Europees Trust Center readiness-checklist (gratis, met score)
Published 11 jul 2026
By Orbiq Team

Europees Trust Center readiness-checklist (gratis, met score)

Een gratis, gescoorde readiness-checklist voor het Europese Trust Center: 58 items over zes stakeholder-sporen, gemapt op de bewijsverwachtingen van NIS2, DORA en de AVG.

Trust Center
Checklist
EU-compliance
NIS2
DORA
AVG

Download dit sjabloon

Versie 1.0 · Bijgewerkt 11 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Engels

Europees Trust Center readiness-checklist (gratis, met score — 2026)

Deze readiness-checklist voor het Europese Trust Center is een gescoorde zelfbeoordeling — 58 items over zes stakeholder-sporen — die u vertelt of uw Trust Center daadwerkelijk de mensen (en AI-agents) bedient die het lezen: beveiligingsreviewers, juridische teams, complianceteams, inkoop, abonnees van klantupdates en geautomatiseerde due-diligence-agents. Elk item wordt gescoord als Ja (2), Deels (1) of Nee (0), wat een readiness-percentage en een van drie banden oplevert: Foundational (onder 40%), Developing (40–75%) of Buyer-ready (boven 75%). De checklist is gebouwd op het stakeholdermodel met zes sporen uit onze gids over het Europese Trust Center, en elk spoor is gemapt op een concrete Europese bewijsverwachting — subverwerkertransparantie onder AVG-artikel 28, NIS2-beveiliging van de toeleveringsketen, DORA-vereisten voor ICT-derden en echte EU-datasoevereiniteit.

De checklist wordt geleverd als een gescoorde Excel-werkmap (één werkblad per spoor plus een automatisch optellende scorekaart), een printklare PDF en een machine-leesbaar Markdown-bestand waarmee een AI-agent de volledige beoordeling kan uitvoeren (de downloadbare bestanden zijn in het Engels).

Belangrijkste punten

  • Trust Center-readiness is een vraag per stakeholder, geen enkele score. Een portaal dat beveiligingsreviewers verrukt, kan nog steeds falen voor juridisch (afgeschermde subverwerkerslijst), inkoop (geen gepubliceerde prijzen) of AI-agents (geen machine-leesbaar bewijs) — de checklist scoort elk spoor apart, zodat u precies ziet waar deals vastlopen.
  • Europese readiness heeft een eigen lat. Een ISO 27001-eerst-benadering, een openbare subverwerkerslijst conform AVG-artikel 28, NIS2-bewijs voor de toeleveringsketen en DORA-contractdatapunten zijn zaken die EU-kopers controleren en die Trust Centers naar Amerikaans sjabloon stelselmatig missen.
  • Het scoremodel is bewust streng. 'Deels' (1 punt) dekt bewijs dat bestaat maar verouderd, onvolledig of onnodig afgeschermd is — want voor een reviewer met een deadline is verouderd bewijs nauwelijks beter dan geen.
  • Het zesde spoor is voor de meeste bedrijven het nieuwste en zwakste. AI-agents die leveranciers-due-diligence uitvoeren, hebben extraheerbaar, versie-gepind, citeerbaar bewijs nodig. De llms.txt-conventie is nog in opkomst — rond 2026 had circa 10% van de domeinen ze ingevoerd en Google heeft gezegd dat zijn zoeksystemen het bestand niet gebruiken — behandel dit spoor dus als een vooruitgeschoven inzet die u eerlijk scoort, niet als een vinkje.
  • Eén eigenaar per spoor, kwartaalritme. Readiness vervalt: certificaten verlopen, subverwerkers veranderen, prijzen bewegen. De checklist werkt als een operationeel ritme, niet als een eenmalige audit.

Wat er in de checklist zit

De 58 items volgen de zes stakeholder-sporen van een Europees Trust Center. Elk item heeft een definitie van 'zo ziet goed eruit' en een bewijsvoorbeeld, zodat twee mensen die hetzelfde portaal scoren op hetzelfde getal uitkomen. Een preview:

