--- title: "Pentestwaiver" url: https://mkbjuristen.nl/contracten/pentestwaiver/ date: 2023-04-05 modified: 2026-05-26 author: "denian@mkbrecht.nl" description: "Wat is een pentestwaiver? Een pentestwaiver — ook wel penetratietest-autorisatiedocument of ethisch hacken-overeenkomst — is het document waarmee de eigenaar van een IT-systeem, netwerk of applicatie een penetratietester (pentester) uitdrukkelijk..." word_count: 451 --- # Pentestwaiver ## Wat is een pentestwaiver? Een **pentestwaiver** — ook wel penetratietest-autorisatiedocument of ethisch hacken-overeenkomst — is het document waarmee de eigenaar van een IT-systeem, netwerk of applicatie een penetratietester (pentester) uitdrukkelijk toestemming geeft om op gecontroleerde wijze de beveiliging van dat systeem te testen. Zonder een pentestwaiver kan een penetratietest strafbaar zijn op grond van artikel 138ab en 350 Wetboek van Strafrecht: ongeautoriseerde toegang tot computersystemen en het beschadigen van gegevens zijn strafbare feiten, ook als de tester goede bedoelingen heeft. De pentestwaiver creëert de juridische ruimte voor de legitieme beveiligingstesting: zij definieert het scope van de test, de toegestane methoden, de tijdperiode, de communicatieprocedure en de behandeling van gevonden kwetsbaarheden. *Onze advocaten stellen voor u een pentestwaiver op die de scope nauwkeurig omschrijft, de pentester voldoende ruimte geeft om effectief te testen en u als eigenaar beschermt bij onbedoelde schade tijdens de test.* ## Welke elementen moet een pentestwaiver bevatten? Een juridisch deugdelijke **pentestwaiver** bevat minimaal de volgende elementen. De **identiteit van de partijen**: de eigenaar van het systeem en de pentester of het pentestbedrijf. De **scope van de test**: welke systemen, IP-adressen, domeinen en applicaties mogen worden getest, en welke zijn uitdrukkelijk uitgesloten? De **toegestane testmethoden**: welke technieken zijn toegestaan — social engineering, phishing, exploitatie van kwetsbaarheden, denial of service — en welke zijn verboden? De **tijdperiode**: van wanneer tot wanneer mag de test plaatsvinden? De **communicatielijn**: wie is de contactpersoon bij de eigenaar die 24/7 bereikbaar is als de pentester een kritieke kwetsbaarheid ontdekt die onmiddellijk aandacht vereist? De **rapportage**: in welk formaat wordt het testrapport aangeleverd, binnen welke termijn, en hoe worden gevonden kwetsbaarheden geclassificeerd? En de **aansprakelijkheidsregeling**: bij onbedoelde schade tijdens de test — een server die down gaat door een test — wie draagt het risico? Onze advocaten stellen een pentestwaiver op die beide partijen adequaat beschermt. ## Hoe regelt u de behandeling van gevonden kwetsbaarheden? Het meest gevoelige onderdeel van de pentestwaiver is de regeling voor **responsible disclosure**: de afspraak over hoe gevonden kwetsbaarheden worden gecommuniceerd en behandeld. De pentester is verplicht gevonden kwetsbaarheden uitsluitend aan de eigenaar te rapporteren en niet aan derden of publiek te maken. De eigenaar verbindt zich de kwetsbaarheden binnen een overeengekomen termijn te verhelpen. Uw waiver moet ook de behandeling van uiterst kritieke kwetsbaarheden regelen: als de pentester een kritieke kwetsbaarheid ontdekt die directe actie vereist, moet hij de eigenaar onmiddellijk informeren — buiten het normale testrapport. Onze advocaten formuleren een responsible disclosure-clausule die de informatiebeveiliging beschermt. ## Hoe werkt het bij MKBjuristen? Na een korte intake over de te testen systemen, de scope en de gewenste testmethoden stellen onze advocaten een **pentestwaiver** op die de scope nauwkeurig omschrijft, de pentester voldoende ruimte geeft en u als eigenaar beschermt bij onbedoelde schade.