Tag: leveranciersbeoordeling

  • Leveranciers beoordelen zonder Excel: zo krijg je écht grip op risico’s

    Leveranciers beoordelen zonder Excel: zo krijg je écht grip op risico’s

    Stel je voor: je leverancier scoort een 9,3 in je jaarlijkse beoordeling. Netjes. Je legt de score vast in Excel, checkt het vakje voor “beoordeeld” en gaat verder met je dag. Tot het misgaat. De dienst valt uit, een datalek ontstaat, of een project loopt vertraging op omdat je leverancier zijn afspraken niet nakomt. En ineens blijkt die 9,3 vooral gebaseerd op goede bedoelingen, en weinig onderbouwing.

    Voor veel organisaties is dit herkenbaar. Leveranciersbeoordeling is vaak een verplichting op papier: een lijstje, een score en hop, klaar is Kees. Maar het echte doel van zo’n beoordeling? Grip krijgen op risico’s in je keten. Juist daar gaat het met Excel vaak mis.

    In deze blog lees je waarom die klassieke aanpak tekortschiet, wat een moderne beoordeling wél inhoudt, en hoe je leveranciers structureel én risico gestuurd kunt beoordelen – zonder spreadsheets.

    Waarom Excel tekortschiet bij leveranciersbeoordeling

    Excel is laagdrempelig, maar het is niet ontworpen voor gestructureerd risicobeheer. Wat er in de praktijk gebeurt:

    • Beoordelingen zonder context
      Je weet niet wie toegang heeft tot welke systemen, data of processen. Iedereen scoort ‘voldoende’, maar niemand weet waarom.
    • Verouderde inzichten
      Zodra je een Excelbestand opslaat, is het eigenlijk al achterhaald. Certificaten verlopen, prestaties veranderen, incidenten worden vergeten.
    • Geen structurele opvolging
      Een leverancier scoort een 6 – en dan? Wie neemt actie? Wat moet er gebeuren? Excel heeft geen workflow, geen reminders, geen eigenaarschap.
    • Afhankelijkheid van personen
      Eén medewerker weet hoe het bestand werkt. Tot die met vakantie gaat – of vertrekt.

    Het resultaat? Je voldoet op papier aan je ISO 9001- of ISO 27001-verplichting, maar in de praktijk heb je weinig zicht op je echte kwetsbaarheden.

    Wat een moderne leveranciersbeoordeling wél doet

    Leveranciersbeoordeling is geen formaliteit, maar een onmisbaar onderdeel van je compliance- en risicostrategie. Zeker als je werkt met normen als ISO 9001, ISO 27001 of als je moet voldoen aan de NIS2.

    Een slimme aanpak:

    • Koppelt leveranciers aan bedrijfsmiddelen
      Denk aan systemen, klantdata, infrastructuur of operationele processen. Een leverancier die je cloudomgeving beheert, vraagt om een andere beoordeling dan je koffieleverancier.
    • Beoordeelt op basis van risico’s
      Niet elke leverancier is even kritisch. Beoordeel op impact: wie beïnvloedt je continuïteit, je informatiebeveiliging of je kwaliteit?
    • Kijkt verder dan een rapportcijfer
      Beoordeel leveranciers niet alleen op algemene indruk, maar op actuele prestaties, incidenthistorie, certificering en contractuele naleving.
    • Is cyclisch en continu
      Een eenmalige score is waardeloos zonder opvolging. Plan herbeoordelingen in, koppel acties aan uitkomsten en blijf monitoren.
    • Is aantoonbaar, gestructureerd en schaalbaar
      Auditoren vragen niet of je iets hebt beoordeeld, maar hóé. Welke criteria? Welke acties zijn genomen? Welke risico’s zijn geïdentificeerd?

    Praktijkvoorbeeld: waarom context alles is

    Stel, je werkt met een externe IT-partner die jouw klantportaal beheert. Die partner scoort elk jaar een 8,5 in je Excel-beoordeling.
    Maar…

    • “Je weet niet meer of ze nog een geldige ISO 27001-certificering hebben.”
    • “Je hebt geen zicht op incidenten die ze hebben meegemaakt.”
    • “Ze beheren systemen die klantdata bevatten, maar dat is nergens gekoppeld.”

    Als er een datalek ontstaat, kun je het niet terugleiden naar een actuele risico-inschatting.

    Had je wél gewerkt met een systeem dat deze leverancier koppelt aan je kritieke systemen, dan had je direct gezien dat hier meer controle over was – en had je eerder kunnen bijsturen.

    Hoe begin je zelf?

