Gehandschoende hand die een beveiligingsbadge aan een lanyard inspecteert, met vergrootglas en laptop op witte bureau.

Hoe weet ik of de softwareleveranciers en partners waarmee ik werk veilig genoeg zijn?

/in /door

Of een softwareleverancier of ICT-partner veilig genoeg is, beoordeel je aan de hand van concrete criteria: beschikt de partij over relevante certificeringen zoals ISO 27001, zijn er duidelijke afspraken vastgelegd in een verwerkersovereenkomst, en is er aantoonbaar beleid rondom toegangsbeheer, incidentrespons en databeveiliging? Organisaties met 100 tot 600 werkplekken zijn bijzonder kwetsbaar via hun leveranciersketen, omdat een zwakke schakel in die keten direct jouw omgeving kan raken. In dit artikel beantwoorden we de meest gestelde vragen over leveranciersbeveiliging, van het herkennen van risico’s tot het aanpakken van een leverancier die niet voldoet.

Welke beveiligingsrisico’s brengen externe leveranciers met zich mee?

Externe leveranciers brengen zogenoemde third-party risico’s met zich mee: zij hebben toegang tot jouw systemen, data of netwerk, maar vallen buiten jouw directe beheer en toezicht. Een beveiligingsincident bij een leverancier kan daardoor rechtstreeks doorwerken in jouw organisatie, zonder dat jij daar zelf de oorzaak van bent. Dit maakt supply chain security een van de meest onderschatte risicofactoren in de ICT-beveiliging.

Concreet gaat het om risico’s zoals:

  • Ongeautoriseerde toegang: een leverancier met te brede toegangsrechten tot jouw systemen vormt een potentieel lek als zijn eigen omgeving wordt gecompromitteerd.
  • Datalekken via derde partijen: klant- of medewerkergegevens die bij een leverancier zijn opgeslagen, vallen ook onder jouw AVG-verantwoordelijkheid.
  • Softwarekwetsbaarheden: software van externe partijen die niet tijdig wordt gepatcht, kan een ingang vormen voor aanvallers.
  • Ketenaanvallen (supply chain attacks): aanvallers richten zich bewust op leveranciers om via hen grotere organisaties te bereiken.

Wat dit risico vergroot, is dat veel organisaties wel nadenken over hun eigen beveiliging, maar de beveiliging van hun leveranciers als vanzelfsprekend beschouwen. Dat is een gevaarlijke aanname.

Wat zijn de minimale beveiligingseisen die je aan een leverancier mag stellen?

Je mag en moet als opdrachtgever minimale beveiligingseisen stellen aan elke leverancier die toegang heeft tot jouw systemen of data. De meest gangbare basisvereisten zijn: een actuele ISO 27001-certificering of aantoonbaar equivalent beleid, een getekende verwerkersovereenkomst (indien persoonsgegevens worden verwerkt), tweefactorauthenticatie voor toegang tot jouw omgeving, en een gedocumenteerd incidentresponsproces.

Afhankelijk van de gevoeligheid van de data of systemen waartoe een leverancier toegang heeft, kun je aanvullende eisen stellen:

  • Regelmatige penetratietests of kwetsbaarheidsscans
  • Encryptie van data in transit en at rest
  • Duidelijke afspraken over datalocatie (bijvoorbeeld: opslag alleen binnen de EU)
  • Logging en audittrails van toegang tot jouw systemen
  • Aantoonbaar beleid voor het screenen van eigen medewerkers

Voor organisaties die werken met beveiliging binnen Microsoft 365 is het ook relevant om te vragen welke integraties een leverancier heeft met jouw Microsoft-omgeving en hoe die toegang is ingericht en gemonitord.

Hoe beoordeel je de beveiliging van een leverancier in de praktijk?

De beveiliging van een leverancier beoordeel je in de praktijk door een combinatie van documentatie-review, gerichte vragen en waar mogelijk technische verificatie. Begin met het opvragen van certificeringen, beveiligingsbeleid en recente auditrapportages. Vraag daarna door op specifieke scenario’s: wat gebeurt er bij een datalek, wie heeft toegang tot welke systemen en hoe wordt dat gelogd?

