Waarom we ons hele servicemodel rondom compliance hebben gebouwd
22 Jun 2026
by Guido van Beek, CTO & Co-founder
Editor: Nadiy, Senior Content Writer
22 Jun 2026
by Guido van Beek, CTO & Co-founder
Editor: Nadiy, Senior Content Writer
Waarom we ons hele servicemodel rondom compliance hebben gebouwd
Inhoudsopgave
Neem contact op
We reageren binnen 48 uur.
De meeste software agencies zien compliance als een vinkje. Een klant vraagt of je ISO 27001-gecertificeerd bent, je zegt dat je eraan werkt, en iedereen gaat weer over tot de orde van de dag. Wij kozen voor een andere aanpak. Toen we herontwierpen hoe we na de launch met klanten samenwerken, maakten we compliance de ruggengraat van ons hele model. Niet omdat een consultant ons dat vertelde. Maar omdat wanneer je echt kijkt naar wat enterprise-klanten nodig hebben van een softwarepartner op de lange termijn, compliance en kwaliteit van de dienstverlening op hetzelfde neerkomen. Dit is hoe wij erover denken, en waarom het alles heeft veranderd aan de manier waarop we onze samenwerkingen structureren.
Het probleem met het oude model
Al jaren verloopt het gesprek na de launch bij software agencies ongeveer zo: het product is opgeleverd, de klant tekent een SLA, en er wordt een maandelijks bedrag gefactureerd voor "support en maintenance". De SLA bevat responstijd-matrices en prioriteitsniveaus. Iedereen archiveert het en hoopt dat er niets misgaat.
Het probleem is dat dit model grotendeels theater is. De SLA definieert wat er gebeurt als er iets kapotgaat. Het zegt niets over wat er wordt gedaan om te zorgen dat er niets kapotgaat. Er is geen commitment op monitoring, geen rapportageverplichting, geen documentatiespoor. De agency reageert wanneer ze worden gebeld. De klant betaalt voor de gemoedsrust dat er iemand de telefoon opneemt.
Voor een startup-founder die je vertrouwt, is dat prima. Voor een corporate innovatieteam met een inkoopafdeling en een juridisch team is het niet genoeg. Zij zullen vragen stellen die je niet kunt beantwoorden.
Wat compliance echt vereist
ISO 27001 is in de strikte zin geen technische standaard. Het is een managementstandaard. Het definieert hoe je informatiebeveiliging aanpakt als een doorlopend proces, niet als een eenmalige inrichting.
In de praktijk vereist dit voor een softwareplatform:
Continuous monitoring. Je moet te allen tijde weten wat er in je systemen gebeurt. Error rates, performance, toegangspatronen, de gezondheid van de infrastructuur. Niet pas wanneer een klant een probleem meldt. Continu, met gedocumenteerd bewijs.
Een incident log. Elke belangrijke gebeurtenis (een service-onderbreking, een security-bevinding, een onverwachte toegangspoging) moet worden geregistreerd, onderzocht en gedocumenteerd. Niet alleen opgelost en vergeten.
Een change management log. Elke wijziging in de productieomgeving moet worden bijgehouden. Wie heeft het goedgekeurd, wat is er gewijzigd, wanneer en waarom. Dit is wat een systeem auditeerbaar maakt.
Access control. Wie heeft toegang tot wat, regelmatig geëvalueerd. Dit klinkt basaal, maar de meeste agencies hebben geen formeel overzicht van welke developer de productie-credentials van welke klant heeft.
Backup-verificatie. Niet alleen back-ups maken. Regelmatig testen of ze daadwerkelijk kunnen worden teruggezet. Daar zit een wezenlijk verschil in.
Data retention en GDPR-alignment. Als je persoonsgegevens verwerkt (en dat doet bijna elk platform), heb je gedocumenteerde protocollen nodig over hoe die data wordt behandeld, bewaard en verwijderd.
Niets hiervan is exotisch. Maar om dit voor elke klant consistent en goed te doen, is een systeem nodig.
Hoe we ons servicemodel hieromheen hebben gestructureerd
Toen we keken naar wat ISO 27001 daadwerkelijk vereist in de context van managed hosting, realiseerden we ons dat we het meeste al informeel deden. Ons team monitorde platforms, logde incidenten en beheerde de toegang. Het werk werd gedaan. Het was alleen niet gestructureerd, gedocumenteerd of correct gefactureerd.
