Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Uw leveranciers worden elke maand gehackt. Dit betekent dit voor uw bedrijf.
Uw leveranciers worden elke maand gehackt. Dit betekent dit voor uw bedrijf.

Uw leveranciers worden elke maand gehackt. Dit betekent dit voor uw bedrijf.

by Patrick Spencer updated februari 24, 2026 Risico van derden
Reading Time: 14 minutes

Laten we beginnen met een cijfer dat iedere bestuurder aan het denken zou moeten zetten: de gemiddelde organisatie heeft vorig jaar 12 datalekken via derden meegemaakt. Dat is één datalek per maand, niet vanuit je eigen systemen, maar via de leveranciers, partners en dienstverleners aan wie je toegang tot je data en processen hebt toevertrouwd.

Deze bevinding komt uit het ProcessUnity State of Third-Party Risk Assessments 2026 rapport, gebaseerd op een enquête onder bijna 1.500 risicoprofessionals uitgevoerd door het Ponemon Institute. En hier komt het opvallende: terwijl 90% van de organisaties het afgelopen jaar een datalek via derden heeft meegemaakt, gaf 53% van de respondenten aan vertrouwen te hebben in de effectiviteit van hun third-party risk management-programma’s.

Die kloof tussen perceptie en werkelijkheid onthult een fundamenteel probleem in de manier waarop bedrijven omgaan met leveranciersrelaties. Organisaties denken dat ze risico’s beheersen, terwijl de data duidelijk het tegendeel laat zien. De vraag is niet of je leveranciers slachtoffer worden van een datalek—maar of jij het weet als het gebeurt, en of je klaar bent om te reageren.

5 Belangrijkste Inzichten

1. Organisaties Hebben Gemiddeld 12 Datalekken via Derden per Jaar

Volgens het ProcessUnity 2026 rapport, gebaseerd op een enquête onder bijna 1.500 risicoprofessionals, worden je leveranciers gemiddeld eens per maand gecompromitteerd. Ondanks deze alarmerende frequentie denkt 53% van de organisaties nog steeds dat hun third-party risk management effectief is—een gevaarlijke kloof tussen perceptie en werkelijkheid.

2. De Meeste Leveranciersrisicobeoordelingen Zijn te Traag en te Beperkt

Zes op de tien organisaties doen er vier maanden of langer over om één leverancier te beoordelen, en bedrijven evalueren gemiddeld slechts 36% van hun derde partijen. Dit betekent dat bijna twee derde van je leveranciersrelaties functioneert zonder formeel beveiligingstoezicht, terwijl dreigingen zich dagelijks ontwikkelen.

3. E-mailcompromittering Zorgt voor Meer Claims dan Ransomware

Business email compromise en fraude met geldtransfers zijn goed voor 60% van alle cyberverzekeringsclaims, terwijl ransomware slechts 20% voor zijn rekening neemt. Aanvallers die toegang krijgen tot e-mailsystemen van leveranciers kunnen zich voordoen als vertrouwde contacten, inloggegevens verzamelen en frauduleuze transacties initiëren—waardoor e-mailbeveiliging net zo cruciaal is als elke leveranciersvragenlijst.

4. Vierdepartijrisico Blijft een Groot Blinde Vlek

Minder dan de helft van de organisaties beoordeelt de leveranciers van hun leveranciers, en slechts 23% breidt deze beoordelingen uit voorbij de kritieke leveranciers. Wanneer incidenten zoals het Snowflake-datalek zich door onderling verbonden toeleveringsketens verspreiden, ontdekken organisaties zonder vierdepartij-inzicht hun blootstelling vaak te laat.

5. Handmatige Processen Kunnen Moderne Dreigingen Niet Bijbenen

Bijna twee derde van de organisaties vertrouwt nog steeds op spreadsheets voor leveranciersrisicobeoordelingen, terwijl 27% van de leveranciers nooit reageert op beoordelingsverzoeken. De adoptie van AI versnelt—44% van de organisaties gebruikt nu of is van plan AI-ondersteunde beoordelingen te implementeren—maar governancekaders blijven gevaarlijk achter bij de inzet.

De Werkelijke Kosten van Vertrouwen op Je Leveranciers

Datalekken via derden zijn niet alleen een beveiligingsprobleem. Ze zijn ook een financiële klap.

