Blogs / 

5 tips om risico’s in de toeleveringsketen te beperken

IT, Privacy & Cybersecurity

9 maart 2026

Geschreven door

Michelle Wijnant

Blog Image

Met de komst van nieuwe wetgeving zoals de Cyberbeveiligingswet/NIS2 en DORA komt er steeds meer — vaak wettelijk verplichte — aandacht voor risico’s in de toeleveringsketen. Natuurlijk moesten organisaties al eerder scherp zijn op hun verwerkers op grond van de AVG, maar de reikwijdte wordt nu aanzienlijk breder. En dat is niet zonder reden.

Vrijwel iedere organisatie draait tegenwoordig op SaaS‑diensten. Dat betekent dat leveranciers verantwoordelijk zijn voor belangrijke delen van de IT- en OT-omgeving én de beveiliging daarvan. Aan de ene kant levert dat voordelen op: grote leveranciers hebben meer middelen om cybersecurity op orde te houden. Aan de andere kant brengt het risico’s met zich mee: afhankelijkheid, hoge exitkosten, verlies van grip op data door bijvoorbeeld automatisch geactiveerde (AI‑)functionaliteiten en (internationale) doorgifte van gegevens naar moedermaatschappijen of onderaannemers.

5 praktische tips

Wil je als organisatie de risico’s rondom leveranciers beheersbaar houden? Dan zijn dit vijf praktische tips om minimaal in acht te nemen ongeacht het toepasselijke wettelijke kader:

  1. Zorg dat er een volledig overzicht is van alle IT- en OT-leveranciers die zijn ingeschakeld en de hiermee gesloten contracten;
  2. Breng in kaart tot welke data, systemen en omgevingen van de organisatie de betreffende leveranciers toegang hebben en documenteer dit;
  3. Voer risicoanalyses uit en zorg dat duidelijk wordt met welke leveranciers hoge risico’s voor de organisatie samenhangen;  
  4. Audit leveranciers en controleer de gesloten contracten periodiek op basis van de geïnventariseerde risico’s, ontwikkelingen in de (aanstaande) wet- en regelgeving en mogelijke relevante ontwikkelingen in de praktijk (zoals bijvoorbeeld een recent datalek);
  5. Zorg dat alle nieuwe leveranciers een gestructureerd proces doorlopen waarbij standaard bepaalde stappen worden genomen zoals het uitvoeren van een korte risicoanalyse, het – waar mogelijk – hanteren van standaard contracten, het tijdig betrekken van de benodigde expertise (zoals privacy, compliance en security) en het op de juiste plek documenteren van de relevante informatie.

Vragen?

Neem voor vragen contact op met Michelle Wijnant, advocaat IT, Privacy & Cybersecurity.

Nieuwsbrief

Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!