Tag: Leveranciersbeheer

  • Wanneer je risico’s buiten je organisatie beginnen: leveranciersbeheer als basis voor grip

    Wanneer je risico’s buiten je organisatie beginnen: leveranciersbeheer als basis voor grip

    Veel organisaties hebben hun interne zaken redelijk op orde. Rollen zijn verdeeld, verantwoordelijkheden benoemd en risico’s besproken. Er is nagedacht over wat er binnen de organisatie kan misgaan en hoe daarop wordt gestuurd. Tot het moment dat er iets gebeurt bij een leverancier. Dan wordt zichtbaar hoe relatief die interne grip eigenlijk is.

    Steeds vaker ontstaan de grootste risico’s niet binnen de eigen organisatie, maar daarbuiten. Bij partijen waar dagelijks op wordt vertrouwd, maar waar zelden structureel bij wordt stilgestaan. Leveranciersbeheer is daarmee geen administratief onderwerp meer, maar een essentieel onderdeel van goed bestuur en beheersing.

    De verschuiving van risico’s naar buiten

    De afgelopen jaren is het werk van organisaties fundamenteel veranderd. Taken worden uitbesteed, systemen draaien extern en specialistische kennis ligt steeds vaker bij derden. Dat is geen bewuste strategie om risico’s te verplaatsen, maar een logisch gevolg van schaal, digitalisering en specialisatie.

    IT wordt geleverd als dienst. Applicaties draaien in de cloud. Externe partijen beheren data, ondersteunen klantprocessen of leveren cruciale functionaliteiten waarop de organisatie zelf nauwelijks nog invloed heeft. Tegelijkertijd blijft de verwachting bestaan dat dienstverlening beschikbaar, betrouwbaar en uitlegbaar blijft.

    Die afhankelijkheden ontstaan meestal geleidelijk. Ze worden zelden expliciet ontworpen, maar groeien mee met keuzes die op zichzelf logisch zijn. Een leverancier die ooit ondersteunend was, wordt ongemerkt kritisch. Een tijdelijke oplossing wordt structureel. En een externe partij wordt de enige die een bepaald proces echt begrijpt.

    Zolang alles werkt, voelt dat comfortabel. Er is weinig aanleiding om vragen te stellen. Pas wanneer een klant zekerheid vraagt, een incident zich voordoet of een audit scherper doorvraagt, blijkt hoe weinig overzicht er eigenlijk is op al die afhankelijkheden.

    Leverancierbeheer als governancevraagstuk

    Leveranciersbeheer wordt vaak gezien als iets operationeels. Contracten, afspraken, prestaties en evaluaties. In de kern gaat het echter over vertrouwen en verantwoordelijkheid.

    De relevante vraag is niet of een leverancier “goed” presteert, maar of je kunt uitleggen waarom deze partij wordt vertrouwd. En of helder is welke risico’s daarbij horen. Keuzes die buiten de organisatie worden gemaakt, hebben vaak directe impact op betrouwbaarheid, continuïteit en reputatie. De verantwoordelijkheid daarvoor blijft intern liggen.

    Zonder structureel leveranciersbeheer ontbreekt dat overzicht. Dan worden keuzes wel gemaakt, maar zijn ze achteraf moeilijk te verklaren. Niet omdat ze per se verkeerd waren, maar omdat niemand expliciet heeft vastgelegd waarom ze logisch leken op dat moment.

    De valkuil van eenmalig beoordelen

    In veel organisaties bestaat leveranciersbeoordeling wel degelijk. Vaak bij aanvang van de samenwerking of bij contractverlenging. De beoordeling wordt vastgelegd, besproken en daarna opgeborgen.

    Het probleem zit niet in het beoordelen zelf, maar in het idee dat één moment voldoende is. Risico’s veranderen. Leveranciers breiden hun dienstverlening uit, nemen andere partijen in de keten op, of wijzigen hun manier van werken. Tegelijkertijd verandert ook de organisatie zelf, waardoor afhankelijkheden verschuiven.

