Wat moet een sjabloon voor leveranciersrisicobeoordeling bevatten?

Een volledig sjabloon moet zes domeinen dekken: (1) Informatiebeveiligingsmaatregelen — toegangsbeheer, versleuteling, kwetsbaarheidsbeheer, incidentrespons; (2) Compliance en certificeringen — ISO 27001, SOC 2, AVG, NIS2/DORA-status; (3) Gegevensverwerking — opslaglocatie, subverwerkers, bewaring en verwijdering; (4) Bedrijfscontinuïteit — herstel na calamiteiten, back-ups, SLA-garanties; (5) Financiële en operationele stabiliteit — verzekering, sleutelpersonenrisico, levensvatbaarheid leverancier; (6) Subverwerkers-risico — lijst van subverwerkers en hun beoordelingsprocessen.

Hoe bereken ik de score van een leveranciersrisicobeoordeling?

De risicoscoring gebruikt een tweedimensionale matrix: het inherente risico (gebaseerd op gegevensgevoeligheid, volume, systeemtoegang en servicekritikaliteit — beoordeeld als Laag/Gemiddeld/Hoog/Kritiek) gecombineerd met de effectiviteit van maatregelen (gebaseerd op certificeringen, auditrapporten en geverifieerde maatregelen — beoordeeld als Sterk/Adequaat/Zwak/Onvoldoende). De combinatie geeft het restrisico.

Is leveranciersrisicobeoordeling verplicht voor ISO 27001?

Ja. ISO 27001:2022 Bijlage A Maatregelen 5.19, 5.20 en 5.21 vereisen dat organisaties informatiebeveiliging in leveranciersrelaties beheren, beveiligingseisen met leveranciers vaststellen en de beveiliging van de ICT-toeleveringsketen beheren. Gedocumenteerde leveranciersrisicobeoordelingen zijn verplicht bewijs voor certificeringsaudits.

Hoe vaak moet een leveranciersrisicobeoordeling worden uitgevoerd?

De frequentie moet risicogebaseerd zijn: kritieke leveranciers jaarlijks (plus continue monitoring), leveranciers met hoog risico elke 12 tot 18 maanden, standaard leveranciers elke 2 jaar, leveranciers met laag risico elke 3 jaar of bij contractverlenging. Herbeoordeling is ook vereist na een beveiligingsincident, een wezenlijke wijziging in diensten of nieuwe wettelijke vereisten.

Leveranciersrisicobeoordeling Sjabloon: Gratis Checklist 2026

2026-03-17

By Orbiq Team

Leveranciersrisicobeoordeling Sjabloon: Gratis Checklist 2026

Q: Wat vereist NIS2 voor leveranciersbeoordeling?

Artikel 21(2)(d) van NIS2 verplicht essentiële en belangrijke entiteiten tot maatregelen voor de beveiliging van de toeleveringsketen, inclusief beoordeling van beveiligingspraktijken en kwetsbaarheden van directe leveranciers. Overtredingen kunnen leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

Gratis sjabloon voor leveranciersrisicobeoordeling met volledige checklist voor beveiliging, compliance, gegevensverwerking en bedrijfscontinuïteit — voor ISO 27001, NIS2 en DORA.

leveranciersrisico

sjabloon

derdenrisico

iso-27001

nis2

dora

Leveranciersrisicobeoordeling Sjabloon: Gratis Checklist 2026

Een leveranciersrisicobeoordeling is het gestructureerde proces waarmee wordt bepaald of een derde partij vertrouwd kan worden met uw gegevens, systemen of diensten — en onder welke voorwaarden. Deze pagina biedt een volledig, direct bruikbaar sjabloon dat alle zes beoordelingsdomeinen, een scoringsraamwerk en toepassingsrichtlijnen omvat.

Het sjabloon is ontworpen om te voldoen aan de vereisten van ISO 27001 (Bijlage A 5.19–5.21), NIS2 (Artikel 21(2)(d)) en DORA (Artikelen 28–30).

Waarom een gestructureerd sjabloon essentieel is

Ad-hoc leveranciersbeoordelingen leveren inconsistente resultaten op: dezelfde leverancier die door twee teamleden wordt beoordeeld, kan totaal verschillende risiconiveaus ontvangen. Een gestandaardiseerd sjabloon zorgt voor:

Consistentie — elke leverancier wordt beoordeeld aan de hand van dezelfde criteria
Verantwoording — gedocumenteerde beoordelingen voldoen aan de eisen van auditors en toezichthouders
Schaalbaarheid — herhaalbare processen kunnen worden gedelegeerd en geautomatiseerd
Vergelijkbaarheid — gestructureerde gegevens maken vergelijking van risicofielen van leveranciers in de tijd mogelijk

Volgens het Bitsight Third-Party Risk Report 2025 monitort slechts een derde van de organisaties alle externe relaties continu op cyberrisico's [1]. De meerderheid vertrouwt op momentopname-beoordelingen — een grondig sjabloon is daarom het absolute minimum.