Volgens het Coalition 2025 Cyber Claims Report bedragen de gemiddelde herstelkosten van een datalek via derden voor organisaties zo’n $42.000. Dat lijkt beheersbaar, totdat je beseft dat uit dezelfde data blijkt dat 52% van de diverse first-party verliezen voortkomt uit incidenten met leveranciers. Tel daar de bijkomende gevolgen bij op—juridische kosten, forensisch onderzoek, meldingen van datalekken, klantenverlies en toezicht door toezichthouders—en de werkelijke kosten lopen snel op.

Cijfers uit breder onderzoek naar datalekken schetsen een nog somberder beeld. Datalekken via derden en de toeleveringsketen zijn het op één na meest voorkomende aanvalspad geworden, en behoren tot de duurste om op te lossen. Wanneer een datalek ontstaat via een systeem van een derde partij, lopen de herstelkosten voor organisaties nu gemiddeld op tot $4,8 miljoen. Deze incidenten worden ook gemiddeld 26 dagen later ontdekt dan datalekken die intern ontstaan, waardoor aanvallers meer tijd hebben om schade aan te richten.

Het Change Healthcare-datalek van 2024 is een waarschuwend voorbeeld. Een door phishing veroorzaakte ransomware-aanval groeide uit tot het grootste zorgdatalek ooit, met 190 miljoen getroffen personen en landelijke verstoring van ziekenhuisnetwerken. UnitedHealth besteedde meer dan $2 miljard aan de respons en vergoedde zorgverleners meer dan $4,7 miljard. Wanneer zorgprocessen stilvallen, reiken de gevolgen veel verder dan financiële cijfers—het gaat om mensenlevens.

Neem de controle over je data terug met Vendor Risk Management

Lees nu

Waarom Traditioneel Vendor Risk Management Faalt

Het ProcessUnity-rapport legt een aantal ongemakkelijke waarheden bloot over hoe organisaties momenteel leveranciersbeheer aanpakken. Gemiddeld beoordelen bedrijven slechts 36% van hun derde partijen. Dat betekent dat bijna twee derde van je leveranciersrelaties zich in feite in een beveiligingsblinde vlek bevindt.

Zelfs wanneer beoordelingen plaatsvinden, duren ze veel te lang. Zes op de tien organisaties geven aan dat hun leveranciersrisicobeoordelingen vier maanden of langer duren. Meer dan een kwart zegt dat beoordelingen meer dan 160 uur personeelstijd kosten. Ondertussen ontwikkelen dreigingen zich dagelijks. Een beoordelingscyclus van vier maanden betekent dat je de beveiligingsstatus van een leverancier evalueert op basis van omstandigheden die tegen de tijd dat je klaar bent drastisch veranderd kunnen zijn.

De afhankelijkheid van handmatige processen verergert het probleem. Bijna twee derde van de organisaties gebruikt nog steeds spreadsheets voor hun risicobeoordelingen. Spreadsheets zijn prima voor budgettering of projectplanning, maar volstrekt ontoereikend om de beveiligingsstatus van tientallen of honderden leveranciers in real time te beheren.

De responsiviteit van leveranciers vormt een extra uitdaging. Volgens de onderzoeksresultaten geeft 61% van de organisaties aan dat leveranciers doorgaans vier maanden of langer nodig hebben om te reageren op risicobeoordelingsvragenlijsten. Nog zorgwekkender: gemiddeld reageert 27% van de leveranciers helemaal niet. Je kunt geen risico’s beheren die je niet kunt meten, en je kunt niet meten wat leveranciers weigeren te delen.

Ook het herstelbeeld is somber. Slechts 16% van de respondenten gaf aan dat het herstel voor 90% tot 100% was afgerond vóór de onboarding van een nieuwe leverancier. Bijna één op de vijf meldde dat er doorgaans geen herstelacties werden uitgevoerd voordat een leverancier in productie werd genomen. Organisaties kennen de risico’s. Ze documenteren ze. Maar ze nemen de leverancier toch aan boord omdat de business niet kan wachten.