    Een beoordeling die geen vervolg kent, geeft vooral een gevoel van zekerheid. Op papier is alles geregeld, maar niemand kan aangeven of aannames nog kloppen. Wanneer niet zichtbaar is hoe actueel een beoordeling is, ontstaat schijncontrole. Er is documentatie, maar weinig grip.

    Niet elke leverancier is even kritisch

    Een veelgemaakte fout is dat alle leveranciers gelijk worden behandeld. Dat leidt tot twee ongewenste effecten. Ofwel er ontstaat onnodige administratieve last voor partijen die weinig risico vormen. Ofwel de aandacht voor echt kritische leveranciers verwatert.

    Effectief leveranciersbeheer begint bij onderscheid maken. Welke leveranciers raken kernprocessen? Welke hebben toegang tot gevoelige informatie? Welke zijn lastig te vervangen zonder directe impact op dienstverlening?

    Zodra dat onderscheid helder is, verschuift het gesprek. Dan gaat het minder over formulieren en meer over afhankelijkheid en impact. Dat gesprek is soms ongemakkelijker, maar ook veel waardevoller dan een uniforme beoordeling die niets zegt over prioriteit.

    Waarom eenvoud beter werkt dan perfectie

    Er bestaat een hardnekkig idee dat leveranciersbeheer complex moet zijn om serieus genomen te worden. Dat leidt tot uitgebreide modellen, uitgebreide vragenlijsten en theoretisch perfecte beoordelingskaders die in de praktijk nauwelijks worden gebruikt.

    Wat daadwerkelijk werkt, is eenvoud en herhaalbaarheid. Dat dezelfde vragen periodiek worden gesteld. Dat keuzes worden vastgelegd, ook als ze niet ideaal zijn. En dat zichtbaar is wanneer een beoordeling is gedaan en wanneer niet.

    Een eenvoudige structuur die consequent wordt gebruikt, levert meer grip op dan een perfect model dat alleen tijdens audits wordt geraadpleegd. Juist in organisaties waar compliance geen aparte discipline is, maar onderdeel van het dagelijkse werk, is dat verschil bepalend.

    Van individuele leverancier naar ketenbewustzijn

    Wie leveranciersbeheer structureel oppakt, merkt al snel dat het onderwerp breder wordt. Het gaat niet alleen meer over afzonderlijke partijen, maar over de keten als geheel.

    Leveranciers zijn zelf ook afhankelijk van andere partijen. Meerdere leveranciers kunnen dezelfde onderliggende dienst gebruiken. Een verstoring op één plek kan daardoor onverwacht veel impact hebben. Dat maakt risico’s cumulatief in plaats van geïsoleerd.

    Ketenbewustzijn betekent dat deze samenhang zichtbaar wordt. Niet door alles te analyseren, maar door te begrijpen waar afhankelijkheden elkaar raken. Dat vraagt geen ingewikkelde modellen, maar wel aandacht en periodieke reflectie op de vraag waar kwetsbaarheden samenkomen.

    Vertrouwen vraagt onderbouwing

    Leveranciersbeheer draait uiteindelijk om vertrouwen. Niet het naïeve vertrouwen dat alles wel goed geregeld is, maar het onderbouwde vertrouwen dat gebaseerd is op inzicht en bewuste keuzes.

    Organisaties die dit op orde hebben, hoeven minder uit te leggen wanneer er iets misgaat. Ze weten waar hun kwetsbaarheden zitten en kunnen laten zien waarom bepaalde keuzes zijn gemaakt. Dat maakt het verschil tussen reactief handelen en regie houden.

    Juist daarom past leveranciersbeheer binnen compliance. Niet als verplicht nummer, maar als manier om grip te houden op wat je zelf niet volledig beheerst.

    Afronding

    Risico’s stoppen niet bij de grenzen van de eigen organisatie. Ze lopen door in de keten van leveranciers, partners en externe partijen waarop dagelijks wordt vertrouwd. Leveranciersbeheer is de manier om die risico’s zichtbaar en bespreekbaar te maken.