Dus hebben we het servicemodel vanaf de grond af aan opnieuw opgebouwd met compliance als leidend principe. In plaats van een SLA als los product te verkopen, bieden we nu vier niveaus van managed service aan. Welk niveau een klant nodig heeft, wordt bepaald door hun compliance-verplichtingen en interne capaciteit.
Minimal is voor prototypes en interne tools zonder echte gebruikersdata. Reactief hostingbeheer, basis uptime-monitoring. We reageren wanneer we worden gebeld.
Platform Guard is voor klanten die persoonsgegevens verwerken en al een eigen DPO of intern juridisch team hebben. Proactieve platformmonitoring, GDPR-compliant toegangsbeheer, dependency-management, incident logging en gedocumenteerd change management. Het platform wordt zo onderhouden dat het voldoet aan de eisen van een corporate inkoop- of juridisch team, zonder dat wij optreden als de compliance-functie van de klant.
Compliance Partner is voor bedrijven die aanzienlijke hoeveelheden persoonsgegevens verwerken zonder intern compliance-team. Wij treden namens de klant op bij GDPR-verplichtingen: DPIA's, het verwerkingsregister (Record of Processing Activities), verzoeken van betrokkenen, privacy-reviews van nieuwe features en, waar van toepassing, als contactpunt voor de privacytoezichthouder (DPA).
Secure is voor platforms met ISO 27001, NEN 7510 of vergelijkbare eisen. Alles uit Platform Guard, plus een maandelijks Platform Health Report met uptime-trends, error-analyses, security-bevindingen en aanbevelingen. Plus het volledige audit-ready documentatiespoor: incident log, change management log, access control-register, GDPR-dataretentieprotocol en kwartaalevaluaties (quarterly business reviews).
Het niveau waarop een klant instapt, is geen commerciële beslissing. Het is een compliance-beslissing. Als je actief bent in een gereguleerde sector (gezondheidszorg, finance, overheid), heb je Secure nodig. Als je persoonsgegevens verwerkt maar een eigen juridisch team hebt, is Platform Guard de juiste standaard. Als je een groeiend bedrijf bent dat aanzienlijke gebruikersdata verwerkt zonder een eigen compliance-functie, dan is Compliance Partner voor jou. Als je een prototype bent zonder echte gebruikersdata, is Minimal de eerlijke keuze.
Wat dit in de praktijk betekent
Voor een CTO die overweegt om met ons samen te werken, biedt dit model iets wat de meeste agencies niet kunnen bieden: een directe lijn tussen de compliance-eisen van jouw organisatie en de service-toezeggingen die wij doen.
Wanneer je security officer vraagt welke monitoring er is ingericht, hebben we een gedocumenteerd antwoord. Wanneer je juridische team vraagt hoe incidenten worden afgehandeld, hebben we een logboek. Wanneer je auditor vraagt om bewijs van access controls, hebben we het register.
We hebben een agent-gebaseerd systeem gebouwd dat data ophaalt uit onze monitoring-stack, error-tracking en codekwaliteitstools om het maandelijkse Platform Health Report automatisch voor elke klant te genereren: gestructureerd, consistent en geleverd zonder handmatige overhead. Dit betekent dat de compliance-documentatie geen last is. Het is een bijproduct van hoe we werken.
Waarom de meeste agencies dit niet doen
Het eerlijke antwoord is dat het makkelijker is om het niet te doen. Een incident log bijhouden, access controls evalueren, maandelijkse rapportages genereren: deze dingen kosten tijd en discipline. Het is simpeler om een telefoonnummer aan te bieden en dat een SLA te noemen.
De andere reden is dat de meeste agencies er niet zeker van zijn of hun klanten ervoor willen betalen. In onze ervaring zijn de juiste klanten – degenen die serieuze producten bouwen met echte gebruikers en echte data – niet alleen bereid om ervoor te betalen. Ze zijn opgelucht dat iemand het eindelijk duidelijk aanbiedt.
Als je softwarepartners evalueert en het gesprek over support na de launch bevat niets van het bovenstaande, dan is het de moeite waard om je af te vragen waarom.
De meeste software agencies zien compliance als een vinkje. Een klant vraagt of je ISO 27001-gecertificeerd bent, je zegt dat je eraan werkt, en iedereen gaat weer over tot de orde van de dag. Wij kozen voor een andere aanpak. Toen we herontwierpen hoe we na de launch met klanten samenwerken, maakten we compliance de ruggengraat van ons hele model. Niet omdat een consultant ons dat vertelde. Maar omdat wanneer je echt kijkt naar wat enterprise-klanten nodig hebben van een softwarepartner op de lange termijn, compliance en kwaliteit van de dienstverlening op hetzelfde neerkomen. Dit is hoe wij erover denken, en waarom het alles heeft veranderd aan de manier waarop we onze samenwerkingen structureren.
