Hoeveel leveranciers moeten we beoordelen?

Focus eerst op kritieke en hoog-risico leveranciers - typisch 10-20 voor de meeste KMO's. Dit zijn leveranciers met toegang tot gevoelige data of kritieke systemen. Voor laagrisico-leveranciers (kantoorbenodigdheden, basisdiensten) is een lichte aanpak of geen beoordeling passend.

Wat als een leverancier weigert onze vragenlijst in te vullen?

Dit is een rode vlag. Vraag of ze certificeringen of auditrapporten hebben die ze kunnen delen. Als ze elke beoordeling weigeren, overweeg of je hun toegang kunt beperken of een alternatieve leverancier kunt vinden. Voor kritieke leveranciers moet security-beoordeling een vereiste zijn.

Hoe vaak moeten we leveranciers herbeoordelen?

Kritieke leveranciers: jaarlijks. Hoog-risico leveranciers: elke 1-2 jaar. Standaard leveranciers: bij contractverlenging of elke 3 jaar. Herbeoordeel ook wanneer de leverancier een security-incident heeft, van eigenaar wisselt, of wanneer je de scope van data/toegang die ze hebben wijzigt.

Hebben we een formeel leverancierssecurity-beleid nodig?

Voor NIS2-compliance, ja. Je hebt gedocumenteerde vereisten nodig voor supply chain security. Zelfs zonder compliance-vereisten helpt een eenvoudig beleid om consistentie te waarborgen. Het kan een enkele pagina zijn met je beoordelingscriteria en contractvereisten.

Hoe zit het met kleine leveranciers zonder certificeringen?

Veel KMO-leveranciers zullen geen formele certificeringen hebben. Gebruik vragenlijsten om hun daadwerkelijke praktijken te begrijpen. Focus op kerncontroles: gebruiken ze MFA? Versleutelen ze data? Hebben ze backups? Een kleine leverancier met goede praktijken kan lager risico zijn dan een grote met een slechte security-cultuur.

Leveranciers Beoordelen op Security

Waarom Leverancierssecurity Belangrijk Is

Supply chain-aanvallen komen steeds vaker voor omdat:

Makkelijker toegangspunt

Aanvallers richten zich op minder beveiligde leveranciers om hun echte doelwit te bereiken

Vertrouwde toegang

Leveranciers hebben vaak geprivilegieerde toegang tot je systemen en data

Gedeelde verantwoordelijkheid

Je bent nog steeds aansprakelijk voor inbreuken door je leveranciers onder GDPR

NIS2-vereiste

Supply chain security is expliciet vereist voor compliance

Verzekeringseisen

Cyberverzekeraars vragen steeds vaker naar third-party risicobeheer

Bedrijfscontinuiteit

Een leveranciersinbreuk kan je operaties verstoren zonder directe aanval

Recente Supply Chain-inbreuken

Deze echte incidenten tonen waarom supply chain security belangrijk is:

Ledger Crypto Wallet (2024)

Wat gebeurde: Aanvallers compromitteerden het npm-account van een ex-medewerker om kwaadaardige code te injecteren in Ledger's JavaScript-library gebruikt door cryptocurrency-apps.

Impact: Getroffen dApps konden gebruikerswallets leegtrekken. Geschat $600K gestolen voor detectie.

Les: Monitor third-party code-afhankelijkheden. Accounts van ex-medewerkers moeten direct worden ingetrokken.

Clop Ransomware - Oracle Zero-Day (2025)

Wat gebeurde: Clop misbruikte een zero-day kwetsbaarheid in Oracle-software om organisaties aan te vallen via hun managed file transfer systemen.

Impact: Honderden organisaties getroffen. Aanvallers exfiltreerden data zonder ransomware te implementeren.

Les: Patch kritieke vendor-software onmiddellijk. Monitor security-bulletins van leveranciers. Heb incident response plannen voor leveranciersinbreuken.

ESA Datalek (2025)

Wat gebeurde: European Space Agency leed een inbreuk via een externe contractor, waarbij gevoelige programma-data werd blootgesteld.

Impact: Vertrouwelijke ruimtevaartprogramma-data mogelijk blootgesteld. Onderzoek loopt in meerdere landen.

Les: Pas dezelfde security-standaarden toe op contractors als interne systemen. Segmenteer contractor-toegang.

Under Armour / MyFitnessPal (2024)

Wat gebeurde: Inbreuk stelde 72 miljoen klantrecords bloot via gecompromitteerde third-party dataverwerking.

Impact: Massale blootstelling van klantdata inclusief e-mails, gebruikersnamen en gehashte wachtwoorden.

Les: Audit dataverwerkers grondig. Minimaliseer data gedeeld met derden.

