Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Vrijwaringsverklaring

Processen

Verklaring waarin men toestemming geeft om een beveiligingsonderzoek te doen en om de onderzoeker te vrijwaren van schade die hij mogelijk door dit onderzoek veroorzaakt bij professionele uitvoering ervan. Ook staat erin waaraan het onderzoek moet voldoen. Deze verklaring gebruikt men bijvoorbeeld voor een penetratietest.

Een vrijwaringsverklaring is een juridisch document dat binnen cybersecurity wordt gebruikt om betrokken partijen te beschermen tegen aansprakelijkheid tijdens beveiligingstesten. Wanneer een organisatie een penetratietest of security audit laat uitvoeren, simuleren ethische hackers aanvallen op systemen en netwerken. Zonder een vrijwaringsverklaring zouden deze activiteiten juridisch als computervredebreuk kunnen worden aangemerkt. De verklaring zorgt ervoor dat alle betrokken partijen, van opdrachtgever tot hostingprovider, op de hoogte zijn van de geplande test en afzien van juridische claims die uit de testactiviteiten kunnen voortvloeien.

In de Nederlandse context is de vrijwaringsverklaring extra relevant vanwege de Wet Computercriminaliteit. Deze wet stelt dat ongeautoriseerde toegang tot computersystemen strafbaar is, ook als het doel het verbeteren van de beveiliging is. De vrijwaringsverklaring creeert het juridische kader waarbinnen security professionals hun werk veilig kunnen uitvoeren. Zonder dit document loopt zowel de testende partij als de opdrachtgever risico op juridische complicaties, zelfs als alle betrokkenen mondeling hebben ingestemd met de test. Het document is daarom een standaardonderdeel van elk professioneel beveiligingstraject en wordt door de meeste security-bedrijven als voorwaarde gesteld voordat zij aan een opdracht beginnen.

Hoe werkt een vrijwaringsverklaring? Stappen

Het opstellen en ondertekenen van een vrijwaringsverklaring voor beveiligingstesten volgt een gestructureerd proces. In de eerste fase definieert de opdrachtgever samen met het beveiligingsbedrijf de scope van de test. Hierin wordt vastgelegd welke systemen, netwerken en applicaties getest mogen worden, en welke methoden zijn toegestaan. Dit voorkomt dat de testers per ongeluk buiten de afgesproken grenzen opereren en beschermt beide partijen tegen misverstanden over wat wel en niet mag.

Vervolgens inventariseer je alle betrokken partijen. Dit zijn niet alleen de opdrachtgever en het beveiligingsbedrijf, maar ook hostingproviders, cloudleveranciers en eventuele derde partijen die de infrastructuur beheren. Elke partij die eigenaar is van systemen binnen de testscope moet de vrijwaringsverklaring ondertekenen. Dit is cruciaal, want als een hostingprovider niet op de hoogte is van de test, kan deze de activiteiten als een echte aanval rapporteren bij de politie of het security operations center. Het betrekken van alle partijen voorkomt dergelijke situaties en zorgt voor een soepel verloop van de test.

In de derde stap wordt de verklaring juridisch geformaliseerd. Een goede vrijwaringsverklaring bevat minimaal de volgende elementen: de identiteit van alle betrokken partijen, de exacte scope en tijdsperiode van de test, de toegestane testmethoden, afspraken over de omgang met gevonden kwetsbaarheden, en een vrijwaringclausule die de testende partij beschermt tegen aansprakelijkheidsclaims. Tot slot worden noodprocedures vastgelegd voor het geval de test onverwachte gevolgen heeft, zoals systeemstoringen of datalekken. Na ondertekening door alle partijen kan de beveiligingstest van start gaan.

Wanneer heb je een vrijwaringsverklaring nodig?

Een vrijwaringsverklaring is noodzakelijk bij elke vorm van offensieve beveiligingstest. Dit omvat penetratietesten op netwerken en applicaties, red team assessments waarbij fysieke en digitale aanvallen worden gecombineerd, en social engineering tests waarbij medewerkers worden getest op hun weerbaarheid tegen manipulatie. Ook bij vulnerability scans die actief kwetsbaarheden proberen te exploiteren is een vrijwaringsverklaring aan te raden, aangezien deze scans technisch gezien dezelfde juridische risico's met zich meebrengen als een volledige penetratietest.

Daarnaast is een vrijwaringsverklaring verplicht wanneer je systemen test die bij externe partijen zijn ondergebracht. Denk aan applicaties die draaien in een cloudomgeving van AWS, Azure of Google Cloud, of websites die bij een externe hostingpartij staan. Deze providers hebben eigen voorwaarden voor beveiligingstesten op hun infrastructuur. Zonder een vrijwaringsverklaring die door de provider is medeondertekend, riskeer je dat je account wordt geblokkeerd of dat er juridische stappen worden ondernomen. Grote cloudproviders hebben specifieke formulieren en processen voor het aanvragen van toestemming voor beveiligingstesten.

