Waarom securityvragen ineens in salesgesprekken van digital agencies opduiken

1. Wanneer agencies dit probleem voor het eerst tegenkomen

Veel digital agencies krijgen niet vanaf dag één met securityvragen te maken. Het onderwerp duikt meestal op op het moment dat een bureau begint te groeien richting grotere klanten. In het begin gaat een salesgesprek vrijwel altijd over strategie, design, technologie of delivery. Maar zodra een organisatie met enterprise‑klanten, corporates of publieke instellingen gaat werken, verandert dat speelveld.

Het eerste signaal is vaak een leveranciersvragenlijst. Een klant vraagt bijvoorbeeld hoe incidenten worden gemeld, hoe toegang tot productieomgevingen wordt beheerd of welke maatregelen er zijn rond secure development. Soms komt het onderwerp op tafel tijdens een aanbesteding, soms via een security‑ of procurementteam dat een vendor‑assessment uitvoert voordat een contract wordt getekend.

Voor veel bureaus komt dat eerste moment onverwacht. Niet omdat security geen rol speelt in het werk van developers of operations‑teams, maar omdat het onderwerp ineens formeel wordt: vragen moeten niet alleen beantwoord worden, maar ook aantoonbaar op orde zijn. Er moet documentatie zijn, processen moeten helder zijn en klanten willen kunnen begrijpen hoe risico’s worden beheerst. Vanaf dat moment verschuift security van een technisch onderwerp binnen de kantoormuren van specifieke teams, naar een organisatorisch onderwerp dat ook sales, management en governance raakt.

2. Waarom securityvragen steeds vaker bij digital agencies terechtkomen

De echte aanleiding: ketendruk in digitale ecosystemen

We zagen al: steeds meer organisaties moeten aantonen dat hun digitale omgeving veilig is ingericht. Dat geldt niet alleen voor hun eigen systemen, maar ook voor de partijen waarmee zij samenwerken. In moderne digitale ecosystemen is vrijwel geen enkele organisatie nog volledig zelfstandig: websites draaien op cloudplatforms, applicaties koppelen met externe systemen en digitale producten worden gebouwd en onderhouden door gespecialiseerde partners.

Voor digital agencies betekent dit dat zij vaak een structurele rol spelen in de digitale infrastructuur van hun klanten. Bureaus bouwen platforms, beheren applicaties, integreren systemen of werken direct in de cloudomgevingen van hun opdrachtgevers. Soms hebben developers toegang tot productieomgevingen, soms beheren bureaus deploymentprocessen of integraties met andere systemen. Daarmee worden agencies automatisch onderdeel van de digitale keten van hun klanten.

Wanneer organisaties hun digitale weerbaarheid moeten aantonen, kijken zij daarom niet alleen naar hun eigen processen maar ook naar de partijen waarmee zij samenwerken. Securityvragen verschuiven daardoor vanzelf naar de hele keten. En dat betekent dat digital agencies steeds vaker vragen krijgen over onderwerpen waar bureaus historisch gezien minder nadrukkelijk mee bezig waren: governance, toegangsbeheer, incidentprocessen en bewijsvoering.

Een salesproces dat vooral zou moeten gaan over strategie, creativiteit of technologie, krijgt ineens een extra fase waarin procurement of securityteams vragen stellen. Niet omdat er direct een probleem is, maar omdat organisaties steeds vaker moeten aantonen dat hun leveranciers veilig werken.

De rol van regelgeving (zoals de Cyberbeveiligingswet)

Een belangrijke reden dat dit onderwerp nu sterker speelt is regelgeving. De Europese NIS2‑richtlijn wordt in Nederland in 2026 vertaald naar de Cyberbeveiligingswet (Cbw). Organisaties die onder deze wet vallen moeten aantonen dat zij risico’s in hun leveranciersketen beheersen. Maar belangrijk om te begrijpen: ook wanneer een digital agency zelf niet onder deze wet valt, kunnen klanten alsnog vragen stellen. De verplichting ligt namelijk bij je klant en die moet aantonen dat óók zijn leveranciers veilig werken. En zoals we al zagen: Digital agencies raken vaak direct aan kritieke digitale onderdelen van hun klanten. 

