Laatst gecontroleerd: 8 juli 2026
Kort antwoord
Bij een vendor assessment wil een klant of procurementteam meestal niet alleen een ja/nee-antwoord. Ze willen begrijpen welk risico jij als leverancier vormt, welke maatregelen je hebt ingericht, welk bewijs je kunt tonen en welke open punten nog op je roadmap staan.
Lever daarom niet zomaar alles aan wat je kunt vinden. Begin met de scope, bepaal welke data en diensten de klant echt raken, verzamel passend bewijs en formuleer voorzichtig waar maatregelen nog niet volledig zijn ingericht. Bij twijfel kun je een vendor assessment laten beoordelen voordat je antwoorden of bestanden uploadt.
Wat is een vendor assessment?
Een vendor assessment is een beoordeling van jou als leverancier. De klant wil weten of jouw organisatie veilig genoeg werkt om diensten te leveren, toegang te krijgen tot systemen, persoonsgegevens te verwerken of onderdeel te zijn van de keten.
Dat kan gebeuren via:
- een klantportaal;
- een Excel- of PDF-vragenlijst;
- een supplier security questionnaire;
- een procurement assessment;
- contractbijlagen;
- een risk assessment door de klant;
- aanvullende vragen na een aanbesteding of offerte.
De kernvraag is meestal niet: "hebben jullie een mooi beleid?" De echte vraag is:
Kunnen wij als klant verantwoord met deze leverancier werken, en kan de leverancier aantonen dat belangrijke securityrisico's beheerst worden?
Daarom is een vendor assessment vaak commerciëler en risicogevoeliger dan een gewone securityvragenlijst van een klant invullen.
Vendor assessment, securityvragenlijst of aanbesteding?
Deze termen lopen vaak door elkaar. Toch is het verschil belangrijk, omdat je anders te licht of juist te zwaar antwoordt.
| Situatie | Wat vraagt de klant meestal? | Beste aanpak |
|---|---|---|
| Securityvragenlijst | Antwoorden op concrete vragen over maatregelen | Vraag per vraag koppelen aan bewijs en veilige formulering |
| Vendor assessment | Risicobeoordeling van jou als leverancier | Scope, bewijs, toelichting en open punten gestructureerd aanleveren |
| Klantportaal | Uploads, ja/nee-antwoorden en toelichting in vaste velden | Niet te snel klikken; eerst bewijs en formulering voorbereiden |
| Aanbesteding | Knock-outcriteria, gunningswensen of contracteisen | Eerst bepalen of de eis hard, juridisch of inhoudelijk te onderbouwen is |
| Bewijsverzoek na verkoopgesprek | Klant wil zekerheid voordat contract wordt getekend | Laat zien wat geregeld is, wat aantoonbaar is en wat op de roadmap staat |
Staat de vraag in een aanbesteding of tenderdocument? Bekijk dan ook aanbesteding informatiebeveiliging beoordelen, omdat de ruimte voor toelichting daar anders kan zijn dan bij een normale klantbeoordeling.
Controleer eerst deze 7 dingen
Ga niet meteen antwoorden of bestanden uploaden. Een vendor assessment kan onderdeel worden van contractafspraken of latere discussies. Controleer daarom eerst deze punten.
| Check | Waarom dit belangrijk is | Voorbeeld |
|---|---|---|
| 1. Wie vraagt dit? | Procurement, security, legal en IT kijken anders naar risico | Een securityteam wil bewijs; procurement wil risicoscore |
| 2. Welke dienst valt in scope? | Je hoeft niet altijd je hele organisatie te beoordelen | Hosting, support, SaaS, consultancy of toegang tot klantomgeving |
| 3. Welke data raakt dit? | Persoonsgegevens, bedrijfsgevoelige informatie en klanttoegang geven meer risico | Alleen zakelijke contactdata is iets anders dan medische gegevens |
| 4. Is bewijs verplicht? | Soms is toelichting genoeg, soms moet je documenten uploaden | Screenshot, beleid, procedure, rapport of verklaring |
| 5. Zijn er harde eisen? | Bij harde eisen kun je niet zomaar creatief antwoorden | ISO-certificaat, pentest, cyberverzekering of locatie-eis |
| 6. Wat kun je aantonen? | Een claim zonder bewijs is riskant | MFA actief, maar geen formeel access review-proces |
| 7. Wat staat nog open? | Open punten kun je soms onderbouwen met roadmap | Back-up restore-test gepland, beleid wordt geactualiseerd |
Deze aanpak past bij het kernmodel van InstantSecure:
klantvraag → eis → maatregel → bewijs → roadmap
Als je niet zeker weet wat de klantvraag echt betekent, is een Eerste Beoordeling klantvraag vaak veiliger dan zelf gokken.
