Wat is een risicobeoordeling van derde partijen?

Een risicobeoordeling van derde partijen is een gestructureerd proces voor het evalueren van de informatiebeveiliging, compliance, financiële stabiliteit en operationele weerbaarheid van leveranciers — vóór de samenwerking begint en op regelmatige intervallen tijdens de relatie. Het combineert vragenlijstgebaseerde zelfbeoordeling, documentonderzoek (certificeringen, auditrapporten, penetratietestresultaten) en risicoscoring om tot een formele beslissing te komen: goedkeuring, voorwaardelijke goedkeuring of afwijzing.

Hoe lang duurt een risicobeoordeling van derde partijen?

De duur hangt af van het leveranciersniveau. Een volledige beoordeling van niveau 1 (kritieke leveranciers) duurt doorgaans 2 tot 4 weken: 1 week voor het invullen van de vragenlijst, 1 tot 2 weken voor documentonderzoek en opvragen van aanvullende informatie, en 1 week voor scoring en goedkeuring. Een standaardbeoordeling van niveau 2 duurt 1 tot 2 weken. Een lichte beoordeling van niveau 3 kan in 1 tot 3 dagen worden afgerond. Automatiseringstools reduceren deze doorlooptijden met 60 tot 80 procent.

Wat moet een leveranciersrisicobeoordeling omvatten?

Een volledige beoordeling moet de volgende domeinen omvatten: (1) Informatiebeveiligingsmaatregelen — toegangsbeheer, encryptie, patchbeheer, incidentrespons; (2) Compliance en certificeringen — ISO 27001, SOC 2 Type II, AVG, NIS2/DORA-status; (3) Gegevensverwerking — gegevenslocatie, subverwerkers, bewaring en verwijdering; (4) Bedrijfscontinuïteit — herstel na rampen, RTO/RPO, SLA-garanties; (5) Financiële stabiliteit — verzekering, bedrijfslevensvatbaarheid, sleutelpersoonrisico's; (6) Subverwerkerrisico — hoe de leverancier zijn eigen toeleveringsketen beheert.

Is een risicobeoordeling van derde partijen wettelijk verplicht?

Ja, voor veel organisaties. NIS2 Artikel 21(2)(d) vereist risicobeheersmaatregelen voor de beveiliging van de toeleveringsketen, inclusief de beoordeling van relaties met derden. DORA Artikelen 28 tot 30 verplichten financiële entiteiten tot het uitvoeren van risicobeoordelingen vóór het gebruik van ICT-diensten. ISO 27001:2022 Bijlage A Beheersmaatregelen 5.19 tot 5.21 vereisen leveranciersbeveiligingsbeheer. AVG Artikel 28 verplicht tot leveranciersbeoordeling bij de verwerking van persoonsgegevens.

Hoe scoor je leveranciersrisico?

Leveranciersrisicoscoring gebruikt een twee-assen-matrix: inherent risico (gebaseerd op gegevensgevoeligheid, -volume, systeemtoegangsniveau en servicekritikaliteit) en effectiviteit van beheersmaatregelen (gebaseerd op gehouden certificeringen, beoordeelde auditrapporten en onafhankelijke verificatie). Inherent risico × beheersmaatregelgebreken = restrisico. Het restrisico bepaalt de goedkeuringsbeslissing: Laag = automatische goedkeuring, Gemiddeld = voorwaardelijke goedkeuring, Hoog = directiegoedkeuring vereist, Kritiek = afwijzing of saneringsplan vereist.

Risicobeoordeling van derde partijen: praktische gids + gratis sjabloon (2026)

2026-03-23

By Orbiq Team

Risicobeoordeling van derde partijen: praktische gids + gratis sjabloon (2026)

Hoe u stap voor stap een risicobeoordeling van externe leveranciers uitvoert. Behandelt wat te beoordelen, hoe risico te scoren, NIS2- en DORA-vereisten en een gratis beoordelingssjabloon.

leveranciersrisico

derden-risico

risicobeoordeling

nis2

dora

iso-27001

Risicobeoordeling van derde partijen: praktische gids + gratis sjabloon (2026)

Een risicobeoordeling van derde partijen is het gestructureerde proces dat bepaalt of een leverancier vertrouwd kan worden met uw gegevens, systemen of diensten — en welke beheersmaatregelen moeten worden geverifieerd voordat het contract wordt ondertekend. Deze gids legt uit hoe u een beoordeling van begin tot eind uitvoert, wat u in elke fase moet controleren en hoe u risico's consistent beoordeelt over uw volledige leveranciersportfolio.