Voor Nederlandse bedrijven — met name AEX-concerns en middelgrote ondernemingen die onder NIS2 vallen, of financiële instellingen met DORA-verplichtingen — is een gestructureerd beoordelingsproces geen best practice meer, maar een wettelijke verplichting. De Nederlandse inkooprichtlijnen benadrukken ook de noodzaak van risicogebaseerde leveranciersbeoordeling als onderdeel van goed leveranciersmanagement.

Stap 1: Leverancier classificeren

Classificeer de leverancier vóór de eigenlijke beoordeling om de vereiste beoordelingsdiepte te bepalen.

Inherent risicoklassificatie

Factor	Laag	Gemiddeld	Hoog	Kritiek
Gegevensgevoeligheid	Alleen openbare gegevens	Interne gegevens	Vertrouwelijke gegevens	Gereguleerde persoonsgegevens
Gegevensvolume	Minimaal	Matig	Significant	Grootschalige verwerking
Systeemtoegang	Geen directe toegang	Alleen-lezen	Lezen/schrijven	Beheerder/geprivilegieerde toegang
Servicekritikaliteit	Aangenaam-om-te-hebben	Ondersteunend	Belangrijk	Bedrijfskritiek / essentieel
Vervangbaarheid	Makkelijk te vervangen	Enige moeite	Moeilijk	Hoog lock-in risico

Algeheel inherent risiconiveau: Laag / Gemiddeld / Hoog / Kritiek

Beoordelingsniveau

Inherent risico	Beoordelingsniveau	Vereiste secties
Kritiek	Niveau 1 — Volledig	Alle zes secties + onafhankelijke verificatie
Hoog	Niveau 1 — Volledig	Alle zes secties
Gemiddeld	Niveau 2 — Standaard	Secties 1–4
Laag	Niveau 3 — Lichtgewicht	Samenvatting sectie 1 + sectie 2

Het Sjabloon

Sectie 1: Informatiebeveiligingsmaatregelen

Beoordeel elk controlegebied: ✅ Geverifieerd / ⚠️ Gedeeltelijk / zelf bevestigd / ❌ Niet aanwezig / N/A

1.1 Toegangsbeheer

Maatregel	Status	Opmerkingen / Bewijs
Multi-factor authenticatie afgedwongen voor alle accounts
Rolgebaseerde toegangscontrole (RBAC) geïmplementeerd
Beheer van geprivilegieerde toegang (PAM) aanwezig
Toegangsbeoordelingen uitgevoerd (minimaal jaarlijks)
Proces voor in-/overplaatsing/uitdiensttreding gedocumenteerd
Toegang tot klantgegevens beperkt tot need-to-know

1.2 Versleuteling

Maatregel	Status	Opmerkingen / Bewijs
Gegevens in rust versleuteld (AES-256 of gelijkwaardig)
Gegevens in transit versleuteld (TLS 1.2+ afgedwongen)
Sleutelbeheerproces gedocumenteerd
Door klant beheerde versleutelingssleutels beschikbaar

1.3 Kwetsbaarheidsbeheer

Maatregel	Status	Opmerkingen / Bewijs
Regelmatige kwetsbaarheidsscans uitgevoerd
Kritieke patches toegepast binnen gedefinieerde SLA
Penetratietest uitgevoerd in de afgelopen 12 maanden
Penetratietestresultaten en herstelmaatregelen beschikbaar
Responsible disclosure / bug bounty programma

1.4 Incidentrespons

Maatregel	Status	Opmerkingen / Bewijs
Gedocumenteerd incidentresponsplan
SLA voor beveiligingsincidentmelding gedefinieerd
Klantmeldingsproces bij datalekken
Post-incident review proces aanwezig
Beveiligingsoperaties / monitoringcapaciteit

1.5 Netwerk- en infrastructuurbeveiliging

Maatregel	Status	Opmerkingen / Bewijs
Netwerksegmentatie geïmplementeerd
Firewalls en inbraakdetectiesystemen
DDoS-bescherming aanwezig
Auditlogboeken bewaard (minimaal 12 maanden)
Wijzigingsbeheerproces gedocumenteerd