Wat moet je meestal aanleveren?
Een vendor assessment vraagt vaak om bewijsstukken in meerdere categorieën. Niet elke klant vraagt alles, maar onderstaande tabel helpt om te bepalen wat logisch is.
| Thema | Mogelijk bewijs | Korte toelichting die vaak helpt | Niet zomaar delen |
|---|---|---|---|
| MFA en toegang | MFA-beleid, Conditional Access-samenvatting, beheerinstellingen | Voor welke accounts MFA actief is en welke uitzonderingen bestaan | Volledige adminexports, tenantdetails, gebruikerslijsten |
| Back-ups | Back-upbeleid, overzicht frequentie, laatste restore-test | Welke systemen in scope vallen en hoe herstel getest wordt | Complete infrastructuurdiagrammen of klantdata |
| Incidentrespons | Incidentprocedure, meldpad, rollen en verantwoordelijkheden | Hoe incidenten worden gemeld, beoordeeld en opgevolgd | Interne noodnummers of gevoelige escalatiegegevens zonder noodzaak |
| Toegangsbeheer | Rollenmatrix, onboarding/offboarding-proces, access review | Hoe rechten worden toegekend, gewijzigd en ingetrokken | Complete personeelslijst of rechtenoverzicht met namen |
| Logging en monitoring | Beschrijving logging, bewaartermijn, monitoringproces | Welke signalen je bewaakt en hoe opvolging plaatsvindt | Ruwe logs, security alerts of SIEM-details zonder filtering |
| Patchmanagement | Patchbeleid, voorbeeldrapport, updateproces | Hoe kwetsbaarheden en updates worden opgevolgd | Interne kwetsbaarheidslijsten zonder context |
| Leveranciersbeheer | Subverwerkerslijst, leveranciersregister, verwerkersafspraken | Welke derde partijen relevant zijn voor de klantdienst | Contracten of prijzen van andere leveranciers |
| Awareness | Trainingsoverzicht, phishingbeleid, security-instructies | Hoe medewerkers worden geïnformeerd en herhaald getraind | Individuele toetsresultaten van medewerkers |
| Beleid | Informatiebeveiligingsbeleid, privacybeleid, security statement | Welke uitgangspunten en verantwoordelijkheden zijn vastgelegd | Interne beleidsversies met gevoelige details |
| Roadmap | Verbeterlijst, planning, eigenaar, status | Welke open punten wanneer worden opgepakt | Onrealistische beloftes of harde deadlines zonder commitment |
Een goede vendor assessment draait dus niet om zoveel mogelijk documenten meesturen. Het draait om het juiste bewijs bij de juiste vraag.
Voor terugkerende klantvragen kan een Cybersecurity Bewijsmap helpen om dit bewijs structureel klaar te zetten.
Wat moet je juist niet aanleveren?
Veel leveranciers maken de fout om óf te weinig te delen, óf juist te veel. Te weinig bewijs kan twijfel oproepen. Te veel bewijs kan onnodig risico opleveren.
Deel liever niet zomaar:
- volledige gebruikerslijsten;
- adminexports met namen, e-mails, rollen of tenantdetails;
- ruwe logs;
- kwetsbaarheidsrapporten zonder samenvatting;
- screenshots met klantnamen of IP-adressen;
- interne escalatienummers;
- contracten met andere klanten of leveranciers;
- volledige netwerkdiagrammen;
- documenten waarin andere klantomgevingen zichtbaar zijn;
- beleid dat meer belooft dan de praktijk waarmaakt.