Het framework sluit aan op ISO 27001:2022 (Bijlage A 5.19–5.21), NIS2 Artikel 21(2)(d) en DORA Artikelen 28–30.

Waarom risicobeoordelingen van derde partijen belangrijk zijn

Uw beveiligingshouding is slechts zo sterk als uw zwakste leverancier. Volgens het Verizon Data Breach Investigations Report 2024 was 15 procent van alle datalekken gerelateerd aan een derde partij — en incidenten bij derden groeien sneller dan directe aanvallen. Toezichthouders hebben gereageerd.

Het kernprobleem: de meeste organisaties behandelen leveranciersbeoordelingen nog steeds als eenmalige gebeurtenissen bij onboarding, bewaren de resultaten en bekijken ze nooit opnieuw. Een leverancier die een beoordeling uit 2022 heeft doorstaan, kan er in 2026 heel anders uitzien — met nieuwe subverwerkers, andere eigenaren of infrastructuur met bekende kwetsbaarheden.

Een effectieve risicobeoordeling van derde partijen is:

Proportioneel — kritieke leveranciers krijgen volledige beoordelingen; leveranciers met laag risico ontvangen lichte checklists
Bewijsgestuurd — certificeringen en auditrapporten, niet alleen vragenlijstantwoorden
Continu — doorlopende monitoring, geen eenmalige momentopnames
Gedocumenteerd — auditors en toezichthouders verwachten schriftelijke bewijsstukken

Stap 1: Leverancier classificeren vóór de beoordeling

Bepaal vóór het toepassen van een sjabloon hoe diepgaand een beoordeling gerechtvaardigd is. Dezelfde vragenlijst van 80 vragen sturen naar zowel de onderhoudsleverancier van de koffiemachine als de cloud-infrastructuurleverancier verspilt aan beide kanten tijd.

Inherente risicofactoren

Beoordeel elke factor op een schaal van 1 tot 4 (Laag / Gemiddeld / Hoog / Kritiek):

Factor	Laag (1)	Gemiddeld (2)	Hoog (3)	Kritiek (4)
Gegevensgevoeligheid	Alleen openbare gegevens	Interne gegevens	Vertrouwelijke/persoonsgegevens	Bijzondere categorieën / gereguleerde gegevens
Gegevensvolume	Geen	Beperkt	Gematigd	Grootschalig
Systeemtoegang	Geen toegang	Alleen-lezen toegang	Schrijftoegang	Admin / bevoorrechte toegang
Servicekritikaliteit	Bijkomend	Operationele ondersteuning	Bedrijfsbelangrijk	Bedrijfskritiek

Niveautoewijzing op basis van totaalscore:

4–7: Niveau 3 — lichte beoordeling (20 tot 30 punten checklist)
8–11: Niveau 2 — standaardbeoordeling (40 tot 60 vragen + documentonderzoek)
12–16: Niveau 1 — volledige beoordeling (80+ vragen + documentonderzoek + bezoek ter plaatse of externe audit)

Stap 2: Beoordelingsvragenlijst versturen

De vragenlijst legt de zelfgerapporteerde beheersmaatregelen van de leverancier vast. Het is één input voor de beoordeling — niet de beoordeling zelf.

Kernonderdelen van de vragenlijst

Domein 1: Informatiebeveiligingsmaatregelen

Heeft u een gedocumenteerd informatiebeveiligingsbeleid dat in de afgelopen 12 maanden is beoordeeld?
Welke toegangscontrolemechanismen zijn er voor systemen die onze gegevens verwerken?
Beschrijf uw encryptiestandaarden voor gegevens in rust en in transit.
Hoe worden bevoorrechte accounts beheerd en gemonitord?
Wat is uw patchbeheercyclus voor kritieke kwetsbaarheden?
Beschrijf uw mogelijkheden voor detectie en respons bij incidenten.
Voert u penetratietesten uit? Hoe vaak en door wie?

