Wat de externe partij moet leveren als jij intern doortrekt
Het succes van een goede externe security-partij is dat zij wegloopt, niet dat zij blijft
Het overdrachts-eindproduct van een externe security-opdracht is jouw eigen organisatie die het werk zelfstandig en bekwaam kan doorzetten. Niet een gepolijste eindrapportage, niet een nieuwe leveranciersrelatie die elk kwartaal verlengd moet worden, niet een platform dat alleen draait zolang de externe partij ingelogd blijft. Het eindproduct is intern weerstandsvermogen op de plek waar eerst externe capaciteit zat. Dat klinkt vanzelfsprekend, en in de praktijk is het de uitzondering. Veel opdrachten lopen netjes af aan de leverancierskant en eindigen aan de klantkant in een vacuüm, omdat de overdracht nooit ontworpen is als deliverable.
Voor Operationele teams en de CISO die intern willen doortrekken is dit het centrale gesprek. Wat verwacht je dat een externe partij oplevert op het moment dat jouw mensen het overnemen, en hoe stel je vast dat die overdracht écht klaar is. De rest van dit stuk legt vier categorieën deliverables onder een overdracht, beschrijft hoe je een werkende exit-toets organiseert, en sluit af bij wat dit betekent voor hoe je een opdracht inkoopt voordat je hem ondertekent.
Waarom de standaard-overdracht structureel tekortschiet
De meeste externe opdrachten worden ontworpen rond een leveringsmoment, niet rond een vertrekmoment. Aan het einde komt een eindrapport, een set draaiboeken en een afsluitend gesprek. De factuur gaat de deur uit, het projectteam stroomt door, en wat overblijft is een mooie PDF en jouw team dat de volgende ochtend zelf de telefoon opneemt als er iets gebeurt. Tussen die twee zit een gat dat in geen enkel contract scherp staat beschreven.
Dit gat is geen incident, het is een eigenschap van het marktmodel. Een externe partij die haar omzet haalt uit verlengde aanwezigheid heeft een impliciet belang bij een overdracht die net niet voltooid is. Een externe partij die haar omzet haalt uit eindproducten in plaats van uit relaties, levert wel een rapport maar geen leefbare doorgave aan jouw mensen. In beide gevallen is jouw kant van de tafel degene die de schade draagt zodra de uitvoering hapert.
ISO/IEC 27036 over informatiebeveiligingsrelaties met leveranciers beschrijft dit punt expliciet: een opdracht wordt pas verantwoord beëindigd wanneer kennis, toegangen, configuraties en verantwoordelijkheden geordend bij de inkopende organisatie liggen. Dat is geen optionele paragraaf in het contract, dat is het einde van de levenscyclus. De NCSC-handreikingen voor inkoop van diensten leggen er een tweede laag overheen: de transitie terug naar interne uitvoering, of naar een opvolgende partij, is een ontwerpvariabele aan het begin van de opdracht, niet een gespreksonderwerp aan het einde.
Wat hoort op de exit-tafel?
De exit-tafel is de set deliverables die fysiek en bestuurlijk overgedragen moet zijn voordat de externe partij weg kan. Niet wat je achteraf bedenkt dat je had willen hebben, maar wat je vooraf in de scope hebt geschreven als voorwaarde voor afsluiting. Vier categorieën horen op die tafel, en geen van de vier is een bijproduct van het hoofdwerk.
Overdrachtsdocumentatie die je eigen mensen kunnen lezen. Niet een rapport voor het bestuur, maar een werkdocument voor de mensen die het werk gaan voortzetten. Het beschrijft de architectuur zoals zij feitelijk is ingericht, niet zoals zij in de ontwerpfase bedoeld was. Het bevat de configuraties van de tooling met versie, eigenaarschap en de redenen waarom afwijkende keuzes gemaakt zijn. Het maakt expliciet welke koppelingen draaiend zijn, welke aannames eronder liggen en waar nog handmatig ingegrepen wordt. Wie deze documentatie opent op een maandagochtend na een incident moet zonder een terugbel-moment naar de externe partij weten waar te beginnen.
Training die competentie overdraagt, geen sessie die kennis aanstipt. Een afsluitende kennissessie van twee uur is geen overdracht, dat is een afscheid. Echte training is een traject waarin jouw mensen de handelingen die zij straks zelf doen, eerst meedoen, dan zelfstandig uitvoeren onder observatie, en pas daarna alleen dragen. Dat traject heeft een begin, een ritme en een eindtoets. De externe partij meet zelf of de overdracht aankomt, en herziet de training waar dat niet zo is. Een opdracht waarin training opduikt als laatste bullet in de slotweek, draagt geen competentie over.
Lopende metrics die zelfstandig leesbaar zijn. Detection-statistieken, vulnerability-cijfers, audit-bevindingen, escalatie-cadansen: jouw team moet deze cijfers kunnen produceren, lezen en interpreteren zonder de externe partij te bellen. Dat betekent dat de dashboards niet alleen draaien op een gedeeld platform, maar dat de definitie achter elke metric is gedocumenteerd, dat de bronsystemen onder jouw beheer staan en dat de drempelwaarden zijn afgesproken met de mensen die de cijfers straks aan het bestuur uitleggen. Een metric die alleen klopt zolang de externe partij hem onderhoudt, is geen metric maar een leveringsafhankelijkheid.
