icon-arrow icon-check icon-mail icon-phone icon-facebook icon-linkedin icon-youtube icon-twitter icon-cheveron icon-download icon-instagram play close
Werken bij B-able
Blog 07/05/2019

Leveranciersrelaties: hoe pak ik dat praktisch aan?

b-able

Ook als u het beheer van uw gegevens uitbesteedt aan een externe partij, blijft u verantwoordelijk voor de beveiliging. Hoe komt u tot afspraken hierover met de leverancier? En hoe blijft u de informatiebeveiliging bij uw leveranciers monitoren? Op die 2 vragen leest u een antwoord in dit blog.

Security consultant
Jos Maas /
Security consultant

Stappenplan voor afspraken met leverancier over informatiebeveiliging

  1. Voer eerst een risicoanalyse uit voor een nieuwe leverancier: welke risico’s loopt u als u gegevens uitwisselt met deze leverancier? Wat is de impact als het fout gaat?
  2. Stel een programma van eisen op. Kijk bijvoorbeeld ook of de leverancier een ISO-certificaat voor informatiebeveiliging heeft en welke specifieke maatregelen vanuit uw organisatie van belang zijn. Met dit programma van eisen kunt u de dienstverlening inkopen die past bij uw risicoprofiel.
  3. Maak de officiële documenten in orde. Naast het contract maakt u ook afspraken over de informatiebeveiliging (verwerkersovereenkomst). U kunt bijvoorbeeld afspreken dat u recht heeft op controle en dat u periodiek overleg heeft met elkaar.

Advies voor lijst met bestaande leveranciers
Een gemiddeld bedrijf komt al snel tot een lijst met 100 tot 200 leveranciers met wie u gegevens uitwisselt. Leveranciers als WeTransfer en DropBox tellen namelijk ook mee. De norm voor informatiebeveiliging geeft aan dat het belangrijk is om bij uw leverancier een vinger aan de pols te houden en goede afspraken maakt. Maar goed, het is natuurlijk niet haalbaar om een paar keer per jaar met 100 leveranciers te evalueren. Mijn advies is daarom om de lijst met bestaande leveranciers eerst in te delen in 3 categorieën:

  1. De kritische leveranciers: van welke 10 tot 15 leveranciers bent u sterk afhankelijk? Voor dit soort leveranciers geldt: als er bij incidenten niet direct gewerkt wordt aan een oplossing, heeft dat serieuze gevolgen voor de continuïteit van uw organisatie.
  2. De reguliere leveranciers: met welke leveranciers wisselt u organisatiebreed nog meer gegevens uit? Voor dit soort leveranciers geldt: als er iets gebeurt, heeft dat impact, maar brengt niet de continuïteit van uw organisatie in gevaar.
  3. De overige leveranciers: met welke leveranciers wisselt u op kleine schaal gegevens uit? Eventuele incidenten hebben een lage impact die vooral op afdelingsniveau gevoeld wordt.

Advies voor monitoren van informatiebeveiliging bij uw leveranciers
Het is praktisch onmogelijk om bij elke leverancier na te gaan of die aan het programma van eisen blijft voldoen. Ik raad u aan om de manier van evalueren aan te passen op het soort leverancier:

  • Bij overige leveranciers: evalueer 1 keer per contractsperiode.
  • Bij reguliere leveranciers: vraag elk jaar om een selfassessment. Hoe heeft de leverancier de informatiebeveiliging geregeld? Met een kleine steekproef verifieert u vervolgens enkele selfassessments bij de betreffende leverancier.
  • Bij kritische leveranciers: schakel elk jaar een onafhankelijke, externe auditor in die een assuranceverklaring kan afgeven. Doordat u dat alleen bij de top 10 of 15 van leveranciers doet, blijven de kosten beperkt. De kosten blijven dan in verhouding staan met de impact die een eventueel incident heeft.

Tot slot
Ik hoop dat u uit de voeten kunt met de praktische adviezen in dit blog. Wilt u er meer over weten? Of heeft u nog andere tips voor bedrijven over leveranciersrelaties? Dan hoor ik dat graag.

Overzicht blogs
Security consultant
Jos Maas /
Security consultant

Benieuwd wat de security-experts voor jouw organisatie kunnen betekenen? Neem contact op!