Domein 2: Compliance en certificeringen

Welke certificeringen houdt u momenteel? (ISO 27001, SOC 2 Type II, ISO 27701, PCI-DSS, enz.)
Verstrek het meest recente certificaat met geldigheidsdatums.
Bent u onderworpen aan NIS2- of DORA-vereisten? Wat is uw compliancestatus?
Wanneer was uw laatste externe audit? Verstrek een samenvatting of managementrapport.

Domein 3: Gegevensverwerking en privacy

In welke landen worden onze gegevens opgeslagen en verwerkt?
Verstrek een volledige lijst van subverwerkers die toegang hebben tot onze gegevens.
Wat zijn uw procedures voor gegevensbewaring en -verwijdering?
Beschrijf uw proces en tijdlijn voor het melden van datalekken.
Voert u DPIA's uit voor risicovolle verwerkingsactiviteiten?

Domein 4: Bedrijfscontinuïteit

Wat is uw Hersteltijddoelstelling (RTO) bij een volledige service-uitval?
Wat is uw Herstelpuntdoelstelling (RPO)?
Wanneer was uw laatste BCP/DR-test? Verstrek een resultaatsamenvatting.
Heeft u geografische redundantie voor systemen die onze gegevens verwerken?

Domein 5: Financiële en operationele stabiliteit

Verstrek uw meest recente gecontroleerde jaarrekening of gelijkwaardig bewijs.
Heeft u een cyberverzekering? Wat is het verzekerd bedrag?
Beschrijf sleutelpersoonafhankelijkheden in uw beveiligingsfunctie.

Domein 6: Subverwerkers en toeleveringsketenrisico

Maak een lijst van alle subverwerkers met toegang tot onze gegevens of systemen.
Beschrijf hoe u uw eigen subverwerkers beoordeelt en monitort.
Heeft u een auditrechtsclausule in subverwerkerovereenkomsten?

Stap 3: Bewijsdocumenten beoordelen

Vragenlijstantwoorden vereisen verificatie. Een leverancier die ISO 27001-certificering claimt zonder het certificaat te verstrekken, biedt geen basis voor een risicobeslissing. Vraag deze documenten op en beoordeel ze:

Claim	Vereist bewijs
ISO 27001 gecertificeerd	Geldig certificaat van geaccrediteerde instelling (verloop + toepassingsgebied verifiëren)
SOC 2 Type II	Volledig SOC 2-rapport (niet alleen de samenvattingsbrief)

Penetratietest uitgevoerd | Managementsamenvatting van onafhankelijke tester + remediatielogboek | | AVG-conform | DPA-sjabloon, subverwerkerlijst, doorgifte mechanisme | | BCP/DR getest | Testrapport met datum, scenario en resultaten | | Financieel stabiel | Jaarverslag of gecontroleerde jaarrekening (recent) |

Waarschuwingssignalen bij documentonderzoek:

ISO 27001-certificaattoepassingsgebied sluit systemen uit die uw gegevens zullen verwerken
SOC 2-rapport is Type I (niet Type II) — test alleen ontwerp, niet operationele effectiviteit
Penetratietest werd meer dan 18 maanden geleden uitgevoerd zonder follow-up
Certificaat is van een onbekende of niet-geaccrediteerde instelling
Subverwerkerlijst is onvolledig of niet beschikbaar ("vertrouwelijk")

Stap 4: Risico scoren

Combineer het inherente risico (Stap 1) met de effectiviteit van beheersmaatregelen om het restrisico te berekenen.

Beoordeling van effectiviteit van beheersmaatregelen

Na beoordeling van vragenlijstantwoorden en documenten, beoordeelt u de beheersmaatregelen van de leverancier:

Sterk — gecertificeerd, recent geauditeerd, bewijs stemt overeen met claims, geen materiële bevindingen
Adequaat — gecertificeerd of geauditeerd, kleine lacunes geïdentificeerd, saneringsplan aanwezig
Zwak — alleen zelfgerapporteerd, lacunes geïdentificeerd, geen bewijs van sanering
Onvoldoende — geen certificeringen, auditrapport niet beschikbaar, significante lacunes

Restrisicomatrix

Inherent risico	Sterke maatregelen	Adequate maatregelen	Zwakke maatregelen	Onvoldoende maatregelen
Laag	Laag	Laag	Gemiddeld	Gemiddeld
Gemiddeld	Laag	Gemiddeld	Gemiddeld	Hoog
Hoog	Gemiddeld	Hoog	Hoog	Kritiek
Kritiek	Hoog	Hoog	Kritiek	Kritiek