Het Vierdepartijprobleem Waar Niemand Over Praat

Je leveranciers hebben ook leveranciers. Die onderaannemers en dienstverleners—vaak vierde partijen genoemd—hebben vaak toegang tot dezelfde gevoelige data en systemen als je directe leveranciers. Toch voert minder dan de helft van de organisaties enige beoordeling van vierde partijen uit als onderdeel van hun risicobeheerprogramma. Slechts 23% breidt deze beoordelingen uit voorbij de kritieke leveranciers.

Dit gat creëert wat risicoprofessionals een concentratieprobleem noemen. Wanneer één grote leverancier een incident ervaart, verspreidt de schade zich naar iedere organisatie die van hen afhankelijk is—en naar iedere organisatie die weer afhankelijk is van hun klanten. Het Snowflake-inloggegevenslek van 2024 liet zien hoe één leverancierscompromis een heel ecosysteem kan raken, waaronder grote bedrijven als Advance Auto Parts, dat een datalek meldde met meer dan 2,3 miljoen getroffen personen.

De incidenten bij Change Healthcare en CDK Global illustreren deze risico-accumulatie verder. Eén enkel falend punt in de toeleveringsketen kan leiden tot grootschalige operationele verstoring binnen een hele sector.

E-mail: De Voordeur Waar Aanvallers Blijven Binnenlopen

Hoewel third-party risk de krantenkoppen haalt, laat het Coalition-rapport zien dat e-mail nog steeds het meest gebruikte toegangspunt tot je organisatie is.

Business email compromise en fraude met geldtransfers zijn goed voor 60% van alle cyberverzekeringsclaims. Ransomware, ondanks de beruchte reputatie, vertegenwoordigt slechts ongeveer 20% van de claims—al zijn de financiële gevolgen bij die incidenten vaak veel groter.

De combinatie van e-mailcompromittering en third-party risk creëert een bijzonder gevaarlijk aanvalsoppervlak. Aanvallers die toegang krijgen tot e-mailsystemen van leveranciers kunnen zich voordoen als vertrouwde contacten, frauduleuze geldtransfers initiëren en inloggegevens verzamelen die diepere toegang tot je omgeving geven. Een incident bij Coinbase in 2025 toonde dit risico aan toen kwaadwillende insiders bij een externe supportleverancier gebruikersdata exfiltreerden en een afpersingspoging van $20 miljoen deden.

De praktische implicatie: je e-mailbeveiligingsmaatregelen en processen voor betalingsverificatie verdienen minstens zoveel aandacht als je leveranciersbeoordelingen. Het meest geavanceerde leveranciersrisicokader helpt niet als een aanvaller via je inbox binnenkomt omdat iemand op een legitiem ogende link klikte.

Precies daarom kiezen organisaties die gevoelige data verwerken steeds vaker voor e-mailbeveiligingsplatforms die end-to-end encryptie, geavanceerde dreigingsdetectie en uitgebreide audittrails bieden. Als e-mail zowel je belangrijkste communicatiekanaal als je grootste kwetsbaarheid is, moet je het behandelen als kritieke infrastructuur in plaats van een standaarddienst.

Ransomware: Nog Steeds de Kampioen qua Financiële Impact

Ondanks afnemende ernst jaar op jaar blijft ransomware de grootste kostenpost bij cyberverzekeringsclaims. Wereldwijd bedroeg de gemiddelde schade door ransomware ongeveer $292.000 in 2024, en de dreiging blijft zich ontwikkelen.

Het Coalition-rapport beschrijft een scenario dat zich herhaaldelijk afspeelt in diverse sectoren: aanvallers krijgen aanvankelijk toegang via remote desktop-software of andere remote access-tools, bewegen zich lateraal door het netwerk, maken onsite-back-ups corrupt om herstel onmogelijk te maken, en zetten vervolgens ransomware in met dreiging van datalekken als er niet wordt betaald.

De tactiek van back-upcorruptie verdient speciale aandacht. Veel organisaties denken dat hun back-upstrategie hen beschermt tegen ransomware, maar geavanceerde aanvallers richten zich juist op back-upsystemen als onderdeel van hun aanpak. Als je back-ups op hetzelfde netwerk staan als je productiesystemen, toegankelijk met dezelfde inloggegevens, bieden ze schijnveiligheid in plaats van echte bescherming.

