Stel je voor dat een collega op vrijdagmiddag aan je bureau staat, met een laptop in de hand en de melding "ik heb de hele codebase doorlopen, dit zijn de twaalf gaten die je voor 1 juli wilt dichten, en hier zijn de patches alvast". Geen vakjargon, geen vier dashboards die je moet uitleggen, gewoon een lijst met problemen en oplossingen. Dat is ongeveer wat Claude Opus 4.7 nu probeert te zijn voor security-teams. Anthropic zette deze week zijn vulnerability-scanner Claude Security in publieke beta, ruim tien weken na de gesloten preview. En de timing is geen toeval.
Wat doet Claude Security anders dan je huidige scanner?
Traditionele vulnerability-scanners zoals Veracode of Snyk werken op patronen. Ze zoeken bekende handtekeningen: "deze functie heet X, dat is in eerdere CVE's vaak een lek geweest, dus alarm". Dat werkt voor de helft van het werk. Wat ze missen, zijn de fouten die pas ontstaan als data door vier verschillende functies stroomt en in de derde functie ergens een check vergeten wordt.
Claude Security pakt dat anders aan. Het leest de code zoals een security-onderzoeker dat zou doen. Het volgt waar invoer binnenkomt, hoe die wordt gefilterd, waar die in een query terechtkomt, en waar uiteindelijk de output naar de gebruiker gaat. Dat heet data flow tracing en het is precies het type analyse waarvan je tot voor kort dacht dat alleen een doorgewinterde mens dat snapte. Pattern matching zegt "deze regel ziet er verdacht uit". Data flow tracing zegt "deze invoer in regel 42 komt acht functies verderop ongefilterd in een database-query, en hier is de fix".
Het verschil is groot genoeg dat Anthropic het tool niet als concurrent positioneert. Claude Security integreert juist met CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, TrendMicro en Wiz. De findings exporteren als CSV of Markdown, of stromen via webhooks naar Slack en Jira. Geen losse tool naast je SOC, maar een laag erbovenop.
Vijfhonderd oude bugs die decennia onder de radar bleven
Tijdens de gesloten preview, die in februari startte, draaide Anthropic Claude Code Security (de oude naam) op productie open-source codebases. Het ging om projecten die door tientallen mensen waren bekeken, jarenlang. Het tool vond meer dan vijfhonderd kwetsbaarheden die niemand eerder had opgemerkt. Sommige zaten er volgens Anthropic al decennia.
Even afstand nemen. Vijfhonderd lekken in code die door experts is goedgekeurd, gevonden door een tool dat een paar maanden bestaat. Dat zegt iets over hoe slecht ons collectieve geheugen is voor oude bugs, en iets over wat een redenerend model in het juiste werk kan vinden. Het zegt niet dat je morgen je security-team kunt ontslaan, het zegt dat een AI die echt kan lezen wat een mens leest, andere fouten ziet dan een tool dat patronen telt.
Past dit niet verdacht goed bij 1 juli 2026?
Voor Nederlandse middelgrote bedrijven is er één datum die op dit moment alles bepaalt: 1 juli 2026. Dan treedt naar verwachting de Cyberbeveiligingswet in werking, de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet is bijna twee jaar te laat ten opzichte van de Europese deadline van oktober 2024, maar volgens de Rijksoverheid houdt het kabinet vast aan de zomer van 2026 als invoeringsmoment.
Wat verandert er voor jou? Als je organisatie onder de essentiële of belangrijke entiteiten valt (zorginstellingen vanaf 50 medewerkers, ICT-dienstverleners, energie- en watersector, vervoer, banken), krijg je een zorgplicht. Die zorgplicht is grof samen te vatten als: je moet kunnen aantonen dat je systematisch op zoek gaat naar kwetsbaarheden, ze documenteert, en patches uitrolt voor incidenten gebeuren. Pure pattern-matching-scanners zijn daarvoor te beperkt. Een tool dat data-flows kan volgen en de redenering kan uitleggen, past beter bij de bewijslast.
