De zwakke schakel zit in het ketentoezicht

Waarom supply chain control geen vinkje is, maar je grootste risico

Je hebt het netjes geregeld.
Contracten liggen er. Eisen zijn vastgelegd. ISO 27001 staat op de roadmap — of hangt al aan de muur.

En toch zit daar, ongemerkt, je grootste kwetsbaarheid.

Niet in je firewall.
Niet in je beleid.
Maar in je keten.

De papieren werkelijkheid van supply chain security

In vrijwel elk contract staan tegenwoordig eisen over informatiebeveiliging en privacy. Denk aan:

- AVG-compliance

- Geheimhoudingsverplichtingen

- Eisen aan beveiligingsmaatregelen

- Verplichtingen rondom dataverwerking

Zowel contractanten als sub-contractanten krijgen deze voorwaarden opgelegd.

Op papier klopt het dus.

In de praktijk gebeurt er iets anders.

Want hoe vaak wordt dit daadwerkelijk gecontroleerd?

- Bij het tekenen van het contract? Zelden.

- Tijdens de looptijd? Nauwelijks.

- Op sub-contractanten of ingehuurde ZZP’ers? Bijna nooit.

Daar ontstaat een gevaarlijke illusie: schijnveiligheid.

De vergeten laag: sub-contractanten en ZZP’ers

De realiteit is dat een groot deel van het werk wordt uitgevoerd door derden:

- Ingehuurde specialisten

- ZZP’ers

- Kleine leveranciers verderop in de keten

En juist daar gaat het vaak mis.

Deze partijen:

- Zijn regelmatig niet op de hoogte van contractuele afspraken

- Hebben geen inzicht in de beveiligingseisen

- Ontvangen geen gerichte instructies of controles

- Worden niet actief geaudit of beoordeeld

Met andere woorden: ze werken wél met jouw data, maar niet onder jouw controle.

De risico’s zijn concreet (en aantoonbaar)

Dit is geen theoretisch probleem. Het raakt direct aan:

1. Contractbreuk

Wanneer afspraken niet worden nageleefd — ook door een sub-contractant — blijft de hoofdaannemer verantwoordelijk. En dus uiteindelijk ook jij als opdrachtgever.

2. AVG-overtredingen

Onder de AVG (GDPR) blijven organisaties verantwoordelijk voor:

- Wie toegang heeft tot persoonsgegevens

- Hoe deze worden verwerkt

- Welke beveiligingsmaatregelen zijn getroffen

Een lek bij een ketenpartner is óók jouw probleem.

3. Onvoldoende “passende maatregelen” (ISO 27001 / AVG)

Zowel ISO 27001 als de AVG vereisen aantoonbare controle op leveranciers. Alleen eisen vastleggen is niet genoeg.

4. Bestuurlijke aansprakelijkheid en boetes

Toezichthouders kijken steeds vaker naar ketenverantwoordelijkheid — niet alleen intern, maar juist buiten de eigen organisatie.

Wat zegt ISO 27001 hierover?

De huidige ISO 27001 (2022) is helder:

Organisaties moeten informatiebeveiligingsrisico’s in de leveranciersketen beheersen en monitoren.

Dit betekent concreet:

- Selectie van leveranciers op basis van risico

- Vastleggen van beveiligingseisen

- Periodieke evaluatie en monitoring

- Controle op naleving

Niet alleen bij contractstart, maar gedurende de hele samenwerking.

NIS 2 Directive. European cybersecurity rule

En dan komt NIS2…

Met de komst van NIS2 (die in Nederland in 2024/2025 wordt doorgevoerd en waar organisaties nu al op voorbereiden) wordt de lat nóg hoger gelegd.

NIS2 stelt expliciet eisen aan:

- Supply chain security

- Due diligence op leveranciers

- Toezicht op ketenpartners

- Aantoonbare beheersmaatregelen

Organisaties moeten kunnen laten zien dat ze:

- Weten wie er in hun keten zit

- Risico’s actief beoordelen

- Maatregelen controleren en afdwingen

Het tijdperk van “we hebben het contractueel geregeld” is daarmee definitief voorbij.

Wie is waarvoor verantwoordelijk?

Dit is misschien wel de belangrijkste vraag — en tegelijk de meest onderschatte.

De opdrachtgever

- Moet eisen stellen én controleren

- Moet ketenrisico’s in kaart brengen

- Is eindverantwoordelijk richting wet- en regelgeving

De contractant

- Moet afspraken doorvertalen naar sub-contractanten

- Moet toezicht houden op naleving

- Moet kunnen aantonen hoe dit gebeurt

De sub-contractant / ZZP’er

- Moet voldoen aan de gemaakte afspraken

- Moet weten wat er van hem/haar verwacht wordt

- Heeft vaak begeleiding en bewustwording nodig

In de praktijk ontbreekt vooral die laatste stap: heldere communicatie en controle naar de werkvloer van de keten.

Van schijnzekerheid naar aantoonbare controle

De oplossing zit niet in méér papier, maar in betere grip:

- Weet wie je ketenpartners zijn (óók de tweede en derde laag)

- Maak afspraken concreet en begrijpelijk

- Verifieer of afspraken bekend zijn bij uitvoerende partijen

- Voer periodieke controles uit (bijvoorbeeld audits of assessments)

- Leg resultaten vast – aantoonbaarheid is cruciaal

Want uiteindelijk gaat het niet om vertrouwen alleen, maar om controleerbaar vertrouwen.

Privacy als belofte, veiligheid als basis

Als organisatie beloof je zorgvuldig om te gaan met gegevens.

Maar die belofte stopt niet bij je eigen voordeur.

Zolang de keten niet onder controle is, blijft die belofte kwetsbaar.
En veiligheid slechts een aanname.

Durf jij kritisch naar je eigen keten te kijken?

- Weet jij wie jouw data écht verwerkt?

- Heb je gecontroleerd of contractafspraken worden nageleefd?

- Kun je dit aantonen – vandaag?

Zo niet, dan is dit hét moment om in actie te komen.

Begin klein, maar begin wel:
breng je keten in kaart en stel één kritische controle vraag aan je belangrijkste leverancier.

Neem gerust contact op

Want echte veiligheid begint niet bij beleid.
Maar bij inzicht.

Klik hier

Gerelateerde blogs

AVG

‘Ik heb niets te verbergen’ een risicovol misverstand

Lees verder »

Marinka 29/05/2026

Directeur aan vergadertafel met drie andere leden van het team.

AVG

A Directeur als privacy officer — goed idee?

Lees verder »

Marinka 29/05/2026

Ketting met schakels met in het midden een verlichte "zwakke schakel"

Wat ons bezig houdt

De zwakke schakel zit in het ketentoezicht

Lees verder »

Marinka 01/06/2026