Remote access-tools vormen een ander kritiek zwak punt. Door de toename van thuiswerken is het aanvalsoppervlak voor kwaadwillenden enorm toegenomen. Elke VPN-concentrator, remote desktop-service en cloudtoegangsportaal is een potentieel toegangspunt dat actief wordt gescand door aanvallers.

Sector en Bedrijfsgrootte: Risico Is Niet Gelijk Verdeeld

De Coalition-data laat aanzienlijke verschillen in risicoblootstelling zien op basis van sector en bedrijfsgrootte.

Bedrijven in consumentengoederen hebben de hoogste claimfrequentie met 2,60%, terwijl organisaties in de energiesector de hoogste schade ervaren met gemiddeld $292.000 verlies per incident. Kleine en middelgrote bedrijven met minder dan $25 miljoen omzet waren goed voor 64% van het totaal aantal claims, ondanks een lagere frequentie. Dit suggereert dat kleinere organisaties vaak de middelen en expertise missen om incidenten te voorkomen, ook al zijn ze minder vaak doelwit.

Aan de andere kant van het spectrum ervaren bedrijven met meer dan $100 miljoen omzet een claimfrequentie van bijna 6%—maar zij hebben ook de middelen om te investeren in robuustere verdediging. De gemiddelde schade per incident bedraagt bij hen ongeveer $228.000.

Deze verschillen hebben praktische gevolgen voor de allocatie van risicomanagementmiddelen. Een kleine producent wordt geconfronteerd met andere dreigingen dan een grote speler in de financiële sector, en hun investeringen in verdediging moeten daarop zijn afgestemd.

De AI-transformatie: Kans en Risico Komen Samen

Kunstmatige intelligentie verandert third-party risk management op zowel veelbelovende als zorgwekkende manieren.

Aan de positieve kant versnelt de adoptie van AI voor risicobeoordelingen. Volgens de ProcessUnity-enquête heeft 25% van de organisaties AI gedeeltelijk geïmplementeerd ter ondersteuning van third-party risk assessments, 19% meldt volledige adoptie en 37% is van plan AI in de toekomst te implementeren. Van de organisaties die AI gebruiken, zegt 53% dat het personeel vrijmaakt voor waardevollere taken, 48% meldt real-time intelligence en 42% ziet verbeterde managementresultaten.

AI-tools kunnen beoordelingscycli versnellen, opkomende risico’s in real time signaleren en organisaties helpen hun monitoring op te schalen zonder evenredige toename van personeel. Voor organisaties die verdrinken in spreadsheets en vragenlijsten biedt dit een echte kans om hun aanpak te transformeren.

Maar AI introduceert ook nieuwe risicopaden. Ongeveer één op de zes datalekken in 2025 betrof AI-gedreven aanvallen, waarbij aanvallers AI inzetten om overtuigendere phishingmails te maken, kwetsbaarheidsscans te automatiseren en hun operaties te versnellen. Shadow AI—medewerkers die AI-tools gebruiken zonder beveiligingstoezicht—is een aanzienlijke kostenverhoger, met gemiddeld $670.000 extra kosten per datalek als het voorkomt.

Het governancegat is groot. Veel organisaties hebben AI sneller ingezet dan dat ze beleid hebben ontwikkeld om het gebruik ervan te reguleren. Regelmatige audits op ongeautoriseerde AI-tools zijn eerder uitzondering dan regel.

Het Point Solution Probleem: Waarom Gefragmenteerde Beveiliging Risico Creëert

Uit analyses na datalekken blijkt steeds weer hetzelfde patroon: organisaties met gefragmenteerde beveiligingsarchitecturen—een aparte tool voor e-mail, een andere voor bestandsoverdracht, losse systemen voor formulieren en dataverzameling—hebben moeite om consistente bescherming en zichtbaarheid te behouden.

Elke point solution introduceert een eigen beveiligingsmodel, eigen toegangscontroles, eigen auditlogs en eigen potentiële kwetsbaarheden. Als deze systemen niet goed samenwerken, ontstaan er gaten. Een aanvaller die één systeem binnendringt, kan vaak doorstoten naar andere systemen omdat de gefragmenteerde architectuur geen uniforme controle en zichtbaarheid biedt.

