Terug naar blog
    Pentesting

    Retest altijd inbegrepen in elke pentest

    Sectricity Security TeamMay 21, 2026

    Een pentest zonder retest is maar het halve werk. Dit artikel legt uit wat een retest is, waarom het verifiëren van je fixes telt, en waarom Sectricity de retest en het rapport altijd in de prijs opneemt.

    RetestPentestPentestingRetestrapportHerstelMenselijke ValidatieComplianceCyberverzekeringCybersecurity

    Retest inbegrepen: waarom een pentest zonder retest maar het halve werk is

    Een penetratietest vindt de zwakke plekken in je systemen. Dat is veel waard, maar het is niet de eindstreep. Het ging nooit om een lijst met problemen; het ging om problemen die echt opgelost zijn. Toch stoppen veel aanbieders bij het rapport en rekenen ze extra om te bevestigen dat je fixes werkten. Zo betaal je bij om de enige vraag te beantwoorden die er al die tijd toe deed: is het risico echt weg?

    Hieronder lees je wat een retest is, waarom die telt, en waarom bij Sectricity de retest en het retestrapport altijd in de prijs zitten, nooit apart verkocht.

    TL;DR

    • Een retest verifieert dat de kwetsbaarheden uit je pentest echt zijn hersteld en dat er geen nieuwe problemen zijn ontstaan.
    • Bij Sectricity zitten de retest en het retestrapport altijd in de vaste prijs, nooit als betaalde add-on.
    • Een pentest zonder retest is maar het halve werk: je weet wat stuk was, niet of het gemaakt is.
    • Het retestrapport is formeel bewijs voor auditoren, verzekeraars en compliancekaders.
    • Omdat het al inbegrepen is, is er geen kostenreden om het over te slaan of uit te stellen.

    Wat een retest eigenlijk is

    Een retest is een gerichte tweede testronde, uitgevoerd nadat je team de bevindingen uit de oorspronkelijke pentest heeft opgelost. De ethische hackers gaan terug naar elke gerapporteerde kwetsbaarheid en controleren één ding: is die echt weg? Ze bevestigen dat de fix doet wat hij moet doen en dat het dichten ervan niet stilletjes elders een nieuwe zwakte opende.

    Het sluit een cirkel die veel te vaak open blijft. De oorspronkelijke test vertelt je wat stuk is. De retest vertelt je of het gemaakt is. Sla die tweede stap over en herstel is een daad van vertrouwen, geen geverifieerd resultaat.

    Waarom herstel eerst geverifieerd moet worden

    Fixes gaan vaker mis dan teams verwachten. Een patch wordt toegepast maar half. Een configuratiewijziging lost het op in staging en haalt productie nooit. Een goedbedoelde fix sluit één gat en opent een ander. Niets daarvan is zeldzaam, en niets ervan komt boven water tenzij iemand opnieuw test.

    Een retest is dus geen nice-to-have. Vind een kwetsbaarheid, bevestig de fix nooit, en je draagt een risico waarvan je denkt dat het weg is. Dat gat tussen 'zou hersteld moeten zijn' en 'is aantoonbaar hersteld' is precies waar incidenten ontstaan. Een retest maakt van de aanname bewijs.

    Het retestrapport: bewijs, niet alleen geruststelling

    Zodra de retest bevestigt dat je fixes standhouden, krijg je een retestrapport: formele documentatie dat de kwetsbaarheden uit de oorspronkelijke penetratietest zijn hertest en opgelost. Dat rapport is het bewijs voor iedereen die de lastige vragen stelt. Auditoren willen bewijs dat de problemen gesloten zijn. Verzekeraars ook. En klanten die een leveranciersreview draaien. Compliancekaders verwachten het.

    Een rapport dat zegt dat er kwetsbaarheden gevonden zijn, is een startpunt. Een rapport dat zegt dat ze gevonden, hersteld en geverifieerd zijn, is wat de mensen die op je beveiliging leunen echt geruststelt. Bij Sectricity kost dat rapport niets extra.

