Wat is een leveranciersrisicobeoordeling?

Een leveranciersrisicobeoordeling is een gestructureerde evaluatie van de beveiligings-, compliance- en operationele risico's die een externe leverancier aan uw organisatie introduceert. Het onderzoekt de beveiligingsmaatregelen, gegevensverwerkingspraktijken, regelgevingscompliance, financiële stabiliteit en bedrijfscontinuïteitscapaciteiten van de leverancier om te bepalen of het risico van samenwerking aanvaardbaar is.

Wanneer moet u een leveranciersrisicobeoordeling uitvoeren?

Voer een leveranciersrisicobeoordeling uit vóór het onboarden van elke nieuwe leverancier die toegang krijgt tot uw gegevens of systemen (pre-contractuele due diligence), tijdens reguliere beoordelingscycli voor bestaande leveranciers (doorgaans jaarlijks voor kritieke leveranciers, elke twee jaar voor standaard leveranciers), nadat een leverancier een beveiligingsincident of datalek heeft meegemaakt, wanneer de reikwijdte van toegang of diensten van een leverancier significant verandert, en wanneer regelgevingsvereisten wijzigen (bijv. implementatie van NIS2 of DORA).

Wat is het verschil tussen een leveranciersrisicobeoordeling en een beveiligingsvragenlijst?

Een beveiligingsvragenlijst is één input voor een leveranciersrisicobeoordeling, niet de beoordeling zelf. Een leveranciersrisicobeoordeling is het volledige evaluatieproces — het combineert vragenlijstantwoorden met onafhankelijke verificatie (certificeringen, auditrapportages, penetratietestresultaten), risicoscoring en een formele risicoacceptatiebeslissing. Een vragenlijst vraagt welke maatregelen de leverancier claimt te hebben; de beoordeling bepaalt of die claims geloofwaardig zijn en of het restrisico aanvaardbaar is.

Wat moet een leveranciersrisicobeoordeling bevatten?

Een uitgebreide leveranciersrisicobeoordeling moet evalueren: (1) Informatiebeveiligingsmaatregelen — versleuteling, toegangsbeheer, incidentrespons, kwetsbaarheidsbeheer; (2) Compliance en certificeringen — ISO 27001, SOC 2, AVG, NIS2-compliancestatus; (3) Gegevensverwerking — welke gegevens worden benaderd, waar ze worden opgeslagen, hoe ze worden beschermd, bewaar- en verwijderingspraktijken; (4) Bedrijfscontinuïteit — disaster recovery, back-upprocedures, SLA-garanties; (5) Financiële stabiliteit — risico dat insolventie van de leverancier de dienstverlening beïnvloedt; (6) Onderaannemersrisico — of de leverancier uitbesteedt aan aanvullende derden.

Hoe scoort u leveranciersrisico?

Leveranciersrisicoscoring gebruikt doorgaans een matrix die twee dimensies combineert: (1) Inherent risico — gebaseerd op het type en volume van benaderde gegevens, kriticiteit van de dienst en regelgevingsgevoeligheid (beoordeeld als Laag/Gemiddeld/Hoog/Kritiek); (2) Effectiviteit van maatregelen — gebaseerd op de beveiligingsmaatregelen, certificeringen en auditresultaten van de leverancier (beoordeeld als Sterk/Adequaat/Zwak/Onvoldoende). De combinatie levert een restrisicoscore op die het vereiste goedkeuringsniveau, de monitoringfrequentie en eventuele aanvullende maatregelen bepaalt.

Is een leveranciersrisicobeoordeling vereist voor ISO 27001?

Ja. ISO 27001:2022 Annex A Maatregel 5.19 (Informatiebeveiliging in leveranciersrelaties) vereist dat organisaties de informatiebeveiligingsrisico's verbonden aan het gebruik van leveranciersproducten en -diensten identificeren en beheren. Maatregel 5.20 (Informatiebeveiliging behandelen in leveranciersovereenkomsten) vereist dat beveiligingsvereisten worden vastgesteld en overeengekomen met elke leverancier. Maatregel 5.21 (Informatiebeveiliging beheren in de ICT-toeleveringsketen) breidt dit uit naar de gehele toeleveringsketen. Samen vereisen deze maatregelen een formeel leveranciersrisicobeoordelingsproces.

Wat vereist NIS2 voor leveranciersrisicobeoordeling?