    Niet door alles dicht te regelen, maar door bewust om te gaan met afhankelijkheden. Organisaties die dat doen, bouwen niet alleen aan compliance, maar ook aan betrouwbaarheid.

    Verder lezen

  • Ketenrisico’s in kleine organisaties: waarom het verder gaat dan leveranciersbeheer

    Ketenrisico’s in kleine organisaties: waarom het verder gaat dan leveranciersbeheer

    Veel organisaties richten hun aandacht vooral op de leveranciers waar zij formele afspraken mee hebben. Er zijn contracten, SLA’s en terugkerende evaluaties die moeten aantonen dat alles onder controle is. Toch ontstaan de grootste verstoringen zelden bij deze partijen. Problemen komen juist van een heel andere hoek: de externe ontwikkelaar die een cruciale module onderhoudt, het bureau dat klantgegevens bewaart zonder dat dit expliciet is afgesproken of de partner die wijzigingen doorvoert zonder vooraf overleg.

    Dit zijn geen uitzonderlijke situaties. Ze laten zien dat ketenrisico’s veel verder reiken dan traditionele leveranciersrelaties. Ze raken aan kennis, toegang, continuïteit en zelfs cultuur. En juist omdat deze risico’s buiten de formele processen vallen, blijven ze vaak onzichtbaar tot het misgaat.

    In eerdere blogs hebben we al verkend hoe je leveranciers beoordeelt en risico’s beheerst. In deze blog kijken we verder. Wat gebeurt er wanneer je de hele keten in beeld brengt, en hoe krijg je daar grip op zonder het zwaar te maken.

    1. De keten is groter dan je leverancierslijst

    Wanneer mensen over ketenbeheer praten, denken ze vaak aan leveranciers waar facturen vandaan komen. De praktijk is anders. Veel organisaties werken met tijdelijke experts, nichepartners en freelancers die onderdeel zijn van de dienstverlening, maar niet worden gezien als formele leverancier.

    Denk aan een externe ontwikkelaar die toegang heeft tot productiedata. Een adviseur die inlogt op interne omgevingen. Of een creatief bureau dat klantinformatie ontvangt om een campagne te bouwen. Hoewel deze partijen een directe rol spelen in processen, staan ze meestal niet in een risicomatrix of leveranciersregister.

    Dat maakt de keten kwetsbaar. Wanneer een externe specialist uitvalt, vertrek aankondigt of simpelweg tijdelijk niet beschikbaar is, kan een proces volledig stilvallen. Niet omdat het systeem faalt, maar omdat er afhankelijkheden bestaan die nooit zijn vastgelegd.

    2. Afhankelijkheden moeten eerst zichtbaar zijn

    Ketenrisico’s kun je pas beoordelen wanneer je weet wie invloed heeft op je processen. Dat vraagt niet om uitgebreide documentatie, maar om een helder beeld van de externe partijen die in jouw organisatie meedraaien.

    Een goede inventarisatie begint bij drie eenvoudige vragen:

    • Welke externe partijen raken processen, systemen of informatie.
    • Wat gebeurt er wanneer hun werk wegvalt.
    • Welke afspraken bestaan er al en welke worden alleen in de praktijk gemaakt.

    Zodra je deze vragen beantwoordt, ontstaat er een duidelijk beeld van waar de echte kwetsbaarheden zitten. Je ziet welke werkzaamheden door één persoon worden uitgevoerd, waar kennis niet is gedeeld en welke processen afhankelijk zijn van informele afspraken. Dat inzicht maakt het mogelijk om risico’s te beheersen voordat ze zich voordoen.

    3. Risico’s in de keten zijn vaak menselijk

    Veel ketenrisico’s ontstaan niet door techniek, maar door gedrag. Een externe specialist die meerdere projecten combineert, een partner die wijzigingen doorvoert zonder melding of een dienstverlener die blijft vertrouwen op verouderde middelen. Het zijn kleine beslissingen die grote gevolgen kunnen hebben.

