Terug naar kennisbankVendor assessment

Vendor assessment van klant ontvangen? Dit lever je wel en niet aan

Klant vraagt een vendor assessment of supplier questionnaire? Lees welke bewijsstukken je veilig aanlevert, wat je niet uploadt en hoe je overclaimen voorkomt.

InstantSecureBijgewerktBijgewerkt 8 juli 202611 min
Leverancier bereidt vendor assessment, klantportaal en securitybewijs voor

Laatst gecontroleerd: 8 juli 2026

Kort antwoord

Bij een vendor assessment wil een klant of procurementteam meestal niet alleen een ja/nee-antwoord. Ze willen begrijpen welk risico jij als leverancier vormt, welke maatregelen je hebt ingericht, welk bewijs je kunt tonen en welke open punten nog op je roadmap staan.

Lever daarom niet zomaar alles aan wat je kunt vinden. Begin met de scope, bepaal welke data en diensten de klant echt raken, verzamel passend bewijs en formuleer voorzichtig waar maatregelen nog niet volledig zijn ingericht. Bij twijfel kun je een vendor assessment laten beoordelen voordat je antwoorden of bestanden uploadt.

Wat is een vendor assessment?

Een vendor assessment is een beoordeling van jou als leverancier. De klant wil weten of jouw organisatie veilig genoeg werkt om diensten te leveren, toegang te krijgen tot systemen, persoonsgegevens te verwerken of onderdeel te zijn van de keten.

Dat kan gebeuren via:

  • een klantportaal;
  • een Excel- of PDF-vragenlijst;
  • een supplier security questionnaire;
  • een procurement assessment;
  • contractbijlagen;
  • een risk assessment door de klant;
  • aanvullende vragen na een aanbesteding of offerte.

De kernvraag is meestal niet: "hebben jullie een mooi beleid?" De echte vraag is:

Kunnen wij als klant verantwoord met deze leverancier werken, en kan de leverancier aantonen dat belangrijke securityrisico's beheerst worden?

Daarom is een vendor assessment vaak commerciëler en risicogevoeliger dan een gewone securityvragenlijst van een klant invullen.

Vendor assessment, securityvragenlijst of aanbesteding?

Deze termen lopen vaak door elkaar. Toch is het verschil belangrijk, omdat je anders te licht of juist te zwaar antwoordt.

SituatieWat vraagt de klant meestal?Beste aanpak
SecurityvragenlijstAntwoorden op concrete vragen over maatregelenVraag per vraag koppelen aan bewijs en veilige formulering
Vendor assessmentRisicobeoordeling van jou als leverancierScope, bewijs, toelichting en open punten gestructureerd aanleveren
KlantportaalUploads, ja/nee-antwoorden en toelichting in vaste veldenNiet te snel klikken; eerst bewijs en formulering voorbereiden
AanbestedingKnock-outcriteria, gunningswensen of contracteisenEerst bepalen of de eis hard, juridisch of inhoudelijk te onderbouwen is
Bewijsverzoek na verkoopgesprekKlant wil zekerheid voordat contract wordt getekendLaat zien wat geregeld is, wat aantoonbaar is en wat op de roadmap staat

Staat de vraag in een aanbesteding of tenderdocument? Bekijk dan ook aanbesteding informatiebeveiliging beoordelen, omdat de ruimte voor toelichting daar anders kan zijn dan bij een normale klantbeoordeling.

Controleer eerst deze 7 dingen

Ga niet meteen antwoorden of bestanden uploaden. Een vendor assessment kan onderdeel worden van contractafspraken of latere discussies. Controleer daarom eerst deze punten.

