Terug

24-03-2026

Third parties: je grootste compliance-risico zit vaak buiten je eigen bedrijf

In de financiële sector is het makkelijk om te denken dat compliance vooral over intern gedrag gaat: integriteit, procedures, klantdossiers. Maar in veel organisaties liggen de grootste risico’s bij derden: leveranciers, consultants, IT-partners, uitbestedingspartijen en ketenpartners. Zij krijgen toegang tot systemen, gegevens en processen en daarmee tot jouw reputatie.

Third party risk management hoeft niet zwaar te zijn. Het moet vooral consistent en aantoonbaar zijn.

Waarom third party risk zo vaak onderschat wordt

  • toegang wordt “tijdelijk” gegeven en nooit ingetrokken
  • contracten zijn inhoudelijk, maar missen security/compliance details
  • leveranciers wisselen personeel (maar toegang blijft bestaan)
  • data wordt gedeeld in de keten zonder heldere afspraken
  • incidenten worden te laat gesignaleerd

De 7-stappen aanpak (praktisch)

1) Segmentatie: wie is kritisch?

Niet elke leverancier is even belangrijk. Categoriseer bijvoorbeeld:

  • kritisch (toegang tot systemen/klantdata)
  • belangrijk (operationele impact)
  • laag risico (geen data, geen toegang)

2) Due diligence op een passend niveau

Bij kritische partijen wil je minimaal zicht op: securitymaatregelen, incidentproces, dataverwerking en continuïteit.

3) Contractueel vastleggen

Zorg dat afspraken er echt in staan:

  • dataverwerking en geheimhouding
  • toegang en logging
  • auditrechten (waar passend)
  • meldtermijnen bij incidenten
  • exit/offboarding en data-retour/verwijderen

4) Toegang minimaliseren

Geen “voor het gemak” brede rechten. Geef rolgebonden toegang, tijdgebonden en met periodieke review.

5) Onboarding met heldere verwachtingen

Ook derden moeten snappen wat jullie norm is. Korte training + heldere spelregels voorkomt gedoe achteraf.

6) Monitoring & periodieke review

Plan vaste momenten (bijv. halfjaarlijks) voor kritische leveranciers: toegang, incidenten, wijzigingen.

7) Offboarding als standaardproces

Dit is waar het vaak misgaat. Zorg voor een checklist: accounts uit, passen inleveren, data terug, rechten intrekken, bevestigen.

Mini-scenario

Een externe IT-consultant krijgt adminrechten “voor drie weken”. Drie maanden later werkt hij allang niet meer aan het project, maar de rechten bestaan nog. Niemand merkt het, tot er een auditvraag komt. Dit is precies het type risico dat je met segmentatie + offboarding standaard voorkomt.

Borging en aantoonbaarheid

Third party risk is niet alleen “IT” of “inkoop”. Het is organisatiebreed. Als je dit koppelt aan korte training (voor inkoop, contractmanagers, projectleiders) en vaste checks, krijg je grip én aantoonbaarheid.

Wil je third party risk praktisch borgen voor jouw organisatie?
Vraag een demo aan, of plan direct een afspraak in met Carla Steenbeeke.

Laatste

Omgaan met voorkennis: praktische regels voor vertrouwelijke info

Leer meer

Speak-up cultuur in de overheid: zo doorbreek je zwijgen

Leer meer

Mentale gezondheid op de werkvloer: signalen die leidinggevenden missen

Leer meer

Benieuwd naar de mogelijkheden?

Plan een afspraak

Is jouw organisatie klaar voor de volgende stap?

Plan een afspraak met ons en laat je inspireren.

Maak een afspraak