    Waarom wij het inbegrepen houden, en waarom dat voor jou telt

    Sommige aanbieders prijzen de retest apart, wat stilletjes een pervers effect creëert: hoe meer bevindingen, hoe meer je betaalt om de fixes te verifiëren. Wij verwerpen dat model. Bij Sectricity zitten de retest en het retestrapport altijd in de vaste prijs van elke pentest. Het is nooit een aparte betaalde optie of add-on.

    De redenering is eenvoudig. Een pentest zonder retest is maar het halve werk: je zou weten wat stuk was zonder ooit te bevestigen dat het gemaakt is. De retest inbouwen betekent dat de prijs die je afspreekt het resultaat dekt dat je eigenlijk wilde, namelijk geverifieerde beveiliging in plaats van een lijst met problemen. En omdat het er al in zit, is er nooit een budgetregel die je verleidt om de stap over te slaan die bewijst dat je fixes hielden.

    Veelgestelde vragen

    Wat is een pentest retest?

    Een retest is een tweede testronde, uitgevoerd nadat je de kwetsbaarheden uit de oorspronkelijke penetratietest hebt opgelost. Ethische hackers bevestigen dat elke fix echt werkt en dat er tijdens het herstel niets nieuws stukging. Het sluit de cirkel tussen een probleem vinden en bewijzen dat het echt weg is.

    Zit de retest inbegrepen bij een pentest van Sectricity?

    Ja. Bij Sectricity zitten de retest en het retestrapport altijd in de vaste prijs van elke pentest, zonder extra kosten. Het wordt nooit als aparte betaalde optie of add-on aangeboden. Een pentest zonder retest is maar het halve werk, dus we behandelen de retest als deel van het werk in plaats van als upsell.

    Waarom is een retest belangrijk?

    Kwetsbaarheden vinden helpt alleen als de fixes ook echt standhouden. Herstel loopt vaak scheef: een patch is onvolledig, een fix introduceert een nieuwe zwakte, of een wijziging landt in de ene omgeving maar niet in de andere. Een retest bevestigt dat het risico echt weg is in plaats van verondersteld weg. Zonder retest vertrouw je erop dat de fix werkte zonder het ooit te controleren.

    Wat is een retestrapport?

    Een retestrapport is formele documentatie die bevestigt dat de kwetsbaarheden uit de oorspronkelijke pentest zijn hertest en opgelost. Het is het bewijs waar auditoren, verzekeraars, klanten en compliancekaders naar vragen wanneer ze willen zien dat je beveiligingsproblemen niet alleen gevonden maar ook echt gesloten zijn. Bij Sectricity zit dit rapport inbegrepen zonder extra kosten.

    Hoe lang na de pentest moet een retest gebeuren?

    De retest gebeurt zodra je team de bevindingen uit het oorspronkelijke rapport heeft opgelost, dus de timing volgt hoe snel de fixes uitgaan. Er is geen vaste deadline, maar sneller is beter: hoe langer een gekende kwetsbaarheid openstaat, hoe langer je blootgesteld bent. En omdat de retest al inbegrepen is, is kosten nooit een reden om hem uit te stellen.

    Bevat elk type pentest een retest?

    De retest is een standaardonderdeel van elke pentest van Sectricity en zit in de vaste prijs. Een volledige applicatie-herbouw of een sterk gewijzigde scope telt als nieuwe test in plaats van een retest, want er is dan echt nieuw aanvalsoppervlak te beoordelen. Maar om te bevestigen dat de fixes van een bestaande test echt werken, is de retest altijd inbegrepen.

    Gerelateerde diensten en bronnen

    Elke pentest van Sectricity bevat de retest en het retestrapport in de vaste prijs. Om de volledige opdracht te zien, start je met onze

    penetratietestdienst. Voor teams die continu willen testen in plaats van eenmalig houdt

    RedSOC on-demand pentesting de validatie het hele jaar door lopend.