NIS2 Artikel 21(2)(d) vereist dat essentiële en belangrijke entiteiten 'beveiliging van de toeleveringsketen implementeren, inclusief beveiligingsgerelateerde aspecten betreffende de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners.' Dit betekent dat organisaties de beveiliging van hun leveranciers moeten beoordelen, de kwetsbaarheden specifiek voor elke leverancier moeten overwegen en de algehele kwaliteit van producten en cyberbeveiligingspraktijken van leveranciers moeten evalueren. NIS2 vereist ook het overwegen van de resultaten van gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens.

Hoe vaak moeten leveranciersrisicobeoordelingen worden bijgewerkt?

De beoordelingsfrequentie moet risicogebaseerd zijn: kritieke leveranciers (toegang tot gevoelige gegevens, essentiële diensten) moeten jaarlijks en na elk beveiligingsincident opnieuw worden beoordeeld. Hoog-risicoleveranciers moeten elke 12-18 maanden opnieuw worden beoordeeld. Standaard leveranciers moeten elke 2 jaar opnieuw worden beoordeeld. Laag-risicoleveranciers hoeven mogelijk alleen elke 3 jaar of bij contractwijzigingen opnieuw te worden beoordeeld. Continue monitoring (beveiligingsratings, inbreukmeldingen, certificeringsstatus) vult periodieke herbeoordelingen aan.

Leveranciersrisicobeoordeling: hoe u de beveiliging van derden evalueert in 2026

Published 7 mrt 2026

By Emre Salmanoglu

Leveranciersrisicobeoordeling: hoe u de beveiliging van derden evalueert in 2026

Een praktische gids over leveranciersrisicobeoordelingen — wat ze zijn, wanneer u ze uitvoert, wat u evalueert, hoe u leveranciersrisico scoort, en hoe u voldoet aan ISO 27001-, NIS2- en DORA-vereisten voor derden.

Leveranciersrisicobeoordeling

Risico's van derden

ISO 27001

NIS2

DORA

Toeleveringsketenbeveiliging

Due diligence

Leveranciersrisicobeoordeling: hoe u de beveiliging van derden evalueert in 2026

Een leveranciersrisicobeoordeling evalueert de beveiligings-, compliance- en operationele risico's die een externe leverancier aan uw organisatie introduceert. Het is het proces dat bepaalt of u een leverancier kunt vertrouwen met uw gegevens, de gegevens van uw klanten of toegang tot uw systemen — en welke maatregelen nodig zijn om het risico te beheersen als u dat doet.

Elk belangrijk complianceframework vereist het: ISO 27001 (Annex A 5.19-5.21), NIS2 (Artikel 21(2)(d)), DORA (Artikelen 28-30) en SOC 2 (CC9.2). Maar verder dan compliance zijn leveranciersrisicobeoordelingen wat voorkomt dat de beveiliging van uw organisatie slechts zo sterk is als uw zwakste leverancier.

Deze gids behandelt hoe u leveranciersrisicobeoordelingen uitvoert, wat u evalueert, hoe u risico scoort en hoe u een proces bouwt dat schaalt.

Waarom leveranciersrisicobeoordeling belangrijk is

Het toeleveringsketenprobleem

Uw beveiligingsperimeter eindigt niet bij uw firewall. Elke leverancier met toegang tot uw gegevens of systemen vergroot uw aanvalsoppervlak. Het patroon is welbekend:

Leveranciers met geprivilegieerde toegang worden toegangspunten voor aanvallers
Gegevens die met leveranciers worden gedeeld worden onderworpen aan hun beveiligingsmaatregelen, niet de uwe
Downtime bij leveranciers wordt uw downtime wanneer diensten nauw geïntegreerd zijn
Compliance-tekortkomingen bij leveranciers worden uw tekortkomingen wanneer toezichthouders uw toeleveringsketen onderzoeken

Regelgevingsdruk

Europese regelgeving heeft leveranciersrisicobeoordeling verplicht gesteld:

NIS2 Artikel 21(2)(d) — Toeleveringsketenbeveiliging is een van tien verplichte risicobeheermaatregelen
DORA Artikelen 28-30 — Gedetailleerde vereisten voor ICT-risicobeheer van derden, inclusief risicobeoordeling vóór contractering
ISO 27001 Annex A 5.19-5.21 — Drie maatregelen specifiek gericht op leveranciersbeveiliging
AVG Artikel 28 — Verwerkingsverantwoordelijken mogen alleen verwerkers inschakelen die voldoende garanties bieden voor passende technische en organisatorische maatregelen

Wanneer een leveranciersrisicobeoordeling uitvoeren

Pre-contractueel (due diligence)

Vóór het tekenen van een contract met een leverancier die:

Uw gegevens opent, verwerkt of opslaat
Verbinding maakt met uw interne systemen of netwerken
Diensten levert die kritiek zijn voor uw bedrijfsvoering
Persoonsgegevens namens u verwerkt

Periodieke beoordeling

Tijdens de leveranciersrelatie:

Kritieke leveranciers — Jaarlijks
Hoog-risicoleveranciers — Elke 12-18 maanden
Standaard leveranciers — Elke 2 jaar
Laag-risicoleveranciers — Elke 3 jaar of bij contractverlenging

Getriggerde beoordeling

Bij significante wijzigingen:

Leverancier ervaart een beveiligingsincident of datalek
Reikwijdte van toegang of diensten van de leverancier verandert
Leverancier ondergaat een fusie, overname of significante organisatorische wijziging
Nieuwe regelgevingsvereisten treden in werking
Certificerings- of auditstatus van de leverancier verandert

Wat te evalueren

1. Informatiebeveiligingsmaatregelen

Beoordeel de technische en organisatorische beveiligingsmaatregelen van de leverancier:

Gebied	Wat te evalueren
Toegangsbeheer	Authenticatiemethoden, rolgebaseerde toegang, geprivilegieerde toegangscontroles, toegangsbeoordelingen
Versleuteling	Gegevens in rust, gegevens in transit, sleutelbeheer, gebruikte versleutelingsstandaarden
Netwerkbeveiliging	Segmentatie, firewallbeleid, inbraakdetectie, DDoS-bescherming
Kwetsbaarheidsbeheer	Scanfrequentie, patchtermijnen, penetratietestcadans
Incidentrespons	Responsplan, meldingstermijnen, communicatieprocedures
Logging en monitoring	Bewaarperiode auditlogs, monitoringcapaciteiten, anomaliedetectie

2. Compliance en certificeringen

Verifieer de compliancehouding van de leverancier:

Certificeringen — ISO 27001, SOC 2 Type II, ISO 27701
Auditrapportages — Meest recente SOC 2-rapportage, ISO 27001-surveillanceauditresultaten
Regelgevingscompliance — AVG, NIS2, DORA-status
Penetratietestresultaten — Datum, scope en herstelstatus van meest recente test
Compliance-tekortkomingen — Bekende non-conformiteiten of herstelplannen

3. Gegevensverwerking

Begrijp hoe de leverancier uw gegevens beheert:

Gegevensclassificatie — Hoe zij verschillende gegevenstypen categoriseren en beschermen
Gegevenslocatie — Waar gegevens worden opgeslagen en verwerkt (regio's, datacentra)
Gegevensresidentie — Of gegevens binnen vereiste jurisdicties blijven (EU, specifieke landen)
Subverwerking — Of de leverancier gegevens deelt met aanvullende derden
Bewaring en verwijdering — Hoe lang gegevens worden bewaard en hoe ze veilig worden verwijderd
Portabiliteit — Hoe gegevens kunnen worden geëxporteerd wanneer de relatie eindigt

4. Bedrijfscontinuïteit

Evalueer de veerkracht van de leverancier:

Disaster recovery — Hersteltijd- en herstelpuntdoelstellingen (RTO/RPO)
Back-upprocedures — Frequentie, testen, geografische spreiding
Redundantie — Infrastructuurredundantie, failovercapaciteiten
SLA-garanties — Uptimeverplichtingen en gevolgen bij schending
Exitstrategie — Gegevensmigratie-ondersteuning, transitiehulp, opzegtermijnen

5. Financiële en operationele stabiliteit

Beoordeel de levensvatbaarheid van de leverancier:

Financiële gezondheid — Omzettrends, financieringsstatus, winstgevendheidsindicatoren
Marktpositie — Klantenbestand, branchereputatie, concurrentiepositie
Operationele volwassenheid — Teamgrootte, afhankelijkheid van sleutelpersonen, procesvolwassenheid
Verzekering — Cyberaansprakelijkheidsverzekeringsdekking en limieten

6. Onderaannemersrisico

Evalueer de eigen toeleveringsketen van de leverancier:

Subverwerkerlijst — Op wie de leverancier vertrouwt voor kritieke diensten
Subverwerkersbeoordeling — Hoe de leverancier zijn eigen toeleveranciers evalueert
Meldingsproces — Hoe u wordt geïnformeerd over wijzigingen in subverwerkers
Contractuele doorwerking — Of beveiligingsvereisten doorwerken naar subverwerkers

Hoe u leveranciersrisico scoort

Stap 1: Inherent risico bepalen

Inherent risico is het risiconiveau vóór overweging van de maatregelen van de leverancier. Het is gebaseerd op de aard van de relatie:

Factor	Laag	Gemiddeld	Hoog	Kritiek
Gegevensgevoeligheid	Alleen openbare gegevens	Interne gegevens	Vertrouwelijke gegevens	Gereguleerde persoonsgegevens
Gegevensvolume	Minimaal	Matig	Significant	Grootschalige verwerking
Systeemtoegang	Geen directe toegang	Alleen-lezen toegang	Lees-schrijf toegang	Administratieve toegang
Dienstkriticiteit	Leuk om te hebben	Belangrijk	Bedrijfskritiek	Essentiële bedrijfsvoering
Vervangbaarheid	Eenvoudig te wisselen	Enige inspanning	Moeilijk	Lock-in risico

Stap 2: Effectiviteit van maatregelen evalueren

Effectiviteit van maatregelen meet hoe goed de leverancier het inherente risico beperkt:

Sterk — Gecertificeerd (ISO 27001, SOC 2 Type II), schone auditrapportages, volwassen processen
Adequaat — Goede maatregelen aanwezig, enkele certificeringen, regelmatig testen
Zwak — Basismaatregelen, geen certificeringen, beperkt bewijs
Onvoldoende — Significante tekortkomingen, geen bewijs van maatregelen, onresponsief op verzoeken

Stap 3: Restrisico berekenen

Restrisico combineert inherent risico met effectiviteit van maatregelen:

	Sterke maatregelen	Adequate maatregelen	Zwakke maatregelen	Onvoldoende maatregelen
Kritiek inherent	Hoog	Hoog	Kritiek	Kritiek
Hoog inherent	Gemiddeld	Hoog	Hoog	Kritiek
Gemiddeld inherent	Laag	Gemiddeld	Hoog	Hoog
Laag inherent	Laag	Laag	Gemiddeld	Hoog

Stap 4: Acties bepalen

Elk restrisico-niveau triggert specifieke acties:

Laag — Goedkeuren, standaardmonitoring, periodieke beoordeling
Gemiddeld — Goedkeuren met voorwaarden, aanvullende maatregelen kunnen vereist zijn, regelmatige monitoring
Hoog — Goedkeuring door hoger management vereist, verplichte aanvullende maatregelen, frequente monitoring
Kritiek — Goedkeuring door directie vereist, alternatieven overwegen, continue monitoring, risico moet formeel worden geaccepteerd

Een schaalbaar proces opbouwen

Gelaagde beoordelingsaanpak

Niet elke leverancier heeft dezelfde diepte van beoordeling nodig. Gebruik een gelaagde aanpak:

Laag 1 — Volledige beoordeling (Kritieke en hoog-risicoleveranciers)

Uitgebreide beveiligingsvragenlijst
Onafhankelijke verificatie (auditrapportages, certificeringen, penetratietestresultaten)
Beoordeling ter plaatse of virtueel indien gerechtvaardigd
Risicoscoring en formele risicoacceptatie

Laag 2 — Standaard beoordeling (Gemiddeld-risicoleveranciers)

Beveiligingsvragenlijst
Certificerings- en complianceverificatie
Risicoscoring

Laag 3 — Lichte beoordeling (Laag-risicoleveranciers)

Basis beveiligingschecklist
Beoordeling van openbare compliance-informatie

Bewijsbronnen

Vertrouw niet uitsluitend op zelfrapportage van leveranciers. Gebruik meerdere bewijsbronnen:

Beveiligingsvragenlijsten — De eigen antwoorden van de leverancier (basisinput)
Certificeringen — ISO 27001-certificaten, SOC 2-rapportages (onafhankelijke verificatie)
Trust Centers — Gepubliceerde beveiligingsdocumentatie en compliancebewijs
Beveiligingsratings — Externe risicoscoringsdiensten
Contractuele bepalingen — Beveiligingsclausules, SLA's, verwerkersovereenkomsten
Continue monitoring — Doorlopende beoordeling tussen periodieke beoordelingen