Een exit-plan dat de organisatie zelf kan uitvoeren. Het exit-plan beschrijft welke handelingen op welke datum gebeuren wanneer de samenwerking eindigt. Toegangen, accounts, licenties op naam, broncode-repositories, sleutels en certificaten staan met datum en verantwoordelijke benoemd. Het plan is getoetst, niet alleen geschreven: voordat de externe partij vertrekt is in een gecontroleerde oefening doorlopen wat er gebeurt als zij vandaag wegvalt. Wat in die oefening niet werkt, wordt opgelost vóór het echte vertrek, niet erna.
Deze vier categorieën vormen samen één deliverable: een organisatie die op vertrekdag zelfstandig is. Eén categorie missen betekent dat de overdracht ergens leunt op een persoon, een toegang of een document dat na vertrek niet meer beschikbaar is. Dat is geen overdracht, dat is een gemaskerde afhankelijkheid.
Hoe weet je dat de overdracht écht klaar is?
De gangbare toets is een afsluitend gesprek waarin beide partijen vaststellen dat het werk gedaan is. Dat is geen toets, dat is een ceremonie. Een werkende toets meet of jouw organisatie, zonder de externe partij in de zaal, het werk daadwerkelijk draagt. Drie ankers maken die toets bruikbaar.
Een schaduwperiode waarin jouw mensen draaien en de externe partij meekijkt. Niet andersom. De externe partij is aanwezig om af te wijken bij vragen, niet om de uitvoering te dragen. Twee tot vier weken schaduwperiode legt direct bloot waar de overdracht nog op leunt: welke handeling jouw mensen niet zonder hulp doen, welke configuratie nog onbegrepen is, welk dashboard zonder context gelezen wordt. Pas wanneer de schaduwperiode rustig verloopt, zonder substantieel ingrijpen van buiten, is de overdracht onderbouwd.
Een onaangekondigde stresstest op een operationeel scenario. Een phishing-melding, een verdachte login, een geëscaleerd kwetsbaarheidsbericht: een scenario uit de normale werkdag dat jouw team zelfstandig oppakt, met de externe partij stil in de hoek. Wat in zo'n test niet vlot loopt, is geen incident maar een meetpunt. Het laat zien welke handeling nog niet geïnternaliseerd is, en welk deel van de overdracht alsnog hersteld moet worden.
Een bestuurlijke verantwoording op eigen kracht. De CISO of de operationeel verantwoordelijke legt aan een interne stakeholder uit hoe de capability nu staat, welke risico's er nog zijn en welke beslissingen openliggen, zonder dat de externe partij de slides aanlevert of meeleest. Wie dat kan, draagt het werk. Wie dat niet kan, leunt nog. ENISA-richtlijnen voor het uitbesteden en weer in eigen beheer brengen van security-functies leggen deze toets expliciet bij de inkopende organisatie en niet bij de leverende partij, juist omdat de leverende partij belang heeft bij een positieve evaluatie.
De toets is geen formaliteit aan het einde, het is het criterium waar de hele overdracht naartoe werkt. Een externe partij die op deze toets samen met jouw team durft te gaan staan, heeft de overdracht serieus genomen. Een externe partij die de toets afhoudt, vraagt verlengen of versimpelt, heeft hem niet voltooid.
Wat dit betekent voor hoe je een opdracht inkoopt
De grootste hefboom op een geslaagde overdracht zit aan het begin van de opdracht, niet aan het einde. Op het moment dat het contract getekend wordt is bepaald of de externe partij ontworpen heeft op leveringsmoment of op vertrekmoment. Drie elementen horen in die inkoopfase, en alle drie kosten weinig om vooraf scherp te krijgen.
Schrijf het vertrekmoment in de scope, niet alleen het leveringsmoment. Benoem expliciet dat de opdracht eindigt op het moment dat jouw team zelfstandig draait, en koppel de laatste betaling aan die toets. Wat aan de overdracht ontbreekt is dan geen meerwerk, het is openstaand werk binnen de afgesproken prijs. Dat draait de incentive om aan de leverancierskant: een snelle, schone overdracht is voor de externe partij dan economisch interessanter dan een opgerekte aanwezigheid.
Vraag aan de start om de overdrachts-deliverables, niet aan het einde. Een externe partij die op dag één kan uitleggen welke documentatie zij gaat opleveren, hoe de training is opgebouwd, welke metrics naar jouw beheer overgaan en hoe het exit-plan eruit ziet, heeft dit werk eerder gedaan. Een partij die dat antwoord pas in de laatste maand kan formuleren, gaat het werk al improviserend doen, en jouw kant van de tafel betaalt de improvisatie.
Houd de overdrachtsverantwoordelijkheid bij dezelfde mensen die het werk hebben gedaan. Wie de architectuur heeft gebouwd, draagt de architectuur over. Niet een ander team, niet een knowledge-transfer-specialist die er pas in de laatste fase bijkomt. De kennis die overgedragen moet worden, zit in de handen van de mensen die haar hebben opgebouwd. Een overdracht die geknipt is naar een ander team verliest precies wat de moeite waard was om door te geven.
Voor de Ops-verantwoordelijke is dit de praktische test: kun je op dag één van de samenwerking benoemen hoe vertrekdag eruit gaat zien, en welke handtekening jouw eigen team daaronder zet. Voor de CISO is het de bestuurlijke test: staat de overdracht als deliverable in de opdracht, of als hoop. Een externe partij die op deze gronden meeschrijft, levert een opdracht waar weglopen het succes is. Een externe partij die hier omheen praat, levert een opdracht waar verlengen het succes is. Dat is geen smaakverschil. Dat is het verschil tussen onafhankelijkheid die je inkoopt en afhankelijkheid die je per ongeluk binnenhaalt.