CheckWaarom dit belangrijk isVoorbeeld
1. Wie vraagt dit?Procurement, security, legal en IT kijken anders naar risicoEen securityteam wil bewijs; procurement wil risicoscore
2. Welke dienst valt in scope?Je hoeft niet altijd je hele organisatie te beoordelenHosting, support, SaaS, consultancy of toegang tot klantomgeving
3. Welke data raakt dit?Persoonsgegevens, bedrijfsgevoelige informatie en klanttoegang geven meer risicoAlleen zakelijke contactdata is iets anders dan medische gegevens
4. Is bewijs verplicht?Soms is toelichting genoeg, soms moet je documenten uploadenScreenshot, beleid, procedure, rapport of verklaring
5. Zijn er harde eisen?Bij harde eisen kun je niet zomaar creatief antwoordenISO-certificaat, pentest, cyberverzekering of locatie-eis
6. Wat kun je aantonen?Een claim zonder bewijs is riskantMFA actief, maar geen formeel access review-proces
7. Wat staat nog open?Open punten kun je soms onderbouwen met roadmapBack-up restore-test gepland, beleid wordt geactualiseerd

Deze aanpak past bij het kernmodel van InstantSecure:

klantvraag → eis → maatregel → bewijs → roadmap

Als je niet zeker weet wat de klantvraag echt betekent, is een Eerste Beoordeling klantvraag vaak veiliger dan zelf gokken.

Wat moet je meestal aanleveren?

Een vendor assessment vraagt vaak om bewijsstukken in meerdere categorieën. Niet elke klant vraagt alles, maar onderstaande tabel helpt om te bepalen wat logisch is.

ThemaMogelijk bewijsKorte toelichting die vaak helptNiet zomaar delen
MFA en toegangMFA-beleid, Conditional Access-samenvatting, beheerinstellingenVoor welke accounts MFA actief is en welke uitzonderingen bestaanVolledige adminexports, tenantdetails, gebruikerslijsten
Back-upsBack-upbeleid, overzicht frequentie, laatste restore-testWelke systemen in scope vallen en hoe herstel getest wordtComplete infrastructuurdiagrammen of klantdata
IncidentresponsIncidentprocedure, meldpad, rollen en verantwoordelijkhedenHoe incidenten worden gemeld, beoordeeld en opgevolgdInterne noodnummers of gevoelige escalatiegegevens zonder noodzaak
ToegangsbeheerRollenmatrix, onboarding/offboarding-proces, access reviewHoe rechten worden toegekend, gewijzigd en ingetrokkenComplete personeelslijst of rechtenoverzicht met namen
Logging en monitoringBeschrijving logging, bewaartermijn, monitoringprocesWelke signalen je bewaakt en hoe opvolging plaatsvindtRuwe logs, security alerts of SIEM-details zonder filtering
PatchmanagementPatchbeleid, voorbeeldrapport, updateprocesHoe kwetsbaarheden en updates worden opgevolgdInterne kwetsbaarheidslijsten zonder context
LeveranciersbeheerSubverwerkerslijst, leveranciersregister, verwerkersafsprakenWelke derde partijen relevant zijn voor de klantdienstContracten of prijzen van andere leveranciers
AwarenessTrainingsoverzicht, phishingbeleid, security-instructiesHoe medewerkers worden geïnformeerd en herhaald getraindIndividuele toetsresultaten van medewerkers
BeleidInformatiebeveiligingsbeleid, privacybeleid, security statementWelke uitgangspunten en verantwoordelijkheden zijn vastgelegdInterne beleidsversies met gevoelige details
RoadmapVerbeterlijst, planning, eigenaar, statusWelke open punten wanneer worden opgepaktOnrealistische beloftes of harde deadlines zonder commitment

Een goede vendor assessment draait dus niet om zoveel mogelijk documenten meesturen. Het draait om het juiste bewijs bij de juiste vraag.

Voor terugkerende klantvragen kan een Cybersecurity Bewijsmap helpen om dit bewijs structureel klaar te zetten.

Wat moet je juist niet aanleveren?

Veel leveranciers maken de fout om óf te weinig te delen, óf juist te veel. Te weinig bewijs kan twijfel oproepen. Te veel bewijs kan onnodig risico opleveren.

Deel liever niet zomaar:

  • volledige gebruikerslijsten;
  • adminexports met namen, e-mails, rollen of tenantdetails;
  • ruwe logs;
  • kwetsbaarheidsrapporten zonder samenvatting;
  • screenshots met klantnamen of IP-adressen;
  • interne escalatienummers;
  • contracten met andere klanten of leveranciers;
  • volledige netwerkdiagrammen;
  • documenten waarin andere klantomgevingen zichtbaar zijn;
  • beleid dat meer belooft dan de praktijk waarmaakt.