    Een goede eerste stap richting structurele leveranciersbeoordeling is het koppelen van leveranciers aan je bedrijfsmiddelen. Denk hierbij aan:

    • IT-systemen (zoals je CRM of klantportaal)
    • Gevoelige datasets (klantgegevens, gezondheidsinformatie)
    • Kernprocessen (productie, logistiek, support)
    • Fysieke middelen (toegang tot kantoor, apparatuur)

    Daarna: bepaal voor elk bedrijfsmiddel wat de impact is bij falen, en bepaal welk risico je accepteert. Hoe hoger de impact, hoe hoger de beoordelingsfrequentie en de eisen aan je leverancier.

    Gebruik vervolgens tooling zoals CompliTrack om:

    • Leveranciers te koppelen aan bedrijfsmiddelen
    • Risicoanalyses automatisch uit te voeren
    • Incidenten te registreren en te koppelen aan leveranciers
    • Beoordelingen te plannen, acties toe te wijzen en opvolging te borgen
    • Certificaten, contracten en prestaties inzichtelijk te houden

    Waarom dit nú belangrijk is

    De wereld verandert. Leveranciers hebben vaker directe toegang tot je informatie, je infrastructuur en je klanten. En dat betekent: hun fouten worden jouw risico’s.

    Tegelijkertijd worden de eisen strenger:

    • ISO 9001 vraagt om objectieve en herhaalbare leveranciersbeoordeling
    • ISO 27001 stelt eisen aan beheersmaatregelen voor derde partijen
    • NIS2 eist aantoonbare controle over je toeleveringsketen

    Met andere woorden: je kunt het je niet veroorloven om leveranciersbeoordeling te blijven zien als een Excel-ritueel.

    Van incident naar inzicht: een echt voorbeeld

    Een middelgroot IT-bedrijf – klant van ons – gebruikte jarenlang een jaarlijkse vragenlijst in Excel om leveranciers te beoordelen. Eén van hun leveranciers scoorde altijd keurig een 9. Tot bleek dat deze leverancier geen actuele ISO-certificering meer had én toegang had tot klantdata. Na een incident was er geen duidelijk zicht op wie waarvoor verantwoordelijk was.

    Sindsdien gebruiken ze CompliTrack om leveranciers structureel te koppelen aan systemen, risico’s en maatregelen. Beoordelingen zijn nu risico gestuurd, geautomatiseerd en gekoppeld aan incidenthistorie. En audits? Die doorstaan ze nu zonder gedoe, en met vertrouwen.

    Klaar om afscheid te nemen van Excel?

    Leveranciersbeoordeling hoeft geen corvee te zijn. Het kan je juist helpen om risico’s te verkleinen, audits soepel te laten verlopen en je organisatie soepeler en veerkrachtiger te maken.

    Wil je verder lezen? Bekijk dan ook:

    Of: plan direct een vrijblijvende demo. Dan laten we je zien hoe je met één centrale tool leveranciersbeoordeling wél overzichtelijk, efficiënt en impactvol maakt.

  • Onze leverancier scoorde een 9 in de audit. En toch ging het mis.

    Onze leverancier scoorde een 9 in de audit. En toch ging het mis.

    Auditresultaat: 0. Risico-inschatting: laag. Conclusie: alles onder controle.
    Totdat de productie stilvalt. Of klantdata uitlekt. Of er wéér een storing is. En ineens blijkt die ‘9’ niet zo geruststellend als gedacht.

    In deze blog lees je waarom een goed auditrapport van je leverancier geen garantie is voor werkelijke veiligheid, en hoe je voorkomt dat je leveranciersbeoordelingen vooral compliance-theater worden.

    Het leek waterdicht, tot het fout ging

    Een technisch dienstverlener in de energiesector werkte samen met een IT-partner die ISO 27001-gecertificeerd was. Die partner scoorde een 9,3 in de jaarlijkse leveranciersbeoordeling. Alle vinkjes stonden op groen. Toch ging het mis.

    Wat bleek?
    Het cloudplatform waarop zij klantdata hostten, inclusief netwerkinformatie en gebruikersgegevens, viel buiten de scope van hun ISO-certificering. In het auditrapport stond keurig vermeld: “Deze omgeving is operationeel, maar valt buiten de ISMS-scope.” Alleen: niemand heeft dat gelezen. En niemand heeft gevraagd wat dat in de praktijk betekende.

    Toen de cloudomgeving werd getroffen door een ransomware-aanval, was er geen noodscenario. Geen back-upplan. En geen aansprakelijkheid, want: de risico’s waren niet besproken, laat staan vastgelegd in een contract.

    Waarom een 9 geen garantie is

    We vertrouwen graag op auditcijfers, certificaten en beoordelingslijsten. Een hoge score voelt veilig. Maar een score vertelt niets over:

    • Welke processen en systemen precies onder die audit vallen.
    • Welke maatregelen werkelijk effectief zijn – en voor jouw situatie relevant.
    • Wat de leverancier niet heeft geregeld, of wat jij zelf moet aanvullen.
    • Hoe snel en adequaat wordt gehandeld als het wél misgaat.
    • Of er juridische afspraken zijn die aansluiten op de feitelijke risico’s (zoals DPA’s, exit-clausules of SLA’s).

