Gratis leveranciers-beveiligingsvragenlijst (2026) — Excel
Published 14 jul 2026
By Orbiq Team

Gratis leveranciers-beveiligingsvragenlijst (2026) — Excel

Gratis EU leveranciers-beveiligingsvragenlijst (XLSX, PDF, MD): 67 getrapte vragen over AVG art. 28, NIS2-toeleveringsketen, DORA en dataresidentie.

Leveranciersbeveiliging
Beveiligingsvragenlijst
AVG
NIS2
DORA
Sjablonen

Download dit sjabloon

Versie 1.0 · Bijgewerkt 14 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Nederlands (anders: Engels)

EU leveranciers-beveiligingsvragenlijst: gratis sjabloon

Een leveranciers-beveiligingsvragenlijst is de gestructureerde vragenset die een afnemer naar leveranciers stuurt om hun beveiligingspositie te beoordelen — en voor Europese afnemers moet die in 2026 méér vragen dan de in de VS opgestelde standaarden doen. Dit gratis sjabloon bevat 67 vragen in 10 secties, getrapt naar leverancierscriticaliteit, over verwerkersvoorwaarden onder AVG-artikel 28, bewijs voor de toeleveringsketen onder NIS2-artikel 21, lid 2, onder d), DORA-velden voor ICT-dienstverleners, en de vragen over dataresidentie en de CLOUD Act die SIG en CAIQ niet stellen.

De meeste vragenlijstsjablonen zijn geschreven vanuit het Amerikaanse complianceuniversum: SOC 2 voorop, stil over artikel 28, lid 3, blind voor datasoevereiniteit. Maar koopt u software als Europees bedrijf, dan draagt ú de wettelijke verantwoordelijkheid — voor uw verwerkers onder de AVG, voor uw directe leveranciers onder NIS2, voor uw ICT-dienstverleners onder DORA. Dit sjabloon — beschikbaar als XLSX, PDF en een machine-leesbaar Markdown-bestand voor AI-agents (de downloadbare bestanden zijn in het Engels) — vraagt precies wat die verplichtingen vereisen, naast de beveiligingsfundamenten die elke vragenlijst nodig heeft. Het is de uitgaande metgezel van onze gids over beveiligingsvragenlijsten, die de kant van de respondent van diezelfde uitwisseling behandelt.

Belangrijkste conclusies

  • 67 vragen, 10 secties, 3 niveaus — kritieke leveranciers (T1) beantwoorden alles, standaardleveranciers (T2) beantwoorden er 46, leveranciers met laag risico (T3) beantwoorden een lichte set van 23 vragen. Evenredigheid is ingebouwd.
  • EU-eigen van opzet: DPA-clausules onder artikel 28, lid 3, hostingopties uitsluitend in de EU/EER, doorgiftemechanismen, blootstelling aan de CLOUD Act / FISA 702, NIS2-compatibele incidentnotificatietermijnen en een DORA-addendum voor afnemers die financiële entiteit zijn.
  • Elke vraag benoemt haar bewijs. Certificaten met scope, pentest-managementsamenvattingen, DPA-clausules, subverwerkersregisters — antwoorden zonder artefacten zijn eigen verklaringen, geen zekerheid.
  • De gevestigde standaarden dekken dit terrein niet: SIG is gelicentieerd en Amerikaans van opzet; CAIQ v4 is gratis maar cloudgericht (261 vragen). Geen van beide vraagt naar wat Europese toezichthouders ú aanrekenen.
  • Een vragenlijst is één input, niet de beslissing. Combineer hem met een scoringsraamwerk — onze leveranciersrisico-beoordeling — en met bewijsopvolging in de tijd.

Wat er in het sjabloon zit

De XLSX bevat vier werkbladen: een Leveranciersregister (leverancier, jurisdictie, moederbedrijf, niveau, reviewuitkomst), een Niveaurubriek (vier gescoorde dimensies met een beslisregel), de Vragenlijst zelf (67 vragen met bewijsaanvragen per vraag, antwoorddropdowns Ja/Deels/Nee/N.v.t. en een kolom voor de beoordeling door de reviewer) en Instructies. De PDF spiegelt de vragenbank voor reviewvergaderingen; de Markdown-variant draagt de volledige structuur met YAML-metadata en enums, zodat een AI-agent een leveranciersreview van begin tot eind kan uitvoeren.

De tien secties, met een voorbeeldvraag uit elk:

SectieVragenVoorbeeldvraag
A — Bedrijf en governance6Beschikt u over een actueel ISO/IEC 27001:2022-certificaat dat de dienst dekt die wij afnemen?
B — AVG en gegevensbescherming (art. 28)10Biedt u een DPA aan die alle verplichte clausules van artikel 28, lid 3, bevat?
C — Dataresidentie en soevereiniteit8Valt uw ondernemingsstructuur onder een niet-EU-jurisdictie die openbaarmaking zou kunnen afdwingen onder de Amerikaanse CLOUD Act?
D — Toegangsbeheer en identiteit7Wordt MFA afgedwongen voor alle personeelstoegang tot productie en klantgegevens?
E — Infrastructuur en operations8Wordt de dienst jaarlijks aan een pentest onderworpen, en deelt u de managementsamenvatting?
F — Incidentbeheer6Wat is uw contractuele termijn (in uren) om ons te informeren over incidenten die onze dienst of gegevens raken?
G — Bedrijfscontinuïteit en DR5Zijn back-ups versleuteld, geografisch gescheiden en op herstel getest?
H — Veilige ontwikkeling6Wordt code gescand (SAST/DAST/dependency) vóór productie-uitrol?
I — Onderaannemers en toeleveringsketen6Meldt u ons wijzigingen bij onderaannemers vooraf, met een recht van bezwaar?
J — DORA-addendum (financiële entiteiten)5Kunt u de velden aanleveren die wij nodig hebben voor ons DORA-informatieregister?

Zo gebruikt u het

Stap 1 — Deel de leverancier in. De rubriek scoort vier dimensies: gegevensgevoeligheid, systeemtoegang, dienstcriticaliteit (inclusief of het uitvallen van de leverancier NIS2- of DORA-blootstelling voor u zou creëren) en vervangbaarheid. Kritieke leveranciers krijgen de volledige set; een commodity-tool zonder gegevenstoegang krijgt 23 vragen. 850 vragen naar een nieuwsbriefaanbieder sturen is hoe inkoop vastloopt en de antwoordkwaliteit instort.

Stap 2 — Stuur de niveausubset, eis bewijs. Elke vraag benoemt het te bijvoegen artefact. Dit is de grootste kwaliteitshefboom in leveranciersbeveiligingsreview: de richtsnoeren van ENISA voor de toeleveringsketen benadrukken het beoordelen van de kwaliteit van de praktijken van een leverancier, niet het bestaan van een ingevuld formulier — hetzelfde principe achter onze NIS2-checklist bewijsaanvraag leveranciers, de bewijsvolgende tegenhanger van deze vragenlijst.

Stap 3 — Beoordeel, beslis en leg vast. Markeer elk antwoord als Toereikend, Follow-up vereist of Ontoereikend; log de follow-ups; leg de uitkomst vast in het register. De vragenlijst verzamelt; de beslissing hoort thuis in uw leveranciersrisicobeheer-proces, waar antwoorden worden gecombineerd met onafhankelijke verificatie en risicoscoring.

Stap 4 — Herhaal op cadans. T1 jaarlijks, T2 elke 12–18 maanden, T3 bij verlenging — met gebeurtenistriggers (een leveranciersincident, een wijziging van onderaannemer, een verlopend certificaat) die de kalender overrulen. Momentopname-vragenlijsten verouderen snel; de cadans en de triggers maken van een formulier daadwerkelijk toezicht.

Juridische grondslag

Drie Europese regimes bepalen de vragenset. De AVGVerordening (EU) 2016/679 — maakt verwerkersrelaties bij wet contractueel: artikel 28, lid 3, schrijft de verplichte DPA-inhoud voor (gedocumenteerde instructies, vertrouwelijkheid, beveiligingsmaatregelen onder artikel 32, toestemming voor subverwerkers, bijstand bij rechten van betrokkenen, ondersteuning bij inbreuken, verwijdering of teruggave bij beëindiging, auditrechten), en sectie B van de vragenlijst verifieert elk daarvan. Omdat artikel 33 ú 72 uur geeft om uw toezichthoudende autoriteit van een inbreuk in kennis te stellen, controleert vraag B7 of de eigen notificatietermijn van de leverancier u ruimte laat om te voldoen.

