Een IT staff augmentation-contract is niet zomaar een capaciteitsbestelling. Het is het document dat bepaalt wie de regie over de levering heeft zodra een externe developer toegang heeft tot uw codebase, uw klantgegevens en uw sprintbord. De meeste geschillen bij staff augmentation-samenwerkingen zijn terug te voeren op een van vijf hiaten: vage scope, onduidelijke IP-toewijzing, ontbrekende beveiligingsclausules, geen vastgelegd vervangingsproces, of een offboardingstap die nergens is opgeschreven.
Dit artikel is geschreven voor teams die op het punt staan een staff augmentation-overeenkomst te tekenen, nadat de shortlist van leveranciers (zie onze checklist voor het beoordelen van IT staff augmentation-bedrijven) is teruggebracht. Bent u nog bezig het model zelf helder te krijgen, begin dan met onze IT staff augmentation-gids. Hier ligt de focus op clausuleniveau: welke voorwaarden u beschermen, welke onderhandelbaar zijn, en welke hiaten het meest kosten wanneer er halverwege een project iets misgaat.
Let op: deze gids is geen juridisch advies. Gebruik hem om de juiste vragen voor te bereiden voor uw juridische, security- en engineeringteams voordat u een IT staff augmentation-contract tekent.
TL;DR
Een IT staff augmentation-contract moet drie dingen beschermen voordat een externe developer toegang krijgt tot uw team en systemen: controle over de levering, juridisch eigenaarschap en continuïteit.
- Leg de controle over levering duidelijk vast. Het contract moet de rol, senioriteit, scopegrenzen, rapportagelijn, werktijden, overlapvenster en wie de dagelijkse prioriteiten, code reviews en architectuurbeslissingen bepaalt, benoemen.
- Bescherm IP, beveiliging en gegevensverwerking. Het contract moet expliciete IP-toewijzing, least-privilege-toegang, geheimhoudingsbepalingen, vereisten voor auditsporen en een DPA onder AVG Artikel 28 bevatten wanneer persoonsgegevens worden verwerkt.
- Leg vervangings- en exitvoorwaarden vast voordat het werk begint. Vervangingstermijnen, verwachtingen over inwerktijd, offboardingstappen, intrekking van toegang, verwijdering van gegevens en overdrachtsdocumentatie horen in het contract te staan, niet pas geregeld te worden nadat iemand vertrekt.
Checklist contractclausules:
| Clausulegebied | Wat het contract moet vastleggen | Rode vlag om te vermijden |
|---|---|---|
| Scope en roldefinitie | Het contract benoemt elke rol, het senioriteitsniveau, de technische stack, werktijden, het overlapvenster en de rapportagelijn. | Generieke bewoordingen zoals “developer resource” zonder senioriteit, stack of rapportage-eigenaarschap. |
| Eigenaarschap van levering | Het contract legt vast wie het dagelijkse werk toewijst, wie prioriteiten goedkeurt, wie code reviews doet en wie architectuurbeslissingen neemt. | Staff augmentation-taal die de leverancier alsnog controle geeft over sprintplanning of opleveracceptatie. |
| IP-eigendom | Alle opgeleverde werkproducten, inclusief code, documentatie, configuraties en afgeleide werken, gaan bij betaling over naar de klant. | Geen expliciete IP-toewijzingsclausule, of bewoordingen die eigendom laten afhangen van standaardregels van de toepasselijke jurisdictie. |
| Beveiliging en toegangsbeheer | Toegang is gebaseerd op least privilege, MFA is verplicht waar relevant, en logs worden voor een vastgestelde periode bewaard. | Brede systeemtoegang, geen vereiste voor een auditspoor, of toegangsregels die alleen in onboarding-e-mails staan in plaats van in het contract. |
| AVG en gegevensverwerking | Een DPA onder AVG Artikel 28 is verplicht zodra persoonsgegevens worden verwerkt, met beveiligingsmaatregelen onder Artikel 32 en meldingsondersteuning bij datalekken onder Artikel 33. | Een generieke geheimhoudingsclausule die als vervanging voor een DPA wordt gebruikt. |
| Openheid over subverwerkers | De leverancier moet elke onderaannemer, tool of leveringspartner met systeem- of gegevenstoegang melden en hiervoor goedkeuring krijgen. | Verborgen onderaanneming of vage bewoordingen waardoor de leverancier zonder melding subverwerkers kan toevoegen. |