    In een eerdere blog beschreven we hoe gedrag bepalend is voor de effectiviteit van compliance. Dat geldt ook in de keten. Contracten zijn belangrijk, maar ze bepalen niet of iemand zorgvuldig werkt, kennis overdraagt of wijzigingen actief communiceert. Dat hangt af van gewoonten, verwachtingen en samenwerking.

    Daarom is het bij ketenrisico’s belangrijk om niet uitsluitend naar afspraken te kijken, maar ook naar de manier waarop externen hun werk uitvoeren. Hoeveel kennis ligt bij één persoon. Is het werk goed gedocumenteerd. Kan iemand anders het proces overnemen. Deze vragen bepalen hoe robuust de keten in werkelijkheid is.

    4. Een eenvoudige risicoanalyse voor je keten

    Grip krijgen op ketenrisico’s hoeft niet complex te zijn. Een lichte risicoanalyse kan al voldoende inzicht geven om structurele risico’s te verkleinen. Daarbij helpt het om vijf elementen te beoordelen:

    1. Externe partijen
      Breng alle partijen in kaart die invloed hebben op jouw processen, systemen of informatie.
    2. Geraakte onderdelen
      Noteer welke activiteiten of applicaties afhankelijk zijn van deze partijen.
    3. Impact bij uitval
      Onderzoek wat er stagneert wanneer een externe partij tijdelijk wegvalt.
    4. Toegang en beveiliging
      Bepaal welke accounts, systemen en data toegankelijk zijn voor deze partij.
    5. Vervangbaarheid
      Bekijk hoe snel iemand anders het werk kan overnemen.

    Dit overzicht geeft een realistisch beeld van waar de keten kwetsbaar is. De kracht zit in eenvoud: hoe duidelijker het beeld, hoe gemakkelijker het wordt om maatregelen te nemen zonder een zware beheersstructuur op te tuigen.

    5. Toegang door externen: het meest onderschatte risico

    Wanneer externe partijen toegang hebben tot systemen of data, ontstaat een risico dat vaak pas wordt opgemerkt wanneer iets misgaat. Accounts blijven bestaan nadat een project is afgerond. Toegang wordt niet herzien wanneer rollen veranderen. Of een partij werkt met gedeelde wachtwoorden omdat dat in de praktijk eenvoudiger is.

    Dit is geen technisch probleem, maar een organisatorische keuze. Wie toegang heeft, bepaalt in grote mate de beveiliging van je keten. In eerdere blogs over informatiebeveiliging beschreven we hoe derde partijen expliciet risico’s introduceren, vooral wanneer zij toegang hebben tot gevoelige informatie of kritische systemen.

    Daarom is het belangrijk om te weten welke toegang externen hebben, waarom zij die toegang nodig hebben en hoe lang die toegang relevant blijft. Door dit periodiek te controleren, verklein je een van de meest voorkomende kwetsbaarheden binnen de keten.

    6. NIS2 maakt ketenverantwoordelijkheid concreet

    Niet elke organisatie valt onder NIS2. Voor bedrijven die wel binnen de richtlijn vallen, geldt een duidelijke verplichting: zij moeten kunnen aantonen dat zij risico’s in de keten herkennen, beoordelen en monitoren.

    Dat betekent in de praktijk dat organisaties:

    • Externe partijen moeten opnemen in hun risicoanalyse;
    • Beveiligingsmaatregelen moeten afstemmen op de rol en toegang van deze partijen;
    • Incidenten moeten onderzoeken wanneer die impact hebben op de dienstverlening;
    • Continuïteit binnen de keten moeten borgen.

    NIS2 maakt hiermee zichtbaar wat in de praktijk allang relevant is: organisaties zijn verantwoordelijk voor de risico’s die ontstaan door partijen waarmee zij samenwerken. Voor bedrijven die niet formeel onder de richtlijn vallen, blijft dit een waardevol kader om grip te krijgen op hun keten en risico’s beheersbaar te houden.

