Vendor risk management voor MKB: pragmatisch onderscheid

Elk SaaS-abonnement is een stukje risico dat je uitbesteedt. Hoe beoordeel je welke van je 30 leveranciers extra aandacht verdienen?

Vendor-risk (of third-party risk) is het risico dat een leverancier bij jou problemen veroorzaakt: datalek, uitval, compliance-issue. In het MKB kun je niet alle 30 leveranciers gelijk behandelen.

Tier-classificatie

• Tier 1 — kritiek: verwerkt persoonsgegevens of is bedrijfskritisch. M365, boekhouding, CRM, hosting.
• Tier 2 — belangrijk: ondersteunt belangrijke processen, heeft toegang tot bedrijfsdata. Slack, design-tools, payroll.
• Tier 3 — laag risico: standalone tools zonder klant-data of essentiële rol. LinkedIn Premium, video-editing-tool.

Eisen per tier

• Tier 1: ISO 27001 of SOC 2-rapport (jaarlijks reviewen), DPA, uptime-SLA, incident-melding-afspraak.
• Tier 2: DPA, basis security-attestatie.
• Tier 3: alleen privacyverklaring-check.

Jaarlijkse vendor-review

1. Actualiseer de vendor-lijst uit je SaaS-inventaris.
2. Review tier-1 vendors: nog actief gecertificeerd? Nieuwe sub-verwerkers? Incident-geschiedenis?
3. Spot-check tier-2: DPA nog actueel?
4. Rapportage aan directie.

Bij nieuwe leverancier

• Tier bepalen voor ondertekening contract.
• Tier 1-leveranciers: due-diligence vooraf (trust-pagina, security-questionnaire, references).
• Tier 2-3: standaard DPA + privacy-check.

Zie ook: SaaS-inventaris, DPA's.