| Vervangingsproces | Het contract legt het maximum aantal werkdagen vast om een gekwalificeerde vervanger voor te stellen, en wie de overgangskosten draagt. | “Redelijke inspanning” of “zo snel mogelijk” als vervangingstaal, zonder afdwingbare termijn. |
| Verwachtingen over inwerktijd | Het contract legt onboardingverantwoordelijkheden vast, gereedheid van toegang, verwachtingen voor de eerste taken en de verwachte tijd tot productieve output. | De klant betaalt voor vertraging in de inwerktijd veroorzaakt door ontbrekende toegang, onduidelijke scope of onvolledig onboardingmateriaal. |
| Offboarding | Intrekking van toegang, teruggave of verwijdering van gegevens, kennisoverdracht en overdrachtsdocumentatie zijn verplicht vóór of direct na de laatste werkdag. | Het contract regelt vervanging, maar zegt niets over wat er gebeurt als de samenwerking eindigt. |
| Beëindiging | Opzegtermijn, eindfacturering, overdrachtsverplichtingen, verwijdering van gegevens en voortbestaan van geheimhoudingsbepalingen zijn duidelijk vastgelegd. | Beëindigingstaal die de commerciële relatie stopzet, maar toegang, IP of documentatie onopgelost laat. |
Wat een IT staff augmentation-contract moet dekken

Een IT staff augmentation-contract moet zes gebieden dekken: scope en roldefinitie, IP-eigendom, beveiliging en toegangsbeheer, voorwaarden voor gegevensverwerking, procedures voor vervanging en offboarding, en beëindigingsvoorwaarden. Ontbreekt een van deze, dan ontstaat een hiaat dat halverwege de samenwerking naar boven komt — meestal nadat toegang al is verleend.
Het contract doet twee dingen tegelijk. Ten eerste is het een dienstverleningsovereenkomst: het bepaalt welke capaciteit u koopt en wat “opgeleverd” betekent. Ten tweede is het een risicoverdelingsdocument: het bepaalt wie aansprakelijk is als code breekt, gegevens lekken, of een developer zonder opzegtermijn vertrekt. De meeste geschillen bij staff augmentation ontstaan niet omdat de leverancier onderpresteerde, maar omdat het contract nooit vastlegde wat “prestatie” precies inhield.
Een staff augmentation-contract verschilt op één structureel punt van een outsourcingcontract met vaste scope: u koopt capaciteit en sturingsrecht, geen afgerond opleverresultaat. Dat betekent dat het contract expliciet moet vastleggen wie het dagelijkse werk aanstuurt (meestal u) en wie het dienstverband, de salarisverwerking en compliance voor het extra ingehuurde personeel regelt (meestal de leverancier). Staat deze verdeling van verantwoordelijkheid niet zwart-op-wit, dan worden geschillen over onderpresteren geschillen over wiens schuld het was — een onderscheid dat het contract al op dag één had moeten regelen.
In de praktijk staan deze voorwaarden vaak verspreid over meerdere documenten: een master services agreement, een statement of work, een DPA en een addendum voor beveiliging of toegangsbeheer. De structuur is minder belangrijk dan de dekking. Zijn scope, IP, beveiliging, vervanging en offboarding over meerdere documenten verdeeld, controleer dan of de documenten elkaar niet tegenspreken.
Clausules voor scope en roldefinitie
Scope- en rolclausules moeten voor elke extra ingehuurde resource het senioriteitsniveau, de technische stack, werktijden en de rapportagelijn specificeren — geen generieke functietitel. “Eén senior backend developer (Node.js/PostgreSQL, 5+ jaar ervaring, overlap met NL-kantoortijden, rapporteert aan uw engineering lead)” is een scopeclausule. “Eén developer resource” is dat niet.
Vage scope is de meest voorkomende reden waarom staff augmentation-samenwerkingen onderpresteren. Benoemt het contract geen senioriteitsniveau, dan kan een leverancier het contract wettelijk gezien nakomen door een junior developer tegen senior tarieven te leveren, omdat niets in de overeenkomst dit verhindert. De oplossing zit in het contract, niet alleen in de uitvoering: benoem de senioriteitsband, benoem de vereiste stackervaring in jaren, en benoem aan wie de resource rapporteert voor de dagelijkse technische aansturing.
Drie elementen horen in elke scopeclausule thuis:
- Rol en senioriteitsband, gedefinieerd op basis van jaren ervaring of een benoemd niveau (junior/medior/senior/lead), niet alleen op basis van functietitel.