Beter is vaak:

Niet ideaalVeiliger alternatief
Ruwe export uit Microsoft 365Geanonimiseerde samenvatting van MFA-instellingen
Volledig pentestrapportManagementsamenvatting of bevestiging van opvolging
Complete gebruikerslijstBeschrijving van rollen- en rechtenproces
Interne incidentprocedure met alle telefoonnummersKlantgerichte samenvatting van meldproces
Kwetsbaarheidslijst met technische detailsPatchproces, status en opvolgwijze

Het doel is niet geheimzinnig doen. Het doel is proportioneel bewijs delen zonder nieuwe risico's te creëren.

Voorbeelden van vendor assessment-vragen

Een klant kan dezelfde vraag op veel manieren stellen. Hieronder staan veelvoorkomende vragen met een veiliger antwoordpatroon.

Vraag van klantRisico bij te snel antwoordenVeiliger antwoordpatroon
Are all users protected with MFA?"Ja" zeggen terwijl uitzonderingen bestaanBenoem scope: MFA voor beheerders en kernaccounts, uitzonderingen en roadmap
Do you have an incident response process?Een procedure claimen die niet geoefend isBeschrijf meldpad, rollen, opvolging en eventuele verbeterpunten
Are backups tested regularly?Testfrequentie overdrijvenNoem laatste testdatum, scope en geplande verbeteringen
Are you ISO 27001 certified?Certificering suggereren zonder certificaatZeg eerlijk of je gecertificeerd bent; verwijs anders naar maatregelen en bewijs
Do you monitor security events?SIEM/SOC suggereren zonder dat het bestaatBeschrijf concrete logging en opvolging die er wél is
Do you assess your suppliers?Leveranciersbeheer claimen zonder procesBenoem relevante leveranciers, beoordeling en verbeterstap
Can you upload evidence?Te veel gevoelige details delenUpload alleen relevante, geanonimiseerde of samengevatte bewijsstukken

Deze voorbeelden zijn geen standaardantwoorden die je blind moet kopiëren. Ze laten zien hoe je eerlijker en sterker kunt formuleren.

Wat als je geen ISO 27001-certificaat hebt?

Een vendor assessment vraagt regelmatig naar ISO 27001, SOC 2, NEN 7510, pentesten of andere vormen van assurance. Dat betekent niet automatisch dat je kansloos bent.

Het verschil zit in de formulering van de klantvraag.

FormuleringBetekenisWat kun je doen?
"Upload your ISO 27001 certificate"Mogelijk harde certificaateisAls je geen certificaat hebt, niet doen alsof. Vraag of alternatief bewijs mogelijk is
"Are you ISO 27001 certified?"Feitelijke vraagAntwoord eerlijk ja/nee en licht maatregelen toe
"Do you have controls aligned with ISO 27001?"MaatregelenvraagToon beleid, maatregelen, bewijs en roadmap
"ISO 27001 or equivalent"Mogelijk ruimte voor gelijkwaardige onderbouwingVraag welke onderbouwing acceptabel is
"Describe your information security management process"ProcesvraagBeschrijf verantwoordelijkheden, beleid, risico's, bewijs en verbetercyclus

Als een certificaat formeel verplicht is, kun je dat niet vervangen met losse documenten of een Bewijsmap. Maar als de klant vooral wil weten wat aantoonbaar geregeld is, kun je vaak wel professioneel antwoorden met maatregelen, bewijsstukken en een roadmap.

Lees ook: zonder ISO 27001 toch security aantonen.

Wat als een maatregel gedeeltelijk is ingericht?

Niet alles hoeft perfect te zijn om professioneel te antwoorden. Maar je moet wel eerlijk zijn.

Een gedeeltelijk antwoord kan sterker zijn dan een harde claim zonder bewijs, zolang je duidelijk maakt:

  1. wat al geregeld is;
  2. voor welke systemen, accounts of diensten dit geldt;
  3. welk bewijs beschikbaar is;
  4. wat nog ontbreekt;
  5. wanneer of hoe dit wordt opgepakt.