De Coalition-data over leveranciersconcentratierisico onderstreept dit punt. Wanneer 52% van de diverse first-party verliezen voortkomt uit incidenten met derden, correleert het aantal leveranciers in je beveiligingsstack direct met je blootstelling. Elke extra leveranciersrelatie—ook met beveiligingsleveranciers zelf—vergroot je aanvalsoppervlak.

Dit verklaart de groeiende interesse in geïntegreerde platforms die gevoelige communicatie onder één beveiligingsarchitectuur samenbrengen. In plaats van losse tools te beheren voor beveiligde e-mail, bestandsoverdracht, managed file transfer en webformulieren, kunnen organisaties de complexiteit en het risico verminderen door geïntegreerde oplossingen te kiezen met consistente beveiligingscontroles, gecentraliseerd beleid en uitgebreide auditmogelijkheden voor alle gevoelige datastromen.

Webformulieren: Het Over het Hoofd Geziene Aanvalspad

Hoewel e-mail de claimsstatistieken domineert, vormen webformulieren een steeds vaker misbruikt zwak punt dat aandacht verdient. Elk formulier dat gevoelige data verzamelt—patiëntinformatie, financiële aanvragen, onboarding-documentatie van medewerkers, klantverzoeken—creëert een potentieel toegangspunt voor aanvallers en een compliance-risico voor organisaties.

Traditionele webformulierplatforms geven prioriteit aan gemak boven beveiliging. Ze draaien op multi-tenant architecturen waarbij één datalek data van duizenden organisaties tegelijk kan blootstellen. Ze slaan inzendingen op in niet-gecodeerde databases. Ze missen de audittrails die toezichthouders steeds vaker eisen.

Voor organisaties die gevoelige data verzamelen via beveiligde webformulieren, moeten de beveiligingsvereisten encryptie van gegevens in rust en onderweg, granulaire toegangscontrole, uitgebreide auditlogs en integratie met bestaande identity management-systemen omvatten. Formulieren die zorgdata verzamelen vereisen HIPAA-compliant infrastructuur. Formulieren voor financiële informatie vereisen SOX-conforme controles. Standaard form builders voldoen zelden direct aan deze vereisten.

Compliance: De Kostenvermenigvuldiger Waar Niemand Voor Begroot

Incidenten blijven niet beperkt tot de beveiligingsafdeling. Ze worden compliance-events met eigen werkstromen en kostenposten.

Coalition wijt de stijgende ernst van business email compromise deels aan de toenemende juridische kosten, kosten voor incidentrespons, data-analyse en meldingsverplichtingen. Bij een datalek worden advocaten ingeschakeld. Toezichthouders kunnen zich melden. Getroffen personen moeten worden geïnformeerd. Bewijs moet worden veiliggesteld. Dit alles kost middelen en vergroot de financiële impact ver voorbij het initiële incident.

Het compliance-aspect verandert een mogelijk beheersbaar beveiligingsincident in een organisatiebrede crisis. Zorgorganisaties krijgen te maken met HIPAA-meldingsplicht en mogelijke boetes. Financiële instellingen moeten rekening houden met SOX-implicaties. Iedere organisatie die data van EU-ingezetenen verwerkt, krijgt te maken met de strikte meldingsdeadlines en hoge boetes van de GDPR.

Organisaties die compliance-gereedheid als bijzaak behandelen, hebben langere hersteltijden en hogere kosten. De infrastructuur voor incidentrespons—weten welke advocaat je moet bellen, meldingssjablonen klaar hebben, de regelgeving begrijpen—moet vooraf geregeld zijn, niet pas tijdens een crisis.

Geautomatiseerde compliance-rapportages en uitgebreide auditlogs voldoen niet alleen aan de eisen van toezichthouders—ze versnellen ook de incidentrespons door direct inzicht te geven in welke data is getroffen, wie toegang had en wanneer. Dit kan het verschil maken tussen een beheersbaar incident en een regelrechte ramp.

Data Soevereiniteit: De Nieuwe Compliancegrens

Nu organisaties worstelen met third-party risk, is datasoevereiniteit een cruciale factor geworden die veel leveranciersrisicoprogramma’s over het hoofd zien. Datasoevereiniteitswetten gelden nu in meer dan 100 landen, elk met specifieke vereisten voor waar gevoelige data mag worden opgeslagen en verwerkt.

