Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Screening

Processen

De integriteit van een persoon onderzoeken. Een werkgever kan dit doen als hij iemand wil aannemen voor een functie waarin integriteit extra belangrijk is. De werkgever vraagt informatie op over de persoon. Daarmee schat de werkgever in hoe integer deze persoon is. Screening mag alleen als je voldoet aan voorwaarden die staan in de wet: de Algemene Verordening Gegevensbescherming, de Uitvoeringswet Algemene Verordening Gegevensbescherming en de Wet veiligheidsonderzoeken.

Screening is het systematisch onderzoeken van de achtergrond, betrouwbaarheid en integriteit van personen voordat zij toegang krijgen tot gevoelige informatie, systemen of functies binnen een organisatie. In de context van cybersecurity is screening een cruciaal proces om insiderdreigingen te minimaliseren en te voorkomen dat onbetrouwbare personen toegang krijgen tot kritieke IT-infrastructuur. In Nederland wordt screening vaak uitgevoerd als pre-employment screening (PES) bij indiensttreding, maar ook als in-employment screening gedurende het dienstverband. De Dienst Justis verstrekt Verklaringen Omtrent het Gedrag (VOG), terwijl commerciele screeningsbureaus aanvullende antecedentenonderzoeken uitvoeren onder de Wet particuliere beveiligingsorganisaties en recherchebureaus (Wpbr).

Het belang van screening is de afgelopen jaren toegenomen door de groeiende dreiging van insideraanvallen en de toenemende eisen vanuit wet- en regelgeving zoals NIS2 en de AVG. Organisaties die werken met persoonsgegevens, financiele data of kritieke infrastructuur zijn verplicht om passende maatregelen te nemen voor de betrouwbaarheid van hun personeel. Een grondige screening verkleint het risico dat een medewerker, bewust of onbewust, een beveiligingsincident veroorzaakt. De Nationale Richtlijn Pre-, In- en Post-Employment Screening (versie 3.0) biedt organisaties een gestructureerd kader voor het opzetten van een screeningsproces dat voldoet aan wettelijke eisen en best practices.

Hoe werkt screening? Stappen

Het screeningsproces verloopt in meerdere fasen, elk gericht op het verifieren van specifieke aspecten van de kandidaat. De eerste stap is het vaststellen van het screeningsprofiel: welke functies vereisen welk niveau van screening? Functies met toegang tot financiele systemen, persoonsgegevens of kroonjuwelen van de organisatie vragen om een uitgebreidere screening dan administratieve rollen.

Bij een standaard pre-employment screening worden doorgaans de volgende onderdelen gecontroleerd: identiteitsverificatie aan de hand van een geldig identiteitsbewijs, verificatie van diploma's en certificeringen bij de uitgevende instellingen, controle van het arbeidsverleden bij vorige werkgevers, en een VOG-aanvraag via Dienst Justis. Bij functies die een hogere mate van betrouwbaarheid vereisen, kan het onderzoek worden uitgebreid met een financiele integriteitscheck, een social media-analyse en referentienonderzoek.

Voor vertrouwensfuncties bij de overheid of in sectoren die raken aan nationale veiligheid geldt een apart traject: het veiligheidsonderzoek. Dit wordt uitgevoerd door de AIVD of de MIVD en toetst op criteria als eerlijkheid, onafhankelijkheid, loyaliteit en integriteit. Bij een positief resultaat ontvangt de medewerker een Verklaring van Geen Bezwaar (VGB). Dit traject duurt gemiddeld acht tot twaalf weken en wordt herhaald na vijf jaar.

In-employment screening vindt plaats gedurende het dienstverband. Dit is relevant omdat de omstandigheden van een medewerker kunnen veranderen, waardoor risico's ontstaan die bij aanname nog niet bestonden. Denk aan financiele problemen die iemand kwetsbaar maken voor omkoping, of veranderingen in het sociale netwerk die een veiligheidsrisico vormen.

Wanneer voer je screening uit?

Screening is verplicht of sterk aanbevolen in verschillende situaties. Bij aanname van nieuwe medewerkers voor functies met toegang tot gevoelige systemen of data is pre-employment screening standaard. De AVG vereist dat organisaties passende maatregelen nemen om persoonsgegevens te beschermen, en personeel screening is daar een onderdeel van. Onder NIS2 moeten organisaties in essentiele en belangrijke sectoren aantoonbaar maatregelen treffen voor de betrouwbaarheid van personeel met toegang tot kritieke systemen.

Periodieke herscreening is aan te raden bij functies die langdurig toegang bieden tot vertrouwelijke informatie. Veel organisaties voeren elke drie tot vijf jaar een herscreening uit, of eerder wanneer een medewerker van functie verandert naar een rol met hogere autorisatieniveaus. Bij het inschakelen van externe partijen, zoals IT-leveranciers of detacheringsbureaus, is screening van medewerkers die op locatie werken of remote toegang krijgen eveneens belangrijk.