NIS2Richtlijn (EU) 2022/2555 — maakt beveiliging van de toeleveringsketen een verplichte risicobeheersmaatregel onder artikel 21, lid 2, onder d), te beoordelen per directe leverancier onder artikel 21, lid 3. Sectie F controleert dat een leveranciersincident u snel genoeg bereikt om uw eigen vroegtijdige waarschuwing binnen 24 uur onder artikel 23 te halen, en vraag I6 borgt de doorgifte van bewijs die uw documentatieplichten voor de toeleveringsketen vereisen. DORAVerordening (EU) 2022/2554 — voegt de laag voor financiële entiteiten toe: de artikelen 28–30 regelen ICT-risico bij derden, van het informatieregister (met velden gespecificeerd in ITS (EU) 2024/2956) tot de verplichte contractuele bepalingen van artikel 30 en exitstrategieën onder artikel 28, lid 8. Sectie J stelt de vijf vragen die deze verplichtingen met een leverancier werkbaar maken — en sluit aan op onze DORA ICT-leverancier bewijs-checklist voor het doorlopende register.

De soevereiniteitssectie weerspiegelt de realiteit na Schrems II: de Amerikaanse CLOUD Act reikt tot gegevens die worden gehouden door door de VS gecontroleerde aanbieders, ongeacht waar ze zijn opgeslagen, en FISA Section 702 stond centraal bij de ongeldigverklaring van het Privacy Shield door het HvJ-EU — daarom vragen C4–C5 naar de jurisdictie van de onderneming en naar doorgifte-effectbeoordelingen, niet alleen naar serverlocaties.

Buiten de EU: VK en Noorwegen

Dezelfde vragenset bedient Britse en Noorse afnemers met een lichte herweging. In het VK behoudt de UK GDPR artikel 28 inhoudelijk, zodat sectie B ongewijzigd van toepassing is, en de Cyber Security and Resilience Bill — medio 2026 in behandeling bij het House of Lords — brengt managed service providers en aangewezen kritieke leveranciers onder een regime in NIS-stijl met een eerste melding binnen 24 uur, wat de notificatievragen van sectie F direct relevant maakt. In Noorwegen implementeert de digitalsikkerhetsloven (van kracht sinds 1 oktober 2025, onder toezicht van de NSM) NIS-achtige verplichtingen terwijl NIS2 op opname in de EER-overeenkomst wacht, en handhaaft Datatilsynet AVG-artikel 28 als EER-recht — één vragenlijst dekt het leveranciersbestand over alle drie de jurisdicties.

Van vragenlijst naar continue assurance

Een vragenlijst is een momentopname; leveranciersrisico is een stroom. Antwoorden achternazitten, antwoorden herscoren en het certificaat opmerken dat acht maanden na terugkomst van het formulier verliep — daar lopen spreadsheetprogramma's geruisloos vast. Orbiq's vendor-assuranceplatform draait dezelfde indeling in niveaus, vragensets en bewijsverzameling continu, met AI-geëvalueerde antwoorden en een audittrail die als bijproduct van het werk ontstaat. En bevindt u zich aan de ontvangende kant van vragenlijsten als deze, dan behandelt onze gids over automatisering van beveiligingsvragenlijsten de antwoordkant.


Bronnen en referenties

  1. Verordening (EU) 2016/679 (AVG) — volledige tekst — artikelen 27, 28, 32, 33.
  2. Richtlijn (EU) 2022/2555 (NIS2) — volledige tekst — artikelen 21, lid 2, onder d), 21, lid 3, 23.
  3. Verordening (EU) 2022/2554 (DORA) — volledige tekst — artikelen 19, 26–30.
  4. Uitvoeringsverordening (EU) 2024/2956 van de Commissie — ITS over het DORA-informatieregister.
  5. CSA — CAIQ v4 (STAR Level 1-beveiligingsvragenlijst) — de gratis cloudgerichte vragenlijst, 261 vragen.
  6. ENISA — Good Practices for Supply Chain Cybersecurity — praktijken voor leveranciersbeoordeling.
  7. UK Government — Cyber Security and Resilience Bill collection — status van het Britse leveranciersregime.

