoorden zonder te overclaimen. |
Stap 1: bepaal de scope
Begin nooit met antwoorden voordat duidelijk is waar de klant precies naar vraagt.
Voorbeelden:
| Vraag van klant | Mogelijke scope |
|---|---|
| “Is MFA enabled?” | Alle medewerkers, alleen beheerders, klantportaal, Microsoft 365, productieomgeving |
| “Do you have backups?” | Eigen systemen, klantdata, SaaS-applicatie, Microsoft 365, endpoints |
| “Are you ISO 27001 certified?” | Hele organisatie, specifieke dienst, datacenter, moederbedrijf, leverancier |
| “Do you monitor security incidents?” | Technische monitoring, mailboxmeldingen, SOC, logreview, incidentprocedure |
| “Do you assess suppliers?” | Kritieke leveranciers, subverwerkers, IT-beheerders, hostingpartij |
Als de scope onduidelijk is, vraag verduidelijking of antwoord met scopebeperking. Bijvoorbeeld:
“Dit antwoord geldt voor de dienst die wij aan uw organisatie leveren en niet voor alle interne bedrijfsprocessen van onze organisatie.”
Stap 2: markeer vragen groen, oranje en rood
Gebruik een simpele triage voordat je inhoudelijk schrijft.
| Kleur | Betekenis | Actie |
|---|---|---|
| Groen | Maatregel is ingericht en bewijs is beschikbaar. | Antwoorden en bewijs koppelen. |
| Oranje | Maatregel is deels ingericht of bewijs is nog beperkt. | Voorzichtig formuleren en roadmap toevoegen. |
| Rood | Vraag is onduidelijk, contractueel gevoelig of raakt ISO/NIS2/audit. | Eerst beoordelen, intern afstemmen of verduidelijking vragen. |
Deze aanpak voorkomt dat je overal hetzelfde antwoord geeft. Vooral oranje vragen zijn belangrijk: daar kun je vaak wél professioneel reageren, maar niet met een harde claim.
Lees ook: mag je gedeeltelijk antwoorden op een securityvraag?.
Stap 3: herken harde eisen
Niet elke vraag is even zwaar. Soms wil de klant alleen weten hoe je werkt. Soms is het een harde contracteis.
| Formulering | Waarschijnlijk type | Wat doe je? |
|---|---|---|
| “Do you have a policy for…” | Informatievraag | Antwoord kort en verwijs naar beleid of proces. |
| “Please provide evidence of…” | Bewijsverzoek | Koppel antwoord aan bewijsstuk. |
| “Supplier must be ISO 27001 certified” | Mogelijk harde eis | Controleer of certificaat echt verplicht is. |
| “Non-compliance may lead to rejection” | Knock-out of zwaar criterium | Niet zelf gokken; eerst beoordelen. |
| “Describe your roadmap” | Ruimte voor toelichting | Leg huidige status en planning uit. |
Vraagt de klant om ISO 27001 terwijl je geen certificaat hebt? Ga dan niet doen alsof je gecertificeerd bent. Bekijk zonder ISO 27001 toch security aantonen.
Stap 4: koppel elk antwoord aan bewijs
Een securityvragenlijst wordt sterker als je per belangrijk antwoord bewijs kunt koppelen. Dat hoeft niet altijd een volledig intern document te zijn. Vaak is een geanonimiseerde export, samenvatting of procesbeschrijving veiliger.
| Thema | Mogelijk bewijs | Liever niet delen |
|---|---|---|
| MFA | Screenshot beleid, Conditional Access-overzicht, beheerexport, korte toelichting | Adminaccounts, volledige tenantdetails, herstelcodes |
| Back-ups | Backupbeleid, testdatum, restore-samenvatting, leverancieroverzicht | Volledige infrastructuurdetails of gevoelige locaties |
| Incidentrespons | Incidentprocedure, meldpad, rolverdeling, contactproces | Interne privégegevens of volledige escalatielijsten zonder noodzaak |
| Toegangsbeheer | Rollenmatrix, joiner-mover-leaver-proces, reviewdatum | Complete gebruikerslijst met persoonsgegevens |
| Leveranciers | Subverwerkerlijst, leveranciersregister, verwerkersovereenkomsten | Contracten met gevoelige prijzen of interne risicoanalyses |
| Logging | Loggingbeleid, bewaartermijn, monitoringproces | Volledige logexports of gevoelige detectieregels |
| Awareness | Trainingsbeleid, deelnameoverzicht, phishingprocedure | Individuele scores of personeelsdossiers |
Wil je bewijs structureel hergebruiken bij meerdere klanten? Dan is een Cybersecurity Bewijsmap vaak logischer dan elke vragenlijst opnieuw vanaf nul invullen.
Stap 5: antwoord niet te hard
De grootste fout is niet “nee” zeggen. De grootste fout is “ja” zeggen op iets dat je niet kunt aantonen.
| Situatie | Risicovol antwoord | Veiliger antwoord |
|---|---|---|
| MFA staat aan voor beheerders, maar nog niet voor iedereen | “Yes, MFA is enabled for all users.” | “MFA is enabled for privileged accounts. Rollout to all remaining users is planned. Evidence can be shared for the current scope.” |
| Back-ups bestaan, maar restore-test is oud | “Backups are tested regularly.” | “Backups are configured. The most recent restore validation is being updated and can be added to the roadmap.” |
| Geen ISO-certificaat | “We are ISO 27001 compliant.” | “We are not ISO 27001 certified. We can describe relevant controls and provide available evidence.” |
| Logging is beperkt | “All systems are monitored.” | “Logging is active for key systems. Coverage and retention differ per environment.” |
| Procedure is informeel | “We have a full incident response process.” | “Incident handling is documented at process level. Further formalisation is part of the roadmap.” |
Dit soort formuleringen zijn geen trucjes. Ze zorgen ervoor dat je antwoord beter aansluit op de werkelijkheid.