Bij compliance-trajecten voor normen als ISO 27001 of NIS2 wordt ook regelmatig gevraagd om bewijs dat beveiligingstesten op een gecontroleerde en juridisch verantwoorde manier worden uitgevoerd. De vrijwaringsverklaring dient hierbij als bewijs van due diligence en laat zien dat de organisatie zorgvuldig omgaat met de juridische aspecten van beveiligingsonderzoek. Auditors controleren vaak of een ondertekende vrijwaringsverklaring aanwezig is voordat zij de resultaten van een beveiligingstest accepteren als bewijs van een effectief beveiligingsprogramma.

Wat kost een vrijwaringsverklaring?

De kosten voor een vrijwaringsverklaring varieren sterk afhankelijk van de complexiteit van het project en het aantal betrokken partijen. Bij standaard penetratietesten is de vrijwaringsverklaring doorgaans inbegrepen in de offerte van het beveiligingsbedrijf. De meeste security-bedrijven hanteren een standaardtemplate dat ze aanpassen aan de specifieke situatie. In dat geval zijn er geen extra kosten voor de opdrachtgever en wordt het document als onderdeel van de offerte aangeleverd.

Bij complexere trajecten, zoals red team assessments met meerdere hostingproviders en cloudleveranciers, kan het juridische voorwerk meer tijd kosten. Als je een advocaat inschakelt om een maatwerk vrijwaringsverklaring op te stellen, reken je op kosten tussen 500 en 2.500 euro, afhankelijk van de complexiteit en het uurtarief van de jurist. Voor organisaties die regelmatig beveiligingstesten laten uitvoeren, is het raadzaam om een raamovereenkomst op te stellen die hergebruikt kan worden voor meerdere tests, wat de kosten op langere termijn aanzienlijk verlaagt.

Naast de directe kosten moet je ook rekening houden met de tijdsinvestering. Het verzamelen van handtekeningen van alle betrokken partijen kan enkele dagen tot weken duren, vooral als externe providers hun eigen juridische review willen uitvoeren. Sommige cloudproviders hanteren een doorlooptijd van vijf tot tien werkdagen voor het verwerken van testverzoeken. Plan deze doorlooptijd ruim in bij het plannen van beveiligingstesten, zodat vertraging in het testtraject wordt voorkomen.

Veelgestelde vragen over vrijwaringsverklaring

Is een vrijwaringsverklaring wettelijk verplicht bij een pentest?

Een vrijwaringsverklaring is niet expliciet wettelijk verplicht, maar zonder dit document riskeer je strafrechtelijke vervolging op basis van de Wet Computercriminaliteit. In de praktijk weigeren professionele beveiligingsbedrijven om een test uit te voeren zonder getekende vrijwaringsverklaring. Het document beschermt zowel de opdrachtgever als de tester tegen juridische claims.

Wie moet de vrijwaringsverklaring ondertekenen?

Alle partijen die eigenaar zijn van systemen binnen de testscope moeten tekenen. Dit zijn minimaal de opdrachtgever en het beveiligingsbedrijf, maar vaak ook hostingproviders, cloudleveranciers en managed service providers. Vergeet niet dat een tekenbevoegd persoon moet ondertekenen, niet een willekeurige medewerker.

Hoe lang is een vrijwaringsverklaring geldig?

De geldigheid wordt vastgelegd in de verklaring zelf en is gekoppeld aan de duur van de beveiligingstest. Standaard geldt een vrijwaringsverklaring voor de afgesproken testperiode plus een redelijke marge voor rapportage en hertesten. Bij raamovereenkomsten kan de geldigheid een heel jaar beslaan.

Wat als een hostingprovider weigert te tekenen?

Grote cloudproviders als AWS en Azure hebben eigen procedures voor beveiligingstesten. AWS vereist bijvoorbeeld dat je een aanvraagformulier invult via hun portal. Als een provider weigert mee te werken, moet je de scope van de test aanpassen zodat hun systemen worden uitgesloten, of kiezen voor passieve testmethoden die geen actieve exploitatie vereisen.

Verschilt een vrijwaringsverklaring van een geheimhoudingsverklaring?

Ja, deze documenten hebben verschillende doelen. Een vrijwaringsverklaring beschermt tegen aansprakelijkheid voor de testactiviteiten zelf. Een geheimhoudingsverklaring (NDA) beschermt vertrouwelijke informatie die tijdens de test wordt ontdekt. Bij beveiligingstesten worden meestal beide documenten getekend, omdat ze elkaar aanvullen in de juridische bescherming van alle betrokken partijen.

Zoek je een partner voor professionele beveiligingstesten? Vergelijk Pentesting aanbieders op IBgidsNL.