Het probleem met het oude model
Al jaren verloopt het gesprek na de launch bij software agencies ongeveer zo: het product is opgeleverd, de klant tekent een SLA, en er wordt een maandelijks bedrag gefactureerd voor "support en maintenance". De SLA bevat responstijd-matrices en prioriteitsniveaus. Iedereen archiveert het en hoopt dat er niets misgaat.
Het probleem is dat dit model grotendeels theater is. De SLA definieert wat er gebeurt als er iets kapotgaat. Het zegt niets over wat er wordt gedaan om te zorgen dat er niets kapotgaat. Er is geen commitment op monitoring, geen rapportageverplichting, geen documentatiespoor. De agency reageert wanneer ze worden gebeld. De klant betaalt voor de gemoedsrust dat er iemand de telefoon opneemt.
Voor een startup-founder die je vertrouwt, is dat prima. Voor een corporate innovatieteam met een inkoopafdeling en een juridisch team is het niet genoeg. Zij zullen vragen stellen die je niet kunt beantwoorden.
Wat compliance echt vereist
ISO 27001 is in de strikte zin geen technische standaard. Het is een managementstandaard. Het definieert hoe je informatiebeveiliging aanpakt als een doorlopend proces, niet als een eenmalige inrichting.
In de praktijk vereist dit voor een softwareplatform:
Continuous monitoring. Je moet te allen tijde weten wat er in je systemen gebeurt. Error rates, performance, toegangspatronen, de gezondheid van de infrastructuur. Niet pas wanneer een klant een probleem meldt. Continu, met gedocumenteerd bewijs.
Een incident log. Elke belangrijke gebeurtenis (een service-onderbreking, een security-bevinding, een onverwachte toegangspoging) moet worden geregistreerd, onderzocht en gedocumenteerd. Niet alleen opgelost en vergeten.
Een change management log. Elke wijziging in de productieomgeving moet worden bijgehouden. Wie heeft het goedgekeurd, wat is er gewijzigd, wanneer en waarom. Dit is wat een systeem auditeerbaar maakt.
Access control. Wie heeft toegang tot wat, regelmatig geëvalueerd. Dit klinkt basaal, maar de meeste agencies hebben geen formeel overzicht van welke developer de productie-credentials van welke klant heeft.
Backup-verificatie. Niet alleen back-ups maken. Regelmatig testen of ze daadwerkelijk kunnen worden teruggezet. Daar zit een wezenlijk verschil in.
Data retention en GDPR-alignment. Als je persoonsgegevens verwerkt (en dat doet bijna elk platform), heb je gedocumenteerde protocollen nodig over hoe die data wordt behandeld, bewaard en verwijderd.
Niets hiervan is exotisch. Maar om dit voor elke klant consistent en goed te doen, is een systeem nodig.
Hoe we ons servicemodel hieromheen hebben gestructureerd
Toen we keken naar wat ISO 27001 daadwerkelijk vereist in de context van managed hosting, realiseerden we ons dat we het meeste al informeel deden. Ons team monitorde platforms, logde incidenten en beheerde de toegang. Het werk werd gedaan. Het was alleen niet gestructureerd, gedocumenteerd of correct gefactureerd.
Dus hebben we het servicemodel vanaf de grond af aan opnieuw opgebouwd met compliance als leidend principe. In plaats van een SLA als los product te verkopen, bieden we nu vier niveaus van managed service aan. Welk niveau een klant nodig heeft, wordt bepaald door hun compliance-verplichtingen en interne capaciteit.
Minimal is voor prototypes en interne tools zonder echte gebruikersdata. Reactief hostingbeheer, basis uptime-monitoring. We reageren wanneer we worden gebeld.
Platform Guard is voor klanten die persoonsgegevens verwerken en al een eigen DPO of intern juridisch team hebben. Proactieve platformmonitoring, GDPR-compliant toegangsbeheer, dependency-management, incident logging en gedocumenteerd change management. Het platform wordt zo onderhouden dat het voldoet aan de eisen van een corporate inkoop- of juridisch team, zonder dat wij optreden als de compliance-functie van de klant.