Beslissing op basis van restrisico

Restrisico	Beslissing	Vereisten
Laag	Automatische goedkeuring	Standaardcontract + verwerkersovereenkomst
Gemiddeld	Voorwaardelijke goedkeuring	Aanvullende contractclausules, saneringstijdlijn
Hoog	Directiegoedkeuring vereist	Risicoaanvaarding ondertekend + versterkte monitoring
Kritiek	Afwijzing of escalatie	Leverancier moet saneren vóór goedkeuring of alternatief zoeken

Stap 5: Beoordeling documenteren

Elke beoordeling moet een schriftelijk bewijs produceren. Toezichthouders onder NIS2 en DORA vereisen dat organisaties hun beheer van toeleveringsketenrisico's aantonen — wat documentatie betekent, niet alleen goede bedoelingen.

Het beoordelingsdossier moet bevatten:

Naam leverancier, classificatie en dienstentoepassingsgebied
Beoordelingsdatum en beoordelaar
Gebruikte vragenlijstversie
Beoordeelde bewijsdocumenten (met datums)
Risicoscores: inherent risico, effectiviteit van beheersmaatregelen, restrisico
Goedkeuringsbeslissing en naam van de goedkeurder
Voorwaarden, saneringsverplichtingen of risicoaanvaardingen
Datum van de volgende geplande herbeoordeling

Bewaar beoordelingen in een gecentraliseerd systeem toegankelijk voor uw compliance- en juridisch team — niet in individuele e-mailthreads of spreadsheets.

NIS2 en DORA vereisten voor beoordelingen van derde partijen

NIS2 (Artikel 21(2)(d))

NIS2-betreffende organisaties moeten risicobeheersmaatregelen implementeren voor de beveiliging van de toeleveringsketen:

Beoordeling vóór engagement — gedocumenteerd vóór het onboarden van kritieke leveranciers
Contractuele beveiligingsvereisten — minimale beveiligingsnormen moeten in contracten worden opgenomen
Doorlopende monitoring — niet alleen eenmalig; continue monitoring van kritieke leveranciers
Incidentmelding — leveranciers moeten u informeren over relevante beveiligingsincidenten

Het NCSC-NL en de bevoegde NIS2-autoriteiten verwachten dat organisaties een gedocumenteerd leveranciersinventaris bijhouden met risicoklassificaties.

DORA (Artikelen 28–30)

Financiële entiteiten onder DORA staan voor strengere vereisten voor ICT-risicobeheersing van derden:

Risicoanalyse vóór contractering vereist voor alle ICT-dienstverleners
Concentratierisicobeoordeling — evalueren of u te afhankelijk bent van één enkele leverancier
Exitstrategie — documenteren hoe u de relatie zou kunnen beëindigen als de leverancier uitvalt
Auditrecht — contracten moeten auditrechten bevatten voor de entiteit en toezichthouders
Kritieke ICT-dienstverleners — versterkte zorgvuldigheid en meldingsverplichtingen aan EBA/ESA

De DNB en AFM houden toezicht op de naleving van DORA voor Nederlandse financiële entiteiten.

Doorlopende monitoring na de beoordeling

Goedkeuring is niet het einde van het proces — het is het begin. Leveranciersrisico verandert continu.

Monitoringactiviteiten per leveranciersniveau:

Activiteit	Niveau 1 (Kritiek)	Niveau 2 (Standaard)	Niveau 3 (Laag risico)
Herbeoordeling	Jaarlijks	18 tot 24 maanden	3 jaar of contractverlenging
Certificaatmonitoring	Continu	Bij verlenging	Bij verlenging
Beveiligingsnieuws	Continu	Kwartaal	Indien nodig
Incidentmelding	Elk incident	Materiële incidenten	Alleen kritieke incidenten
Subverwerkerwijziging	Alle wijzigingen	Materiële wijzigingen	Niet vereist

Triggerende gebeurtenissen die onmiddellijke herbeoordeling vereisen, ongeacht het schema:

Leverancier meldt een beveiligingsincident dat uw gegevens betreft
Leverancier wordt overgenomen door een nieuwe eigenaar
Significante wijziging in de diensten of infrastructuur in het toepassingsgebied
Leverancier verliest een belangrijke certificering
Mediaberichten over een datalek, financiële problemen of regelgevingsacties

Veelgemaakte fouten vermijden

Vragenlijst behandelen als beoordeling. Een vragenlijst legt vast wat de leverancier beweert. Zonder documentonderzoek en onafhankelijke verificatie heeft u geen basis voor een risicobeslissing.