Beter is vaak:
| Niet ideaal | Veiliger alternatief |
|---|---|
| Ruwe export uit Microsoft 365 | Geanonimiseerde samenvatting van MFA-instellingen |
| Volledig pentestrapport | Managementsamenvatting of bevestiging van opvolging |
| Complete gebruikerslijst | Beschrijving van rollen- en rechtenproces |
| Interne incidentprocedure met alle telefoonnummers | Klantgerichte samenvatting van meldproces |
| Kwetsbaarheidslijst met technische details | Patchproces, status en opvolgwijze |
Het doel is niet geheimzinnig doen. Het doel is proportioneel bewijs delen zonder nieuwe risico's te creëren.
Voorbeelden van vendor assessment-vragen
Een klant kan dezelfde vraag op veel manieren stellen. Hieronder staan veelvoorkomende vragen met een veiliger antwoordpatroon.
| Vraag van klant | Risico bij te snel antwoorden | Veiliger antwoordpatroon |
|---|---|---|
| Are all users protected with MFA? | "Ja" zeggen terwijl uitzonderingen bestaan | Benoem scope: MFA voor beheerders en kernaccounts, uitzonderingen en roadmap |
| Do you have an incident response process? | Een procedure claimen die niet geoefend is | Beschrijf meldpad, rollen, opvolging en eventuele verbeterpunten |
| Are backups tested regularly? | Testfrequentie overdrijven | Noem laatste testdatum, scope en geplande verbeteringen |
| Are you ISO 27001 certified? | Certificering suggereren zonder certificaat | Zeg eerlijk of je gecertificeerd bent; verwijs anders naar maatregelen en bewijs |
| Do you monitor security events? | SIEM/SOC suggereren zonder dat het bestaat | Beschrijf concrete logging en opvolging die er wél is |
| Do you assess your suppliers? | Leveranciersbeheer claimen zonder proces | Benoem relevante leveranciers, beoordeling en verbeterstap |
| Can you upload evidence? | Te veel gevoelige details delen | Upload alleen relevante, geanonimiseerde of samengevatte bewijsstukken |
Deze voorbeelden zijn geen standaardantwoorden die je blind moet kopiëren. Ze laten zien hoe je eerlijker en sterker kunt formuleren.
Wat als je geen ISO 27001-certificaat hebt?
Een vendor assessment vraagt regelmatig naar ISO 27001, SOC 2, NEN 7510, pentesten of andere vormen van assurance. Dat betekent niet automatisch dat je kansloos bent.
Het verschil zit in de formulering van de klantvraag.
| Formulering | Betekenis | Wat kun je doen? |
|---|---|---|
| "Upload your ISO 27001 certificate" | Mogelijk harde certificaateis | Als je geen certificaat hebt, niet doen alsof. Vraag of alternatief bewijs mogelijk is |
| "Are you ISO 27001 certified?" | Feitelijke vraag | Antwoord eerlijk ja/nee en licht maatregelen toe |
| "Do you have controls aligned with ISO 27001?" | Maatregelenvraag | Toon beleid, maatregelen, bewijs en roadmap |
| "ISO 27001 or equivalent" | Mogelijk ruimte voor gelijkwaardige onderbouwing | Vraag welke onderbouwing acceptabel is |
| "Describe your information security management process" | Procesvraag | Beschrijf verantwoordelijkheden, beleid, risico's, bewijs en verbetercyclus |
Als een certificaat formeel verplicht is, kun je dat niet vervangen met losse documenten of een Bewijsmap. Maar als de klant vooral wil weten wat aantoonbaar geregeld is, kun je vaak wel professioneel antwoorden met maatregelen, bewijsstukken en een roadmap.
Lees ook: zonder ISO 27001 toch security aantonen.
Wat als een maatregel gedeeltelijk is ingericht?
Niet alles hoeft perfect te zijn om professioneel te antwoorden. Maar je moet wel eerlijk zijn.