- Technische stack en tools, expliciet vermeld, inclusief versievereisten indien relevant (bijvoorbeeld: “React 18+, geen legacy class components”).
- Werktijden en overlapvenster, uitgedrukt als aantal uren per dag dat overlapt met de werktijden van uw team — voor Nederlandse teams die samenwerken met een delivery hub in Vietnam is een overlap van 4 tot 5 uur gebruikelijk en hoort dit in het contract benoemd te worden, niet aangenomen.
Een scopeclausule zonder benoemde rapportagelijn creëert een tweede probleem: onduidelijkheid over wie de bevoegdheid heeft om het werk van de extra ingehuurde developer opnieuw toe te wijzen of bij te sturen. Benoem de rapportageverhouding expliciet — ook al lijkt dit vanzelfsprekend bij ondertekening, dat vanzelfsprekende karakter verdwijnt zodra prioriteiten halverwege een sprint verschuiven. Dit is ook waar contracten aansluiten bij de leveringspraktijk: onze gids over IT staff augmentation best practices beschrijft hoe goed presterende teams rapportagelijnen inrichten zodra het contract is ondertekend.
Clausules voor prijzen, betaling en geschillenbeslechting
Prijsclausules moeten uitleggen hoe de extra ingehuurde resource wordt gefactureerd, wanneer facturen vervallen en wat er gebeurt als de scope wijzigt. Voor de meeste staff augmentation-samenwerkingen is facturering op basis van tijd en materiaal (time-and-materials) de schonere standaard, omdat u capaciteit koopt onder uw eigen sturing, niet een vast, door de leverancier bepaald resultaat.
Het contract moet nog steeds de tariefkaart, factureringseenheid, regels voor overuren, goedkeuringsproces voor extra uren, factureringscyclus, betaaltermijn en valuta vastleggen. Biedt de leverancier een vast maandtarief, bevestig dan of dat tarief werving, vervanging, onboardingondersteuning, accountmanagement, tooling en overdrachtswerk omvat.
Ook geschillenbeslechting moet expliciet zijn. Benoem het toepasselijke recht, het escalatiepad, de opzegtermijn voor betwiste facturen, en of onopgeloste geschillen naar mediation, arbitrage of de rechter gaan. Dit is belangrijk omdat leveringsgeschillen vaak operationeel beginnen — gemiste reviewverwachtingen, onduidelijke acceptatiecriteria, onbeschikbare resources — voordat ze juridisch worden. Het contract moet beide partijen een pad bieden om het probleem op te lossen voordat de samenwerking breekt.
Clausules voor beveiliging, geheimhouding en toegang

Beveiligings- en toegangsclausules moeten vastleggen tot welke systemen de extra ingehuurde developer toegang heeft, onder welke authenticatiemethode, en welke geheimhoudingsverplichtingen blijven gelden na afloop van het contract. Dit onderdeel heeft op zijn minst een benoemd toegangsbeheermodel nodig, een NDA met een vastgestelde voortbestaanstermijn, en een vereiste voor een auditspoor.
Dit is het onderdeel dat juridische en securityteams het strengst doornemen, omdat het direct samenhangt met verplichtingen onder NIS2 en ISO 27001 als uw bedrijf onder een van beide kaders valt. Onder NIS2 Artikel 21 moeten organisaties binnen de reikwijdte cybersecurityrisico’s in hun toeleveringsketen beheren, wat expliciet aannemers en extra ingehuurd personeel met systeemtoegang omvat. Ook bedrijven die niet rechtstreeks onder NIS2 vallen, wordt vaak door hun eigen zakelijke klanten gevraagd aan te tonen dat toegang van onderaannemers wordt beheerst — deze clausule is dus relevant, ook als NIS2 niet rechtstreeks op u van toepassing is.
Wat de toegangsclausule specifiek moet benoemen:
- Toegangsbeheermodel: least-privilege-toegang beperkt tot de systemen die de rol vereist, geen brede toegang tot uw omgeving. Benoem multi-factor authenticatie (MFA) als vereiste als dit nog niet uw standaard is.
- Auditspoor: een vastgelegde toezegging dat toegangs- en activiteitenlogs worden bewaard en inzichtelijk zijn, met een benoemde bewaartermijn (doorgaans 12 maanden, al moet dit aansluiten bij uw eigen bewaarbeleid voor gegevens).
