BasisHost

Premium Third-Party Risk Assessment: Hoe Werkt Het?

Uw security is zo sterk als de zwakste schakel in uw keten. Deze assessment helpt u alle ICT-leveranciers en SaaS-providers in kaart te brengen, te classificeren op risico en de juiste contractuele en operationele waarborgen te selecteren.

Wat is de Premium Third-Party Risk Assessment?

Gemiddeld gebruikt een MKB-organisatie 50-100 SaaS-tools, vaak zonder centrale registratie. Een datalek bij een van die leveranciers (denk aan Mailchimp, Zendesk, Slack) kan uw klanten direct treffen — en u bent als verwerkings-verantwoordelijke aansprakelijk.

De assessment doorloopt vier pijlers: inventaris, classificatie, contractuele waarborgen en doorlopende monitoring. Het levert een vendor-register, een risico-matrix en concrete acties om high-risk leveranciers eerst aan te pakken.

De 4 categorieën

1

Vendor-inventaris (25 punten)

Volledig register van ICT-leveranciers en SaaS-tools, inclusief eigenaar binnen de organisatie, kosten, contract-einddatum en data-categorie.

«Shadow IT» is hier de hoofdpijn — tools die zonder IT-betrokkenheid zijn aangeschaft via creditcard. De assessment biedt detection-tips (browser-extensies, financiële scan, awareness-survey).

2

Risico-classificatie (25 punten)

Per leverancier een classificatie op 4 dimensies: data-criticaliteit, business-impact bij uitval, vervanging-moeilijkheid en geografische data-locatie.

Resultaat: een Hoog/Midden/Laag classificatie die bepaalt welke waarborgen nodig zijn (audit, on-site, code review, etc.).

3

Contractuele waarborgen (25 punten)

Per high-risk leverancier: verwerkersovereenkomst, security-bijlage, audit-rechten, breach-notification, data-portability bij exit, SLA met penalties.

Voor financiële sector ook DORA Art. 30-clausules; voor publieke sector ARBIT-bepalingen.

4

Doorlopende monitoring (25 punten)

SOC 2/ISO 27001-attesten jaarlijks opvragen en beoordelen, kwetsbaarheden-feed monitoren, breach-news volgen, periodieke vragenlijst aan leverancier.

Een eenmalige vendor-onboarding zonder follow-up is niet voldoende; de assessment kijkt naar het cyclische proces.

Wat wordt er gecontroleerd?

30+ controls verdeeld over de vier pijlers:

  • Centraal register: alle ICT-leveranciers met basis-info.
  • Eigenaar: per leverancier een interne business-owner aangewezen.
  • Data-classificatie: welke data-categorie wordt gedeeld.
  • Geografische locatie: EU/niet-EU, Schrems II-toets bij US-leveranciers.
  • Risico-tier: Hoog/Midden/Laag classificatie per leverancier.
  • Verwerkersovereenkomst: aanwezig voor alle leveranciers met persoonsgegevens.
  • SOC 2 / ISO 27001: attesten jaarlijks opgevraagd en beoordeeld.
  • Audit-rechten: contractueel vastgelegd voor high-risk leveranciers.
  • Breach-notification: 24-uurs notificatieplicht in contract.
  • Exit-strategie: per kritieke leverancier gedocumenteerd.
  • Concentratie-risico: analyse van afhankelijkheid van één cloud-provider.
  • Vragenlijst: jaarlijkse security-questionnaire aan high-risk leveranciers.

Resultaten interpreteren

Na afronding van de assessment ontvangt u een uitgebreid resultaatoverzicht met de volgende onderdelen:

  • Volwassenheids-score (0-100) voor uw vendor-management proces.
  • Vendor-register template met alle vereiste velden.
  • Risico-matrix (impact × waarschijnlijkheid) als heat-map.
  • Top-10 high-risk vendors met aanbevolen acties.
  • Vragenlijst-template (security questionnaire) voor leveranciers.
  • Contract-clausules bibliotheek met standaard-bepalingen voor inkoop.

Een score < 60 is gangbaar voor MKB — vendor-management is vaak de minst volwassen security-discipline. Begin met de inventaris (zonder die zijn alle andere stappen schattingen) en focus daarna op de top-5 leveranciers gemeten naar omzet of data-criticaliteit.

Wat zit er in het rapport?

Premium Third-Party Risk Assessment — €89

De Premium Third-Party Risk Assessment levert een compleet, professioneel rapport. Het rapport bevat:

  • Volwassenheids-meting van uw vendor-management proces
  • Vendor-register template met risico-classificatie
  • Risico-matrix en top-10 high-risk vendors
  • Security questionnaire-template voor leveranciers
  • Contract-clausules bibliotheek (verwerkersovereenkomst, breach, exit, audit)
  • Downloadbaar PDF-rapport (NL/EN) voor inkoop en CISO
  • 3 herhalingen om voortgang halfjaarlijks te meten

Veelgestelde vragen

Hoe bouw ik snel een vendor-inventaris?

Drie bronnen: financiële administratie (alle creditcard-transacties van categorie SaaS), SSO-platform (Okta/Entra-app-overzicht), en een korte survey aan medewerkers. De assessment levert een sjabloon en checklist voor elke bron.

Welke leveranciers vereisen een verwerkersovereenkomst?

Iedere leverancier die voor u persoonsgegevens verwerkt. Niet alleen klantdata, ook medewerker-data (HR-tools, payroll, learning platforms). De assessment helpt classificeren wie wel en wie niet.

Wat doe ik met SaaS-tools van &lt;&euro;100/jaar?

Risico beoordelen op basis van data-criticaliteit, niet op kosten. Een €5/maand gratis survey-tool kan honderden klantgegevens bevatten en is dus high-risk. De assessment classificeert op data, niet op contractwaarde.

Hoe vaak moet ik vendors opnieuw beoordelen?

High-risk: jaarlijks. Midden: tweejaarlijks. Laag: bij contract-vernieuwing of significante wijzigingen. Het rapport bevat een vendor-review kalender voor de komende 24 maanden.

Premium — €89
Third-Party Risk Assessment

Volledige TPRM-toets: inventaris, classificatie, contractuele waarborgen en monitoring met vendor-register en clausule-bibliotheek.

Bestel de Premium Third-Party Risk Assessment
Start gratis proefperiode 14 dagen gratis · geen contract
Aanvragen