Een praktische aanpak in stappen:

  1. Vraag om bewijs, niet alleen beloftes: certificaten, auditrapportages en pentestresultaten zijn concreet en verifieerbaar.
  2. Stel een beveiligingsvragenlijst op: gebruik een gestandaardiseerde vragenlijst (zoals gebaseerd op ISO 27001 of de NEN 7510 voor zorg) als uitgangspunt.
  3. Beoordeel de toegangsstructuur: welke medewerkers van de leverancier hebben toegang tot jouw omgeving, en is dat op basis van least privilege ingericht?
  4. Check de incidenthistorie: vraag of de leverancier de afgelopen jaren beveiligingsincidenten heeft gehad en hoe die zijn afgehandeld.
  5. Evalueer de communicatie: een leverancier die open en transparant communiceert over risico’s en beperkingen, is betrouwbaarder dan een partij die alles rooskleurig presenteert.

Houd er rekening mee dat een beoordeling op papier niet alles zegt. De manier waarop een leverancier reageert op kritische vragen, geeft vaak meer inzicht dan de antwoorden zelf.

Wat is het verschil tussen een verwerkersovereenkomst en een beveiligingsaudit?

Een verwerkersovereenkomst is een juridisch contract dat vastlegt hoe een leverancier omgaat met persoonsgegevens die hij namens jou verwerkt. Een beveiligingsaudit is een technische of organisatorische toetsing die vaststelt of de beveiligingsmaatregelen van een leverancier daadwerkelijk afdoende zijn. Beide zijn nodig, maar ze dekken een ander deel van het risico.

De verwerkersovereenkomst is verplicht onder de AVG zodra een externe partij persoonsgegevens verwerkt. Ze beschrijft onder andere het doel van de verwerking, de bewaartermijnen, de rechten van betrokkenen en de verplichtingen bij een datalek. Het is een juridische waarborg, maar geen technisch bewijs van veiligheid.

Een beveiligingsaudit gaat verder: die toetst of de technische en organisatorische maatregelen van een leverancier in de praktijk werken. Denk aan een externe penetratietest, een ISO 27001-audit door een onafhankelijke certificerende instelling, of een SOC 2-rapport. Een audit levert feitelijk bewijs dat de beveiliging niet alleen op papier klopt.

De combinatie van beide is de norm voor serieuze leveranciersbeoordeling: de verwerkersovereenkomst regelt de juridische verantwoordelijkheid, de audit bewijst de technische realiteit.

Hoe vaak moet je de beveiliging van leveranciers opnieuw beoordelen?

De beveiliging van leveranciers moet je minimaal jaarlijks opnieuw beoordelen, en direct na elk significant incident of grote wijziging in de samenwerking. Een eenmalige beoordeling bij contractafsluiting is onvoldoende, omdat het dreigingslandschap voortdurend verandert en leveranciers zelf ook wijzigingen doorvoeren in hun systemen en processen.

Momenten waarop een tussentijdse herbeoordeling verstandig is:

  • De leverancier breidt zijn toegang tot jouw systemen uit
  • Er is sprake van een beveiligingsincident bij de leverancier of in de bredere keten
  • De leverancier wordt overgenomen of fuseert met een andere partij
  • Er worden nieuwe of gewijzigde softwareoplossingen geïntroduceerd in jouw omgeving
  • Jouw eigen organisatie groeit of verandert significant van karakter

Voor ICT-leveranciers die dagelijks toegang hebben tot jouw omgeving, zoals beheerpartners of cloudleveranciers, is een kortere beoordelingscyclus aan te raden. Maak van leveranciersbeveiliging een vast onderdeel van je jaarlijkse risicobeoordeling, niet een eenmalige exercitie bij contractverlenging.

Wat kun je doen als een leverancier niet voldoet aan je beveiligingseisen?

Als een leverancier niet voldoet aan je beveiligingseisen, zijn er vier concrete stappen: documenteer de tekortkomingen, bespreek ze formeel met de leverancier, stel een verbeterplan op met een duidelijke deadline, en evalueer of de samenwerking bij uitblijvend resultaat kan worden voortgezet. Negeren of doorschuiven is geen optie, want jij blijft als opdrachtgever mede verantwoordelijk voor de risico’s die de leverancier introduceert.