- Voortbestaanstermijn van geheimhouding: NDA’s moeten specificeren dat geheimhoudingsverplichtingen blijven gelden na beëindiging van het contract, doorgaans 2 tot 5 jaar afhankelijk van de gevoeligheid van de betrokken gegevens; permanente NDA’s worden soms gevraagd, maar zijn lastiger af te dwingen en moeten aan juridische zaken worden voorgelegd.
- Openheid over subverwerkers: gebruikt de leverancier onderaangenomen resources of tools met toegang tot uw systemen, dan moet het contract openheid over die keten vereisen, in lijn met de NIS2-vereiste voor de toeleveringsketen.
ISO 27001-conforme leveranciers hebben deze maatregelen doorgaans gedocumenteerd als onderdeel van hun certificering, wat due diligence vereenvoudigt — vraag om de scope van het certificaat en de datum van de meest recente audit, in plaats van certificering als blanco garantie te beschouwen. Voor een diepere blik op hoe dit zich verhoudt tot leveranciersbeoordeling, zie IT staff augmentation-beveiliging: ISO 27001, AVG en due diligence van leveranciers
Wilt u een second opinion over uw conceptcontract? Sunbytes kan de eigendom van levering, beveiligingsmaatregelen, toegangsregels en vervangingsvoorwaarden toetsen aan een samenwerkingsstructuur waar zowel uw juridische als engineeringteams achter kunnen staan.
AVG- en gegevensverwerkingsclausules
Een AVG-conform staff augmentation-contract vereist een Data Processing Agreement (DPA) onder AVG Artikel 28 zodra de extra ingehuurde developer toegang krijgt tot persoonsgegevens, klantgegevens, medewerkersgegevens of eindgebruikersinformatie. Dit geldt ongeacht de bedrijfsgrootte; Artikel 28 kent geen uitzondering voor het mkb.
Artikel 28(3) van de AVG bevat acht specifieke vereisten die in het contract of een bijgevoegde DPA moeten staan: verwerking uitsluitend op basis van gedocumenteerde instructies, geheimhoudingsverplichtingen voor iedereen die de gegevens verwerkt, beveiligingsmaatregelen onder Artikel 32, voorwaarden voor het inschakelen van subverwerkers, medewerking bij verzoeken over rechten van betrokkenen, ondersteuning bij meldingen van datalekken, teruggave of verwijdering van gegevens bij einde contract, en het recht voor u om naleving te controleren of bewijs daarvan op te vragen. Een generieke geheimhoudingsclausule voldoet niet aan Artikel 28 — het moet een specifieke DPA of DPA-equivalente sectie zijn.
Drie praktische controles voor het DPA-onderdeel:
- Subverwerkersclausule: omvat het leveringsmodel van de leverancier onderaangenomen infrastructuur (cloudhosting, ontwikkeltools van leveranciers met gegevenstoegang), dan moet de DPA die subverwerkersrelatie benoemen en uw schriftelijke toestemming vereisen voordat er iets aan de subverwerkers verandert.
- Locatie van gegevens: waar persoonsgegevens worden verwerkt en opgeslagen moet worden benoemd — met name relevant voor Nederlandse en EU-bedrijven die samenwerken met deliveryteams buiten de EU/EER; dit roept een aparte vraag op over mechanismen voor internationale doorgifte, die met juridisch advies moet worden bevestigd.
- Meldtermijn bij datalekken: de DPA moet een meldingstermijn specificeren (doorgaans 24-72 uur nadat de leverancier zich bewust wordt van een datalek), zodat u aan uw eigen verplichting onder AVG Artikel 33 kunt voldoen om de toezichthouder zonder onnodige vertraging te informeren, doorgaans uitgelegd als binnen 72 uur na uw eigen bewustwording.
Clausules voor vervanging, inwerktijd en offboarding
Vervangingsclausules moeten een maximum aantal werkdagen vastleggen waarbinnen de leverancier een gekwalificeerde vervanger moet voorstellen als een extra ingehuurde developer vertrekt, niet beschikbaar is of onderpresteert — bewoordingen als “redelijke inspanning” of “zo snel mogelijk” zijn geen toezegging, maar juist de afwezigheid van een toezegging.
Staff augmentation-samenwerkingen lopen maanden of jaren, en personeelsverloop van developers gedurende die periode is normaal, geen faalmoment — wat telt, is of het contract vastlegt wat er dan gebeurt. Een goed opgebouwde vervangingsclausule legt drie dingen vast: het maximum aantal dagen om een vervangende kandidaat voor te stellen, het maximum aantal dagen voordat de vervanger productief is, en wie de kosten van de overgangsperiode draagt.