Spoor (items)EigenaarVoorbeelditems
1. Beveiligingsteams (11)Security lead / CISOISO 27001-certificaat gepubliceerd met scope en geldigheidsdata; pentest-managementsamenvatting uit de afgelopen 12 maanden; encryptiepositie gedocumenteerd in rust en onderweg
2. Juridische teams (10)Juridisch / FGVerwerkersovereenkomst te downloaden zonder registratie; openbare subverwerkerslijst met doel, gegevens en hostinglocatie; jurisdictie van de aanbieder en CLOUD Act-blootstelling vermeld
3. Complianceteams (11)Compliance- / GRC-leadFrameworks getoond met scope en auditdata, geen logostroken; NIS2-artikel 21-positie gemapt; DORA-artikel 30-contractdatapunten beschikbaar voor klanten in de financiële sector
4. Inkoop (9)Sales / RevOpsGepubliceerde prijzen; vendor-assuranceprofiel met feiten over de juridische entiteit; certificaat cyberverzekering; uptimehistorie
5. Ontvangers van klantupdates (8)Customer successAbonneerbare trust updates; gestructureerde incidentmeldingen; wijzigingsmeldingen voor subverwerkers met een bezwaartermijn
6. AI-agents (9)Engineering / webteamllms.txt die de scope van het Trust Center declareert; machine-leesbare bewijscatalogus; versie-gepinde documenten; een gedeclareerd contract voor toegangsniveaus en authenticatie

Het scoremodel

Elk item krijgt een van drie scores:

ScorePuntenBetekenis
Ja2Gepubliceerd, actueel, volledig en toegankelijk op het juiste toegangsniveau
Deels1Bestaat, maar is verouderd (>12 maanden), onvolledig of afgeschermd waar dat niet zou moeten
Nee0Afwezig, of feitelijk onvindbaar

Uw totaal (maximaal 116 punten) wordt omgezet in een readiness-percentage en een band:

BandScoreWat het betekent
Foundational< 40%Het Trust Center is een brochure. Reviewers vallen terug op e-mail-een-PDF, en elke enterprisedeal betaalt een beveiligingsreview-belasting.
Developing40–75%Het kernbewijs bestaat, maar ten minste twee sporen worden onderbediend — meestal juridische transparantie, updatekanalen of AI-leesbaarheid.
Buyer-ready> 75%Alle zes sporen zijn selfservice. Beveiligingsreviews lopen parallel aan de deal in plaats van die te blokkeren.

De Excel-werkmap berekent de scores per spoor, het totaalpercentage en de band automatisch; de Markdown-versie bevat dezelfde items en regels in een formaat dat een AI-agent van begin tot eind kan uitvoeren.

Zo voert u de zelfbeoordeling uit

  1. Wijs per spoor één eigenaar aan (zie de tabel hierboven). Items die sporen overlappen — de subverwerkerslijst bedient juridisch én ontvangers van klantupdates — worden gescoord in het spoor waarin ze staan; de duplicatie is bewust, want beide doelgroepen moeten ze kunnen vinden.
  2. Scoor op wat een buitenstaander kan vinden, niet op wat intern bestaat. Als uw pentestsamenvatting bestaat maar een reviewer haar niet binnen twee minuten kan lokaliseren, is dat hoogstens een Deels. Scoor voor afgeschermde items of de route naar het document (NDA-flow, toegangsverzoek) selfservice is.
  3. Consolideer in de scorekaart. Eén coördinator — meestal de CISO of compliance-lead — beoordeelt de scores per spoor, markeert de twee zwakste sporen en zet de fixes uit als tickets met eigenaren en data.
  4. Herhaal per kwartaal, herscoor bij verandering. Herscoor één spoor na elke wezenlijke gebeurtenis: een vernieuwd certificaat, een subverwerkerwijziging, een incident, nieuwe prijzen of wijzigingen aan machine-leesbare endpoints. Subverwerkerslijsten en geldigheidsdata van certificaten verouderen het snelst — controleer die maandelijks.

Waarom Europese readiness anders is

Een generieke Trust Center-checklist toetst of documenten bestaan. Een Europese toetst of ze voldoen aan de regulatoire stapel waaraan uw kopers verantwoording afleggen — want wanneer uw klant een essentiële entiteit is onder NIS2 of een financiële entiteit onder DORA, wordt uw bewijs een input voor hun compliancedossier.