Voorbeeldformulering:

MFA is ingericht voor beheerders en de belangrijkste cloudaccounts. Voor resterende gebruikers is uitrol gepland. Op verzoek kunnen we een geanonimiseerde samenvatting van de huidige inrichting en de geplande verbeterstap delen.

Nog een voorbeeld:

Er is een incidentmeldproces aanwezig met interne verantwoordelijkheden. De procedure wordt momenteel aangescherpt met extra escalatiestappen en periodieke evaluatie.

Wil je hier dieper op inzoomen? Lees ook mag je gedeeltelijk antwoorden op een securityvraag?.

Klantportaal: eerst voorbereiden, dan pas uploaden

Vendor assessments verlopen vaak via portalen van procurement- of GRC-tools. Dat voelt snel en makkelijk: vakjes aanvinken, documenten uploaden en klaar. Maar juist in portalen ontstaan fouten.

Let op deze valkuilen:

  • je kunt antwoorden soms niet meer aanpassen;
  • een ja/nee-veld laat weinig nuance toe;
  • bewijsstukken blijven mogelijk lang zichtbaar;
  • meerdere afdelingen bij de klant kunnen je antwoorden lezen;
  • antwoorden kunnen later onderdeel worden van contractafspraken;
  • een te sterke claim kan bij een incident tegen je werken.

Daarom is de volgorde belangrijk:

  1. Exporteer of kopieer eerst de vragen.
  2. Bepaal scope en risico.
  3. Verzamel bewijsstukken.
  4. Schrijf conceptantwoorden buiten het portaal.
  5. Controleer claims en open punten.
  6. Upload pas daarna de definitieve antwoorden.

Bij twijfel kun je het assessment eerst laten beoordelen via vendor assessment hulp.

Wanneer is een Cybersecurity Bewijsmap logischer?

Als je één vendor assessment ontvangt, kun je die soms eenmalig beantwoorden. Maar als meerdere klanten vergelijkbare vragen stellen, wordt losse beantwoording inefficiënt en risicovol.

Een Cybersecurity Bewijsmap is vooral logisch als:

  • klanten vaker securityvragen stellen;
  • je steeds opnieuw dezelfde bewijsstukken zoekt;
  • antwoorden per klant verschillen terwijl de feiten hetzelfde zijn;
  • je open punten beter wilt uitleggen;
  • je sales- of tenderproces vertraagt door securityvragen;
  • je zonder ISO-certificaat toch professioneel wilt aantonen wat geregeld is;
  • je klantvragen krijgt rond NIS2, Cbw, SC10 of SC20.

De Bewijsmap vervangt geen formeel verplicht certificaat. Het is bedoeld om maatregelen, bewijs en roadmap gestructureerd klaar te zetten voor klantvragen.

Bronnen en actuele overheidsinformatie

Vendor assessments zelf zijn meestal klant- of procurementprocessen, geen wettelijke standaard. Wel kunnen ze voortkomen uit bredere eisen rond ketenrisico, informatiebeveiliging en leveranciersbeheer.

Relevante bronnen:

Controleer bij wettelijke verplichtingen, contracteisen of aanbestedingen altijd de actuele bron en de exacte formulering van de klantvraag.

Vendor assessment ontvangen?

Stuur de vragenlijst, portaalvragen of klantmail niet blind door met snelle antwoorden. Laat eerst beoordelen wat de klant echt vraagt, welk bewijs logisch is en welke claims je beter kunt vermijden.

Laat je vendor assessment beoordelen

Of bekijk de dienst: vendor assessment hulp.

Veelgestelde vragen

Meestal vraagt een klant om antwoorden en bewijs over MFA, toegangsbeheer, back-ups, incidentrespons, logging, patchmanagement, leveranciersbeheer, beleid en open verbeterpunten. Lever alleen bewijs aan dat past bij de scope van de klantvraag en voeg korte toelichting toe.

Verder lezen

Gerelateerde gidsen