Organisaties werken steeds nauwer samen met externe partijen: van cloudleveranciers tot softwarebouwers en datapartners die persoonsgegevens verwerken. Dat levert groei op, maar ook meer kwetsbaarheid.
Het Europese agentschap voor cybersecurity, ENISA, ziet in het rapport Threat Landscape 2025 dat 10,6 procent van alle cyberdreigingen uit de keten komt. De Financial Times meldt bovendien een snelle toename van aanvallen op toeleveringsketens. Genoeg reden om niet blind te vertrouwen op de partijen waarmee je samenwerkt.
Third-Party Risk Management (TPRM) helpt risico’s in de keten beheerst aan te pakken. Het brengt afhankelijkheden in beeld, legt verantwoordelijkheden vast en zorgt dat partners handelen in lijn met jouw informatiebeveiligingsbeleid.
Wat is Third-Party Risk Management (TPRM)?
TPRM draait om grip op de risico’s buiten je eigen muren. Het proces begint bij de selectie van leveranciers en loopt door tot de beëindiging van de samenwerking. Je beoordeelt wie toegang heeft tot gevoelige informatie, welke risico’s dat met zich meebrengt en hoe die risico’s worden beheerst. Zo houd je controle over de beschikbaarheid, integriteit en vertrouwelijkheid van informatie – ook wanneer deze buiten je organisatie wordt verwerkt.
In 2025 werden bij laboratorium NMDL gegevens van ruim 485.000 mensen gestolen. Meerdere ziekenhuizen bleken indirect geraakt, omdat het lab hun patiëntdata verwerkte. Door gebrek aan toezicht op de beveiliging van deze leverancier kwamen gevoelige gegevens op het darkweb terecht. Met goed Third-Party Risk Management was dit eerder zichtbaar geweest.
Toezichthouders eisen aantoonbaar ketenrisicobeheer
Nieuwe Europese richtlijnen zoals NIS2, DORA, AVG en CSRD leggen meer nadruk op ketenverantwoordelijkheid. Organisaties moeten aantonen dat zij risico’s bij leveranciers actief beheersen. Een goed ingericht TPRM-proces maakt dat aantoonbaar en zorgt dat jouw organisatie voldoet aan de eisen van vandaag én morgen.
NIS2 art. 21 verplicht aantoonbaar ketenrisicobeheer: organisaties moeten kwetsbaarheden bij leveranciers expliciet meenemen in hun risicobehandeling en ontwikkelingseisen
DORA legt in de financiële sector harde eisen op voor ICT third-party risk: contractuele bepalingen, exit-rechten, monitoring en rapportage
De autoriteit persoonsgegevens rapporteert jaarlijks tienduizenden datalekmeldingen; indirecte effecten via leveranciers raken veel slachtoffers tegelijk
ISO/IEC 27001:2022 verankert leveranciersrelaties expliciet (Annex A 5.19) — handig om je TPRM-controls aan te koppelen
TPRM implementeren: stappenplan en verantwoordelijkheden
Wie zijn risico’s wil verkleinen, moet eerst zijn keten leren kennen. Deze stappen helpen om controle te krijgen waar vertrouwen alleen niet genoeg is:
Inventariseer leveranciers die toegang hebben tot data of systemen
Beoordeel risico’s op basis van impact, waarschijnlijkheid en afhankelijkheid
Leg beveiligingsafspraken vast over monitoring, incidentrespons en beëindiging
Evalueer regelmatig of maatregelen nog aansluiten op de actuele risico’s
Gebruik tools of risk registers om veranderingen bij leveranciers te volgen. Volg bijvoorbeeld: verlopen certificaten, fusies of eigendomswijzigingen – zodat je tijdig kunt ingrijpen
Kijk verder dan certificaten
Een ISO- of SOC-certificaat zegt niet alles: het blijft een momentopname. Vraag daarom door naar bevindingen uit audits, hoe afwijkingen zijn opgelost en of hun maatregelen passen bij jouw informatiebeveiligingsbeleid. Alleen dan krijg je een realistisch beeld van het beveiligingsniveau in de keten.
Je leverancier toont een geldig ISO 27001-certificaat. Bij nader inzien gaat de scope alleen over het hoofdkantoor en de financiële administratie, niet over de cloudomgeving waar jouw data draait. Juist die omgeving bevat de grootste risico’s, maar valt buiten de certificering.
Waarom goed TPRM het verschil maakt
Een gestructureerde aanpak maakt samenwerking voorspelbaar en beperkt verstoringen. Leveranciers die transparant zijn over hun beveiliging blijken betrouwbaarder en reageren sneller bij incidenten. Zo versterk je de continuïteit van je dienstverlening én de weerbaarheid van je informatiebeveiliging.
Heldere afspraken over hoe data wordt gedeeld en beveiligd verkleinen risico’s. Denk aan gecontroleerde toegang, veilige verbindingen en versleutelde overdracht van informatie. Zo blijft vertrouwelijke data beschermd, ook wanneer meerdere partijen in de keten samenwerken
In de Panorays-case zet verzekeraar NorthStandard alle leveranciers in één TPRM-platform. Het team ziet per leverancier het risico en de gemaakte afspraken. Bij een beveiligingssignaal klikt het team direct door naar de juiste partij. Het platform geeft direct inzicht in leverancier, risicoscore, contactpersoon en afgesproken vervolgstappen.
Vier praktische stappen naar grip op je leveranciers
Wil je leveranciersrisico’s aanpakken zonder direct een zwaar compliance-traject te starten? Begin met deze vier toegankelijke stappen.
1. Richt je op de kern
Breng drie tot vijf leveranciers in kaart die toegang hebben tot gevoelige data of systemen — zoals hostingpartijen, softwareleveranciers of externe IT-beheerders.
2. Vraag bewijs
Check recente beveiligingsverklaringen, auditrapporten of certificaten. Bespreek afwijkingen en stel gerichte vragen waar iets onduidelijk is.
3. Leg afspraken vast
Gebruik korte maar duidelijke securityclausules over incidentmelding, back-ups en data-afhandeling bij beëindiging van de samenwerking.
4. Stuur periodiek bij
Evalueer elk kwartaal: zijn er wijzigingen, zoals een fusie, uitval of verlopen certificaat? Reageer direct om controle te behouden.
Conclusie: controle begint buiten je organisatie
Informatiebeveiliging stopt niet bij de voordeur. Zonder inzicht in externe partijen blijft een groot deel van je risico’s onzichtbaar. Third-Party Risk Management maakt die risico’s beheersbaar, versterkt vertrouwen en helpt je organisatie weerbaar blijven in een steeds complexere digitale keten
Heb je hulp nodig bij Third-Party Risk Management? We denken graag met je mee.