    7. In vijf stappen naar meer grip op je keten

    Een praktisch ketenbeheerproces hoeft niet zwaar of tijdrovend te zijn. De volgende vijf stappen werken in vrijwel elke organisatie:

    1. Breng alle externe partijen in kaart, inclusief freelancers, nichepartijen en tijdelijke specialisaten.
    2. Koppel elke partij aan processen, systemen of informatie die zij raken.
    3. Bepaal wat er gebeurt wanneer een partij tijdelijk wegvalt.
    4. Controleer welke toegang externen hebben en stel vast waarom die toegang nodig is.
    5. Herhaal de beoordeling jaarlijks of wanneer een rol, project of samenwerking verandert.

    In deze stappen ontstaat structuur zonder dat het proces complex wordt. Door klein te beginnen en de beoordeling consequent te herhalen, krijgt de keten een steviger fundament.

    Conclusie

    Ketenrisico’s gaan verder dan leveranciers. Ze raken je dienstverlening, beveiliging, continuïteit en reputatie. De kwetsbaarheden zitten vaak in partijen die niet in formele processen zijn opgenomen, maar wél een directe rol spelen in jouw operatie. Door inzicht te krijgen in deze afhankelijkheden, toegang van externen te beheersen en risico’s periodiek te beoordelen, bouw je een keten die minder gevoelig is voor verstoringen.

    Het gaat er niet om elke situatie volledig te beheersen. Het belangrijkste is dat je weet waar de risico’s zitten en dat je deze stap voor stap verkleint. Daarmee ontstaat een keten die wendbaar, transparant en beter voorbereid is op de toekomst.

    Verder lezen

    Effectieve leveranciersbeoordeling met CompliTrack
    Hoe je leveranciers koppelt aan bedrijfsmiddelen en risico’s binnen ISO 9001 en ISO 27001.

    Wat is NIS2 en hoe beïnvloedt het jouw ISMS?
    Waarom NIS2 organisaties dwingt om risico’s in de toeleveringsketen serieus te nemen.

    Van incident naar verbetering
    Hoe organisaties incidenten gebruiken om risico’s in de keten structureel te verkleinen.

    Van spreadsheets naar gestructureerd risicobeheer
    Waarom Excel tekortschiet voor leveranciers- en ketenbeoordelingen.

    Leveranciers beoordelen zonder Excel: zo krijg je grip op risico’s
    Praktische verdieping op leveranciers- en ketenafhankelijkheden

  • Onze keten leek veilig, tot één freelancer ons bedrijf stillegde

    Onze keten leek veilig, tot één freelancer ons bedrijf stillegde

    Waarom kleine afhankelijkheden grote gevolgen kunnen hebben

    Deze casus is een samengesteld praktijkvoorbeeld. Het is geen situatie die bij ons of onze klanten heeft plaatsgevonden, maar gebaseerd op patronen die we in veel organisaties zien.

    Het was dinsdagochtend, iets na negen. Een klant meldde dat hij niet kon inloggen. Dat gebeurt wel eens, meestal lost het zich vanzelf op. Maar binnen enkele minuten kwamen meer meldingen. Het ticketsysteem vulde zich, medewerkers konden niet meer bij hun documenten en het gevoel van “het zal zo wel over zijn” maakte plaats voor spanning.

    Binnen een kwartiertje lag een belangrijk deel van de dienstverlening stil.

    Er was geen aanval, geen grote storing bij een leverancier en niemand had iets verkeerd ingesteld.

    De oorzaak bleek een freelance ontwikkelaar te zijn die een jaar eerder een klein script had geschreven. Dat script was ongemerkt een cruciale rol gaan spelen in het loginproces. Niemand wist dat het bestond. Niemand beheerde het. En de betreffende freelancer was op vakantie, zonder bereik.