Samenvatting Sectie 1:

Geverifieerde maatregelen: ___ / 24
Geïdentificeerde kritieke hiaten: ___
Effectiviteit van maatregelen: Sterk / Adequaat / Zwak / Onvoldoende

Sectie 2: Compliance en certificeringen

Certificering / Raamwerk	Status	Vervaldatum / Laatste audit	Rapport beschikbaar?
ISO 27001:2022	Gecertificeerd / In behandeling / Nee
SOC 2 Type II	Voltooid / In behandeling / Nee
ISO 27701 (Privacy)	Gecertificeerd / Nee
AVG-compliance	Gedocumenteerd / Gedeeltelijk / Nee
NIS2-compliancemaatregelen	Geïmplementeerd / Gedeeltelijk / Nee
DORA-compliance (financiële sector)	Geïmplementeerd / Gedeeltelijk / Nee
Penetratietest (afgelopen 12 maanden)	Ja / Nee
Bug bounty / responsible disclosure	Actief / Nee

Certificeringsverificatie: Heeft u de geldigheid van het certificaat onafhankelijk geverifieerd (bijv. via IAF CertSearch voor ISO 27001)? ☐ Ja ☐ Nee

Samenvatting Sectie 2:

Geverifieerde certificeringen: ___
Belangrijke compliance-hiaten: ___

Sectie 3: Gegevensverwerking

Vraag	Antwoord	Opmerkingen
Welke soorten gegevens verwerkt de leverancier?
Waar worden gegevens opgeslagen en verwerkt? (landen/regio's)
Worden gegevens opgeslagen binnen de EU/EER?	Ja / Nee / Gedeeltelijk
Gebruikt de leverancier subverwerkers?	Ja / Nee
Lijst van subverwerkers beschikbaar?	Ja / Nee
Meldingsprocedure bij wijzigingen in subverwerkers?	Ja / Nee
Bewaartermijn voor gegevens gedefinieerd?	Ja / Nee — ___ dagen
Proces voor veilige gegevensverwijdering gedocumenteerd?	Ja / Nee
Gegevensportabiliteit / exportmogelijkheid?	Ja / Nee
Verwerkersovereenkomst (VOK) gesloten?	Ja / Nee

Samenvatting Sectie 3:

Gegevensopslag AVG-conform (EU): ☐ Ja ☐ Nee ☐ Gedeeltelijk
VOK ondertekend: ☐ Ja ☐ Nee
Subverwerkers-risico: ☐ Laag ☐ Gemiddeld ☐ Hoog

Sectie 4: Bedrijfscontinuïteit

Vraag	Antwoord	Opmerkingen
Recovery Time Objective (RTO)		Uren
Recovery Point Objective (RPO)		Uren
Bedrijfscontinuïteitsplan gedocumenteerd?	Ja / Nee
Disaster recovery-test uitgevoerd (afgelopen 12 maanden)?	Ja / Nee
Back-upfrequentie en geografische spreiding
Beschikbaarheids-SLA		%
Remedie bij SLA-schending gedefinieerd?	Ja / Nee
Exit-/transitieproces beschikbaar?	Ja / Nee
Ondersteuning bij datamigratie bij contracteinde?	Ja / Nee

Samenvatting Sectie 4:

RTO/RPO acceptabel voor kritikaliteit: ☐ Ja ☐ Nee
Beoordeling bedrijfscontinuïteit: Sterk / Adequaat / Zwak / Onvoldoende

Sectie 5: Financiële en operationele stabiliteit

(Alleen voor Niveau 1-beoordelingen)

Vraag	Antwoord	Opmerkingen
Bedrijfsleeftijd		Jaar
Geschatte omzet / financieringsfase
Cyberverzekering afgesloten?	Ja / Nee
Dekkingsbedrag verzekering		EUR
Afhankelijkheden van sleutelpersonen geïdentificeerd?	Ja / Nee
Klantenconcentratierisico		(bijv. één klant > 30% van omzet?)
Lopende rechtszaken / regelgevende sancties	Geen / Ja

Samenvatting Sectie 5:

Financieel stabiliteitrisico: ☐ Laag ☐ Gemiddeld ☐ Hoog

Sectie 6: Subverwerker- en toeleveringsketenrisico

(Alleen voor Niveau 1-beoordelingen)

