Onze leverancier scoorde een 9 in de audit. En toch ging het mis.

Geschreven door

admin

in

Auditresultaat: 0. Risico-inschatting: laag. Conclusie: alles onder controle.
Totdat de productie stilvalt. Of klantdata uitlekt. Of er wéér een storing is. En ineens blijkt die ‘9’ niet zo geruststellend als gedacht.

In deze blog lees je waarom een goed auditrapport van je leverancier geen garantie is voor werkelijke veiligheid, en hoe je voorkomt dat je leveranciersbeoordelingen vooral compliance-theater worden.

Het leek waterdicht, tot het fout ging

Een technisch dienstverlener in de energiesector werkte samen met een IT-partner die ISO 27001-gecertificeerd was. Die partner scoorde een 9,3 in de jaarlijkse leveranciersbeoordeling. Alle vinkjes stonden op groen. Toch ging het mis.

Wat bleek?
Het cloudplatform waarop zij klantdata hostten, inclusief netwerkinformatie en gebruikersgegevens, viel buiten de scope van hun ISO-certificering. In het auditrapport stond keurig vermeld: “Deze omgeving is operationeel, maar valt buiten de ISMS-scope.” Alleen: niemand heeft dat gelezen. En niemand heeft gevraagd wat dat in de praktijk betekende.

Toen de cloudomgeving werd getroffen door een ransomware-aanval, was er geen noodscenario. Geen back-upplan. En geen aansprakelijkheid, want: de risico’s waren niet besproken, laat staan vastgelegd in een contract.

Waarom een 9 geen garantie is

We vertrouwen graag op auditcijfers, certificaten en beoordelingslijsten. Een hoge score voelt veilig. Maar een score vertelt niets over:

  • Welke processen en systemen precies onder die audit vallen.
  • Welke maatregelen werkelijk effectief zijn – en voor jouw situatie relevant.
  • Wat de leverancier niet heeft geregeld, of wat jij zelf moet aanvullen.
  • Hoe snel en adequaat wordt gehandeld als het wél misgaat.
  • Of er juridische afspraken zijn die aansluiten op de feitelijke risico’s (zoals DPA’s, exit-clausules of SLA’s).

Een audit is een momentopname. En dat moment zegt niets over de praktijk van morgen, volgende week of volgend kwartaal. Toch vertrouwen veel organisaties op die momentopnames als basis voor hun leveranciersstrategie. Zo ontstaat compliance zonder context, ofwel: compliance-theater.

De veelgemaakte denkfout

De meeste organisaties stellen wél eisen aan leveranciers (“moet ISO-gecertificeerd zijn”, “moet aanleveren voor de audit”), maar vergeten drie essentiële vragen:

  • Waar raakt deze leverancier mijn kritieke processen of gegevens?
  • Wat is de impact als deze leverancier faalt, en wie merkt dat als eerste?
  • Hebben wij aanvullende maatregelen genomen om dát risico af te dekken?

Zonder deze drie vragen loop je het risico dat je je risicobeoordeling uitbesteedt aan de marketingafdeling van je leverancier. En dat is – op z’n zachtst gezegd – geen geruststellend vooruitzicht.

Excel werkt niet voor structurele beoordeling

Veel organisaties beheren leveranciersinformatie nog in Excel of SharePoint-lijstjes. Je kunt daar wel vinkjes bijhouden, maar:

  • Je weet niet aan welke bedrijfsmiddelen of processen de leverancier gekoppeld is.
  • Risico’s blijven abstract: er is geen directe relatie met impact of context.
  • Incidenten worden niet automatisch meegenomen in je beoordeling.
  • Audits worden elk jaar opnieuw opgebouwd, in plaats van structureel bijgehouden.
  • Er is geen koppeling tussen risicoanalyse, contractbeheer en maatregelen.

Zo blijft leveranciersbeoordeling statisch. Je vult jaarlijks een lijst in, scoort een 8,7 en gaat verder. Tot het misgaat.

Hoe CompliTrack dit voorkomt

CompliTrack is een lichtgewicht GRC-tool die leveranciers structureel koppelt aan je organisatie:

  • Koppel leveranciers aan bedrijfsmiddelen, processen of datatypes.
  • Voer risicoanalyses uit per leverancier, afgestemd op jouw situatie.
  • Krijg realtime inzicht in maatregelen, certificaten, SLA’s en incidenthistorie.
  • Beoordeel de impact op continuïteit en compliance als een leverancier wegvalt.
  • Plan evaluatiemomenten automatisch in en berg opvolging.

Zo ontstaat niet alleen een vollediger beeld, maar ook een betere discussie met je leveranciers. Want een leverancier die op papier scoort, maar risico’s ontwijkt, krijgt geen 9 meer. Die krijgt een gesprek.

Wat als jij dit over het hoofd ziet?

Veel bedrijven hebben het niet in de gaten. Ze vertrouwen op de jaarlijkse vragenlijst, op de ISO-stempel, op het auditrapport in PDF-vorm. Tot er een storing is. Of een datalek. Of een leverancier ineens afhaakt.

De tijd om kritische vragen te stellen, is vóór de storing. Niet erna.

Dus: zorg dat je leveranciersbeoordeling niet stopt bij cijfers, maar begin met risico’s, processen en praktijk.

Meer weten?

Lees ook:

Een hoge score is mooi. Maar als je niet weet wat níet gemeten is, weet je ook niet wat je mist.
Wil je weten hoe je wél grip krijgt op leveranciersrisico’s? We laten het je graag zien, plan gerust een demo.

Reacties

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Meer berichten