Leveranciersbeheer bij ISO 27001
Bijna elke organisatie werkt met leveranciers die toegang hebben tot informatie of systemen: cloudproviders, IT-dienstverleners, salarisverwerkers, schoonmaakbedrijven. ISO 27001 stelt dat je ook hun beveiligingsrisico’s beheert. De relevante maatregelen staan in Annex A, paragrafen A.5.19 tot en met A.5.23. De NEN-versie van de norm geeft de formele tekst; ISO 27002 biedt implementatierichtlijnen.
Leveranciersbeheer is een onderdeel dat bij interne audits en certificeringsaudits regelmatig bevindingen oplevert. Niet omdat het technisch ingewikkeld is, maar omdat organisaties het vergeten of oppervlakkig invullen.
De vijf maatregelen A.5.19 tot A.5.23
| Maatregel | Onderwerp | Kern |
|---|---|---|
| A.5.19 Informatiebeveiliging bij leveranciers | Beleid voor leveranciersrelaties | Stel eisen voordat je een leverancier inschakelt |
| A.5.20 Informatiebeveiligingseisen in overeenkomsten | Contracten | Leg beveiligingseisen vast in contractuele afspraken |
| A.5.21 Informatiebeveiliging in de ICT-supply chain | Leveranciersketens | Beheers de risico’s in de keten van je leveranciers |
| A.5.22 Monitoring en beoordeling | Lopende relaties | Controleer regelmatig of leveranciers nog aan je eisen voldoen |
| A.5.23 Informatiebeveiliging voor cloudservices | Cloudleveranciers | Specifieke eisen voor cloudgebaseerde diensten |
A.5.23 is een nieuwe maatregel in de 2022-versie van ISO 27001. Ze reflecteert dat de meeste organisaties tegenwoordig sterk afhankelijk zijn van cloudproviders en dat die risico’s specifieke aandacht vragen.
Waarom leveranciersbeheer cruciaal is
Aanvallen via de supply chain nemen toe. De SolarWinds-aanval in 2020 en de Log4Shell-kwetsbaarheid in 2021 lieten zien dat één gecompromitteerde leverancier duizenden organisaties kan treffen. ISO 27001 erkent dit: A.5.19 stelt dat je een beleid hebt voor het beheren van de risico’s die samenhangen met leveranciers die toegang hebben tot je informatie.
Maar het gaat niet alleen om hackers. Een salarisverwerker die persoonsgegevens onzorgvuldig opslaat, een schoonmaakbedrijf dat onbewust toegang heeft tot gevoelige ruimtes, of een SaaS-tool zonder AVG-conform datagebied: dit zijn allemaal leveranciersrisico’s.
Leveranciersbeoordeling: wat beoordeel je?
Voordat je een leverancier inschakelt — zeker als die toegang krijgt tot informatie in scope — beoordeel je het beveiligingsniveau.
| Type leverancier | Minimaal te beoordelen |
|---|---|
| Cloudprovider (IaaS/PaaS) | Certificeringen (ISO 27001, SOC 2), datalocatie, verwerkersovereenkomst, incidentprocedure |
| SaaS-leverancier | Certificeringen, beveiligingspagina (trust center), verwerkersovereenkomst, subverwerkers |
| IT-dienstverlener met toegang tot systemen | Achtergrondscreening medewerkers, geheimhoudingsverklaring, toegangsbeheerbeleid |
| Fysieke toegang (schoonmaak, facilitair) | Toegangsbeleid, screening, bewustzijn |
Licht een beoordeling altijd toe in het leveranciersregister. Een paar zinnen per leverancier volstaat voor kleine risico’s; voor kritieke leveranciers wil je uitgebreidere documentatie.
Voorbeeld: leveranciersregister
Een leveranciersregister is geen uitgebreid systeem. Een spreadsheet met de onderstaande kolommen is voldoende voor de meeste organisaties.
| Leverancier | Type | Toegang tot | Risicoclassificatie | Overeenkomst | Certificering | Datum review |
|---|---|---|---|---|---|---|
| AWS eu-west-1 | IaaS | Productie-infrastructuur | Hoog | Verwerkersovereenkomst + SLA | ISO 27001, SOC 2 | 2026-01-15 |
| HiBob | SaaS HR | Personeelsgegevens | Hoog | Verwerkersovereenkomst | ISO 27001 | 2026-02-01 |
| Caretaker BV | Schoonmaak | Kantoor | Laag | Geheimhoudingsverklaring | n.v.t. | 2026-03-01 |
De risicoclassificatie bepaalt hoe intensief je de leverancier monitort. Een kritieke cloudprovider beoordeel je jaarlijks; een schoonmaakbedrijf zonder toegang tot IT-systemen behoeft minder aandacht.
Contracten en verwerkersovereenkomsten
ISO 27001 A.5.20 eist dat beveiligingseisen zijn vastgelegd in contracten. Voor leveranciers die persoonsgegevens verwerken, is een verwerkersovereenkomst bovendien verplicht onder de AVG (artikel 28).
Minimaal bevat een leverancierscontract:
- De verplichting tot naleving van de overeengekomen beveiligingseisen
- De verplichting om incidenten te melden (inclusief tijdslijn)
- Het recht op audit of bewijs van certificering
- Regels over het inschakelen van subverwerkers
- Afspraken over beëindiging en teruglevering van data
Voor cloudproviders als AWS, Microsoft Azure of Google Cloud zijn verwerkersovereenkomsten standaard beschikbaar in hun portal. Controleer of de datalocatie (EU) en de beveiligingseisen overeenkomen met je ISMS-scope.
Cloudleveranciers (A.5.23)
De nieuwe maatregel A.5.23 vraagt specifiek aandacht voor cloudservices. Stel voor elke cloudleverancier vast:
- Welk gedeeld verantwoordelijkheidsmodel geldt er? (IaaS: jij beheert het OS; PaaS: de provider beheert het platform)
- Waar worden data opgeslagen? (Eis EU-datalocatie bij verwerking van persoonsgegevens)
- Hoe gaat de provider om met incidenten?
- Wat zijn de beschikbaarheidssla’s?
- Hoe ziet de exit-strategie eruit?
Vastleggen in het leveranciersregister is voldoende als bewijs.
Een veelgemaakte fout is alle cloudproviders als “laag risico” classificeren omdat ze groot en bekend zijn. AWS of Azure zijn groot en goed beveiligd, maar jij bent verantwoordelijk voor wat je op hun platform bouwt. De verantwoordelijkheid stopt niet bij de leverancier.
Monitoring van leveranciers
A.5.22 vraagt om regelmatige monitoring van leveranciers. Dat betekent niet dat je ieder kwartaal een audit bij elke leverancier uitvoert. Proportioneel betekent:
- Hoog risico: jaarlijkse beoordeling, inclusief controle op certificeringen en incidenthistorie
- Gemiddeld risico: tweejaarlijkse beoordeling
- Laag risico: beoordeling bij contractverlenging
Wanneer een leverancier een beveiligingsincident heeft, een nieuwe eigenaar krijgt, of zijn diensten significant wijzigt, is een tussentijdse beoordeling op zijn plaats.
Leveranciersbeheer en je risicoanalyse
Leveranciersrisico’s horen in je risicoregister. Identificeer per kritieke leverancier de risico’s: wat als deze leverancier een datalek heeft? Wat als ze uitvallen? Wat als ze stoppen? Koppel de risico’s aan maatregelen (leverancierscontract, back-up, exit-strategie) en registreer ze.
Meer informatie
- Annex A — Alle 93 maatregelen inclusief A.5.19-5.23
- Risicoanalyse — Leveranciersrisico’s in het risicoregister
- Eisen van de norm — Clausule 8 over uitvoering
- NIS2 en ISO 27001 — NIS2 eist ook supply chain security
- ISO 27002:2022 — Implementatierichtlijnen per maatregel