De Autoriteit Persoonsgegevens kondigde half april al aan dat ze preventief gaat controleren bij ICT-leveranciers, niet pas reactief na een datalek. Wie z'n vulnerability-management op orde wil hebben, heeft nog vier weken voor de meeste ondernemingsraden hun eerste audit-conversatie willen voeren.
Wat kost het en wie krijgt het eerst?
Claude Security is nu beschikbaar in publieke beta voor klanten op het Claude Enterprise-plan. Daar zit de gewone Enterprise-prijsstaffel onder, en die loopt via sales (Anthropic publiceert geen vast tarief). Reken op enkele tientallen dollars per gebruiker per maand, met een minimum-aantal seats. Voor een NL-organisatie van honderd ontwikkelaars praat je dus al snel over een vijfcijferig bedrag per jaar excl. BTW.
Voor Team- en Max-abonnees komt Claude Security "binnenkort", aldus Anthropic. Dat is geen vaste datum. Open-source maintainers krijgen gratis versnelde toegang, wat een ander signaal is: Anthropic wil zo veel mogelijk codebases scannen om het model verder te trainen op echte vondsten.
En je huidige Veracode of Snyk dan?
Hier zit een nuance die mkb'ers makkelijk over het hoofd zien. Veracode, Snyk en Checkmarx blijven onmisbaar voor de bulk van het werk: bekende CVE's, dependency-checks, license-scanning, IaC-controle. Wat Claude Security toevoegt, is een laag erbovenop voor het lastige werk: business-logic-fouten, race conditions, authorization-bypasses die alleen ontstaan in de combinatie van componenten.
Denk aan een sluitend deur-systeem. Je traditionele scanner kijkt of het slot van het juiste merk is en of de scharnieren stevig zijn. Claude Security stelt de vraag of iemand via het raam binnen kan en dan via de gang bij de serverruimte uitkomt. Beide zijn nodig.
De integratielijst maakt dit ook zichtbaar. Anthropic koppelt zijn tool met de grote security-platforms die NL-banken en zorginstellingen al draaien. Findings landen in dezelfde dashboards waar je SOC nu al naar kijkt. Geen vendor lock-in waar je wakker van moet liggen, en geen migratieproject van zes maanden voordat het eerste resultaat zichtbaar is.
Drie dingen die je deze week al kunt doen
Ook als je nog geen Claude Enterprise hebt, en de meeste lezers hebben dat niet, zijn er drie concrete stappen:
- Vraag bij je security-leverancier wat data-flow-analyse betekent in hun roadmap. Veracode, Snyk en Checkmarx zien deze beweging ook. Als je leverancier vaag blijft over hoe ze met AI-redenerende-scanners omgaan, weet je waar je aan toe bent.
- Inventariseer waar je codebase fysiek staat en wie toegang heeft. Dat klinkt basic, maar de helft van de NIS2-zorgplicht zit in dit soort administratie. Code bij Centric, Ordina of een eigen ontwikkelteam in Hilversum: noteer het, want je hebt het bij de eerste audit nodig.
- Maak een lijst van je drie meest bedrijfskritische applicaties. Niet alle code hoeft tegelijk gescand. Begin met betalingsverkeer, klantgegevens en authenticatie, daar zit de meeste impact als het misgaat. Als je later upgrade naar Enterprise of een vergelijkbare tool, weet je waar je begint.
Wat dit betekent voor de komende maanden
Tot nu toe was AI in de codebase vooral een schrijftool: Copilot, Cursor, vijf agents tegelijk. Met Claude Security verschuift het accent. AI wordt nu ook een leestool voor security-teams, en dat is een rol waar developers zelden warm voor lopen omdat het in hun nek hangt. Voor een NL-organisatie die op 1 juli aantoonbaar moet kunnen laten zien dat ze hun zorgplicht serieus nemen, is dat geen luxe.
Een ding om in de gaten te houden: het Britse AI Security Institute publiceerde gisteren een evaluatie waaruit bleek dat GPT-5.5 inmiddels ook bovengemiddeld goed is in offensieve cybertaken. De aanvallers krijgen er nieuwe mogelijkheden bij, de verdedigers gelukkig ook. Wie van de twee de race wint, hangt deels af van wie z'n tools eerder klaar heeft staan, en deze week kreeg de verdediger er één bij.