Stap 6: let extra op NIS2/Cbw-vragen
Sinds NIS2 en de Nederlandse Cyberbeveiligingswet krijgen leveranciers vaker vragen over ketenrisico, maatregelen en bewijs. Dat betekent niet automatisch dat jouw organisatie zelf rechtstreeks onder de Cbw valt. Het kan ook zijn dat jouw klant zijn eigen toeleveringsketen beter moet beoordelen.
Voor leveranciers is de praktische vraag meestal:
“Welke securitymaatregelen en bewijsstukken kan ik richting mijn klant laten zien?”
Als je klant NIS2-, Cbw-, SC10- of SC20-taal gebruikt, koppel dat dan terug naar concrete maatregelen, bewijs en open punten. Zie ook NIS2-vragen van klanten: wat betekent dit voor leveranciers?.
Stap 7: bepaal je volgende stap
Na de eerste triage zijn er meestal drie routes.
| Situatie | Logische route |
|---|---|
| Eén concrete vragenlijst, beperkte tijd | Laat de securityvragenlijst beoordelen |
| Klantportaal of procurement-beoordeling | Bekijk vendor assessment hulp |
| Steeds opnieuw klantvragen en bewijsstukken | Start met een Cybersecurity Bewijsmap |
Bij twijfel is een eerste beoordeling vaak genoeg om te bepalen wat de klant echt vraagt, welke antwoorden veilig zijn en welke bewijsstukken logisch zijn.
Checklist vóór verzending
Gebruik deze checklist voordat je de vragenlijst terugstuurt:
- Is de scope duidelijk?
- Zijn harde eisen gemarkeerd?
- Zijn ISO-, NIS2-, audit- en contractvragen apart beoordeeld?
- Is elk “ja” te onderbouwen met bewijs?
- Zijn gedeeltelijke maatregelen eerlijk toegelicht?
- Zijn gevoelige bewijsstukken geanonimiseerd of samengevat?
- Is duidelijk wat nog op de roadmap staat?
- Heeft iemand met verantwoordelijkheid de antwoorden gezien?
- Zijn bijlagen logisch benoemd?
- Is vastgelegd welke versie naar de klant is gegaan?
Wanneer InstantSecure helpt
InstantSecure helpt MKB-leveranciers om klantvragen over security te vertalen naar eis, maatregel, bewijs en roadmap.
Dat kan praktisch zijn als:
- je niet zeker weet of een vraag hard verplicht is;
- je geen ISO 27001-certificaat hebt, maar wel maatregelen wilt aantonen;
- je bewijsstukken moet selecteren zonder te veel interne informatie te delen;
- je klant een vendor assessment of procurement-portaal gebruikt;
- je meerdere klantvragen wilt hergebruiken in een Bewijsmap.
Volgende stap: laat je securityvragenlijst beoordelen.
Wil je structureel bewijs opbouwen? Bekijk de Cybersecurity Bewijsmap Sprint.
Veelgestelde vragen
Moet ik een securityvragenlijst in één keer terugsturen?
Niet altijd. Als bewijsstukken nog ontbreken, kun je vragen of gefaseerde aanlevering mogelijk is. Geef dan duidelijk aan wat je nu kunt leveren, wat nog wordt uitgezocht en wanneer je de rest verwacht.
Mag ik “gedeeltelijk” antwoorden?
Ja, als het eerlijk en duidelijk is. Leg uit welk deel is ingericht, wat nog niet klaar is en welke planning of roadmap daarbij hoort. Een vaag “ja” zonder bewijs is risicovoller dan een goed onderbouwd gedeeltelijk antwoord.
Wat als de klant ISO 27001 vraagt?
Controleer eerst of de klant echt een geldig ISO 27001-certificaat eist, of vooral wil weten welke maatregelen je hebt ingericht. Als een certificaat formeel verplicht is, kun je dat niet vervangen met losse documenten. Als het om aantoonbare maatregelen gaat, kun je vaak wel bewijs en een roadmap delen.
Welke bewijsstukken kan ik veilig meesturen?
Dat hangt af van de vraag. Denk aan geanonimiseerde beleidsstukken, samenvattingen, screenshots van instellingen, testdatums, procesbeschrijvingen en leveranciersoverzichten. Deel liever geen volledige adminexports, herstelcodes, interne kwetsbaarheden of persoonsgegevens zonder noodzaak.
Wat als de vragenlijst via een klantportaal of procurementproces loopt?
Dan lijkt het meer op een vendor assessment. Let extra op verplichte velden, bewijsuploads, afwijkingen, contractuele taal en wie namens jouw organisatie mag verklaren. Bekijk dan ook vendor assessment hulp.
Bronnen en actuele overheidsinformatie
- NCSC over de Cyberbeveiligingswet en NIS2: https://www.ncsc.nl/cyberbeveiligingswet-nis2
- NCSC over de Cyberbeveiligingswet en toeleveranciers: https://www.ncsc.nl/cyberbeveiligingswet-nis2/de-cyberbeveiligingswet-en-toeleveranciers