    Een audit is een momentopname. En dat moment zegt niets over de praktijk van morgen, volgende week of volgend kwartaal. Toch vertrouwen veel organisaties op die momentopnames als basis voor hun leveranciersstrategie. Zo ontstaat compliance zonder context, ofwel: compliance-theater.

    De veelgemaakte denkfout

    De meeste organisaties stellen wél eisen aan leveranciers (“moet ISO-gecertificeerd zijn”, “moet aanleveren voor de audit”), maar vergeten drie essentiële vragen:

    • Waar raakt deze leverancier mijn kritieke processen of gegevens?
    • Wat is de impact als deze leverancier faalt, en wie merkt dat als eerste?
    • Hebben wij aanvullende maatregelen genomen om dát risico af te dekken?

    Zonder deze drie vragen loop je het risico dat je je risicobeoordeling uitbesteedt aan de marketingafdeling van je leverancier. En dat is – op z’n zachtst gezegd – geen geruststellend vooruitzicht.

    Excel werkt niet voor structurele beoordeling

    Veel organisaties beheren leveranciersinformatie nog in Excel of SharePoint-lijstjes. Je kunt daar wel vinkjes bijhouden, maar:

    • Je weet niet aan welke bedrijfsmiddelen of processen de leverancier gekoppeld is.
    • Risico’s blijven abstract: er is geen directe relatie met impact of context.
    • Incidenten worden niet automatisch meegenomen in je beoordeling.
    • Audits worden elk jaar opnieuw opgebouwd, in plaats van structureel bijgehouden.
    • Er is geen koppeling tussen risicoanalyse, contractbeheer en maatregelen.

    Zo blijft leveranciersbeoordeling statisch. Je vult jaarlijks een lijst in, scoort een 8,7 en gaat verder. Tot het misgaat.

    Hoe CompliTrack dit voorkomt

    CompliTrack is een lichtgewicht GRC-tool die leveranciers structureel koppelt aan je organisatie:

    • Koppel leveranciers aan bedrijfsmiddelen, processen of datatypes.
    • Voer risicoanalyses uit per leverancier, afgestemd op jouw situatie.
    • Krijg realtime inzicht in maatregelen, certificaten, SLA’s en incidenthistorie.
    • Beoordeel de impact op continuïteit en compliance als een leverancier wegvalt.
    • Plan evaluatiemomenten automatisch in en berg opvolging.

    Zo ontstaat niet alleen een vollediger beeld, maar ook een betere discussie met je leveranciers. Want een leverancier die op papier scoort, maar risico’s ontwijkt, krijgt geen 9 meer. Die krijgt een gesprek.

    Wat als jij dit over het hoofd ziet?

    Veel bedrijven hebben het niet in de gaten. Ze vertrouwen op de jaarlijkse vragenlijst, op de ISO-stempel, op het auditrapport in PDF-vorm. Tot er een storing is. Of een datalek. Of een leverancier ineens afhaakt.

    De tijd om kritische vragen te stellen, is vóór de storing. Niet erna.

    Dus: zorg dat je leveranciersbeoordeling niet stopt bij cijfers, maar begin met risico’s, processen en praktijk.

    Meer weten?

    Lees ook:

    Een hoge score is mooi. Maar als je niet weet wat níet gemeten is, weet je ook niet wat je mist.
    Wil je weten hoe je wél grip krijgt op leveranciersrisico’s? We laten het je graag zien, plan gerust een demo.

  • Effectieve leveranciersbeoordeling met Complitrack

    Effectieve leveranciersbeoordeling met Complitrack

    In een tijd waarin bedrijven steeds afhankelijker worden van externe leveranciers, is het essentieel om een robuust systeem te hebben voor leveranciersbeoordeling. Zowel voor kwaliteitsmanagement (ISO 9001) als voor informatiebeveiliging (ISO 27001) speelt het beoordelen en managen van leveranciers een cruciale rol. In deze blogpost bespreken we hoe een effectieve leveranciersbeoordeling kan bijdragen aan het succes van je managementsysteem en hoe Complitrack helpt om deze processen te optimaliseren.

    Waarom is een leveranciersbeoordeling cruciaal voor ISO 9001 en ISO 27001?

    In zowel ISO 9001 (kwaliteitsmanagement) als ISO 27001 (informatiebeveiliging) is het beheer van externe leveranciers van vitaal belang. Niet alleen beïnvloeden leveranciers direct de kwaliteit van producten en diensten, ze kunnen ook een bron van risico’s zijn, zoals datalekken of ondermaatse prestaties.