In de praktijk wordt een vervanger voor een dedicated senior team doorgaans binnen enkele werkdagen voorgesteld en bereikt deze volledige productiviteit binnen 2 tot 4 weken na onboarding, ervan uitgaande dat de oorspronkelijke rol en stackvereisten duidelijk waren omschreven — dit is een redelijke benchmark om in het contract te vragen als de standaardvoorwaarden van uw leverancier dit nog niet vastleggen.
Offboarding verdient een eigen clausule, los van vervanging, die vastlegt wat er gebeurt bij het natuurlijke einde van de samenwerking:
- Termijn voor intrekking van toegang: een vastgesteld aantal uren of dagen waarbinnen alle systeemtoegang, inloggegevens en fysieke/VPN-toegang moeten worden ingetrokken na afloop van de samenwerking.
- Vereiste voor kennisoverdracht: overdracht van documentatie, codecommentaar en een overdrachtsgesprek met het binnenkomende team of uw interne personeel, ingepland vóór de laatste werkdag, niet erna.
- Teruggave of verwijdering van gegevens: in lijn met de DPA-voorwaarden hierboven moet het contract vastleggen dat persoonsgegevens of klantmateriaal bij afloop van het contract worden teruggegeven of verwijderd, met schriftelijke bevestiging.
Een contract dat vervanging regelt maar zwijgt over offboarding, laat precies op het moment van de minste aandacht een beveiligingsgat ontstaan — wanneer een project wordt afgerond en de aandacht van iedereen al elders ligt.
Rode vlaggen vóór ondertekening
De duidelijkste rode vlag in een staff augmentation-contract is de afwezigheid van een clausule, niet de aanwezigheid van ongunstige voorwaarden — een contract dat simpelweg niets zegt over IP-toewijzing, vervangingstermijnen of verwijdering van gegevens is een groter risico dan een contract met voorwaarden waarover u kunt onderhandelen.
Vijf specifieke patronen zijn het waard om vóór ondertekening bij juridische zaken aan te kaarten:
| Rode vlag | Waarom het ertoe doet | Wat u in plaats daarvan moet vragen |
|---|---|---|
| Geen benoemde IP-toewijzingsclausule | Zonder expliciete toewijzing kan het eigendom van code geschreven door extra ingehuurd personeel worden betwist, vooral over jurisdicties heen. | Een clausule die vastlegt dat alle opgeleverde werkproducten, inclusief code, documentatie en afgeleide werken, bij betaling aan u overgaan. |
| “Redelijke inspanning” als vervangingstaal | Creëert geen afdwingbare termijn als een developer halverwege een project vertrekt. | Een vastgesteld maximum aantal werkdagen om een gekwalificeerde vervanger voor te stellen. |
| Geen openheid over subverwerkers | U weet mogelijk niet wie er nog meer toegang heeft tot uw systemen of gegevens. | Een vereiste om elke subverwerker met systeem- of gegevenstoegang te melden en vooraf goed te keuren. |
| Geheimhoudingsclausule zonder voortbestaanstermijn | Verplichtingen kunnen vervallen zodra het contract eindigt. | Een vastgestelde voortbestaanstermijn (doorgaans 2-5 jaar) na beëindiging. |
| Gebundelde “full-service”-prijzen zonder uitsplitsing op clausuleniveau | Duidt er meestal op dat scope-, beveiligings- en IP-voorwaarden nooit apart zijn onderhandeld. | Een gespecificeerde uitsplitsing van wat er is inbegrepen, met elk clausulegebied afzonderlijk behandeld. |
Als een leverancier weigert specifieke termijnen, senioriteitsniveaus of IP-voorwaarden schriftelijk vast te leggen, beschouw die weerstand dan zelf als een signaal. Een leverancier die vertrouwen heeft in het eigen leveringsmodel heeft geen reden om vervangingstermijnen of IP-toewijzing vaag te houden — het is ook de moeite waard om dit te vergelijken met onze lijst van IT staff augmentation-providers in Nederland om te zien hoe standaardvoorwaarden per leverancier verschillen.