Wanneer je leveranciers je data opslaan of verwerken, worden hun dataresidentiebeslissingen jouw complianceprobleem. Een leverancier die Europese klantdata via Amerikaanse servers laat lopen, kan je organisatie blootstellen aan GDPR-overtredingen, ongeacht je eigen infrastructuur. Een zorgleverancier die patiëntinformatie opslaat in een rechtsbevoegdheid zonder voldoende privacybescherming, creëert HIPAA-aansprakelijkheid voor jouw organisatie.

Dit geldt ook voor overheidsdata. Wetgeving zoals de US CLOUD Act kan leveranciers dwingen data te overhandigen die in het buitenland is opgeslagen, wat kan leiden tot conflicten tussen wettelijke verplichtingen en contractuele afspraken. Organisaties met strikte datasoevereiniteitsvereisten eisen daarom steeds vaker architecturale garanties—niet alleen contractuele beloften—dat hun data binnen gespecificeerde geografische grenzen blijft en buiten het bereik van buitenlandse overheden.

Een Third-Party Risk Programma Bouwen dat Echt Werkt

De data wijst op diverse praktische verbeteringen die organisaties kunnen doorvoeren om hun leveranciersrisicobeheer te versterken.

Ten eerste is automatisering niet langer optioneel. Handmatige, spreadsheet-gebaseerde processen kunnen de hoeveelheid en snelheid van moderne leveranciersrelaties niet bijbenen. Organisaties moeten investeren in platforms die beoordelingsactiviteiten kunnen opschalen, hersteltrajecten kunnen volgen en continue monitoring bieden. Het doel is niet om menselijk oordeel uit te schakelen, maar om dat oordeel te richten op wat ertoe doet in plaats van op data-invoer en documentbeheer.

Ten tweede is prioriteit belangrijker dan volledigheid. Je kunt waarschijnlijk niet iedere leverancier met dezelfde grondigheid beoordelen, en dat hoeft ook niet. Implementeer een indelingssysteem dat de meest intensieve zorgvuldigheid richt op leveranciers met toegang tot gevoelige data, kritieke systemen of operationele afhankelijkheden. Leveranciers met een lager risico kunnen met lichtere beoordelingen en monitoring op rode vlaggen worden gevolgd.

Ten derde: vergroot het inzicht in vierde partijen. De leveranciersrelaties van je kritieke leveranciers verdienen aandacht, zeker als deze onderaannemers gevoelige data verwerken of diensten leveren die jouw processen beïnvloeden. Contractuele vereisten voor openbaarmaking van vierde partijen en medewerking aan beoordelingen moeten standaard worden.

Ten vierde: consolideer waar mogelijk. Elke extra leverancier in je ecosysteem betekent extra risicoblootstelling. Voordat je een nieuwe point solution toevoegt, kijk of bestaande platforms aan de vereiste kunnen voldoen. Geïntegreerde architecturen met consistente beveiligingscontroles verminderen zowel de complexiteit als het aanvalsoppervlak.

Ten vijfde: meet wat ertoe doet. Slechts 49% van de organisaties in de ProcessUnity-enquête meet formeel de effectiviteit van hun leveranciersbeoordelingen. Zonder metrics zoals doorlooptijd van beoordelingen, herstelpercentages, dekking van het leveranciersbestand en herhaalde bevindingen, werk je in het duister. Stel basislijnen vast, volg trends en gebruik data om te verbeteren.

Ten zesde: verwaarloos de basis niet. Terwijl geavanceerde leveranciersrisicokaders de aandacht trekken, zijn de fundamenten nog steeds van groot belang. E-mailbeveiliging, betalingsverificatie, hardening van remote access en back-upweerbaarheid voorkomen meer schade dan uitgebreide vragenlijsten ooit zullen doen. Behandel deze als kernmaatregelen, niet als basismaatregelen die je als vanzelfsprekend kunt beschouwen.

Leveranciersrelatieparadox

Moderne bedrijven kunnen niet zonder leveranciers. De specialisatie en schaalbaarheid die third-party relaties bieden zijn essentieel voor competitieve operaties. Maar diezelfde relaties creëren risicoblootstelling die organisaties moeilijk effectief kunnen beheren.

De oplossing is niet om leveranciersrelaties te minimaliseren—dat is noch praktisch noch wenselijk. Organisaties moeten hun aanpak van leveranciersrisico’s transformeren van een periodieke vinkjesoefening naar een doorlopende discipline geïntegreerd in de bedrijfsvoering.