In de praktijk verloopt dit als volgt:

  1. Leg de tekortkoming schriftelijk vast: zo heb je een duidelijk vertrekpunt voor het gesprek en documenteer je dat je actie hebt ondernomen.
  2. Voer een formeel gesprek: geef de leverancier de kans om te reageren en een verbeterplan voor te stellen. Soms zijn tekortkomingen het gevolg van onbekendheid met jouw eisen, niet van onwil.
  3. Stel een redelijke maar harde deadline: afhankelijk van de ernst van het risico kan dit variëren van twee weken tot drie maanden.
  4. Beperk de toegang tijdelijk: als het risico acuut is, beperk dan de toegangsrechten van de leverancier totdat de situatie is opgelost.
  5. Overweeg contractbeëindiging: als een leverancier structureel niet voldoet en geen aantoonbare stappen zet, is het beëindigen van de samenwerking soms de enige verantwoorde keuze.

Zorg ervoor dat je contracten standaard een clausule bevatten die je het recht geeft om de samenwerking te beëindigen bij aantoonbare en herhaalde beveiligingstekortkomingen. Dat maakt de positie van jouw organisatie aanzienlijk sterker.

Hoe Puur ICT helpt bij het beoordelen en bewaken van leveranciersbeveiliging

Leveranciersbeveiliging is een complex vraagstuk dat vraagt om structuur, technische kennis en een helder overzicht van alle partijen die toegang hebben tot jouw omgeving. Wij helpen organisaties met 100 tot 600 werkplekken om grip te krijgen op de ICT-veiligheid van hun hele keten, niet alleen de eigen omgeving.

Wat wij voor je kunnen doen:

  • Inventarisatie van leverancierstoegang: we brengen in kaart welke externe partijen toegang hebben tot jouw Microsoft 365-omgeving en op welk niveau.
  • Beoordeling van beveiligingsbeleid: we helpen je de juiste vragen te stellen aan leveranciers en beoordelen hun antwoorden op technische juistheid.
  • Inrichten van veilige samenwerkingsstructuren: via onze Puur Moderne Werkplek zorgen we dat toegang voor externe partijen altijd gecontroleerd, gelogd en beperkt is tot wat strikt noodzakelijk is.
  • Proactief beheer en monitoring: we bewaken continu of apparaten en toegangen voldoen aan de minimale beveiligingseisen, ook als er wijzigingen plaatsvinden bij leveranciers.
  • Advies bij contractvorming: we denken mee over welke beveiligingseisen je contractueel moet vastleggen bij nieuwe of bestaande leveranciers.

Wil je weten hoe veilig jouw leveranciersketen op dit moment is? Neem contact met ons op voor een vrijblijvend gesprek. We kijken graag samen met je naar de risico’s en de stappen die je kunt zetten om die te beperken.

Gerelateerde artikelen

Misschien ook iets voor u
Professional thuis aan bureau met groot scherm tijdens videovergadering, kopje koffie en headset, warm natuurlijk licht.Hoe zorg je dat medewerkers thuis net zo goed kunnen werken als op kantoor?
Geopende archieflade met kleurgecodeerde mappen naast laptop met cloud-interface op licht eiken bureau.Wat is een goede manier om bedrijfsdocumenten centraal op te slaan zodat iedereen er bij kan?
Klantcase AMP GroepAMP Groep migreert naar Microsoft 365
Laptop met Microsoft 365-dashboard op modern bureau naast een beveiligingsmap en hangslot, kantooromgeving met natuurlijk raamlicht.Wat moet je regelen in Microsoft 365 voor een ISO 27001-certificering?
Twee professionals in lichte vergaderruimte tijdens hybride videovergadering, laptop op moderne tafel met remote collega's in beeld.Hoe houd je vergaderingen efficiënt als een deel van het team op locatie zit en een deel thuis?
Laptop op thuiskantoor bureau met koffiemok, papieren en klein hangslot naast het toetsenbord, warm licht en blauw schermgloed.Hoe voorkom je datalekken via privéapparaten van thuiswerkende medewerkers?
Combinatieslot op laptoptoetsenbord symboliseert gelaagde digitale beveiliging op modern kantoorbureau.Hoe kies je het juiste beveiligingsniveau voor je website?
Nieuwe medewerker opent laptop met Microsoft Teams op modern bureau, bedrijfsbadge en notitieboek ernaast, licht kantoor met grote ramen.Hoe zorg je dat een nieuwe collega snel toegang heeft tot alle informatie die hij of zij nodig heeft?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden