Stel je voor: je leverancier scoort een 9,3 in je jaarlijkse beoordeling. Netjes. Je legt de score vast in Excel, checkt het vakje voor “beoordeeld” en gaat verder met je dag. Tot het misgaat. De dienst valt uit, een datalek ontstaat, of een project loopt vertraging op omdat je leverancier zijn afspraken niet nakomt. En ineens blijkt die 9,3 vooral gebaseerd op goede bedoelingen, en weinig onderbouwing.
Voor veel organisaties is dit herkenbaar. Leveranciersbeoordeling is vaak een verplichting op papier: een lijstje, een score en hop, klaar is Kees. Maar het echte doel van zo’n beoordeling? Grip krijgen op risico’s in je keten. Juist daar gaat het met Excel vaak mis.
In deze blog lees je waarom die klassieke aanpak tekortschiet, wat een moderne beoordeling wél inhoudt, en hoe je leveranciers structureel én risico gestuurd kunt beoordelen – zonder spreadsheets.
Waarom Excel tekortschiet bij leveranciersbeoordeling
Excel is laagdrempelig, maar het is niet ontworpen voor gestructureerd risicobeheer. Wat er in de praktijk gebeurt:
- Beoordelingen zonder context
Je weet niet wie toegang heeft tot welke systemen, data of processen. Iedereen scoort ‘voldoende’, maar niemand weet waarom. - Verouderde inzichten
Zodra je een Excelbestand opslaat, is het eigenlijk al achterhaald. Certificaten verlopen, prestaties veranderen, incidenten worden vergeten. - Geen structurele opvolging
Een leverancier scoort een 6 – en dan? Wie neemt actie? Wat moet er gebeuren? Excel heeft geen workflow, geen reminders, geen eigenaarschap. - Afhankelijkheid van personen
Eén medewerker weet hoe het bestand werkt. Tot die met vakantie gaat – of vertrekt.
Het resultaat? Je voldoet op papier aan je ISO 9001- of ISO 27001-verplichting, maar in de praktijk heb je weinig zicht op je echte kwetsbaarheden.
Wat een moderne leveranciersbeoordeling wél doet
Leveranciersbeoordeling is geen formaliteit, maar een onmisbaar onderdeel van je compliance- en risicostrategie. Zeker als je werkt met normen als ISO 9001, ISO 27001 of als je moet voldoen aan de NIS2.
Een slimme aanpak:
- Koppelt leveranciers aan bedrijfsmiddelen
Denk aan systemen, klantdata, infrastructuur of operationele processen. Een leverancier die je cloudomgeving beheert, vraagt om een andere beoordeling dan je koffieleverancier. - Beoordeelt op basis van risico’s
Niet elke leverancier is even kritisch. Beoordeel op impact: wie beïnvloedt je continuïteit, je informatiebeveiliging of je kwaliteit? - Kijkt verder dan een rapportcijfer
Beoordeel leveranciers niet alleen op algemene indruk, maar op actuele prestaties, incidenthistorie, certificering en contractuele naleving. - Is cyclisch en continu
Een eenmalige score is waardeloos zonder opvolging. Plan herbeoordelingen in, koppel acties aan uitkomsten en blijf monitoren. - Is aantoonbaar, gestructureerd en schaalbaar
Auditoren vragen niet of je iets hebt beoordeeld, maar hóé. Welke criteria? Welke acties zijn genomen? Welke risico’s zijn geïdentificeerd?
Praktijkvoorbeeld: waarom context alles is
Stel, je werkt met een externe IT-partner die jouw klantportaal beheert. Die partner scoort elk jaar een 8,5 in je Excel-beoordeling.
Maar…
- “Je weet niet meer of ze nog een geldige ISO 27001-certificering hebben.”
- “Je hebt geen zicht op incidenten die ze hebben meegemaakt.”
- “Ze beheren systemen die klantdata bevatten, maar dat is nergens gekoppeld.”
Als er een datalek ontstaat, kun je het niet terugleiden naar een actuele risico-inschatting.
Had je wél gewerkt met een systeem dat deze leverancier koppelt aan je kritieke systemen, dan had je direct gezien dat hier meer controle over was – en had je eerder kunnen bijsturen.
Hoe begin je zelf?
Een goede eerste stap richting structurele leveranciersbeoordeling is het koppelen van leveranciers aan je bedrijfsmiddelen. Denk hierbij aan:
- IT-systemen (zoals je CRM of klantportaal)
- Gevoelige datasets (klantgegevens, gezondheidsinformatie)
- Kernprocessen (productie, logistiek, support)
- Fysieke middelen (toegang tot kantoor, apparatuur)
Daarna: bepaal voor elk bedrijfsmiddel wat de impact is bij falen, en bepaal welk risico je accepteert. Hoe hoger de impact, hoe hoger de beoordelingsfrequentie en de eisen aan je leverancier.
Gebruik vervolgens tooling zoals CompliTrack om:
- Leveranciers te koppelen aan bedrijfsmiddelen
- Risicoanalyses automatisch uit te voeren
- Incidenten te registreren en te koppelen aan leveranciers
- Beoordelingen te plannen, acties toe te wijzen en opvolging te borgen
- Certificaten, contracten en prestaties inzichtelijk te houden
Waarom dit nú belangrijk is
De wereld verandert. Leveranciers hebben vaker directe toegang tot je informatie, je infrastructuur en je klanten. En dat betekent: hun fouten worden jouw risico’s.
Tegelijkertijd worden de eisen strenger:
- ISO 9001 vraagt om objectieve en herhaalbare leveranciersbeoordeling
- ISO 27001 stelt eisen aan beheersmaatregelen voor derde partijen
- NIS2 eist aantoonbare controle over je toeleveringsketen
Met andere woorden: je kunt het je niet veroorloven om leveranciersbeoordeling te blijven zien als een Excel-ritueel.
Van incident naar inzicht: een echt voorbeeld
Een middelgroot IT-bedrijf – klant van ons – gebruikte jarenlang een jaarlijkse vragenlijst in Excel om leveranciers te beoordelen. Eén van hun leveranciers scoorde altijd keurig een 9. Tot bleek dat deze leverancier geen actuele ISO-certificering meer had én toegang had tot klantdata. Na een incident was er geen duidelijk zicht op wie waarvoor verantwoordelijk was.
Sindsdien gebruiken ze CompliTrack om leveranciers structureel te koppelen aan systemen, risico’s en maatregelen. Beoordelingen zijn nu risico gestuurd, geautomatiseerd en gekoppeld aan incidenthistorie. En audits? Die doorstaan ze nu zonder gedoe, en met vertrouwen.
Klaar om afscheid te nemen van Excel?
Leveranciersbeoordeling hoeft geen corvee te zijn. Het kan je juist helpen om risico’s te verkleinen, audits soepel te laten verlopen en je organisatie soepeler en veerkrachtiger te maken.
Wil je verder lezen? Bekijk dan ook:
- Onze leverancier scoorde een 9 in de audit. En toch ging het mis.
- Van spreadsheets naar gestructureerd risicobeheer
Of: plan direct een vrijblijvende demo. Dan laten we je zien hoe je met één centrale tool leveranciersbeoordeling wél overzichtelijk, efficiënt en impactvol maakt.
Geef een reactie