Enterprise-klanten binnenhalen als SaaS-startup: zo kom je door inkoop en security
Je eerste enterprise-lead voelt als de doorbraak, tot je ontdekt dat de champion die je product wil maar één van de vijf partijen is die ja moeten zeggen. Inkoop, legal en security bepalen of de deal er komt. Deze gids beschrijft hoe je als startup door dat proces komt zonder je team er maanden in te verliezen.
Enterprise-deals werken fundamenteel anders dan self-serve of mkb-sales. De gebruiker die enthousiast is over je product beslist niet over het budget. Na de inhoudelijke ja volgen inkoop (prijs en voorwaarden), legal (aansprakelijkheid, data, exit) en security (kan deze leverancier ons in de problemen brengen?). Elk van die stations kan maanden duren en elk kan de deal alsnog stoppen.
De belangrijkste mentale omschakeling: dit proces is geen wantrouwen jegens jou, het is risicomanagement van de klant. Wie dat begrijpt, stopt met vechten tegen het proces en gaat het faciliteren, en dat is precies wat je onderscheidt van andere startups in dezelfde funnel.
De security questionnaire overleven
Vrijwel elke enterprise stuurt een security questionnaire: tientallen tot honderden vragen over toegangsbeheer, encryptie, incidentproces, sub-verwerkers en continuïteit. De eerste keer kost dagen; daarna wordt het herhaalbaar als je het goed aanpakt.
Bouw een intern antwoordendocument op waarin je elke eerder beantwoorde vraag opslaat, en maak een trust-pagina of securitypakket dat je proactief meestuurt: architectuurschets, sub-verwerkerslijst, certificeringen of de roadmap ernaartoe, en je incidentproces. Wees eerlijk over wat je nog niet hebt; 'gepland voor Q1, dit is de tussenoplossing' wint het van vage antwoorden die bij doorvragen instorten. Reviewers herkennen bluf en straffen die harder af dan een gat met een plan.
Wat je minimaal op orde moet hebben
Zonder deze basis begin je er niet aan: SSO of ten minste MFA, rolgebaseerd toegangsbeheer, encryptie in rust en transit, gescheiden omgevingen, geteste backups, een beschreven incidentproces met meldtermijnen, een verwerkersovereenkomst met sub-verwerkerslijst, en een aanspreekbaar securitybeleid. Een ISO 27001-certificaat of SOC 2-rapport is een enorme versneller, maar een geloofwaardig traject ernaartoe opent bij veel klanten ook al deuren.
Let ook op de regelgevingslaag: klanten die onder NIS2 vallen, stellen ketenbeveiligingseisen aan hun leveranciers, en wie AI-features levert krijgt vragen over AI Act-classificatie en datagebruik. Antwoorden daarop klaar hebben is inmiddels onderdeel van enterprise-ready zijn.
Pilots, prijs en betaaltermijnen
Structureer een pilot altijd als betaald traject met einddatum, vooraf afgesproken succescriteria en een uitgeschreven vervolgstap naar het jaarcontract. Een gratis pilot zonder einddatum is geen pipeline maar gratis consultancy, en intern verandert er bij de klant niets zolang er geen budgetbeslissing is genomen.
Prijs enterprise-contracten op jaarbasis met vooruitbetaling als uitgangspunt, en bouw ruimte in voor wat inkoop altijd vraagt: korting bij meerjarige commitment en iets extra's in de bundel. Reken op betaaltermijnen van 30 tot 90 dagen na factuur en plan je cashflow daarop; een grote deal die pas over een kwartaal betaalt, kan een klein team in de problemen brengen.
Rode vlaggen: wanneer je een deal laat lopen
Niet elke enterprise-deal is het waard. Loop weg, of herprijs drastisch, bij: onbeperkte aansprakelijkheid in het contract, een eisenpakket aan maatwerk dat je roadmap kaapt, een proces zonder duidelijke sponsor met budget, betaaltermijnen of exit-clausules die je bedrijf in gevaar brengen, en een pilot die telkens verlengd wordt zonder commitment. Eén enterprise-klant die twintig procent van je omzet en tachtig procent van je roadmap opeist, is geen groei maar een overname zonder aandelen.
Laat contracten met afwijkende aansprakelijkheids- of dataclausules altijd door een jurist beoordelen voordat je tekent; dat kost een paar uur advies en voorkomt verplichtingen die jaren doorwerken.
Veelgestelde vragen
Hoe lang duurt een enterprise-salescyclus voor een SaaS-startup?
Reken als vuistregel op enkele maanden tot meer dan een jaar, afhankelijk van dealgrootte, sector en hoe snel je door security en legal komt. De inhoudelijke overtuiging is vaak het snelste deel; inkoop, security review en contractonderhandeling bepalen de doorlooptijd. Standaarddocumentatie klaar hebben is de grootste versneller die je zelf in de hand hebt.
Wat staat er in een security questionnaire?
Meestal vragen over toegangsbeheer en authenticatie, encryptie, hosting en datalocatie, sub-verwerkers, incidentproces en meldtermijnen, backups en continuïteit, personeelsbeleid en certificeringen zoals ISO 27001 of SOC 2. Bouw een intern antwoordendocument op, dan wordt elke volgende questionnaire een kwestie van uren in plaats van dagen.
Moet ik een gratis pilot aanbieden aan enterprise-klanten?
Liever niet. Een betaalde pilot met einddatum, vooraf afgesproken succescriteria en een uitgeschreven vervolgstap dwingt de klant tot een echte interne beslissing en filtert vrijblijvende trajecten eruit. Een gratis pilot zonder structuur kost je team maanden en geeft de klant geen enkele reden om te beslissen.