    In één klap werd zichtbaar hoe kwetsbaar een organisatie kan zijn wanneer een kleine schakel wegvalt.

    Het echte probleem zat niet in het script, maar in het ontbreken van inzicht

    De storing was vervelend, maar wat vooral bleef hangen was het ongemak. Niet omdat er iets misging – dat gebeurt overal – maar omdat we niet wisten:

    • Wie verantwoordelijk was
    • Waar de documentatie stond
    • Hoe dit script in het proces was beland
    • Wie dit kon overnemen

    Er was geen inzicht en dus geen eigenaarschap. Zonder eigenaarschap is er geen controle en zonder controle geen continuïteit.

    In veel organisaties werkt het precies zo. Niet bewust, maar omdat systemen, mensen en processen organisch groeien. Een specialist die “even iets bouwt”. Een consultant die tijdelijk toegang krijgt. Een partner die een API-koppeling toevoegt. Het voelt allemaal klein en tijdelijk, totdat het dat niet meer is.

    Zoals we eerder al beschreven in De risicoanalyse: een onmisbaar instrument voor elke ondernemer, worden veel risico’s pas zichtbaar wanneer ze realiteit worden.

    Waarom kleine afhankelijkheden zo vaak onder de radar blijven

    Ketenrisico’s worden meestal geassocieerd met grote leveranciers. Daar is vaak wel iets voor geregeld: contracten, afspraken, certificaten, periodieke evaluaties.

    Maar de kleine schakels vallen vaak buiten het zicht. Ze staan niet in een leverancierslijst, hebben geen eigen risicoanalyse en worden niet meegenomen in audits. Ze zijn er gewoon ineens; betrouwbaar, behulpzaam en belangrijker dan iemand denkt.

    Organisaties die geen volledige compliance-afdeling hebben en waar mensen meerdere petten dragen, herkennen dit vaak. Veel kennis zit in hoofden. Veel keuzes worden pragmatisch gemaakt. En veel kleine afhankelijkheden ontstaan zonder dat iemand ze echt ziet.

    Dat is geen schuldvraag. Het is precies hoe organisaties werken wanneer iedereen het druk heeft en systemen elke week een stukje veranderen.

    De storing was een signaal: dit had voorkomen kunnen worden

    Toen duidelijk werd dat één script verantwoordelijk was voor de uitval, ontstond er een nieuw inzicht: niet dat er iets misging, maar dat we niet wisten welke risico’s al die tijd al aanwezig waren.

    Bij het terugkijken bleek:

    • Dat er meerdere freelancers toegang hadden tot productie.
    • Dat sommige koppelingen nooit formeel waren vastgelegd.
    • Dat documentatie niet aansloot op de huidige werkelijkheid.
    • Dat processen afhankelijk waren van één persoon.
    • Dat niemand het totaaloverzicht had.

    Het ging dus niet om het script, maar om het systeem eromheen.

    Wat wél helpt: structuur zonder gedoe

    Ketenrisico’s in kaart brengen hoeft geen groot project te zijn. Het begint met helderheid: wie raakt welke processen en systemen?

    Stap1: Breng alle externe partijen in kaart

    Niet alleen leveranciers met een contract, maar iedereen die invloed heeft op je systemen en processen. Ook kleine opdrachten kunnen grote afhankelijkheden worden.

    Onze eerdere blog over leveranciersbeoordeling laat goed zien waarom dit nodig is.

    Stap 2: Koppel partijen aan processen, systemen en gegevens

    Een naam zegt niets zonder context. Pas als je weet wat iemand raakt, zie je welke impact er ontstaat bij uitval.

    Dit sluit aan op wat we beschreven in Hoe een ISMS en ISO 27001 beschermen tegen cyberrisico’s: overzicht ontstaat door koppeling, niet door losse lijntjes.