Veelgemaakte fouten

Beoordeling behandelen als eenmalige gebeurtenis. Leveranciersrisico verandert voortdurend — certificeringen verlopen, incidenten doen zich voor, leveranciers wijzigen subverwerkers. Bouw periodieke herbeoordeling en continue monitoring in.
Alleen vertrouwen op vragenlijstantwoorden. Zelfbeoordeling door leveranciers is noodzakelijk maar onvoldoende. Verifieer claims met certificeringen, auditrapportages en onafhankelijk bewijs.
Alle leveranciers op dezelfde manier beoordelen. Een SaaS-leverancier die klantgegevens verwerkt heeft een andere beoordeling nodig dan een leverancier van kantoorbenodigdheden. Gelaagde beoordeling voorkomt zowel over- als onderbeoordeling.
Geen opvolging van geïdentificeerde risico's. Risico's vinden is alleen nuttig als u herstel bijhoudt. Documenteer geïdentificeerde tekortkomingen, afgesproken hersteltermijnen en verificatie van oplossingen.
Subverwerkerrisico negeren. De leveranciers van uw leveranciers maken deel uit van uw toeleveringsketen. NIS2 en DORA vereisen expliciet dat de gehele keten wordt overwogen, niet alleen directe leveranciers.

Voldoen aan frameworkvereisten

ISO 27001

Annex A-maatregelen 5.19-5.21 vereisen:

Een beleid voor het beheren van leveranciersrelaties (5.19)
Beveiligingsvereisten vastgesteld en overeengekomen met leveranciers (5.20)
Informatiebeveiliging beheren in de ICT-toeleveringsketen (5.21)

Benodigd bewijs: leveranciersbeoordelingsregistraties, beveiligingsbeleid voor leveranciers, contractuele beveiligingsclausules, documentatie van periodieke beoordelingen.

NIS2

Artikel 21(2)(d) vereist maatregelen voor toeleveringsketenbeveiliging inclusief:

Beveiligingsgerelateerde beoordelingen van directe leveranciers en dienstverleners
Overweging van leverancierspecifieke kwetsbaarheden
Evaluatie van cyberbeveiligingspraktijken van leveranciers
Overweging van gecoördineerde beveiligingsrisicobeoordelingen van toeleveringsketens

DORA

Artikelen 28-30 stellen gedetailleerde vereisten voor ICT-risicobeheer van derden vast:

Pre-contractuele beoordeling van ICT-dienstverleners van derden
Belangrijke contractuele bepalingen voor ICT-diensten
Doorlopende monitoring van ICT-risico van derden
Exitstrategieën voor kritieke ICT-diensten

Van beoordeling naar bewijs

Leveranciersrisicobeoordelingen genereren waardevol compliancebewijs — maar alleen als ze goed worden gedocumenteerd en toegankelijk zijn:

Beoordelingsregistraties — Ingevulde vragenlijsten, risicoscores, goedkeuringsbeslissingen
Verificatiedocumenten — Certificaten, auditrapportages, samenvattingen van penetratietesten
Risicobehandeling — Gedocumenteerde beslissingen over risicoacceptatie, vereiste aanvullende maatregelen
Monitoringregistraties — Doorlopende beoordelingsresultaten, incidentmeldingen, veranderingen in certificeringsstatus

Een Trust Center stroomlijnt beide zijden van leveranciersbeoordeling — publiceer uw eigen beveiligingsbewijs voor beoordelingen door uw klanten, en raadpleeg leveranciersdocumentatie voor uw eigen due diligence.

Hoe Orbiq leveranciersrisicobeoordelingen ondersteunt

Trust Center: Publiceer uw beveiligingshouding, certificeringen en compliancebewijs zodat uw klanten uw risico kunnen beoordelen zonder handmatige vragenlijstrondes
AI-gestuurde vragenlijsten: Beantwoord automatisch inkomende leveranciersbeoordelingsvragenlijsten met behulp van uw geverifieerde compliancebewijs
Continue monitoring: Volg de certificeringsstatus, beveiligingswijzigingen en compliance-tekortkomingen van leveranciers tussen beoordelingen
Bewijsbeheer: Centraliseer documentatie van leveranciersbeoordelingen, auditrapportages en risicoacceptatieregistraties

Verder lezen

Software voor leveranciersrisicobeoordeling: Complete kopershandleiding — Platformvergelijking met prijzen, NIS2/DORA-dekking en EU-gegevensopslag voor kopers 2026
Leveranciersrisicobeheer: De complete gids — VRM-programma opbouwen, toolsvergelijking en EU-regelgevingsvereisten
Risicobeheer van derden — Een uitgebreid TPRM-programma opbouwen
Informatiebeveiligingsbeleid — Het basisdocument voor beveiligingsvereisten aan leveranciers
NIS2-toeleveringsketenbeveiliging — De specifieke toeleveringsketenvereisten van NIS2
Compliance-automatisering — Bewijsverzameling automatiseren voor leveranciersbeoordelingen

Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.