3. Wat klanten concreet gaan vragen

Wanneer organisaties hun leveranciersrisico’s serieuzer moeten beoordelen, vertaalt zich dat in de praktijk vaak naar vrij concrete vragen richting digital agencies. Procurementteams of securityafdelingen willen bijvoorbeeld begrijpen hoe een agency incidenten detecteert en afhandelt, wie toegang heeft tot systemen en hoe die toegang wordt beheerd, en hoe wordt voorkomen dat kwetsbaarheden in ontwikkelprocessen terechtkomen. Ook vragen organisaties steeds vaker hoe bureaus omgaan met hun eigen leveranciers, bijvoorbeeld wanneer cloudplatforms, tooling of externe ontwikkelaars onderdeel zijn van de keten.

Die vragen komen voort uit een risicogebaseerde benadering: organisaties moeten aantonen dat zij digitale risico’s begrijpen en beheersen, en dat geldt dus ook voor partijen die toegang hebben tot hun systemen of data. Voor digital agencies betekent dit dat klanten steeds vaker verwachten dat security niet alleen technisch is geregeld, maar ook organisatorisch is geborgd. Het gaat niet meer alleen om maatregelen, maar ook om het kunnen uitleggen hoe processen werken, wie verantwoordelijk is en hoe risico’s worden beoordeeld.

Daarbij verschuift de nadruk steeds meer van beleid naar aantoonbaarheid. Veel bureaus hebben in de praktijk al maatregelen getroffen, bijvoorbeeld rond toegangsbeheer of secure development, maar merken dat het lastig is om snel en consistent te laten zien hoe die maatregelen precies zijn ingericht. Klanten willen bewijs dat processen daadwerkelijk functioneren: dat incidenten worden geregistreerd en opgevolgd, dat toegang periodiek wordt beoordeeld en dat kwetsbaarheden uit securitytests ook echt worden opgelost. De uitdaging ligt dus vaak niet in het ontbreken van maatregelen, maar in het ontbreken van een samenhangend verhaal en bewijsstructuur die laat zien dat een agency daadwerkelijk "in control" is.

4. Hoe agencies zich pragmatisch kunnen voorbereiden

Voor veel bureaus voelt dit onderwerp aanvankelijk groter en complexer dan het in de praktijk hoeft te zijn. Het gaat zelden om het volledig opnieuw inrichten van je organisatie, maar veel vaker om het expliciet maken van wat er al gebeurt en het structureren van bewijs dat processen daadwerkelijk werken. 

Agencies die hierin succesvol zijn, beginnen meestal met een paar logische stappen: eerst scherp krijgen welke delen van hun dienstverlening echt kritisch zijn voor klanten, vervolgens zorgen dat maatregelen en processen aantoonbaar zijn vastgelegd, en tenslotte een werkritme creëren waarin security structureel wordt onderhouden. De onderstaande drie stappen vormen in de praktijk vaak een pragmatisch startpunt.

Stap 1: bepaal je kroonjuwelen en scope

• welke diensten lever je

• waar heb je toegang tot klantomgevingen

• welke data of systemen raken jullie werk

Stap 2: bouw een pakket aan bewijs

Bijvoorbeeld:

• beleidsdocumenten

• processen

• controlemaatregelen

• rapportages

Doel: snel en consistent kunnen aantonen hoe security geregeld is.

Stap 3: zorg voor een ritme

Security werkt niet als een eenmalig project.

Organisaties hebben baat bij een vast ritme, bijvoorbeeld:

• maandelijkse controles

• kwartaalreviews

• periodieke verbeteracties

5. Veelgemaakte misverstanden

Misverstand 1: “We vallen niet onder NIS2 dus het is niet relevant”

Dit is een van de meest voorkomende misverstanden die we bij bureaus zien. Veel agencies kijken eerst naar de vraag of zij zelf onder regelgeving vallen. Wanneer het antwoord daarop "nee" is, verdwijnt het onderwerp al snel naar de achtergrond. In de praktijk werkt het echter anders. De verplichting ligt namelijk bij organisaties die wél onder de Cyberbeveiligingswet vallen. Zij moeten aantonen dat hun leveranciers veilig werken. Daardoor verschuift de vraag automatisch naar bureaus die toegang hebben tot systemen, code of data. Het gevolg is dat agencies die zelf niet direct onder de wet vallen alsnog vendor‑assessments, securityvragenlijsten of aanvullende contractvoorwaarden krijgen. Wie hier niet op voorbereid is, merkt dat security ineens onderdeel wordt van salesgesprekken en procurementprocessen.

