Aflevering details
Seizoen: 4
Aflevering: 35
Speelduur: 42 minuten
Gast: Luuk Stadhouders (LinkedIn)
Functie: Teamlead & managing consultant Berenschot
Show notes
Het werd tijd verdieping te zoeken in een - wat mij betreft - weerbarstig onderdeel van informatiebeveiliging. Een onderdeel dat alleen maar een belang toeneemt door het vele uitbesteden, verSaaS'en en de komst van nieuwe wet- en regelgeving zoals NIS2/CER ofwel Cbw/Wwke. Leveranciersmanagement! In deze aflevering doorloop ik met Luuk Stadshouders dat van voren (inkoop) naar achteren (einde contract) en uiteraard alles wat daartussen zit.
(p.s. ook de volgende aflevering gaat over dit onderwerp zoals hier beloofd)
Web player
Lees je dit in je mailbox en werkt de web player niet?
Luister de aflevering dan hier.
Podcast video
Renco Schoemaker
Bekijk de video bij podcastaflevering #35 via bovenstaande link
Podcast samenvatting
Third party risk management: van inkoop tot exit
Renco Schoemaker spreekt in deze aflevering van qeep talking met Luuk Stadhouders, team lead digitale transformatie bij Berenschot. Luuk heeft een achtergrond in de aanpak van zware georganiseerde misdaad en was tijdelijk CISO bij een grote gemeente. Bij Berenschot combineert hij digitale veiligheid op nationaal niveau met informatiebeveiliging bij individuele organisaties.
Digitale weerbaarheid is meer dan informatiebeveiliging
Renco vraagt waarom Luuk steeds spreekt over "weerbaarheid" in plaats van "informatiebeveiliging". Luuk legt uit dat weerbaarheid breder is: het gaat om weerstand bieden tegen allerlei dreigingen, van cyberaanvallen tot pandemieën en overstromingen. Renco vat het samen als: digitaal weerbaar zijn betekent dat je als organisatie klappen kunt incasseren zonder dat je bedrijfsvoering direct plat ligt. Luuk benadrukt dat je vooraf moet weten wat je minimaal overeind moet houden als het misgaat — vergelijkbaar met een brandweer die niet stopt met oefenen omdat er blusmiddelen bij komen kijken.
Ken je eigen processen eerst
Luuk noemt het de "ongemakkelijke waarheid": veel organisaties weten onvoldoende welke processen ze hebben en waar hun afhankelijkheden zitten. Legacy-systemen, kennis die in hoofden zit, fusies — er zijn allerlei redenen waarom dat overzicht ontbreekt of verouderd is. Renco merkt op dat dit inzicht veel meer doelen dient dan alleen leveranciersmanagement. Luuk bevestigt: zonder dat fundament kun je juridisch niets dichttimmeren, laat staan in de praktijk grip houden op je leveranciers.
De spaghetti van inkoop en security
Renco constateert dat third party risk management op het snijvlak zit van security, inkoop, contractbeheer en leveranciersmanagement. Op papier is het helder, maar de weg ernaartoe is een ander verhaal. Luuk erkent dat het "een bord spaghetti" is. Het doelbeeld is niet zo moeilijk, maar grip krijgen op waar je nu staat en welke stappen je eerst moet zetten — daar worstelen organisaties mee. De verantwoordelijkheden zijn vaak versnipperd: inkoop doet een stukje, security een stukje, privacy een stukje. Niemand kijkt over het geheel. Luuk pleit voor een "satéprikker" van A tot Z: iemand die eindverantwoordelijk is, bij voorkeur de proceseigenaar.
Risicoprofiel als sturingsinstrument
Renco vraagt wat je precies analyseert bij uitbesteding: de leverancier of het product? Luuk antwoordt: allebei. Je beoordeelt of een IT-oplossing aan technische en niet-technische eisen voldoet. Daarnaast maak je aan de voorkant een risicoprofiel van de leverancier zelf — wil je bijvoorbeeld samenwerken met een Amerikaanse cloudprovider? Wel in afstemming met legal, want je moet een level playing field waarborgen bij aanbestedingen. Dat risicoprofiel bepaalt het "behandelregime" gedurende de hele looptijd. Een laag risicoprofiel: jaarlijks een self-assessment volstaat. Een hoog risicoprofiel: onafhankelijke assurance door een derde partij. En dat profiel is niet statisch — als een leverancier een been bijtrekt, kan het regime omlaag.
Gedurende het contract: niet wegzakken
Renco herkent dat na de handtekening de aandacht vaak wegzakt. Luuk bevestigt: het contract wordt misschien nog beheerd, de leverancier wordt af en toe gebeld, maar het kalft af. Periodiek inprikken op basis van het risicoprofiel is noodzakelijk. Voor organisaties zonder dedicated TPRM-office hoeft dat geen Cadillac te zijn. Een Opeltje volstaat ook, zegt Luuk, zolang je het maar doet — zeker bij je top-X van kritieke leveranciers.
De exit: opruimen en aantonen
Bij het einde van een contract gelden vergelijkbare principes als bij een medewerker die uit dienst gaat: data meenemen, data laten verwijderen, toegangen intrekken. Renco vraagt of je bij een hoog risicoprofiel genoegen neemt met een mailtje "ik heb alles verwijderd". Luuk is daar helder over: als je gedurende de hele looptijd onafhankelijke assurance hebt gevraagd, zou het gek zijn om op het laatste moment op een mailtje te vertrouwen.
Waar begin je dan concreet?
Risicoprofiel opstellen, dat doorvertalen naar eisen bij inkoop, naar behandelregime tijdens de looptijd, en naar aantoonbaarheid bij de exit. Geen raketwetenschap, maar wel discipline en samenwerking tussen inkoop, security, privacy, legal en contractbeheer.
Postcast website
Alle afleveringen van qeep posted zijn (ook) te vinden op de speciale podcast website. Via deze site vind je ook de links naar Apple Podcasts, Spotify, YouTube, en meer. Gebruik je liever een andere app? Geen probleem: je vindt er ook de directe RSS feed.
Share on