Waar Sunbytes past in uw contract
Een goed staff augmentation-contract beschermt zowel de levering als de controle. Sunbytes werkt met gedocumenteerde leveringsrollen, ISO-gestuurde processen en DPA-gereed opgezette samenwerkingsstructuren, zodat extra capaciteit start met duidelijk eigenaarschap in plaats van vage voorwaarden. Dedicated senior teams onder Sunbytes’ Digital Transformation Solutions zijn doorgaans binnen 2 tot 4 weken operationeel, met leveringsresultaten die vanaf de eerste sprint worden gevolgd aan de hand van DORA-metrics — een gedocumenteerde basislijn waarop uw juridische en engineeringteams kunnen terugvallen als er halverwege de samenwerking vragen ontstaan.
Wanneer de beveiligings- en toegangsclausules van een contract moeten aansluiten bij ISO 27001 of de toeleveringsketenvereisten van NIS2, ondersteunt het team van Sunbytes’ Cybersecurity Solutions de toegangsbeheer-, auditspoor- en DPA-documentatie die de clausules in dit artikel beschrijven, zodat het contract weergeeft welke maatregelen daadwerkelijk zijn getroffen — niet alleen wat er op papier staat. En wanneer de extra ingehuurde rol moet uitgroeien tot een vollediger teamstructuur, kan Sunbytes’ Accelerate Workforce Solutions dezelfde gedocumenteerde onboarding- en offboardingdiscipline uitbreiden naar een grotere samenwerking, zonder de contractbasis vanaf nul opnieuw te hoeven onderhandelen.
Sunbytes heeft 300+ projecten opgeleverd in fintech, zorg en enterprise software, vanuit een hoofdkantoor in Nederland met een delivery hub in Vietnam en 4 tot 5 uur werkoverlap met de meeste EU-tijdzones. Huur dedicated development teams van Sunbytes in om te starten met een contractstructuur die is opgebouwd rond benoemde rollen, beveiligingsbewijs en duidelijke exitvoorwaarden.
FAQs
Een staff augmentation-contract geeft u directe technische en operationele controle over het dagelijkse werk van de extra ingehuurde developer, terwijl de leverancier het dienstverband, de salarisverwerking en compliance regelt. Bij een outsourcingcontract gaat het leveringsbeheer doorgaans naar de leverancier, en ontvangt u een vastgelegde output in plaats van dat u het dagelijkse werk aanstuurt. Het verschil op clausuleniveau zit in de scopetaal: staff augmentation-contracten benoemen rapportagelijnen naar uw team, outsourcingcontracten benoemen opleverresultaten en acceptatiecriteria.
Niet direct — clausules over scope, IP, beveiliging en vervanging beschrijven hoe de samenwerking werkt, niet hoeveel uren worden gefactureerd, dus ze veranderen doorgaans het dagtarief niet. Het echte kostenrisico zit juist andersom: het heronderhandelen van een onderbepaald contract halverwege de samenwerking, nadat een geschil over scope of IP al is begonnen, kost bijna altijd meer tijd en juridische kosten dan de clausules bij ondertekening meteen goed regelen.
Dit hangt af van de jurisdictie en is precies het soort hiaat dat nooit aan standaardregels mag worden overgelaten. In verschillende jurisdicties gelden “work-for-hire”-bepalingen niet automatisch voor ingehuurde developers zoals dat wel het geval is voor directe werknemers, waardoor eigendom kan worden betwist zonder expliciete IP-toewijzingsclausule. Laat juridisch advies de positie bevestigen onder het toepasselijke recht dat in uw contract is benoemd.
Nee. Certificering geeft aan dat de leverancier een functionerend managementsysteem voor informatiebeveiliging (ISMS) heeft, maar vervangt niet de noodzaak van samenwerkingsspecifieke voorwaarden: welke gegevens uw project daadwerkelijk raakt, welke toegang uw specifieke developer nodig heeft, en welk auditbewijs u kunt opvragen. Vraag om de scopeverklaring van het certificaat, niet alleen het certificaat zelf.
Valt uw bedrijf onder de reikwijdte van NIS2, of vragen uw klanten om bewijs van beveiliging van de toeleveringsketen, vraag de leverancier dan rechtstreeks of dit als addendum kan worden aangeleverd. Onder NIS2 Artikel 21 geldt risicobeheer voor de toeleveringsketen ook voor relaties met directe dienstverleners, dus het ontbreken van NIS2-bewuste taal in het standaardcontract van een leverancier is het waard om aan te kaarten, zelfs als de leverancier zelf niet verplicht is aan NIS2 te voldoen.
Laten we beginnen met Sunbytes
Laat ons uw eisen voor het team weten en wij nemen meteen contact met u op.