  • NIS2 (Richtlijn (EU) 2022/2555) verplicht essentiële en belangrijke entiteiten om de beveiliging van de toeleveringsketen continu te beheren (artikel 21, lid 2, onder d)) en significante incidenten volgens een strakke klok te melden — vroegtijdige waarschuwing binnen 24 uur, melding binnen 72 uur, eindrapport binnen één maand (artikel 23). Uw gereguleerde klanten hebben daarom doorlopend zicht op uw positie nodig en een gestructureerd kanaal voor incidentcommunicatie — precies wat de sporen 3 en 5 scoren. De omzettingsdeadline van de richtlijn was 17 oktober 2024, en in mei 2026 hadden 23 van de 27 lidstaten haar omgezet — dit is dus handhavingsrealiteit, geen toekomstzorg.
  • DORA (Verordening (EU) 2022/2554), van toepassing sinds 17 januari 2025, maakt financiële entiteiten verantwoordelijk voor ICT-derdenrisico (artikelen 28–30), inclusief een informatieregister over elke ICT-leverancier. Verkoopt u aan banken, verzekeraars of fintechs, dan hebben zij specifieke contractuele en operationele datapunten van u nodig — de checklist scoort of uw Trust Center die toont in plaats van een maatwerkvragenlijst uit te lokken.
  • AVG (Verordening (EU) 2016/679) bepaalt de lat van het juridische spoor: artikel 28 vereist dat verwerkers toestemming verkrijgen voordat zij subverwerkers inschakelen en gelijkwaardige verplichtingen doorgeven, artikel 32 vereist gedocumenteerde technische en organisatorische maatregelen, en de artikelen 33–34 sturen de verwachtingen rond datalekcommunicatie. Een openbare, actuele subverwerkerslijst met doelen en locaties — plus een werkend kanaal voor wijzigingsmeldingen — is het meest gecontroleerde juridische item in EU-leveranciersreviews.
  • Soevereiniteit en residentie. Europese kopers onderscheiden EU-hosting van EU-jurisdictie: een in de VS opgerichte aanbieder kan in Frankfurt hosten en toch onder de Amerikaanse CLOUD Act vallen. De checklist scoort of u vermeldt waar gegevens staan, welke entiteit het portaal exploiteert en wiens vorderingsbevelen erbij kunnen — de vragen die EU-kopers nu als eerste stellen.

Het efficiëntieargument wijst dezelfde kant op: NIS2, DORA en de AVG stellen overlappende vragen over leveranciers, incidenten en beveiligingsmaatregelen. Een Trust Center dat bewijs één keer publiceert, gemapt op alle drie, vervangt drie parallelle vragenlijststromen — de hergebruiklogica achter Trust Center-vereisten onder NIS2 en DORA.

Het zesde spoor is waar de volgende divergentie plaatsvindt: Europese kopers beginnen AI-agents in te zetten voor leveranciers-due-diligence, en agents hebben machine-leesbaar, versie-gepind, citeerbaar bewijs nodig — de architectuur van het AI-native Trust Center. Scoor dit spoor eerlijk: het is een vooruitgeschoven inzet met een voorsprong voor early movers, geen uitgekristalliseerde standaard.

Opmerking voor het VK en Noorwegen/EER

De checklist is ook buiten de EU-27 toepasbaar, met twee aanpassingen. Britse bedrijven scoren tegen de UK GDPR (behouden na de Brexit) en moeten de komende Cyber Security and Resilience Bill als hun NIS2-tegenhanger behandelen — met de kanttekening dat hun EU-klanten hen nog steeds beoordelen aan de hand van NIS2 en de AVG zelf. Noorse en EER-bedrijven passen DORA al toe via de Noorse nationale DORA-wet, van kracht sinds 1 juli 2025; NIS2 is in Noorwegen nog niet van kracht (de nationale implementatie is nog in voorbereiding), dus de NIS2-items van spoor 3 scoort u tegen de verwachtingen van uw EU-klanten in plaats van een binnenlandse verplichting. In beide gevallen gelden het model met zes sporen — en de soevereiniteitsvragen in spoor 2 — onverkort.

Download de checklist

Download de readiness-checklist voor het Europese Trust Center als gescoorde Excel-werkmap, printklare PDF of machine-leesbaar Markdown-bestand (v1.0, bijgewerkt op 3 juli 2026) via de downloadopties op deze pagina. Voer de beoordeling uit, vind uw twee zwakste sporen en pak die als eerste aan.

En als de fixlijst lang is: het Trust Center-platform van Orbiq is gebouwd om de meeste van deze items tot de standaard te maken — een bewijsstructuur die vertrekt vanuit ISO 27001, openbare subverwerkertransparantie, abonneerbare trust updates, NDA-afgeschermde toegangsflows en agent-leesbare endpoints, geëxploiteerd onder EU-jurisdictie.