    Stap 3: Maak een eenvoudige risico-inschatting

    Geen uitgebreide methodiek. Drie vragen volstaan:

    • Wat gebeurt er als deze persoon morgen stopt?
    • Wat gebeurt er als deze dienst tijdelijk niet beschikbaar is?
    • Wat gebeurt er als deze partij toegang heeft tot gegevens of systemen zonder toezicht?

    Het doel is bewustzijn, niet perfectie.

    Stap 4: Wijs eigenaarschap toe

    Elke applicatie, elk proces en elke integratie heeft een eigenaar nodig. Niet iemand die alles zelf uitvoert, maar iemand die verantwoordelijk is voor het overzicht.

    Stap 5: Leg documentatie en fallback vast

    Het gaat niet om dikke handboeken. Een paar concrete punten zijn genoeg:

    • Waar de code of configuratie staat,
    • Wie het kan overnemen,
    • Hoe het proces werkt bij uitval

    In onze blog over business continuity laten we zien hoe je dat slim en lichtgewicht kunt organiseren.

    Wat je vandaag al kunt doen

    Veel organisaties willen beginnen, maar weten niet goed waar. Het helpt om het klein te houden. Bijvoorbeeld:

    1. Maak één korte lijst met alle externe partijen die iets raken in je systemen.
    2. Noteer per partij welke processen of gegevens afhankelijk zijn van hun werk.
    3. Bepaal per partij wie intern de verantwoordelijke is.
    4. Herstel waar nodig de basisdocumentatie.
    5. Leg bij kritieke onderdelen vast wie het kan overnemen.

    Dit kost weinig tijd, maar geeft meteen grip. Het maakt afhankelijkheden zichtbaar die anders verborgen blijven.

    Het gaat niet om techniek. Het gaat om continuïteit.

    De storing van die dinsdagochtend duurde een paar uur. Het inzicht dat eruit voortkwam was waardevoller: kleine afhankelijkheden hebben grote gevolgen wanneer niemand ze ziet.

    Met een beetje structuur voorkom je dat één persoon, één script of één vergeten koppeling een keten breekt. Je hoeft geen grote afdeling te hebben of uitgebreide compliance programma’s te draaien. Met overzicht, eigenaarschap en een paar praktische stappen ontstaat de rust die nodig is om continuïteit te waarborgen.

    Verder lezen

  • Onze leverancier scoorde een 9 in de audit. En toch ging het mis.

    Onze leverancier scoorde een 9 in de audit. En toch ging het mis.

    Auditresultaat: 0. Risico-inschatting: laag. Conclusie: alles onder controle.
    Totdat de productie stilvalt. Of klantdata uitlekt. Of er wéér een storing is. En ineens blijkt die ‘9’ niet zo geruststellend als gedacht.

    In deze blog lees je waarom een goed auditrapport van je leverancier geen garantie is voor werkelijke veiligheid, en hoe je voorkomt dat je leveranciersbeoordelingen vooral compliance-theater worden.

    Het leek waterdicht, tot het fout ging

    Een technisch dienstverlener in de energiesector werkte samen met een IT-partner die ISO 27001-gecertificeerd was. Die partner scoorde een 9,3 in de jaarlijkse leveranciersbeoordeling. Alle vinkjes stonden op groen. Toch ging het mis.

    Wat bleek?
    Het cloudplatform waarop zij klantdata hostten, inclusief netwerkinformatie en gebruikersgegevens, viel buiten de scope van hun ISO-certificering. In het auditrapport stond keurig vermeld: “Deze omgeving is operationeel, maar valt buiten de ISMS-scope.” Alleen: niemand heeft dat gelezen. En niemand heeft gevraagd wat dat in de praktijk betekende.

    Toen de cloudomgeving werd getroffen door een ransomware-aanval, was er geen noodscenario. Geen back-upplan. En geen aansprakelijkheid, want: de risico’s waren niet besproken, laat staan vastgelegd in een contract.

