Het korte antwoord
Bij 20 medewerkers werkt ad-hoc IT prima. Bij 100 medewerkers is het al gebroken — de meeste managementteams wachten alleen op de SaaS questionnaire die het probleem afdwingt.
Een "goede" Managed IT-setup voor een SaaS-bedrijf van 50–100 medewerkers heeft zes herkenbare eigenschappen: een schone identity baseline, beheerde devices, werkende joiner-mover-leaver flows, geverifieerde back-ups, gecentraliseerde logging en een gedocumenteerd beleidskader waar iemand daadwerkelijk eigenaar van is.
U kunt dit in-house bouwen (doorgaans 3 hires, €100–110K totaal, 12+ maanden tot operationele volwassenheid) of u kunt samenwerken met een MSP die dit al uitvoert voor vergelijkbare bedrijven. Het juiste antwoord hangt af van de vraag of IT een kerncompetentie wordt voor uw bedrijf. Voor de meeste SaaS-bedrijven is dat niet het geval.
Waarom ad-hoc IT in deze fase stukloopt
Tot ongeveer 25 medewerkers draait IT op goodwill. Een oprichter, een senior engineer, of wie dan ook toevallig technisch is, regelt het erbij. Dat werkt omdat het oppervlak klein is: een paar SaaS-abonnementen, een klein device estate, iedereen kent iedereen, en niemand is nog vertrokken.
Rond 40–50 medewerkers veranderen drie dingen tegelijk.
Het device estate wordt onzichtbaar. Niemand kan met vertrouwen antwoord geven op "hoeveel laptops zijn er in omloop, wat is erop geïnstalleerd en zijn ze versleuteld?"
Joiners en leavers worden een procesprobleem. Nieuwe medewerkers hebben niet de juiste toegang op dag één. Mensen die vertrekken behouden weken toegang. Externen komen binnen en worden nooit verwijderd.
De eerste enterprise security questionnaire arriveert. En de antwoorden zijn ongemakkelijk — omdat ze eerlijk zijn.
Bij 70–80 medewerkers wordt de prijs van uitstel zichtbaar: vastgelopen deals, gefrustreerde nieuwe medewerkers, security-hiaten die elke auditor direct zou vinden, en een managementteam dat geen verdedigbaar antwoord heeft op "wie heeft toegang tot wat?"
Hoe een goede IT-setup er werkelijk uitziet
Negeer het vendorgepraat. De componenten zijn niet exotisch. De standaard is:
Identity baseline. Elke zakelijke applicatie achter SSO. MFA overal afgedwongen, phishing-resistant waar het ertoe doet (admin accounts, financiële tooling, klantdata). Op rollen gebaseerde toegangsgroepen, geen individueel toegewezen rechten. Driemaandelijkse access reviews met benoemde eigenaren. Privileged access alleen verhoogd wanneer nodig, niet permanent toegekend.
Device management. Elke door het bedrijf uitgegeven laptop aangemeld in een MDM. Versleuteling afgedwongen. OS- en browserupdates gemonitord. Endpoint detection and response (EDR) actief op elk device, met echte alerting — niet alleen een logo in een dashboard. Een duidelijk BYOD-beleid met grenzen, als BYOD überhaupt is toegestaan.
Joiner-mover-leaver workflows. Een gedocumenteerd, herhaalbaar proces voor elke gebeurtenis in de levenscyclus van het dienstverband. Nieuwe medewerkers hebben de juiste toegang op dag één. Rolwijzigingen werken toegang automatisch bij. Uitdiensttredingen trekken elke account, elk device en elk token binnen 24 uur in — niet "wanneer IT eraan toekomt."
Back-up en recovery. SaaS-data wordt niet automatisch geback-upt. Microsoft 365, Google Workspace, uw CRM, uw code repositories — onafhankelijke back-up met geteste recovery is niet onderhandelbaar. "We gaan ervan uit dat de leverancier het back-upt" is geen back-upstrategie.
Logging en monitoring. Gecentraliseerde logs vanuit identity, endpoints en belangrijke SaaS-applicaties. Alerting geconfigureerd voor de condities die er werkelijk toe doen (verdachte sign-ins, rechtswijzigingen, massale data-toegang). Een gedefinieerd reactieproces — niet zomaar een Slack-kanaal waar alerts sterven.
Beleid en documentatie. Acceptable use, dataclassificatie, incident response, leveranciersmanagement, toegangsbeheer. Geen documenten in de la. Levende beleidsstukken die aansluiten op hoe het bedrijf daadwerkelijk werkt, jaarlijks herzien, met benoemde eigenaren.
Als u alle zes draaiend heeft, behoort u tot de top 10% van bedrijven in uw fase. Als u er drie of minder heeft, bent u gemiddeld. Gemiddeld is niet goed genoeg voor enterprise procurement.
De vraag "moeten we intern aannemen?"
De meeste oprichters waar wij mee werken begonnen hier. Ze vroegen: "Moeten we niet gewoon een IT-medewerker aannemen?"
Het antwoord hangt af van wat u werkelijk nodig heeft.
Eén enkele "IT-medewerker" in deze fase wordt doorgaans een veredelde helpdesk: accounts aanmaken, helpen met logins, laptops vervangen, licentieverlengingen achternazitten. Dat werk is noodzakelijk, maar bouwt de zes componenten hierboven niet op. Daarvoor zijn drie verschillende competenties nodig:
- Een security engineer om controls te ontwerpen en implementeren.
- Een compliance- of IT-operations-lead om beleid te schrijven, access reviews uit te voeren en audits voor te bereiden.
- Een algemene IT-operationsmedewerker om het dagelijkse werk te doen.
Elk van deze rollen, aangenomen op het seniorniveau dat nodig is om zelfstandig te kunnen functioneren, kost €90.000–€110.000 per jaar in onze regio. Totaal: ongeveer €270.000–€330.000 per jaar exclusief tooling, training en de 12+ maanden die het doorgaans kost om vanuit nul operationele volwassenheid te bereiken.
Als IT en security daadwerkelijk een kerncompetentie van uw bedrijf gaan worden — bijvoorbeeld omdat u een fintech bent, een healthcare-SaaS, of u verwerkt zwaar gereguleerde klantdata — dan is die investering logisch. Bouw het.
Als IT noodzakelijke infrastructuur is die goed gedaan moet worden maar niet kernactiviteit is van uw product, rechtvaardigt de economie zelden drie hires in deze fase.
De MSP-vraag
Een goede MSP voor een groeiend SaaS-bedrijf is niet hetzelfde als een generiek IT-supportbedrijf. Het model is anders.
Wat u van een senior MSP in uw fase mag verwachten:
- Een gestructureerde methodologie, geen losse uurlijkse tickets.
- Implementatie van de zes componenten hierboven als een gedefinieerd traject, met een duidelijke planning en uitkomst.
- Doorlopende operaties na implementatie: access reviews, monitoring, bewijsvergaring, maandelijkse rapportage.
- Compliance-ervaring — het team heeft ISO 27001, SOC 2, of beide gedaan voor bedrijven van uw omvang.
- Documentatie- en overdrachtskwaliteit zodanig dat, als u van provider wisselt, het volgende team zonder herbouw verder kan.
- Senior mensen op uw account. Geen anonieme ticketwachtrij.
Wat u niet zou moeten accepteren:
- Vage "managed services" zonder gedefinieerde deliverables.
- Een team dat tools doordrukt zonder de operaties eromheen te ontwerpen.
- Een MSP die zich verzet tegen documenteren of het delen van de runbook.
- Prijzen die lineair meeschalen met gebruikers zonder een gedefinieerde servicecatalogus.
Het hybride model
Het patroon dat voor veel SaaS-bedrijven in deze fase werkt: één sterke interne IT-eigenaar — geen volledig team — plus een externe partner die het ontwerp, de security operations en het compliancewerk doet.
De interne eigenaar draait de dagelijkse operaties: laptop-uitrol, account-provisioning binnen het gedocumenteerde proces, leveranciersafstemming, interne escalatie. De externe partner bouwt en onderhoudt de security baseline, voert access reviews uit, bereidt audits voor en doet het werk dat diepere specialisatie vereist.
Dit kost doorgaans minder dan drie interne hires, schaalt beter en levert sneller een sterkere compliance-positie. Het is het model dat wij voor de meeste van onze klanten draaien.
Veelgemaakte fouten
- Een "IT-medewerker" aannemen voordat u bepaalt wat goede IT betekent. U krijgt goede ticketafhandeling en geen structurele vooruitgang.
- Tools kopen voordat u de operaties eromheen ontwerpt. Tooling zonder proces produceert dashboards waar niemand naar kijkt.
- IT behandelen als kostenpost. Goed uitgevoerd in deze fase ontsluit IT juist enterprise-deals.
- Wachten op een incident of een gefaalde audit om het project te starten. De opruiming is onder druk altijd duurder.
- De goedkoopste MSP kiezen. Het werk is hetzelfde; het verschil zit in of het met seniorerheid wordt uitgevoerd. Goedkope MSP's zijn op termijn duur.
FAQ
Bij welk personeelsbestand moeten we hierover gaan nadenken? Rond 40–50 medewerkers begint het ad-hocmodel te kraken. Rond 70–80 wordt wachten commercieel duur.
Kunnen we dit niet gewoon doen met één goede IT-hire? U krijgt de dagelijkse operaties afgedekt. U krijgt geen verdedigbare security- en compliance-baseline zonder specialistische ondersteuning.
Wat is de gebruikelijke tijdlijn om vanaf nul "goed" te bereiken? Met een gerichte partner: 90 dagen voor implementatie, 6–9 maanden voor volledige audit-readiness. Zonder externe hulp: 18–24 maanden is realistisch.
Hoe weten we of onze huidige setup "goed genoeg" is? Voer een eerlijke beoordeling uit tegen de zes componenten hierboven. Als u niet met zekerheid "ja, alle zes, met bewijs" kunt zeggen, heeft u werk te verzetten.
Is de in-house route ooit de juiste? Ja — als IT en security daadwerkelijk kernactiviteit zijn van uw product (gereguleerde industrieën, security-as-product-bedrijven, zeer grote engineering-organisaties). Voor de meeste SaaS-bedrijven tussen 50 en 100 medewerkers pleit de rekensom voor een sterke partner.
De kern van de zaak
Bij 50–100 medewerkers heeft ad-hoc IT u al iets gekost — u heeft alleen wellicht nog niet de data om dat te bewijzen. Vastgelopen deals, trage onboarding, security-hiaten die elke auditor direct zou vinden, een managementteam zonder verdedigbaar antwoord op basale toegangsvragen.
De zes componenten hierboven bouwen is niet optioneel. De enige vraag is of u ze bouwt met interne hires, een externe partner, of een hybride van beide. Het antwoord hangt af van de vraag of IT een kerncompetentie van uw bedrijf wordt.
Voor de meeste SaaS-bedrijven is dat niet zo. En dat is precies het punt.
"Gemiddeld is niet goed genoeg voor enterprise procurement. En gemiddeld is waar u in deze fase staat als u de basis niet heeft gebouwd."
Volgende stap
Kijk of uw huidige setup aan de norm voldoet.
Begin met The Clarity Assessment — wij brengen uw IT- en security-positie in 2 weken in kaart.