Bronnen en verwijzingen

  1. Richtlijn (EU) 2022/2555 — NIS2 — beveiliging van de toeleveringsketen (art. 21, lid 2, onder d)); incidentmelding: vroegtijdige waarschuwing binnen 24 uur, melding binnen 72 uur, eindrapport binnen één maand (art. 23).
  2. Verordening (EU) 2022/2554 — DORA — ICT-derdenrisicobeheer en contractuele bepalingen (art. 28–30); van toepassing sinds 17 januari 2025.
  3. Verordening (EU) 2016/679 — AVG — toestemming voor subverwerkers (art. 28), beveiliging van de verwerking (art. 32), melding van datalekken (art. 33–34).
  4. Europese Commissie — beleidspagina NIS2-richtlijn — omzettingsdeadline van 17 oktober 2024.
  5. ECSO — NIS2 transposition tracker — 23 van de 27 lidstaten omgezet per mei 2026.
  6. SE Ranking — adoptiestudie llms.txt — circa 10% van ~300.000 geanalyseerde domeinen had een llms.txt-bestand; Google Search gebruikt het bestand niet.

Verder lezen

Download dit sjabloon

Versie 1.0 · Bijgewerkt 11 jul 2026 · Gratis, geen e-mail vereist · Downloadbestanden in het Engels

Veelgestelde vragen

Wat is een readiness-checklist voor een Europees Trust Center?

Een readiness-checklist voor een Europees Trust Center is een gescoorde zelfbeoordeling die meet of uw op kopers gerichte beveiligingsportaal elke stakeholder bedient die het leest — beveiligingsreviewers, juridische teams, complianceteams, inkoop, abonnees van klantupdates en AI-agents — getoetst aan Europese verwachtingen zoals een ISO 27001-eerst-benadering, subverwerkertransparantie onder AVG-artikel 28, NIS2-bewijs voor de toeleveringsketen en DORA-vereisten voor ICT-derden. Elk item wordt gescoord als Ja (2), Deels (1) of Nee (0), wat een readiness-percentage en een band oplevert.

Wat moet een Trust Center-checklist bevatten?

Een volledige Trust Center-checklist dekt zes sporen: beveiligingsbewijs (ISO 27001-certificaat met scope, pentestsamenvatting, encryptie- en toegangsbeheerpositie), juridische documenten (verwerkersovereenkomst, openbare subverwerkerslijst, doorgiftemechanismen, jurisdictie van de aanbieder), compliance-mapping (NIS2-, DORA- en AVG-bewijs met geldigheidsdata), inkoopsignalen (gepubliceerde prijzen, verzekering, continuïteitsbewijs), kanalen voor klantupdates (incident- en subverwerkermeldingen) en leesbaarheid voor AI-agents (llms.txt, machine-leesbare bewijscatalogi, versie-gepinde documenten).

Hoe scoort u Trust Center-readiness?

Scoor elk item als Ja (2 punten — het bewijs is gepubliceerd, actueel en toegankelijk op het juiste toegangsniveau), Deels (1 punt — het bewijs bestaat maar is verouderd, onvolledig of onnodig afgeschermd) of Nee (0 punten). Deel uw totaal door het maximum (116 punten over 58 items) voor een readiness-percentage: onder 40% is Foundational, 40–75% is Developing en boven 75% is Buyer-ready.

Wie moet eigenaar zijn van de Trust Center-readinessbeoordeling?

Wijs per spoor één eigenaar aan: de security lead is eigenaar van het beveiligingsbewijs, juridische zaken of de FG van de juridische documenten, de compliance- of GRC-lead van de framework-mapping, sales of revenue operations van de inkoopsignalen, customer success van de updatekanalen en engineering of het webteam van de AI-agent-leesbaarheid. Eén coördinator — meestal de CISO of compliance-lead — consolideert de scorekaart.

Hoe vaak moet u een Trust Center-zelfbeoordeling uitvoeren?

Voer de volledige beoordeling over zes sporen elk kwartaal uit, en herscoor één spoor telkens wanneer het wezenlijk verandert — na een nieuwe certificering of audit, een subverwerkerwijziging, een beveiligingsincident, een prijsaanpassing of een wijziging van uw machine-leesbare endpoints. Geldigheidsdata van certificeringen en subverwerkerslijsten verouderen het snelst; controleer die maandelijks.

Hebben Britse en Noorse bedrijven dezelfde Trust Center-readiness nodig?

Ja, met lokale aanpassingen. Britse bedrijven opereren onder de UK GDPR en de komende Cyber Security and Resilience Bill en verkopen nog steeds aan EU-kopers die bewijs verwachten dat vertrekt vanuit ISO 27001 en de AVG. Noorse bedrijven passen DORA al toe via de nationale DORA-wet (van kracht sinds 1 juli 2025), terwijl NIS2 in Noorwegen nog niet van kracht is. Het readiness-model met zes sporen geldt in de hele EU, de EER en het VK.

Europees Trust Center readiness-checklist (gratis, met...