Verder lezen

Download dit sjabloon

Versie 1.0 · Bijgewerkt 14 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Nederlands (anders: Engels)

Veelgestelde vragen

Wat is een leveranciers-beveiligingsvragenlijst?

Een leveranciers-beveiligingsvragenlijst is een gestructureerde reeks vragen die een afnemer naar een leverancier stuurt om diens beveiligingspositie te beoordelen, vóór en tijdens een zakelijke relatie. De vragenlijst dekt gebieden als certificeringen, gegevensbeschermingsvoorwaarden, toegangsbeheer, incidentnotificatie, bedrijfscontinuïteit en onderaannemers — en elk antwoord hoort onderbouwd te zijn met bewijs, zoals een ISO 27001-certificaat of een pentestsamenvatting, en niet louter met een eigen verklaring.

Welke vragen horen in een leveranciers-beveiligingsvragenlijst?

Een volledige vragenlijst dekt tien gebieden: bedrijf en governance (certificeringen, beveiligingsleiderschap), verwerkersvoorwaarden onder AVG-artikel 28, dataresidentie en soevereiniteit, toegangsbeheer en identiteit, infrastructuur en operations, incidentbeheer en notificatie-SLA's, bedrijfscontinuïteit en disaster recovery, veilige ontwikkeling, onderaannemers en toeleveringsketen, en — voor afnemers die financiële entiteit zijn — DORA-velden voor ICT-dienstverleners. Dit sjabloon levert alle tien secties als 67 getrapte vragen, met het per vraag op te vragen bewijs.

Waarin verschilt dit van SIG en CAIQ?

SIG (Shared Assessments) is een gelicentieerde, in de VS opgestelde bibliotheek — de scoped SIG Core-set loopt op tot ongeveer 850 vragen en vereist een jaarlijkse vergoeding. CSA's CAIQ v4 is gratis maar cloudgericht (261 vragen) en Amerikaans van opzet. Geen van beide stelt de vragen waarvoor EU-afnemers wettelijk verantwoordelijk zijn: DPA-clausules onder artikel 28, lid 3, hostingopties uitsluitend in de EU/EER, blootstelling aan de CLOUD Act en FISA 702, NIS2-compatibele notificatietermijnen of velden voor het DORA-informatieregister. Deze vragenlijst is EU-eigen, gratis en getrapt, zodat kleine leveranciers 23 vragen krijgen in plaats van 850.

Hoeveel vragen moet ik naar elke leverancier sturen?

Deel uw leveranciers eerst in niveaus in. Dit sjabloon gebruikt drie niveaus: kritieke leveranciers (T1) beantwoorden alle 67 vragen, inclusief het DORA-addendum waar relevant; standaardleveranciers (T2) beantwoorden er 46; leveranciers met laag risico (T3) beantwoorden een lichte set van 23 vragen. De volledige set naar elke leverancier sturen vertraagt inkoop en levert slechtere antwoorden op — evenredigheid brengt u sneller betere zekerheid.

Welk bewijs moet ik bij een beveiligingsvragenlijst opvragen?

Elke wezenlijke vraag hoort haar artefact te benoemen: een ISO 27001-certificaat met scopeverklaring, een SOC 2 Type II-rapport met bridge letter, de meest recente pentest-managementsamenvatting met remediatiestatus, de DPA met clausules onder artikel 28, lid 3, de openbare subverwerkerslijst, een contractuele incidentnotificatieclausule met uren, en BCP/DR-testresultaten. Antwoorden zonder bewijs zijn eigen verklaringen, geen zekerheid.

Is een beveiligingsvragenlijst hetzelfde als een leveranciersrisico-beoordeling?

Nee. De vragenlijst is de uitgaande vragenset — wat u naar de leverancier stuurt om zelfgerapporteerde maatregelen en bewijs te verzamelen. Een leveranciersrisico-beoordeling is het bredere interne proces dat die antwoorden combineert met onafhankelijke verificatie, risicoscoring en een formele acceptatiebeslissing. Gebruik dit sjabloon om te verzamelen; gebruik een raamwerk voor leveranciersrisico-beoordeling om te scoren en te beslissen.