Westbroek IT Security_logo wit blauw
Contact

Kwetsbaarheidsscan of pentest: wat is het verschil?

Publicatiedatum: 18 juni 2026    
Geschatte leestijd: 2 minuten

Een kwetsbaarheidsscan en een pentest hebben hetzelfde doel: kwetsbaarheden in je IT-omgeving vinden voordat een aanvaller dat doet. De manier waarop, en de diepte van het onderzoek, verschillen sterk. ISO 27001, NIS2 en grote klanten verwachten dat je je informatiebeveiliging aantoonbaar test, en vragen daarbij vaak om een van beide.

In deze blog leggen we uit wat een kwetsbaarheidsscan en een pentest zijn, waar de verschillen zitten en in welke situatie welke past.

Kort samengevat

  • Een kwetsbaarheidsscan brengt bekende kwetsbaarheden snel in kaart. Een pentest gaat dieper en simuleert een echte aanval.
  • Voor de meeste MKB-bedrijven is een combinatie van beide de juiste keuze.
  • ISO 27001 en NIS2 vragen om regelmatig testen, zonder een exacte frequentie voor te schrijven.
  • Een scan voer je doorgaans elk kwartaal uit, een pentest jaarlijks of na grote wijzigingen.


Wil je weten welke test bij jouw situatie past? Bekijk onze aanpak van security scans en pentesting.

Wat is een kwetsbaarheidsscan?

Een kwetsbaarheidsscan is een geautomatiseerd onderzoek naar bekende kwetsbaarheden in je netwerk, servers en applicaties. De scan controleert op verouderde software, ontbrekende patches, zwakke instellingen en open poorten. Het resultaat is een rapport met gevonden kwetsbaarheden, geprioriteerd op urgentie.

Een scan brengt bekende kwetsbaarheden snel in kaart. Wat een scan doorgaans buiten beschouwing laat: of een kwetsbaarheid in jouw specifieke omgeving daadwerkelijk uitgebuit kan worden.

Wat is een pentest?

Een pentest, voluit penetratietest, is een handmatig onderzoek waarbij een ethisch hacker probeert in te breken in je systemen. Een pentest start meestal met een geautomatiseerde scan om de omgeving in kaart te brengen. Daarna gaat de pentester handmatig verder, met dezelfde technieken als een echte aanvaller, en combineert kwetsbaarheden om dieper te komen.

Een pentest test ook de bedrijfslogica van je applicatie. Een voorbeeld: kun je tien bioscoopkaartjes kopen voor de prijs van één doordat er een rekenfout in de bestelflow zit? Dat soort fouten vang je in een pentest. Het resultaat is een rapport met concrete aanvalsroutes en wat ermee mogelijk was.

Bij Westbroek IT Security voeren wij pentests uit met een CPENT-gecertificeerde specialist. Meer lezen over wanneer een pentest aan de orde is? Lees onze blog over wanneer je een pentest nodig hebt als MKB-bedrijf.

De verschillen op een rij

Kwetsbaarheidsscan
Pentest
Werkwijze
Geautomatiseerd
Handmatig, door specialist
Diepte
Breed overzicht van bekende kwetsbaarheden
Diep onderzoek, inclusief bedrijfslogica en daadwerkelijke uitbuiting
Frequentie
Per kwartaal tot continu, kan meedraaien in de ontwikkelcyclus
Jaarlijks of na grote wijzigingen
Doorlooptijd
Uren
Afhankelijk van omvang en complexiteit
Kosten
Lager
Hoger

Wanneer kies je voor wat?

Een paar concrete situaties die we vaak tegenkomen:

  • Eerste keer security testen. Begin met een kwetsbaarheidsscan. Je krijgt snel inzicht in waar je staat, zonder grote investering.
  • Nieuwe webapplicatie of grote update gedaan. Voer eerst een scan uit, los de gevonden kwetsbaarheden op en plan daarna een pentest om de applicatie diepgaand te testen.
  • Klant of leverancier vraagt om aantoonbaar bewijs van veiligheid. Hier verwacht de afnemer doorgaans een pentestrapport.
  • ISO 27001 of NIS2 op de agenda. Een scan vormt de basis voor doorlopend kwetsbaarhedenbeheer. Een pentest valideert de werking van je beveiligingsmaatregelen. Voor de meeste MKB-bedrijven horen beide bij een geloofwaardig traject.
  • Migratie naar de cloud of een nieuw platform. Plan een scan kort na migratie en een pentest binnen drie maanden om aanvalsroutes te toetsen.