Specifieke triggers voor een screening zijn onder meer: wijzigingen in toegangsrechten, promotie naar een vertrouwensfunctie, signalen van ongebruikelijk gedrag, of een incident waarbij de integriteit van een medewerker in twijfel wordt getrokken. De Autoriteit Persoonsgegevens stelt wel voorwaarden aan screening: het moet proportioneel zijn en er moet een gerechtvaardigd belang bestaan.

Wat kost screening?

De kosten van screening varieren sterk afhankelijk van het type en de diepgang van het onderzoek. Een standaard VOG-aanvraag kost momenteel 41,35 euro per stuk. Een basale pre-employment screening door een commercieel bureau kost doorgaans tussen de 75 en 200 euro per kandidaat en omvat identiteitsverificatie, diplomacontrole en referentiecheck.

Uitgebreidere screenings, inclusief financiele integriteitscontrole, internationale verificatie en social media-analyse, kosten tussen de 250 en 750 euro per persoon. Een volledig veiligheidsonderzoek door de AIVD is kosteloos voor de organisatie maar kent langere doorlooptijden. De kosten van een screeningsprogramma moeten worden afgezet tegen de potentiele schade van een insiderincident, die volgens schattingen gemiddeld 750.000 euro per incident bedraagt voor middelgrote organisaties.

Bij het opzetten van een structureel screeningsbeleid komen daar nog kosten bij voor het ontwikkelen van beleidsdocumenten, training van HR-medewerkers, en eventueel de implementatie van een Identity & Access Management systeem dat aansluit op het screeningsproces. Op jaarbasis besteden organisaties met 100 tot 500 medewerkers gemiddeld 10.000 tot 50.000 euro aan screening, afhankelijk van het verloop en het aantal vertrouwensfuncties.

Naast traditionele screeningsmethoden zien organisaties steeds vaker de waarde van continue monitoring als aanvulling op eenmalige screening. Continuous vetting-programma's combineren periodieke herscreening met real-time signaalmonitoring, waarbij automatisch wordt gedetecteerd wanneer er relevante veranderingen optreden in de omstandigheden van een medewerker. Dit kan variieren van strafrechtelijke veroordelingen tot financiele problemen die een insider threat-risico vormen. Deze aanpak verschuift de focus van een momentopname bij aanname naar een doorlopend inzicht in de betrouwbaarheid van personeel gedurende het hele dienstverband.

Veelgestelde vragen over screening

Is screening verplicht voor cybersecurityfuncties?

Er bestaat geen algemene wettelijke verplichting, maar onder NIS2 moeten organisaties in essentiele sectoren passende maatregelen nemen voor de betrouwbaarheid van personeel. In de praktijk is screening standaard voor functies als security officer, SOC-analyst en systeembeheerder. Veel opdrachtgevers eisen een VOG als minimumvereiste.

Wat is het verschil tussen een VOG en een veiligheidsonderzoek?

Een VOG wordt afgegeven door Dienst Justis en toetst of je strafrechtelijke verleden een belemmering vormt voor een specifieke functie. Een veiligheidsonderzoek is uitgebreider, wordt uitgevoerd door de AIVD of MIVD, en beoordeelt je algehele betrouwbaarheid voor vertrouwensfuncties die raken aan nationale veiligheid.

Mag een werkgever social media controleren bij screening?

Ja, maar onder voorwaarden. De Autoriteit Persoonsgegevens staat social media-checks toe als er een gerechtvaardigd belang is en de controle proportioneel is. De kandidaat moet vooraf worden geinformeerd dat social media onderdeel is van de screening. Alleen openbaar beschikbare informatie mag worden gebruikt.

Hoe lang is een screening geldig?

Een VOG heeft geen formele vervaldatum, maar de meeste organisaties beschouwen een VOG ouder dan drie maanden als verlopen. Veiligheidsonderzoeken worden standaard na vijf jaar herhaald. Best practice is om elke drie tot vijf jaar een herscreening uit te voeren voor functies met toegang tot gevoelige systemen.

Wat gebeurt er als een screening negatief uitvalt?

Bij een negatieve VOG-aanvraag kan de kandidaat bezwaar maken bij Dienst Justis. Een negatieve screening door een commercieel bureau is geen juridisch bindend oordeel, maar een advies aan de werkgever. De werkgever beslist uiteindelijk zelf, maar moet de beslissing kunnen onderbouwen en de kandidaat informeren over de uitkomst.

Vind een specialist voor screening via Governance, Risk & Compliance aanbieders op IBgidsNL.