Het 5-Stappen Leverancierssecurity Proces

Volg dit praktische proces om leverancierssecurity te beoordelen en beheren:

Stap 1: Inventariseer Je Leveranciers

Voordat je risico's kunt beoordelen, moet je weten wie je leveranciers zijn en welke toegang ze hebben:

Maak een lijst van alle vendors, contractors en dienstverleners
Documenteer tot welke data elke leverancier toegang heeft
Identificeer welke leveranciers systeemtoegang hebben (remote, VPN, admin)
Noteer onderaannemers die je leveranciers gebruiken (fourth-party risico)
Leg vast welke bedrijfsfunctie elke leverancier ondersteunt
Neem cloud services, SaaS-tools en IT-providers mee

Tip: Begin met leveranciers die toegang hebben tot gevoelige data of kritieke systemen. Je kunt later uitbreiden.

Stap 2: Categoriseer op Risiconiveau

Niet alle leveranciers hebben hetzelfde niveau van controle nodig. Categoriseer op basis van toegang en impact:

Kritiek: Toegang tot gevoelige data of kritieke systemen (bijv. cloudprovider, payroll, ERP)
Hoog: Verwerken persoonsgegevens of hebben netwerktoegang (bijv. HR-software, IT-support)
Standaard: Beperkte toegang, geen gevoelige data (bijv. kantoorbenodigdheden, schoonmaak)
Overweeg datagevoeligheid: klantdata, financiele info, IP
Overweeg toegangsniveau: admin-rechten, remote toegang, fysieke toegang
Overweeg bedrijfsimpact: wat gebeurt er als ze gecompromitteerd worden?

Tip: Focus 80% van je inspanning op de top 20% leveranciers qua risico. Verspil geen tijd aan laagrisico-vendors.

Stap 3: Stuur Securityvragenlijsten

Voor Kritieke en Hoog-risico leveranciers, verzamel security-informatie:

Hebben ze security-certificeringen? (ISO 27001, SOC 2, CyberFundamentals)
Hebben ze een securitybeleid en incident response plan?
Hoe beschermen ze data at rest en in transit?
Welke toegangscontroles gebruiken ze? (MFA, least privilege)
Voeren ze security-awareness training uit voor medewerkers?
Wanneer was hun laatste security-assessment of pentest?
Hebben ze een cyberverzekering?

Tip: Voor gecertificeerde leveranciers kun je vaak vertrouwen op hun certificering in plaats van gedetailleerde vragenlijsten.

Stap 4: Stel Contractvereisten Op

Formaliseer security-verwachtingen in je contracten:

Verwerkersovereenkomst (DPA) voor elke leverancier die persoonsgegevens verwerkt
Inbreukmelding-clausule: melding binnen 24-48 uur
Auditrecht: mogelijkheid om hun security op verzoek te beoordelen
Security-standaarden: minimumvereisten die ze moeten handhaven
Onderaannemer-goedkeuring: vereist melding van onderaannemers
Aansprakelijkheid en vrijwaring voor security-incidenten
Beeindigingsrechten: mogelijkheid om te stoppen als security-standaarden niet worden gehaald

Tip: Begin met nieuwe contracten. Heronderhandelen van bestaande contracten kan bij verlenging.

Stap 5: Implementeer Doorlopende Monitoring

Leverancierssecurity is niet eenmalig. Stel doorlopend toezicht in:

Jaarlijkse review voor kritieke leveranciers, elke 2-3 jaar voor standaard
Monitor security-nieuws over je leveranciers
Volg certificeringsvernieuwingen en vervaldatums
Neem leveranciers op in je incident response plan
Stel een communicatiekanaal in voor security-issues
Beoordeel toegang regelmatig - trek in wanneer niet meer nodig
Update risicocategorisatie als relaties veranderen

Tip: Stel agenda-herinneringen in voor leveranciersreviews. Het is makkelijk te vergeten als alles soepel loopt.

Voorbeeld Securityvragenlijst

Gebruik deze kernvragen om de security-houding van leveranciers te beoordelen:

Governance & Compliance

Heeft u een dedicated informatiebeveiliging-rol of team?
Welke security-certificeringen heeft u? (ISO 27001, SOC 2, CyberFundamentals)
Heeft u een gedocumenteerd informatiebeveiligingsbeleid?
Wanneer was uw laatste externe security-audit?

Technische Controles

Vereist u multi-factor authenticatie voor alle gebruikers?
Hoe versleutelt u data at rest en in transit?
Heeft u endpoint protection (EDR/antivirus) op alle apparaten?
Hoe beheert en patcht u kwetsbaarheden?