De organisaties die slagen, zijn degenen die third-party risk management zien als een strategische capaciteit in plaats van een compliance-last. Zij investeren in de tools, processen en vaardigheden om zicht te houden op hun leveranciersnetwerk. Ze bouwen relaties met leveranciers waarin samenwerking op het gebied van beveiliging centraal staat, niet alleen service level agreements. En ze meten hun prestaties continu, waarbij ze hun aanpak verbeteren op basis van data in plaats van aannames.

De cijfers zijn duidelijk: je leveranciers worden gecompromitteerd, waarschijnlijk vaker dan je denkt. De vraag is of jij er klaar voor bent als het jouw organisatie overkomt.

Wat Betekent Dit Voor Jouw Organisatie?

Als deze statistieken ongemakkelijke gesprekken oproepen binnen je organisatie, is dat waarschijnlijk een gezonde reactie. Hier ligt je eerste focus:

Bekijk je leveranciersbeoordelingsdekking. Welk percentage van je leveranciers ondergaat een formele risicobeoordeling? Zit je op of onder het gemiddelde van 36%, dan heb je aanzienlijke blinde vlekken die aandacht vereisen.

Analyseer je beoordelingsdoorlooptijden. Beoordelingscycli van vier maanden houden geen gelijke tred met de dreigingsontwikkeling. Identificeer knelpunten en kijk of technologie het proces kan versnellen zonder concessies aan de kwaliteit.

Controleer je inzicht in vierde partijen. Weet je op wie je kritieke leveranciers vertrouwen voor hun eigen processen? Zo niet, dan mis je een belangrijk deel van je risicoblootstelling.

Evalueer je platformfragmentatie. Tel het aantal losse systemen dat gevoelige data verwerkt binnen je organisatie. Elk is een potentiële kwetsbaarheid en een governance-uitdaging. Overweeg of consolidatie zowel risico als complexiteit kan verminderen.

Test je back-upherstel. Ga ervan uit dat aanvallers je back-ups zullen aanvallen. Kun je de bedrijfsvoering daadwerkelijk herstellen als je primaire back-ups gecompromitteerd zijn? Wanneer heb je dit voor het laatst gecontroleerd?

Beoordeel je e-mailbeveiliging en betalingscontroles. Aangezien e-mailaanvallen het merendeel van de claims veroorzaken, verdienen deze controles aandacht die in verhouding staat tot het risico.

Verifieer je compliance-gereedheid. Wanneer—niet als—er een incident plaatsvindt, heb je dan de auditlogs, meldingsprocessen en documentatie om binnen de wettelijke termijnen te reageren?

Het goede nieuws: organisaties die deze stappen nemen, staan sterker dan de meeste van hun branchegenoten. Het slechte nieuws: “beter dan gemiddeld” betekent nog steeds aanzienlijke blootstelling aan incidenten via leveranciers. Echte weerbaarheid vereist blijvende aandacht en continue verbetering, geen eenmalige projecten.

Je leveranciers zijn onderdeel van je beveiligingsperimeter, of je dat nu erkent of niet. De organisaties die floreren, zijn degenen die deze realiteit proactief beheren, in plaats van de gevolgen te leren via pijnlijke ervaringen.

Wil je weten hoe Kiteworks kan helpen, plan dan vandaag nog een demo op maat.

Veelgestelde Vragen

Het betekent dat de gemiddelde organisatie ongeveer eens per maand een beveiligingsincident via een leverancier heeft gehad—niet vanuit de eigen systemen, maar via leveranciers, aannemers en dienstverleners die zij vertrouwen met toegang tot data en processen. Wat dit cijfer extra zorgwekkend maakt, is de vertrouwenskloof die het blootlegt: 53% van de organisaties denkt nog steeds dat hun third-party risk management effectief is, ondanks maandelijkse datalekken. Deze discrepantie suggereert dat de meeste leveranciersrisicoprogramma’s vooral activiteiten meten—uitgevoerde beoordelingen, verzonden vragenlijsten—en niet de daadwerkelijke beveiligingsresultaten.