Hoe vaak en hoe vullen ze elkaar aan?

Een kwetsbaarheidsscan voer je idealiter elk kwartaal uit. Bij actieve ontwikkeling of een complexe IT-omgeving is maandelijks of zelfs continu testen logischer. Bij actieve softwareontwikkeling kun je een scan meedraaien in je ontwikkelcyclus, zodat elke code-wijziging automatisch wordt gecontroleerd. Een pentest plan je minimaal eenmaal per jaar, en daarnaast na elke grote wijziging in je infrastructuur of applicaties.

In de praktijk werken scan en pentest het sterkst samen. De scan zorgt voor doorlopende hygiëne en signaleert ontbrekende patches en zwakke instellingen. De pentest valideert of die basis ook standhoudt onder een gerichte aanval. Resultaten uit recente scans helpen om een pentest gerichter in te zetten.

Waar begin je als MKB-bedrijf?

  1. Breng in kaart wat publiek bereikbaar is en wat intern staat. Denk aan websites, webapplicaties, VPN’s en cloudomgevingen.
  2. Plan een kwetsbaarheidsscan op je infrastructuur en webapplicaties. Los de bevindingen met de hoogste prioriteit op.
  3. Plan een pentest op het onderdeel met het grootste risico. Vaak is dat een publieke webapplicatie of de toegang van buitenaf.
  4. Spreek een herhaalritme af: scan per kwartaal, pentest jaarlijks. Pas dit ritme aan op je groei en op wijzigingen in je IT-omgeving.

FAQ: Veelgestelde vragen

Wat is het verschil tussen een kwetsbaarheidsscan en een pentest?

Een kwetsbaarheidsscan is geautomatiseerd en geeft een breed overzicht van bekende kwetsbaarheden. Een pentest is handmatig werk door een ethisch hacker die kwetsbaarheden ook daadwerkelijk probeert uit te buiten. Een scan is breder en sneller, een pentest gaat dieper en is realistischer.

Heb ik als MKB-bedrijf een kwetsbaarheidsscan of pentest nodig?

Dat hangt af van je situatie. Voor een eerste beeld of doorlopende monitoring is een kwetsbaarheidsscan logisch. Voor een aantoonbare check op aanvalsroutes, of als een klant of audit daarom vraagt, is een pentest nodig. Veel MKB-bedrijven combineren beide.

Wat kost een kwetsbaarheidsscan voor het MKB?

Dat hangt af van de omvang van je IT-omgeving en de frequentie van de scans. Een eenmalige scan op een afgebakend deel is doorgaans een paar honderd tot enkele duizenden euro’s. Doorlopende scans worden vaak in een abonnement aangeboden.

Hoe vaak moet ik een kwetsbaarheidsscan laten doen?

Minimaal elk kwartaal. Bij actieve softwareontwikkeling, regelmatige updates of een complexe IT-omgeving is een maandelijkse of continue scan beter. Bij actieve softwareontwikkeling kun je een scan meedraaien in je ontwikkelcyclus, zodat elke code-wijziging direct gecontroleerd wordt. Voer altijd een extra scan uit na een grote wijziging.

Voldoe ik aan ISO 27001 of NIS2 met alleen een kwetsbaarheidsscan?

Een kwetsbaarheidsscan alleen is doorgaans onvoldoende. ISO 27001 en NIS2 verwachten dat je je beveiligingsmaatregelen regelmatig en aantoonbaar test. In de praktijk betekent dit een combinatie van doorlopende scans en een jaarlijkse pentest.

Contact

Weet je welke test bij jouw situatie past?

Wij denken graag mee. In een persoonlijk kennismakingsgesprek kijken we naar je IT-omgeving, je doelen en de verplichtingen vanuit klanten of certificering. Je krijgt een eerlijk beeld van welke combinatie van scan en pentest past bij jouw bedrijf.

Neem contact op
Nieuwsbrief

Praktische security inzichten

Ontvang elke maand één concreet inzicht dat speelt op het gebied van informatiebeveiliging binnen het MKB.

  • Eén mail per maand, in twee minuten gelezen
  • Concrete tips over NIS2, ISO en pentesting
  • Blijf op de hoogte van het laatste nieuws
Bedankt! Je inschrijving is gelukt.

Je gegevens gebruiken we alleen voor de nieuwsbrief. Uitschrijven kan altijd.