Toegang & Data

Hoe implementeert u least privilege-toegang?
Wat is uw uitdiensttreding-proces voor toegangsintrekking?
Waar wordt onze data opgeslagen en verwerkt (geografische locatie)?
Gebruikt u onderaannemers die toegang krijgen tot onze data?

Incident Response

Heeft u een gedocumenteerd incident response plan?
Wat is uw inbreukmeldingstermijn?
Heeft u security-incidenten gehad in de afgelopen 3 jaar?
Heeft u een cyberverzekering?

Belangrijke Certificeringen om naar te Zoeken

Deze certificeringen geven zekerheid over de security-volwassenheid van een leverancier:

ISO 27001

Internationale standaard voor informatiebeveiligingsbeheersystemen (ISMS)

Best voor: Elke leverancier die gevoelige data verwerkt of significante toegang heeft

SOC 2

Service Organization Controls gericht op security, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy

Best voor: Cloud services, SaaS-providers, datacenters

CyberFundamentals

Belgisch CCB-framework met Basic, Important en Essential niveaus

Best voor: Belgische leveranciers, vooral KMO's

ISAE 3402

Assurance over service-organisatie controles (vaak gecombineerd met SOC 2)

Best voor: Financiele dienstverleners, geauditeerde omgevingen

Essentiele Contract Security-Clausules

Neem deze security-bepalingen op in leverancierscontracten:

Verwerkersovereenkomst (DPA)

Vereist onder GDPR voor elke leverancier die persoonsgegevens verwerkt. Definieert rollen, doeleinden en beveiligingsmaatregelen.

Artikel 28 GDPR-conforme DPA met gespecificeerde technische en organisatorische maatregelen

Inbreukmelding

Leverancier moet u direct informeren over elk security-incident dat uw data treft.

"Leverancier zal Klant binnen 24 uur informeren na ontdekking van een security-incident..."

Security-Standaarden

Minimum security-controles die de leverancier moet handhaven.

"Leverancier zal ISO 27001-certificering of gelijkwaardige security-controles handhaven..."

Auditrechten

Uw recht om leverancierssecurity te beoordelen, direct of via een derde partij.

"Klant mag jaarlijks de security-controles van Leverancier auditen met 30 dagen kennisgeving..."

Onderaannemer-Goedkeuring

Controle over wie anders uw data verwerkt.

"Leverancier zal geen onderaannemers inschakelen zonder voorafgaande schriftelijke toestemming van Klant..."

Beeindiging bij Inbreuk

Recht om te beindigen als security-standaarden niet worden gehaald.

"Klant mag onmiddellijk beindigen bij materiele security-inbreuk..."

Leveranciers Risicobeoordeling Matrix

Gebruik deze matrix om te bepalen welke beoordelingsdiepte nodig is voor elke leverancier:

Toegangsniveau / Datagevoeligheid	Laag	Midden	Hoog
Hoog	Hoog	Kritiek	Kritiek
Midden	Standaard	Hoog	Kritiek
Laag	Minimaal	Standaard	Hoog

Veelvoorkomende Fouten om te Vermijden

Alle leveranciers hetzelfde behandelen

Fix: Risicogebaseerde aanpak: focus inspanning op kritieke leveranciers, stroomlijn voor laagrisico

Alleen eenmalige beoordeling

Fix: Jaarlijkse reviews voor kritieke leveranciers, volg certificeringsvervaldatums

Vragenlijst-antwoorden op face value accepteren

Fix: Vraag bewijs: certificaten, auditrapporten, beleidsdocumenten

Fourth-party risico negeren

Fix: Vraag naar onderaannemers en hun security-praktijken

Geen security-clausules in contracten

Fix: Voeg security-vereisten toe aan alle nieuwe contracten, heronderhandel bij verlenging

Voorbeeld: Leveranciers Risicoregister

Hier zie je hoe een typische leveranciers-risicobeoordeling eruitziet:

Leverancier	Type	Toegang	Risico	Certificering	Status
CloudCorp ERP	ERP/Boekhouding	Financiele data, facturen	Kritiek	ISO 27001, SOC 2	Compliant
IT Support Partner	Managed IT	Admin-rechten, alle systemen	Kritiek	CyberFundamentals Important	Review verschuldigd
HR Software	SaaS	Werknemersdata, payroll	Hoog	ISO 27001	Compliant
Marketing Bureau	Dienst	Website CMS, analytics	Standaard	Geen	Vragenlijst verstuurd

Stroomlijn Leverancierssecurity Beheer

Easy Cyber Protection helpt je leveranciersbeoordelingen te volgen, vragenlijsten te beheren en je leveranciers-risicoregister te onderhouden. Blijf op de hoogte van third-party risico zonder spreadsheet-chaos.