Drie structurele tekortkomingen ondermijnen de meeste programma’s. Ten eerste is de dekking veel te beperkt—organisaties beoordelen formeel gemiddeld slechts 36% van hun leveranciers, waardoor bijna twee derde van de relaties zonder enig beveiligingstoezicht opereert. Ten tweede zijn beoordelingen veel te traag—zes op de tien organisaties doen er vier maanden of langer over om één leverancier te beoordelen, waardoor de beveiligingsstatus van een leverancier drastisch kan veranderen voordat de beoordeling is afgerond. Ten derde is het proces te afhankelijk van handmatig werk—bijna twee derde van de organisaties gebruikt nog steeds spreadsheets voor third-party risk management, en 27% van de leveranciers reageert helemaal niet op beoordelingsverzoeken, waardoor organisaties beslissingen nemen op basis van onvolledige data.

Vierdepartijrisico verwijst naar de beveiligingsblootstelling die ontstaat door de leveranciers van je leveranciers—de onderaannemers en dienstverleners waar je directe leveranciers op vertrouwen. Deze vierde partijen hebben vaak toegang tot dezelfde gevoelige data en kritieke systemen als je directe leveranciers, maar de meeste organisaties hebben weinig tot geen inzicht in hen. Minder dan de helft van de organisaties voert beoordelingen uit van vierde partijen, en slechts 23% breidt reviews uit voorbij de meest kritieke leveranciers. Het Snowflake-datalek van 2024 liet het gevaar zien: één gecompromitteerd account leidde tot incidenten bij tientallen grote bedrijven, waaronder Advance Auto Parts, dat een datalek meldde met meer dan 2,3 miljoen getroffen personen. Zonder inzicht in vierde partijen kunnen organisaties hun werkelijke blootstelling in de toeleveringsketen niet goed beoordelen.

Qua hoeveelheid zijn business email compromise en fraude met geldtransfers goed voor 60% van alle cyberverzekeringsclaims—drie keer zoveel als ransomware. De third-party dimensie maakt dit extra gevaarlijk: als aanvallers het e-mailsysteem van een leverancier compromitteren, kunnen zij zich voordoen als een vertrouwde contactpersoon waar je organisatie regelmatig mee samenwerkt, waardoor frauduleuze verzoeken veel overtuigender zijn. Het incident bij Coinbase in 2025 liet dit direct zien—kwaadwillende insiders bij een externe supportleverancier exfiltreerden gebruikersdata en probeerden een afpersingspoging van $20 miljoen te doen via toegang die was verkregen door een vertrouwde leveranciersrelatie. Standaard e-mailbeveiligingsmaatregelen en procedures voor betalingsverificatie verdienen net zoveel aandacht als leveranciersbeoordelingen.

Begin met dekking vóór complexiteit. Implementeer een leveranciersindeling waarbij de meest grondige zorgvuldigheid wordt toegepast op leveranciers met toegang tot gevoelige data, kritieke systemen of belangrijke operationele afhankelijkheden—zelfs een getrapte aanpak die je hoogste-risicoleveranciers dekt, is effectiever dan een oppervlakkig programma voor iedereen. Automatiseer vervolgens het tijdrovende administratieve werk: distributie van beoordelingen, opvolging van reacties en hersteltrajecten kosten middelen die beter kunnen worden ingezet voor analyse en beoordeling. Sluit ten derde het blinde vlek van vierde partijen bij je belangrijkste leveranciers voordat je het toezicht breder uitrolt. En tot slot: verwaarloos de basis niet—e-mailbeveiliging, betalingsverificatie, back-upweerbaarheid en hardening van remote access voorkomen meer schade dan welke vragenlijst dan ook, en beschermen tegen de e-mailaanvallen die het merendeel van de claims veroorzaken.

Aanvullende Bronnen

  • Blog Post Zero Trust Architectuur: Nooit Vertrouwen, Altijd Verifiëren
  • Video Microsoft GCC High: Nadelen Duwen Defensie-aannemers Richting Slimmere Voordelen
  • Blog Post Hoe Je Geclassificeerde Data Beveiligt Zodra DSPM Het Signaleert
  • Blog Post Vertrouwen Bouwen in Generatieve AI met een Zero Trust Aanpak
  • Video De Definitieve Gids voor Veilige Opslag van Gevoelige Data voor IT-Leiders

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks