Plan intake
Diensten

Kwetsbaarheidsscan uitgelegd

Laatst bijgewerkt: 12 mei 2026Leestijd: 5 minDoor URL.nl Redactie

TL;DR

Een kwetsbaarheidsscan brengt bekende technische zwakheden in beeld door je systemen geautomatiseerd te toetsen tegen een actuele kwetsbaarhedendatabase. Het is geen pentest en geen vervanging voor diepteonderzoek, maar wel de meest kosteneffectieve doorlopende basismaatregel.

Wat is het

Een kwetsbaarheidsscan toetst geautomatiseerd of bekende kwetsbaarheden (CVE's) aanwezig zijn in je systemen, applicaties of netwerk. De scanner vergelijkt geïnstalleerde software­versies, configuraties en open poorten met een actuele database.

Verschil met pentest

Een pentest is een mensgedreven, diepgaand onderzoek waarbij ethical hackers actief exploits proberen en denken zoals een aanvaller. Een kwetsbaarheidsscan is geautomatiseerd, breed en oppervlakkig. Je gebruikt ze naast elkaar, niet in plaats van elkaar.

Soorten scans

  • Externe scan: vanaf het internet, simuleert een aanvaller buiten je netwerk
  • Interne scan: vanaf je interne netwerk, simuleert een aanvaller die al binnen is
  • Authenticated scan: ingelogd op systemen, geeft het diepste beeld
  • Webapplicatie-scan: gericht op OWASP Top 10 en applicatielagen

Hoe vaak

Voor een goede basis: minimaal maandelijks geautomatiseerd, met directe waarschuwingen bij nieuwe kritieke kwetsbaarheden (zero-days). Na elke significante wijziging in productie ook een ad-hoc scan.

Bevindingen opvolgen

Een scan zonder opvolging is verspilde tijd. Werk met een SLA: kritieke bevindingen binnen 7 dagen, hoge binnen 30 dagen, gemiddelde binnen 90 dagen. Niet-oplosbare bevindingen documenteer je in het risicoregister.

Veelgestelde vragen

Verstoort een scan onze productie?

Goed geconfigureerd nauwelijks, maar plan kritieke systemen buiten piekuren en informeer je leveranciers.

Is een gratis scanner voldoende?

Voor een eerste inzicht ja, voor doorlopend gebruik met rapportage en SLA's adviseren we een commerciële oplossing.

Vervangt dit een pentest?

Nee. Voor compliance en diepte-inzicht blijft een jaarlijkse pentest noodzakelijk.

Deze informatie is bedoeld als praktische uitleg en vormt geen juridisch advies. Controleer altijd de actuele wetgeving en raadpleeg waar nodig een juridisch adviseur of toezichthouder.

Verder lezen

Laatst bijgewerkt op 12 mei 2026 door de URL.nl Redactie.

Wil je weten wat jouw organisatie nodig heeft?

Plan een korte cybersecurity intake. We nemen samen je situatie door en geven concrete vervolgstappen.

Plan een cybersecurity intake