    Waarom een 9 geen garantie is

    We vertrouwen graag op auditcijfers, certificaten en beoordelingslijsten. Een hoge score voelt veilig. Maar een score vertelt niets over:

    • Welke processen en systemen precies onder die audit vallen.
    • Welke maatregelen werkelijk effectief zijn – en voor jouw situatie relevant.
    • Wat de leverancier niet heeft geregeld, of wat jij zelf moet aanvullen.
    • Hoe snel en adequaat wordt gehandeld als het wél misgaat.
    • Of er juridische afspraken zijn die aansluiten op de feitelijke risico’s (zoals DPA’s, exit-clausules of SLA’s).

    Een audit is een momentopname. En dat moment zegt niets over de praktijk van morgen, volgende week of volgend kwartaal. Toch vertrouwen veel organisaties op die momentopnames als basis voor hun leveranciersstrategie. Zo ontstaat compliance zonder context, ofwel: compliance-theater.

    De veelgemaakte denkfout

    De meeste organisaties stellen wél eisen aan leveranciers (“moet ISO-gecertificeerd zijn”, “moet aanleveren voor de audit”), maar vergeten drie essentiële vragen:

    • Waar raakt deze leverancier mijn kritieke processen of gegevens?
    • Wat is de impact als deze leverancier faalt, en wie merkt dat als eerste?
    • Hebben wij aanvullende maatregelen genomen om dát risico af te dekken?

    Zonder deze drie vragen loop je het risico dat je je risicobeoordeling uitbesteedt aan de marketingafdeling van je leverancier. En dat is – op z’n zachtst gezegd – geen geruststellend vooruitzicht.

    Excel werkt niet voor structurele beoordeling

    Veel organisaties beheren leveranciersinformatie nog in Excel of SharePoint-lijstjes. Je kunt daar wel vinkjes bijhouden, maar:

    • Je weet niet aan welke bedrijfsmiddelen of processen de leverancier gekoppeld is.
    • Risico’s blijven abstract: er is geen directe relatie met impact of context.
    • Incidenten worden niet automatisch meegenomen in je beoordeling.
    • Audits worden elk jaar opnieuw opgebouwd, in plaats van structureel bijgehouden.
    • Er is geen koppeling tussen risicoanalyse, contractbeheer en maatregelen.

    Zo blijft leveranciersbeoordeling statisch. Je vult jaarlijks een lijst in, scoort een 8,7 en gaat verder. Tot het misgaat.

    Hoe CompliTrack dit voorkomt

    CompliTrack is een lichtgewicht GRC-tool die leveranciers structureel koppelt aan je organisatie:

    • Koppel leveranciers aan bedrijfsmiddelen, processen of datatypes.
    • Voer risicoanalyses uit per leverancier, afgestemd op jouw situatie.
    • Krijg realtime inzicht in maatregelen, certificaten, SLA’s en incidenthistorie.
    • Beoordeel de impact op continuïteit en compliance als een leverancier wegvalt.
    • Plan evaluatiemomenten automatisch in en berg opvolging.

    Zo ontstaat niet alleen een vollediger beeld, maar ook een betere discussie met je leveranciers. Want een leverancier die op papier scoort, maar risico’s ontwijkt, krijgt geen 9 meer. Die krijgt een gesprek.

    Wat als jij dit over het hoofd ziet?

    Veel bedrijven hebben het niet in de gaten. Ze vertrouwen op de jaarlijkse vragenlijst, op de ISO-stempel, op het auditrapport in PDF-vorm. Tot er een storing is. Of een datalek. Of een leverancier ineens afhaakt.

    De tijd om kritische vragen te stellen, is vóór de storing. Niet erna.

    Dus: zorg dat je leveranciersbeoordeling niet stopt bij cijfers, maar begin met risico’s, processen en praktijk.

    Meer weten?

    Lees ook:

    Een hoge score is mooi. Maar als je niet weet wat níet gemeten is, weet je ook niet wat je mist.
    Wil je weten hoe je wél grip krijgt op leveranciersrisico’s? We laten het je graag zien, plan gerust een demo.