Eén niveau toepassen op alle leveranciers. Te uitgebreide beoordeling van leveranciers met laag risico verspilt tijd en vermindert de medewerking van leveranciers. Te oppervlakkige beoordeling van kritieke leveranciers creëert blinde vlekken.

Subverwerkeronderzoek overslaan. Uw risico stopt niet bij uw directe leverancier. Als zij subverwerkers met zwakkere beheersmaatregelen gebruiken, wordt dat uw risico.

Goedkeuren zonder voorwaarden. Leveranciers met gemiddeld en hoog restrisico kunnen worden goedgekeurd — maar alleen met gedocumenteerde voorwaarden: saneringstijdlijnen, aanvullende contractclausules of extra monitoring.

Geen herbeoordelingstrigger. Schema-gebaseerde herbeoordelingen alleen missen de gevaarlijkste momenten: na overnames, na incidenten en na toepassingsgebiedwijzigingen.

Checklist voor risicobeoordeling van derde partijen

Gebruik deze samenvattende checklist als beoordelingsdossier. Voor de volledige vragenlijst van 80 vragen per domein, zie het Leveranciersrisicobeoordeling Sjabloon.

Vóór de beoordeling

Leverancier geclassificeerd (Niveau 1 / 2 / 3)
Inherent risico gescoord (gegevensgevoeligheid, volume, toegang, kritikaliteit)
Beoordelingsniveau bevestigd met risico-eigenaar

Vragenlijst en documentonderzoek

Vragenlijst verstuurd en ontvangen
ISO 27001 / SOC 2-certificaat beoordeeld (toepassingsgebied en verloop geverifieerd)
Penetratietestrapport beoordeeld (datum + remediatiestatus)
Subverwerkerlijst ontvangen
Verwerkersovereenkomst beoordeeld (gegevenslocatie, bewaring, verwijdering)
BCP/DR-testrapport beoordeeld
Bewijs financiële stabiliteit ontvangen

Scoring en beslissing

Effectiviteit van beheersmaatregelen beoordeeld (Sterk / Adequaat / Zwak / Onvoldoende)
Restrisico berekend
Goedkeuringsbeslissing gedocumenteerd
Voorwaarden of saneringsverplichtingen vastgelegd
Risicoaanvaarding ondertekend (bij hoog restrisico)
Beoordelingsdossier opgeslagen in leveranciersregister

Na goedkeuring

Verwerkersovereenkomst en beveiligingscontractclausules ondertekend
Monitoringfrequentie vastgesteld
Datum volgende herbeoordeling ingepland
Incidentmeldingsproces bevestigd met leverancier

Hoe Orbiq leveranciersrisicobeoordelingen automatiseert

Dit proces handmatig uitvoeren voor tientallen of honderden leveranciers creëert knelpunten. Beveiligingsteams besteden weken aan het najagen van vragenlijstantwoorden, het beheren van documentversies via e-mail en het bouwen van risicoscores in spreadsheets.

Het Vendor Assurance Platform van Orbiq automatiseert de gehele workflow:

Geautomatiseerde distributie van vragenlijsten — beoordelingspakketten in minuten naar leveranciers versturen
AI-gestuurde antwoordanalyse — lacunes en inconsistenties markeren zonder handmatige beoordeling
Certificaatmonitoring — gewaarschuwd worden als leverancierscertificaten bijna verlopen
Gecentraliseerd risicoregister — alle beoordelingen, scores en beslissingen op één plek
Auditklare documentatie — NIS2- en DORA-conforme registraties automatisch gegenereerd

Voor organisaties die meer dan 20 leveranciers beheren, verlaagt automatisering de beoordelingscyclustijd met 60 tot 80 procent en elimineert het het compliancerisico van op papier gebaseerde processen.

Verder lezen: