Leveranciersbeheer software voor AVG en NIS2

Veelvoorkomende knelpunten in leveranciersbeheer AVG

De meeste organisaties beginnen met een spreadsheet. Maar zodra je tien, twintig of meer leveranciers hebt, wordt het snel onoverzichtelijk. Een leverancier heeft al jarenlang toegang tot je data terwijl het contract allang verlopen is. Bij een datalek weet niemand direct wie het aanspreekpunt is bij die ene verwerker. Twee afdelingen beheren dezelfde leverancier apart, met tegenstrijdige afspraken als gevolg.

Dat zijn niet alleen organisatorische ergernissen. Onder de AVG ben je als verwerkingsverantwoordelijke verplicht om met elke verwerker die persoonsgegevens namens jou verwerkt een verwerkersovereenkomst te sluiten (artikel 28 AVG). Geen overzicht van je verwerkers betekent geen overzicht van je verplichtingen.

Het wordt concreet als de Autoriteit Persoonsgegevens langskomt en vraagt: geef ons een overzicht van al je verwerkers. Je hebt 48 uur. Wie heeft dan direct het antwoord klaar?

• Geen volledig overzicht van actieve verwerkers en hun datatoegang.
• Verwerkersovereenkomsten verspreid over mailboxen en gedeelde mappen.
• Onvoldoende opvolging van herbeoordelingen en contractverlengingen.
• Lastige voorbereiding op klantvragen, audits en interne controles.

Denk aan welke software je dagelijks gebruikt: cloudopslag zoals Google Workspace of AWS, HR-tools als AFAS of Personio, je CRM (HubSpot, Salesforce), e-mailmarketingplatforms als Mailchimp of ActiveCampaign, en externe IT-beheerders. Al die partijen verwerken persoonsgegevens namens jou. Voor elk van hen heb je een verwerkersovereenkomst nodig.

Stel dat de Autoriteit Persoonsgegevens aanklopt en binnen 48 uur een volledig overzicht vraagt van al je verwerkers. Niet alleen een lijstje namen. Ze willen zien welke gegevens elke verwerker verwerkt, welke beveiligingsmaatregelen er gelden en waar de verwerkersovereenkomst is opgeslagen. Kun je dat leveren? Wie dat overzicht al heeft, staat sterk. Wie ermee begint, weet tenminste waar de witte vlekken zitten.

Eén workflow voor privacy en leveranciersrisico

ComplianceHive combineert privacy-informatie, verantwoordelijkheden en controlepunten in één werkproces. Hierdoor werken legal, security en operations vanuit dezelfde bron en houd je regie op wijzigingen, ook als het team wisselt of een leverancier zijn voorwaarden aanpast.

Per leverancier leg je vast: het contract en de verwerkersovereenkomst, de contactpersoon, het toegangsniveau tot systemen en data, welke persoonsgegevens worden verwerkt, de risicoklasse, en de geplande reviewdatum. Één persoon is eigenaar van die leverancier en ontvangt automatisch een herinnering als de review vervalt. Geen "ik dacht dat jij dat bijhield."

De reviewfrequentie stel je in op basis van risico. Leveranciers met toegang tot klantdata of kritieke systemen beoordeel je vaker dan een leverancier van kantoorbenodigdheden. ComplianceHive past de herinneringen en taken daarop aan.

Je betaalt per tool, niet per gebruiker. Dat betekent dat je team kan groeien zonder dat je leveranciersbeheer als aparte kostenpost ziet. Geschikt voor teams die opschalen van 10 naar 100 medewerkers.

Zo zie je direct welke leveranciers extra aandacht nodig hebben en welke acties nog openstaan om AVG-verplichtingen aantoonbaar te borgen.

Niet elke leverancier vraagt dezelfde aandacht. Een cloudopslagdienst waar klantdata staat is een ander verhaal dan de leverancier van koffiebonen voor kantoor. Bij het toekennen van een risicoklasse kijk je naar een paar concrete zaken: verwerkt de leverancier bijzondere categorieën persoonsgegevens (medische data, BSN-nummers)? Vindt er doorgifte plaats buiten de EU of EER? Heeft de leverancier toegang tot kritieke bedrijfssystemen? Hoe meer je met "ja" antwoordt, hoe hoger het risico en hoe vaker je die leverancier beoordeelt.

ComplianceHive laat je beide risicoklassen in dezelfde workflow beheren. Je stelt per klasse een reviewfrequentie in. Hoog-risico leveranciers beoordeel je bijvoorbeeld elk kwartaal, laag-risico eens per jaar. De herinneringen en taken passen zich automatisch aan.

Leveranciersbeheer onder NIS2: wat verandert er?

De AVG regelt leveranciersbeheer vanuit het perspectief van persoonsgegevens. Maar er komt een tweede laag aan: NIS2. De Richtlijn (EU) 2022/2555 vereist dat organisaties de beveiligingsrisico's in hun toeleveringsketen actief beheren: niet alleen directe leveranciers, maar ook sub-processors en ICT-dienstverleners.

Het verschil met AVG: de AVG gaat primair over persoonsgegevens. NIS2 gaat over cyberrisico's en bedrijfscontinuïteit. In de praktijk overlappen ze sterk, omdat de meeste SaaS-leveranciers en IT-dienstverleners zowel persoonsgegevens verwerken als invloed hebben op je systemen en processen.

De Nederlandse Cyberbeveiligingswet, de nationale implementatie van NIS2 die naar verwachting medio 2026 in werking treedt, maakt deze verplichting concreet. De praktische vraag voor mkb-organisaties: welke van mijn leveranciers hebben toegang tot kritieke systemen? Zijn zij aantoonbaar bezig met cyberbeveiliging? Lees meer in onze blog over leveranciersbeheer onder NIS2.

ComplianceHive's leveranciersbeheermodule is de basis voor zowel AVG- als NIS2-leveranciersrisicobeheer. Je legt hetzelfde overzicht eenmaal vast en gebruikt het voor beide verplichtingen.

Artikel 21 van de NIS2-richtlijn is hier het meest concreet: het verplicht organisaties om de beveiliging van hun toeleveringsketen actief te beheren. Dat gaat verder dan alleen je directe leveranciers. Je moet ook in kaart brengen welke risico's je loopt via de leveranciers van je leveranciers, en welke beveiligingsafspraken er in de keten gelden. Voor Nederlandse mkb-bedrijven wordt dit relevant zodra je levert aan een organisatie die wel NIS2-plichtig is. Die klant zal contractueel van jou verwachten dat je kunt aantonen hoe je beveiliging geregeld hebt.

Met de Cyberbeveiligingswet (verwacht medio 2026) worden deze verplichtingen wettelijk verankerd. Je moet een actueel overzicht hebben van leveranciers met toegang tot je netwerk of data, je moet periodiek beoordelen of hun beveiligingsmaatregelen nog voldoen, en je moet incidenten in de keten snel kunnen traceren. Hoe eerder je daar structuur in aanbrengt, hoe minder werk het is als de wet in werking treedt.

Uw AVG-verplichtingen rond leveranciersbeheer

Artikel 28 AVG verplicht elke verwerkingsverantwoordelijke om met verwerkers (leveranciers die namens jou persoonsgegevens verwerken) een verwerkersovereenkomst te sluiten. Dat geldt voor elke leverancier die toegang heeft tot persoonsgegevens van medewerkers, klanten of prospects: HR-tools, CRM-systemen, cloudopslag, e-mailmarketingplatforms, externe IT-beheerders.

Artikel 30 AVG vereist daarnaast dat je in je verwerkingsregister ook de betrokken verwerkers vastlegt, inclusief eventuele doorgifte buiten de EU. Wie zijn de sub-processors van je cloudleverancier? Staat data mogelijk op servers in de VS of buiten de EER? Dat moet je kunnen aantonen.

De consequentie van niet-naleving is niet alleen een boete van de Autoriteit Persoonsgegevens. Bij een datalek via een verwerker kun je ook aansprakelijk zijn richting betrokkenen als je niet kunt aantonen dat je passende contractuele en organisatorische maatregelen had genomen.

Veelgestelde vragen over AVG-leveranciersbeheer

Welke leveranciers vallen onder de AVG als verwerker?

Een leverancier is een verwerker als hij persoonsgegevens verwerkt namens jouw organisatie. Denk aan: cloudopslagdiensten, HR-software, CRM-systemen, e-mailmarketingtools, externe IT-beheerders. Leveranciers die alleen eigen diensten verlenen zonder toegang tot jouw klant- of medewerkerdata zijn in principe geen verwerker.

Wat moet er in een verwerkersovereenkomst staan voor de AVG?

Minimaal: de aard en het doel van de verwerking, welke persoonsgegevens en categorieën betrokkenen het betreft, verplichtingen en rechten van de verwerkingsverantwoordelijke, en de getroffen beveiligingsmaatregelen. Artikel 28 lid 3 AVG geeft de volledige lijst. ComplianceHive bevat een module voor verwerkersovereenkomsten als onderdeel van leveranciersbeheer.

Hoe houd ik overzicht van leveranciers bij groei van mijn bedrijf?

Spreadsheets worden snel onoverzichtelijk zodra je meer dan 10-15 leveranciers hebt. Een centrale tool met eigenaarschap per leverancier, automatische herinneringen en een auditlog geeft je op elk moment een actueel overzicht, ook als er personeel wisselt of contracten aflopen.

Geldt NIS2 leveranciersbeheer ook voor mijn bedrijf als ik niet direct NIS2-plichtig ben?

Mogelijk wel. Als jij leverancier bent van een NIS2-plichtige organisatie, kunnen die organisaties contractuele beveiligingseisen aan jou stellen. Hoe eerder je je leveranciersbeheer op orde hebt, hoe sterker je positie in aanbestedingen en klantgesprekken.

Wat is het verschil tussen een verwerker en een sub-verwerker onder de AVG?

Een sub-verwerker is de partij die jouw verwerker inschakelt om persoonsgegevens namens jou te verwerken. Voorbeeld: je CRM-leverancier draait op AWS-infrastructuur, waardoor AWS sub-verwerker wordt. Artikel 28 lid 2 AVG schrijft voor dat je verwerker jouw toestemming nodig heeft voordat hij een sub-verwerker inschakelt. Vooral bij clouddiensten is het belangrijk om te weten welke sub-verwerkers er zijn en of zij buiten de EU of EER opereren. In ComplianceHive leg je sub-verwerkers vast per leverancier.

Kan ik mijn leveranciersbeheer ook gebruiken voor klantaudits en aanbestedingen?

Klanten in gereguleerde sectoren en aanbestedingsteams vragen steeds vaker om een leveranciersregister als bewijs van zorgvuldigheid. ComplianceHive maakt een overzichtelijke export voor auditdocumentatie en offertetrajecten. Een gestructureerd, actueel leveranciersregister versterkt je positie in klantgesprekken en aanbestedingen.