Vraag	Antwoord	Opmerkingen
Gebruikt de leverancier kritieke ICT-subverwerkers?	Ja / Nee
Beoordelingsproces voor subverwerkers gedocumenteerd?	Ja / Nee
Beveiligingseisen worden doorgegeven aan subverwerkers?	Ja / Nee
Kritieke subverwerkers identificeerbaar bij incident?	Ja / Nee
Concentratierisico bij subverwerkers beoordeeld?	Ja / Nee

Samenvatting Sectie 6:

Toeleveringsketenrisico: ☐ Laag ☐ Gemiddeld ☐ Hoog

Restrisico berekenen

Stap 1: Inherent risico (uit classificatie hierboven)

Laag / Gemiddeld / Hoog / Kritiek

Stap 2: Effectiviteit van maatregelen

Gebaseerd op bevindingen uit Secties 1 en 2:

Sterk — ISO 27001 of SOC 2 Type II gecertificeerd, schone audit, alle kritieke maatregelen geverifieerd
Adequaat — De meeste maatregelen aanwezig, sommige certificeringen, kleine hiaten
Zwak — Alleen basismaatregelen, beperkt bewijs, significante hiaten in een of meer gebieden
Onvoldoende — Materiële controlefalen, geen certificering, niet coöperatief

Stap 3: Restrisicomatrix

	Sterke maatregelen	Adequate maatregelen	Zwakke maatregelen	Onvoldoende maatregelen
Kritiek inherent	Hoog	Hoog	Kritiek	Kritiek
Hoog inherent	Gemiddeld	Hoog	Hoog	Kritiek
Gemiddeld inherent	Laag	Gemiddeld	Hoog	Hoog
Laag inherent	Laag	Laag	Gemiddeld	Hoog

Restrisico-niveau: Laag / Gemiddeld / Hoog / Kritiek

Stap 4: Vereiste acties

Restrisico	Vereiste goedkeuring	Extra maatregelen	Monitoringfrequentie
Laag	Teamleider	Niet vereist	Jaarlijks
Gemiddeld	Beveiligingsmanager	Mogelijk vereist	Elke 6 maanden
Hoog	CISO / Senior Management	Vereist — documenteer	Driemaandelijks
Kritiek	Raad van Bestuur / Directie	Verplicht of leverancier weigeren	Continu

De beoordeling afronden

Beoordelingssamenvatting

Veld	Detail
Naam leverancier
Beoordelingsdatum
Naam/rol beoordelaar
Beoordelingsniveau (1/2/3)
Inherent risiconiveau
Beoordeling effectiviteit maatregelen
Restrisico-niveau
Risicobeslissing	☐ Goedgekeurd ☐ Goedgekeurd met voorwaarden ☐ Geweigerd
Voorwaarden / vereiste maatregelen
Datum volgende beoordeling
Naam/rol goedkeurder
Datum goedkeuring

Documentatiechecklist

Bevestig vóór archivering van de beoordeling:

☐ Ingevulde beveiligingsvragenlijst (door leverancier verstrekt)
☐ ISO 27001-certificaat (onafhankelijk geverifieerd) of SOC 2 Type II-rapport
☐ Verwerkersovereenkomst (VOK) ondertekend
☐ Lijst van subverwerkers verkregen
☐ Risicoscoring voltooid en goedgekeurd
☐ Voorwaarden / herstelacties gedocumenteerd
☐ Datum volgende beoordeling in agenda ingepland

Wettelijke vereisten

ISO 27001:2022

Maatregel	Dekking door sjabloon
5.19 — Informatiebeveiliging in leveranciersrelaties	Volledig sjabloon
5.20 — Informatiebeveiliging in leveranciersovereenkomsten	Sectie 3 (VOK), Sectie 4 (SLA), Sectie 6 (doorgave)
5.21 — Beveiliging van de ICT-toeleveringsketen	Sectie 6 (subverwerkers), continue monitoring

Auditors verwachten: voltooide beoordelingsgegevens, bewijs van certificeringsverificatie, gedocumenteerde risicobeslissingen en geplande herbeoordelingsdata.

NIS2 Artikel 21(2)(d)

NIS2 verplicht essentiële en belangrijke entiteiten tot maatregelen voor de beveiliging van de toeleveringsketen, inclusief beoordeling van beveiligingspraktijken en kwetsbaarheden van directe leveranciers. De Nederlandse Cybersecuritywet implementeert deze NIS2-verplichting in het nationale recht. Secties 1, 2 en 6 van dit sjabloon adresseren deze vereisten direct.

DORA Artikelen 28–30

DORA verplicht financiële entiteiten tot het uitvoeren van precontractuele risicobeoordelingen van ICT-derde-dienstverleners vóór het sluiten van kritieke contracten. Het volledige Niveau 1-sjabloon (alle zes secties) voldoet aan de DORA-vereiste voor precontractuele beoordeling. Secties 3 en 4 dekken de specifieke DORA-vereisten met betrekking tot gegevenslocatie, auditrechten en exitstrategieën.

Leveranciersrisicobeoordelingen automatiseren

Handmatige sjabloonbeoordelingen werken op kleine schaal. Zodra u tientallen leveranciers beheert, bereikt het proces zijn grenzen:

Vragenlijstcoördinatie wordt een projectmanagementlast
Bewaaropslag versnippert over e-mail en gedeelde schijven
Periodieke herbeoordelingsdata worden gemist
Auditvoorbereiding vereist het reconstrueren van papiersporen

Wat automatisering oplost:

Handmatig knelpunt	Geautomatiseerde oplossing
Vragenlijsten verzenden en opvolgen	Geautomatiseerde distributie en herinneringen
Certificaten en auditrapporten opslaan	Gecentraliseerde bewaarplaats voor bewijs
Consistentie van risicoscoring	Gestandaardiseerde scoringsmotor
Herbeoordelingsdata bijhouden	Geautomatiseerde reviewplanning
Auditbewijs voorbereiden	Exporteerbare beoordelingsgegevens
Monitoring tussen beoordelingen	Continue certificerings- en postuurmonitoring

Enterprise VRM-platformen zoals UpGuard Vendor Risk (vanaf ~$1.599/maand voor het Starter-plan), Prevalent en OneTrust TPRM (prijzen variëren sterk; enterprise-implementaties lopen typisch van $10.000 tot $40.000+/jaar afhankelijk van leveranciersvolume en modules) bieden volledige automatisering maar zijn gericht op organisaties die honderden of duizenden leveranciers beheren [2].

Voor Europese bedrijven — met name Nederlandse ondernemingen die ISO 27001-certificering, NIS2-compliance en Trust Center-zichtbaarheid nodig hebben — biedt een gespecialiseerd compliance-platform de kernfunctionaliteit voor beoordeling en monitoring zonder de implementatiecomplexiteit van enterprise-oplossingen.

Hoe Orbiq leveranciersrisicobeoordeling ondersteunt

Het leverancierszekerheidsplatform van Orbiq stroomlijnt beide kanten van leveranciersrisicobeheer:

Uitgaand (uw leveranciers): Beoordelingen distribueren, vragenlijstantwoorden verzamelen, certificaten en auditrapporten opslaan en risicobeslissingen bijhouden in een gecentraliseerd systeem. Automatische herinneringen vervangen handmatige follow-up.
Inkomend (beoordelingen van uw klanten over u): Publiceer uw beveiligingsprofiel, certificeringen en compliance-bewijs in een Trust Center zodat klanten uw risico kunnen beoordelen zonder handmatige vragenlijsten te sturen.
Continue monitoring: Volg wijzigingen in de certificeringsstatus van leveranciers, meldingen van beveiligingsinbreuken en compliance-hiaten tussen formele beoordelingscycli.
EU-gegevensresidentie: Alle beoordelingsgegevens blijven binnen de EU — een vereiste voor organisaties die onder de AVG, NIS2 en DORA vallen.

Gerelateerde bronnen

Leveranciersrisicobeheer: De Definitieve Gids — volledig VRM-programmaguide, EU-wettelijke vereisten en toolsvergelijkingen
Leveranciersrisicobeoordeling (Woordenlijst) — wat VRA's zijn, wanneer uit te voeren en hoe risico te scoren
Derdenrisicobeheer — een uitgebreid TPRM-programma opbouwen
NIS2 Toeleveringsketenbeveiliging — specifieke NIS2-vereisten voor toeleveringsketenbeoordeling
Compliance-automatisering — bewijsverzameling voor leveranciersbeoordelingen automatiseren

Bronnen & Referenties

Bitsight. (2025). Third-Party Risk Management Report. Bitsight Technologies. https://www.bitsight.com/resources/third-party-risk-management
UpGuard. (2026). Vendor Risk Pricing. https://www.upguard.com/pricing — Prevalent TPRM-prijzen uit leveranciersdocumentatie; OneTrust enterprise-prijzen uit analistenbronnen.

Dit sjabloon wordt onderhouden door het Orbiq-team. Laatste update: maart 2026.