    ISO 9001 vereist dat bedrijven de prestaties van leveranciers evalueren om ervoor te zorgen dat ze voldoen aan de vastgestelde kwaliteitsnormen.

    ISO 27001 stelt dat bedrijven de risico’s die voortvloeien uit derde partijen, zoals leveranciers, moeten identificeren en beheersen, om de integriteit en vertrouwelijkheid van informatie te waarborgen.

    Een grondige en goed gedocumenteerde leveranciersbeoordeling helpt bedrijven om aan deze eisen te voldoen, terwijl het ook zorgt voor meer inzicht in potentiële risico’s.

    Hoe Complitrack helpt

    In Complitrack worden leveranciers gekoppeld aan de bedrijfsmiddelen waarmee ze in contact staan. Dit biedt een uniek voordeel bij het uitvoeren van leveranciersbeoordelingen, omdat je precies kunt zien welke bedrijfsmiddelen kritisch zijn en welke leveranciers verantwoordelijk zijn voor de levering, onderhoud of ondersteuning ervan.

    De stappen voor een effectieve leveranciersbeoordeling met Complitrack:

    1. Identificeer kritieke bedrijfsmiddelen
      Start met het identificeren van de belangrijkste bedrijfsmiddelen binnen jouw organisatie. Dit kunnen fysieke middelen zijn zoals machines of software, maar ook informatie zoals klantgegevens of intellectueel eigendom. In Complitrack kun je eenvoudig al je bedrijfsmiddelen in kaart brengen.
    2. Koppel leveranciers aan bedrijfsmiddelen
      Zodra de bedrijfsmiddelen zijn geïdentificeerd, koppel je de relevante leveranciers aan deze middelen. Hiermee krijg je direct inzicht in welke leveranciers invloed hebben op kritieke processen en bedrijfsmiddelen. Dit is vooral nuttig voor het beoordelen van de impact van een leverancier op de kwaliteit of de beveiliging van een bepaald middel.
    3. Risicoanalyse per leverancier
      Voor elk gekoppeld bedrijfsmiddel kun je in Complitrack een risicoanalyse uitvoeren. Leveranciers die cruciale bedrijfsmiddelen ondersteunen, zoals een cloudprovider voor klantgegevens, zouden bijvoorbeeld een hogere risicobeoordeling krijgen. Dit helpt om in kaart te brengen welke eisen gesteld moeten worden en welke leveranciers strenger beoordeeld moeten worden in het kader van ISO 9001 en ISO 27001.
    4. Continue monitoring en beoordeling
      Het uitvoeren van een eenmalige beoordeling is niet genoeg. Complitrack maakt het eenvoudig om leveranciers continu te monitoren, bijvoorbeeld door het toevoegen zoals beoordelingscriteria zoals prestatiestatistieken, auditresultaten, relevante certificeringen en incidenten. Hiermee houd je altijd een actueel overzicht van de prestaties van je leveranciers.

    Praktische tips voor een succesvolle leveranciersbeoordeling

    1. Stel duidelijke criteria op
      Definieer objectieve criteria voor leveranciersbeoordelingen op basis van ISO 9001 en ISO 27001. Dit kan variëren van leverbetrouwbaarheid en productkwaliteit tot naleving van informatiebeveiligingsnormen, incidenten en eisen omtrent certificeringen.
    2. Documenteer alles
      Zorg ervoor dat alle beoordelingen goed worden vastgelegd in Complitrack. Hiermee voldoe je niet alleen aan de eisen van de ISO, maar heb je ook een solide bewijsvoering tijdens audits.
    3. Werk samen met leveranciers
      De leveranciersbeoordeling is geen eenrichtingsverkeer. Door samen te werken met leveranciers, kun je hen helpen om verbeteringen door te voeren die zowel hun prestaties als jouw managementsysteem versterken.

    Hoe een leveranciersbeoordeling bijdraagt aan ISO 9001 en ISO 27001 certificering

    Een continue en goed gedocumenteerde leveranciersbeoordeling speelt een cruciale rol bij het behalen en behouden van ISO 9001 en ISO 27001 certificeringen. Door risico’s op tijd te identificeren en leveranciers te helpen verbeteren, kun je niet alleen aan de normen voldoen, maar ook een sterker, veiliger en meer consistent bedrijf opbouwen.

    Conclusie

    Leveranciers zijn een essentieel onderdeel van ieder kwaliteits- en beveiligingsbeheerproces. Door gebruik te maken van de mogelijkheden in Complitrack om leveranciers te koppelen aan bedrijfsmiddelen, creëer je een transparant systeem dat kritieke risico’s identificeert en beheert. Dit draagt niet alleen bij aan een succesvolle ISO-certificering, maar ook aan de algehele bedrijfsvoering en reputatie van je organisatie.