Een gedeeltelijk antwoord kan sterker zijn dan een harde claim zonder bewijs, zolang je duidelijk maakt:
- wat al geregeld is;
- voor welke systemen, accounts of diensten dit geldt;
- welk bewijs beschikbaar is;
- wat nog ontbreekt;
- wanneer of hoe dit wordt opgepakt.
Voorbeeldformulering:
MFA is ingericht voor beheerders en de belangrijkste cloudaccounts. Voor resterende gebruikers is uitrol gepland. Op verzoek kunnen we een geanonimiseerde samenvatting van de huidige inrichting en de geplande verbeterstap delen.
Nog een voorbeeld:
Er is een incidentmeldproces aanwezig met interne verantwoordelijkheden. De procedure wordt momenteel aangescherpt met extra escalatiestappen en periodieke evaluatie.
Wil je hier dieper op inzoomen? Lees ook mag je gedeeltelijk antwoorden op een securityvraag?.
Klantportaal: eerst voorbereiden, dan pas uploaden
Vendor assessments verlopen vaak via portalen van procurement- of GRC-tools. Dat voelt snel en makkelijk: vakjes aanvinken, documenten uploaden en klaar. Maar juist in portalen ontstaan fouten.
Let op deze valkuilen:
- je kunt antwoorden soms niet meer aanpassen;
- een ja/nee-veld laat weinig nuance toe;
- bewijsstukken blijven mogelijk lang zichtbaar;
- meerdere afdelingen bij de klant kunnen je antwoorden lezen;
- antwoorden kunnen later onderdeel worden van contractafspraken;
- een te sterke claim kan bij een incident tegen je werken.
Daarom is de volgorde belangrijk:
- Exporteer of kopieer eerst de vragen.
- Bepaal scope en risico.
- Verzamel bewijsstukken.
- Schrijf conceptantwoorden buiten het portaal.
- Controleer claims en open punten.
- Upload pas daarna de definitieve antwoorden.
Bij twijfel kun je het assessment eerst laten beoordelen via vendor assessment hulp.
Wanneer is een Cybersecurity Bewijsmap logischer?
Als je één vendor assessment ontvangt, kun je die soms eenmalig beantwoorden. Maar als meerdere klanten vergelijkbare vragen stellen, wordt losse beantwoording inefficiënt en risicovol.
Een Cybersecurity Bewijsmap is vooral logisch als:
- klanten vaker securityvragen stellen;
- je steeds opnieuw dezelfde bewijsstukken zoekt;
- antwoorden per klant verschillen terwijl de feiten hetzelfde zijn;
- je open punten beter wilt uitleggen;
- je sales- of tenderproces vertraagt door securityvragen;
- je zonder ISO-certificaat toch professioneel wilt aantonen wat geregeld is;
- je klantvragen krijgt rond NIS2, Cbw, SC10 of SC20.
De Bewijsmap vervangt geen formeel verplicht certificaat. Het is bedoeld om maatregelen, bewijs en roadmap gestructureerd klaar te zetten voor klantvragen.
Bronnen en actuele overheidsinformatie
Vendor assessments zelf zijn meestal klant- of procurementprocessen, geen wettelijke standaard. Wel kunnen ze voortkomen uit bredere eisen rond ketenrisico, informatiebeveiliging en leveranciersbeheer.
Relevante bronnen:
- NCSC over de Cyberbeveiligingswet en NIS2: https://www.ncsc.nl/cyberbeveiligingswet-nis2
- NCSC over toeleveranciers van Cbw-organisaties: https://www.ncsc.nl/cyberbeveiligingswet-nis2/de-cyberbeveiligingswet-en-toeleveranciers
Controleer bij wettelijke verplichtingen, contracteisen of aanbestedingen altijd de actuele bron en de exacte formulering van de klantvraag.
Vendor assessment ontvangen?
Stuur de vragenlijst, portaalvragen of klantmail niet blind door met snelle antwoorden. Laat eerst beoordelen wat de klant echt vraagt, welk bewijs logisch is en welke claims je beter kunt vermijden.
Laat je vendor assessment beoordelen
Of bekijk de dienst: vendor assessment hulp.



