De lat ligt hoog bij Qwoater – en dat moet ook

Documentbeheer anders gedacht

De observatie die leidde tot Qwoater kwam rechtstreeks uit de praktijk. “In de accountancy zag ik hoe omgang met klantdocumenten verre van optimaal en veilig was. Terwijl juist dáár zoveel risico en verantwoordelijkheid ligt,” vertelt Ernesto. Met zijn achtergrond in accountancy en consultancy zag hij niet alleen wat er misging, maar ook wat er beter kon.

Het antwoord werd Qwoater: een cloudbased document hub waarin klantdossiers centraal worden opgeslagen, uniform zijn ingericht en slim gekoppeld worden met andere systemen, zoals salaris- of jaarrekeningsoftware. Geen mappenstructuren, geen versnippering, geen onnodige zoektochten.

“Bij ons hoeft niemand zich meer af te vragen waar iets staat. Alles is uniform, vindbaar, en gekoppeld. Dat is het verschil met traditionele document-management-systemen of Sharepoint.”

Het model van Qwoater sloeg aan. Inmiddels zijn ze marktleider binnen salarisverwerking en groeit het hard in de bredere accountancypraktijk. “We willen juist dat kantoren ons platform organisatiebreed gaan inzetten. De potentie is enorm en daar bouwen we naartoe.”

Veiligheid vanaf dag één

Qwoater noemt zichzelf weleens het ‘Netflix voor documenten’. En terecht. De user experience is overzichtelijk, intuïtief en ontworpen om documentbeheer moeiteloos te maken. Maar achter die eenvoud schuilt een organisatie die beseft dat vertrouwen in deze sector geen bijzaak is, maar randvoorwaarde.

Dat besef zit diep. Klantdossiers bevatten jaarrekeningen, HR-informatie en andere privacygevoelige documenten. Qwoater koos daarom al in 2016 voor een SOC 2 Type II-certificering.

“Elke keuze die we maken moet die veiligheid ondersteunen. Dat zit in onze infrastructuur, in ons gedrag, in onze communicatie – en in het feit dat we jaarlijks pentests laten uitvoeren. Soms zelfs twee keer per jaar,” vertelt Ernesto.

Code-guided pentest

In 2025 koos Qwoater bewust voor een samenwerking met YieldDD. De vraag: voer een pentest uit die niet alleen kijkt van buitenaf, maar diep in de architectuur en broncode duikt. YieldDD’s code-guided aanpak bood precies dat.

“Je moet de waarde erkennen van een pentest die niet van buiten naar binnen kijkt, maar juist van binnen naar buiten het pad zoekt. Dat is wat YieldDD doet en dat is echt van grote toegevoegde waarde.”

Deze aanpak leverde directe en scherpe inzichten op:

Qwoater nam alle bevindingen, voornamelijk ‘low-risk’ issues, direct mee in het hersteltraject. Dit past bij hun eigen hoge securitystandaard. De hertest toonde vervolgens aan dat alle gevonden issues daadwerkelijk waren opgelost.

Security als cultuur

Wat Qwoater onderscheidt, is niet alleen hun platform, maar vooral hun houding. Waar security soms nog wordt gezien als ‘iets van IT’, trof YieldDD hier een directie die zelf meedacht, doorvroeg en verantwoordelijkheid nam.

Die cultuur maakt het verschil. Qwoater durft in de spiegel te kijken en laat zien dat volwassen softwareontwikkeling betekent: openstaan voor kritiek, snel verbeteren, en bouwen aan vertrouwen.

Dit is geen eenmalige exercitie, maar onderdeel van een structurele aanpak. “Klanten mogen weten dat we getest worden en dat we de uitkomsten gebruiken om nog beter te worden.”

Vooruitkijken

Bij Qwoater staat de tijd niet stil. Nieuwe productontwikkelingen – zoals het publiek beschikbaar stellen van de bestaande API – komen eraan. Die brengen nieuwe kansen, maar ook nieuwe risico’s. “Daarom zeggen we ook: bij elke grote release kijken we opnieuw naar security. En dan weten we nu wie we moeten bellen.”

De samenwerking laat zien dat technische veiligheid nooit alleen een IT-thema is. Het gaat om vertrouwen. Om continu verbeteren. En om het lef om je eigen aannames te laten toetsen. Dat doet Qwoater. En dat maakt ze niet alleen veiliger, maar ook sterker.