Misverstand 2: Alleen technische maatregelen nemen

Een tweede valkuil is dat bureaus security vooral technisch proberen op te lossen. Developers zorgen voor veilige code, systemen worden gepatcht en toegang wordt waar mogelijk beperkt. Dat zijn belangrijke maatregelen, maar voor klanten is dat meestal niet voldoende. Organisaties willen namelijk niet alleen weten dat maatregelen bestaan, maar ook hoe ze worden beheerd. Wie is verantwoordelijk voor toegangsbeheer? Hoe wordt gecontroleerd of accounts nog nodig zijn? Wat gebeurt er wanneer een incident plaatsvindt? Hoe worden leveranciers beoordeeld? Zonder duidelijke processen en governance ontstaat er al snel onzekerheid. Veel bureaus doen dus al veel goed, maar kunnen niet goed uitleggen hoe security organisatorisch is geborgd.

Misverstand 3: Bewijs versnipperd opslaan

Een derde probleem ontstaat wanneer security‑informatie verspreid door de organisatie leeft zonder duidelijke structuur. Beleidsdocumenten staan bijvoorbeeld ergens in SharePoint, incidentmeldingen zitten in een ticketsysteem en belangrijke proceskennis zit vooral in het hoofd van een ervaren developer of operations lead. Zolang niemand er expliciet naar vraagt, lijkt dat geen probleem. De organisatie functioneert immers gewoon. Maar op het moment dat een klant bewijs vraagt — bijvoorbeeld via een leveranciersvragenlijst — wordt zichtbaar dat de informatie wel bestaat, maar niet als samenhangend geheel beschikbaar is. Het kost dan tijd om documenten te verzamelen, processen te beschrijven en verantwoordelijkheden helder te maken. Het probleem is dus meestal niet dat maatregelen ontbreken, maar dat het verhaal erachter niet direct aantoonbaar is.

6. Wat dit betekent voor digital agencies

Procurementvertraging is vaak het echte probleem

Voor veel bureaus wordt de impact pas zichtbaar in commerciële trajecten. Securityvragen verschijnen namelijk zelden als een los onderwerp, maar midden in een lopend salesproces. Een klant wil bijvoorbeeld eerst zekerheid over toegangsbeheer, incidentprocessen of secure development voordat een contract wordt getekend. Wanneer antwoorden of bewijs niet direct beschikbaar zijn, ontstaat er vertraging. Teams moeten informatie verzamelen, interne afstemming organiseren en soms processen expliciet maken die eerder impliciet waren. Daardoor wordt een securityvraagstuk al snel een organisatorisch vraagstuk dat meerdere teams raakt. Niet de audit zelf veroorzaakt dan de grootste frictie, maar de tijd die nodig is om duidelijk en overtuigend te laten zien hoe security binnen het bureau is geregeld.

Security kan ook een positionering worden

Tegelijkertijd zit er aan ditzelfde vraagstuk ook een strategische kans. Agencies die aantoonbaar "in control" zijn, merken vaak dat security niet alleen een verplichting is maar ook een onderscheidend element kan worden in commerciële gesprekken. Wanneer een bureau helder kan uitleggen hoe toegangsbeheer werkt, hoe incidenten worden afgehandeld en hoe secure development wordt geborgd, ontstaat er vertrouwen bij klanten nog voordat een project begint. 

Dat vertrouwen kan het verschil maken in aanbestedingen of enterprise‑trajecten waarin meerdere bureaus worden vergeleken. In plaats van defensief reageren op securityvragen, kunnen agencies die hun processen goed hebben ingericht laten zien dat zij volwassen omgaan met risico’s en verantwoordelijkheid nemen in de digitale keten van hun klanten. Security verschuift daarmee van een onverwachte blokkade in het salesproces naar een manier om betrouwbaarheid, professionaliteit en continuïteit zichtbaar te maken.