Compliance Partner is voor bedrijven die aanzienlijke hoeveelheden persoonsgegevens verwerken zonder intern compliance-team. Wij treden namens de klant op bij GDPR-verplichtingen: DPIA's, het verwerkingsregister (Record of Processing Activities), verzoeken van betrokkenen, privacy-reviews van nieuwe features en, waar van toepassing, als contactpunt voor de privacytoezichthouder (DPA).
Secure is voor platforms met ISO 27001, NEN 7510 of vergelijkbare eisen. Alles uit Platform Guard, plus een maandelijks Platform Health Report met uptime-trends, error-analyses, security-bevindingen en aanbevelingen. Plus het volledige audit-ready documentatiespoor: incident log, change management log, access control-register, GDPR-dataretentieprotocol en kwartaalevaluaties (quarterly business reviews).
Het niveau waarop een klant instapt, is geen commerciële beslissing. Het is een compliance-beslissing. Als je actief bent in een gereguleerde sector (gezondheidszorg, finance, overheid), heb je Secure nodig. Als je persoonsgegevens verwerkt maar een eigen juridisch team hebt, is Platform Guard de juiste standaard. Als je een groeiend bedrijf bent dat aanzienlijke gebruikersdata verwerkt zonder een eigen compliance-functie, dan is Compliance Partner voor jou. Als je een prototype bent zonder echte gebruikersdata, is Minimal de eerlijke keuze.
Wat dit in de praktijk betekent
Voor een CTO die overweegt om met ons samen te werken, biedt dit model iets wat de meeste agencies niet kunnen bieden: een directe lijn tussen de compliance-eisen van jouw organisatie en de service-toezeggingen die wij doen.
Wanneer je security officer vraagt welke monitoring er is ingericht, hebben we een gedocumenteerd antwoord. Wanneer je juridische team vraagt hoe incidenten worden afgehandeld, hebben we een logboek. Wanneer je auditor vraagt om bewijs van access controls, hebben we het register.
We hebben een agent-gebaseerd systeem gebouwd dat data ophaalt uit onze monitoring-stack, error-tracking en codekwaliteitstools om het maandelijkse Platform Health Report automatisch voor elke klant te genereren: gestructureerd, consistent en geleverd zonder handmatige overhead. Dit betekent dat de compliance-documentatie geen last is. Het is een bijproduct van hoe we werken.
Waarom de meeste agencies dit niet doen
Het eerlijke antwoord is dat het makkelijker is om het niet te doen. Een incident log bijhouden, access controls evalueren, maandelijkse rapportages genereren: deze dingen kosten tijd en discipline. Het is simpeler om een telefoonnummer aan te bieden en dat een SLA te noemen.
De andere reden is dat de meeste agencies er niet zeker van zijn of hun klanten ervoor willen betalen. In onze ervaring zijn de juiste klanten – degenen die serieuze producten bouwen met echte gebruikers en echte data – niet alleen bereid om ervoor te betalen. Ze zijn opgelucht dat iemand het eindelijk duidelijk aanbiedt.
Als je softwarepartners evalueert en het gesprek over support na de launch bevat niets van het bovenstaande, dan is het de moeite waard om je af te vragen waarom.
FAQ's
Jullie mikken op een ISO 27001-certificering voor Q4 2026. Wat betekent dat voor klanten die vandaag gecertificeerde compliance nodig hebben?
Hoe weten we welk niveau geschikt is voor ons?
We hebben al een eigen DPO en juridisch team. Hebben we dan nog steeds managed services nodig?
Wat gebeurt er met onze compliance-documentatie als we stoppen met de samenwerking?
We zijn nog in de ontwikkelfase. Wanneer moeten we gaan nadenken over managed services?
Kunnen we wisselen van niveau als onze situatie verandert?
similar reads
Case Studies & Interviews
Lereng Tanah: Developing a Direct Booking Platform Malaysian Boutique Villa
29 January 2026
Case Studies & Interviews
Tactlink: How a Malaysian Entrepreneur Turned Networking Chaos into a Digital Community
22 January 2026
Case Studies & Interviews
PropTech Innovation: How Custom Software Development Transformed Homes In Asia
18 June 2026
Vast tussen een goed idee en het juiste team om het te bouwen?Let's talk.
We werken met corporate innovation teams en ambitieuze scale-ups in Nederland, Singapore en Australië — en waar goede software nodig is. Stuur ons een bericht; we reageren binnen één werkdag.
Markus Monnikendam
Global Commercial Director
hello@lizard.global