Agnes beoordeelt leveranciers met een checklist en risicoscores

Hoe doe je een risicoanalyse van leveranciers? (Stappenplan voor MKB)

NIS2, Compliance, MKB

Je leveranciers kennen is de eerste stap

Hoeveel leveranciers heeft jouw bedrijf? En van hoeveel weet je precies welke data ze verwerken of tot welke systemen ze toegang hebben?

Bij de meeste MKB-bedrijven is het antwoord: "We weten het niet helemaal." En dat is precies waar het risico zit. Niet omdat die leveranciers per se onbetrouwbaar zijn, maar omdat je het niet kunt aantonen als iemand ernaar vraagt.

Of dat nu een auditor is, een klant met een vragenlijst, of je eigen IT-afdeling na een incident.

In dit artikel lopen we stap voor stap door een risicoanalyse van je leveranciers. Geen theoretisch model, maar een werkbaar proces dat je deze week kunt starten.

Waarom je leveranciers risico's beoordeelt (niet alleen voor NIS2)

De voor de hand liggende reden: de AVG en NIS2 verwachten het van je. Als verwerkingsverantwoordelijke ben je verantwoordelijk voor partijen die namens jou persoonsgegevens verwerken. En supply chain security is een expliciet onderdeel van NIS2 Artikel 21.

Maar er zijn ook praktische redenen. Steeds meer klanten stellen vragen over jouw leveranciers in compliance-vragenlijsten. En als er een lek plaatsvindt bij een leverancier? Dat is ook jouw probleem.

Los van regelgeving: als je niet weet wie wat doet met welke data, kun je niet inschatten waar je kwetsbaar bent. Dat maakt een risicoanalyse vooral een praktisch hulpmiddel, niet alleen een verplichting.

Stap 1: Maak een lijst van al je leveranciers

Dit klinkt simpel, maar hier gaat het bij de meeste bedrijven al mis. Leveranciers worden ad hoc aangeschaft, tools worden door individuele teams gekozen, en niemand houdt centraal bij wat er draait.

Begin met een inventarisatie:

  • SaaS-tools: CRM, e-mailmarketing, HR-software, boekhouding, projectmanagement
  • Hostingpartijen: cloud providers, datacenters, CDN-diensten
  • Dienstverleners: accountant, salarisadministratie, schoonmaakbedrijf, beveiliging
  • Fysieke leveranciers: hardware, printers met netwerkverbinding, telefonieproviders

Vraag elk team welke tools en diensten zij dagelijks gebruiken. Je zult waarschijnlijk verrast worden door het aantal.

Tip: in ComplianceHive kun je al je leveranciers centraal registreren en direct koppelen aan de data die ze verwerken.

Stap 2: Bepaal welke leveranciers toegang hebben tot gevoelige data of systemen

Niet elke leverancier is even risicovol. Je kantoorleverancier die papier bezorgt, is een ander verhaal dan je HR-platform dat salarisgegevens beheert.

Maak onderscheid tussen:

| Type | Voorbeeld | Risiconiveau | |------|-----------|--------------| | Geen datatoegang | Kantoorbenodigdheden, cateraar | Laag | | Beperkte datatoegang | Projectmanagementtool (namen, e-mails) | Midden | | Brede datatoegang | HR-systeem, CRM, boekhoudsoftware | Hoog | | Systeemtoegang | Cloud hosting, IT-beheerder, SSO-provider | Hoog |

De vraag is steeds: heeft deze leverancier toegang tot persoonsgegevens? En zo ja, hoe gevoelig zijn die?

Stap 3: Scoor elk risico (gebruik dit eenvoudige raamwerk)

Nu je weet welke leveranciers data verwerken, kun je het risico scoren. Gebruik drie assen:

1. Datagevoeligheid - Welk type data verwerkt de leverancier?

  • Laag (1): alleen zakelijke contactgegevens
  • Midden (2): klantdata, financiele gegevens
  • Hoog (3): gezondheidsdata, BSN, strafrechtelijke gegevens

2. Toegangsniveau - Hoe diep zit de leverancier in je systemen?

  • Laag (1): geen directe toegang, ontvangt alleen exports
  • Midden (2): beperkte toegang via API of portaal
  • Hoog (3): volledige systeemtoegang of beheerdersrechten

3. Leveranciersvolwassenheid - Hoe goed is de leverancier zelf georganiseerd?

  • Laag risico (1): ISO 27001 gecertificeerd, transparant, goede DPA
  • Midden risico (2): heeft een privacybeleid, DPA op verzoek
  • Hoog risico (3): geen zichtbaar beleid, weigert DPA, onduidelijke datalocatie

Totale risicoscore: tel de drie scores op.

| Score | Risiconiveau | Actie | |-------|-------------|-------| | 3-4 | Laag | Jaarlijkse review volstaat | | 5-6 | Midden | Halfjaarlijkse check, DPA verplicht | | 7-9 | Hoog | Kwartaalreview, extra contractuele afspraken, stel concrete eisen |

Dit is geen wetenschappelijk model. Maar het geeft je een werkbare methode om onderscheid te maken en je aandacht te richten op de leveranciers die er het meest toe doen.

Stap 4: Prioriteer en onderneem actie

Je hebt nu een overzicht met risicoscores. De volgende stap is actie ondernemen bij de leveranciers met de hoogste scores.

Dat kan betekenen dat je een verwerkersovereenkomst (DPA) opvraagt als die ontbreekt. Of dat je aanvullende beveiligingseisen in het contract laat opnemen. Soms is de juiste actie een alternatief zoeken, bijvoorbeeld als een leverancier niet meewerkt aan je vragen over dataverwerking. En bij sommige leveranciers kun je het risico verkleinen door toegangsrechten te beperken.

Begin met de top 5 van je hoogst scorende leveranciers. Je hoeft niet alles tegelijk op te lossen. Het gaat erom dat je kunt laten zien dat je een systematische aanpak hebt.

Stap 5: Leg het vast en houd het bij

Dit is waar veel bedrijven stoppen. Ze doen de analyse, maken een spreadsheet, en dat document verdwijnt vervolgens in een la.

Een risicoanalyse is geen eenmalige actie. Leveranciers veranderen, je toolstack groeit, en nieuwe regels komen erbij. De spreadsheet die je in januari maakt, is in juni al verouderd als je hem niet bijhoudt.

Wat je moet vastleggen:

  • Datum van de beoordeling
  • Risicoscore per leverancier
  • Genomen maatregelen
  • Datum voor de volgende review
  • Eventuele opmerkingen of aandachtspunten

Bij een audit wil je dit dossier binnen een paar minuten kunnen laten zien. Niet: "Dat staat ergens op de gedeelde schijf." Maar: "Hier is het overzicht, met de laatste update van vorige maand."

ComplianceHive biedt een leveranciersregister waarin je per leverancier risicocategorie, DPA-status en reviewdata bijhoudt, zodat je altijd een actueel overzicht hebt.

Wat NIS2 specifiek van je verwacht

NIS2 Artikel 21 noemt supply chain security als een van de verplichte beveiligingsmaatregelen. Concreet betekent dat:

  • Je toeleveringsketen in kaart brengen
  • Risico's per leverancier beoordelen
  • Contractuele afspraken maken over beveiliging
  • Dit periodiek herhalen en bijhouden

Het gaat niet om een perfect systeem. Het gaat erom dat je kunt aantonen dat je er structureel mee bezig bent. Kun je bij een controle laten zien welke leveranciers je hebt beoordeeld, wanneer, en wat je hebt afgesproken? Dan zit je goed.

Lees ook: de AVG-kant van leveranciersbeheer voor een compleet beeld.

Begin vandaag met je eerste leveranciersinventarisatie

Een risicoanalyse van leveranciers hoeft niet ingewikkeld te zijn. Maak de lijst, scoor de risico's, en pak de grootste hiaten als eerste aan. De perfecte analyse bestaat niet. Een gedocumenteerde aanpak wel, en die is altijd beter dan niets.

Start je gratis proefperiode van ComplianceHive en beheer al je leveranciers op een plek. Zo weet je bij elke audit precies waar je staat. Probeer het 30 dagen gratis.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis