Vendor assessment voor digital agencies: wat er gevraagd wordt én hoe je je voorbereidt

Een e-mail met een bijlage. Ruim veertig vragen, verdeeld over acht categorieën, met het verzoek om de ingevulde versie uiterlijk volgende week terug te sturen. Het is de eerste keer dat jullie zo'n vragenlijst ontvangen. De eerste reactie op kantoor is niet inhoudelijk maar vooral organisatorisch: wie pakt dit op? Als dat moment je bekend voorkomt (of als je vermoedt dat het eraan komt), dan is dit artikel geschreven voor jou. Zo’n vendor assessment hoeft geen stressmoment te zijn. Het vraagt alleen om iets wat de meeste bureaus nog nooit hebben hoeven doen: aan kunnen tonen hoe ze werken.

Waarom digital agencies nu vaker vendor assessments ontvangen

Eerst maar even zonder jargon: een vendor assessment is een beoordeling door een klant. Een beoordeling die antwoord moet geven op de vraag of jij als leverancier veilig genoeg werkt om mee samen te werken. Het is geen audit die je haalt of waarvoor je zakt, geen teken van wantrouwen vooraf en al helemaal geen straf (ook al voelt het soms misschien als strafwerk). Het is een verplichting die aan de kant van je klant ligt en die ze dus óók bij hun andere leveranciers neerleggen, niet alleen bij jou.

Dat agencies steeds vaker een dergelijk verzoek ontvangen, heeft twee oorzaken die tegelijk spelen. De eerste is de Cyberbeveiligingswet, de Nederlandse invulling van NIS2 die in 2026 van kracht wordt. Organisaties die onder die wet vallen, zijn verplicht om ook hun leveranciersketen te beoordelen op digitale risico's. Ze moeten kunnen aantonen dat hun leveranciers veilig werken. Een digital agency die toegang heeft tot omgevingen, platforms of data van zo'n organisatie, zit per definitie in die keten.

De tweede oorzaak is dat enterprise-klanten hun inkoop simpelweg steeds professioneler hebben ingericht. Boven een bepaalde organisatieomvang is een eigen Governance, Risk & Compliancy-functie inmiddels de norm, inclusief vaste processen voor leveranciersbeoordeling. Dat proces bestond al langer voor hostingpartijen en softwareleveranciers, maar het raakt nu ook de agencies die eerder buiten het vizier van procurement bleven.

Welke categorieën komen voor in een vendor assessment bij een digital agency?

De vragenlijsten verschillen in lengte en formulering, maar inhoudelijk komen vrijwel altijd dezelfde vijf domeinen terug. En bij elk domein loont het om te begrijpen waarom de klant het vraagt. Want wie de risico redenering achter de vraag snapt, geeft automatisch een overtuigender antwoord.

Toegangsbeheer is het eerste en zwaarste domein: wie heeft toegang tot welke systemen, hoe wordt die toegang verleend en weer ingetrokken? En wordt dat periodiek beoordeeld? De redenering van de klant is simpel: jouw mensen kunnen bij hun omgevingen, dus is jouw toegangsbeheer feitelijk een verlengstuk van dat van hun eigen organisatie.

Incidentbeheer volgt direct daarna: hoe worden incidenten gedetecteerd, geregistreerd en afgehandeld, en is er een meldproces richting je klant? Je klant verwacht niet dat er nooit iets misgaat. Hij of zij verwacht dat jij het merkt als er iets misgaat en dat er dan op tijd wordt gecommuniceerd.

Secure development is het domein dat agencies onderscheidt van andersoortige leveranciers: hoe worden kwetsbaarheden in code en deployment processen beheerd? Jij bouwt aan het digitale fundament van je klant, dus wil die weten of beveiliging in dat bouwproces is meegenomen of er achteraf aan vastgeplakt wordt.

Leveranciersbeheer draait de rollen om: welke tools, platforms en externe partijen hebben via jou toegang tot klantdata en hoe beoordeel jij die? Ketenverantwoordelijkheid stopt niet bij jouw voordeur. Je klant beoordeelt jou, en wil weten of jij hetzelfde doet met jouw eigen keten van hostingpartijen en freelancers.

Beleid en governance sluit de gelederen: is er een informatiebeveiligingsbeleid, wie is er verantwoordelijk, en hoe is dat organisatorisch geborgd? Voor je klant is dit een volwassenheidstoets. Een bureau waar niemand eigenaar is van beveiliging, heeft het per definitie niet onder controle, hoe goed de losse maatregelen ook zijn.

Waarom de meeste bureaus een vendor assessment niet direct kunnen beantwoorden

Om maar even wat hoopgevends te stellen: de meeste agencies hebben de bouwstenen al. Er is toegangsbeheer, incidenten worden opgelost, er is een operations lead die het overzicht bewaakt. Het probleem is vrijwel nooit dat het er niet is. Het probleem is dat het verspreid zit, impliciet is en niet snel op te leveren valt.

Dat klinkt abstract, dus drie voorbeelden van hoe dat er in de praktijk uitziet. Er is beleid, maar het bestaat mondeling, als "zo doen we dat hier", en staat nergens opgeschreven. 

Er is incidentregistratie, maar die bestaat uit Slack-threads en afgesloten tickets, zonder samenhangend verhaal over wat er gebeurde en wat ervan geleerd is. 

En er is een toegangsoverzicht, maar dat zit vooral  in het hoofd van die ene collega die alle accounts beheert, in plaats van in een actueel document.

In het dagelijkse werk is dat geen probleem; het bureau draait er prima op. Maar een vendor assessment vraagt niet of het werkt. Een vendor assessment vraagt of je het kunt laten zien. En dat is precies het verschil tussen bureaus die soepel door zo'n beoordeling komen en bureaus die er weken op vastlopen: het draait niet méér maatregelen, maar de aantoonbaarheid ervan. De goed scorende bureaus hebben hun processen vastgelegd voordat iemand erom vroeg.

Hoe bereid je je als digital agency voor op een vendor assessment?

Nog een geruststellende conclusie: voorbereiding vraagt helemaal geen groot traject en zeker geen ISO-certificering als startpunt. Drie stappen brengen je van "wie pakt dit op?" naar een antwoord dat je dient tijdens een assessment.

Stap 1: breng de bewijslast op orde

Begin met inventariseren wat er al is: welke documenten heb je, waar staan ze en wie is de eigenaar? Denk aan beleidsdocumenten, toegangslijsten, incidentregistratie en een leveranciersoverzicht. Het hoeft (nog) niet volledig te zijn: het moet samengebracht zijn. Eén plek waar alles staat, is meer waard dan tien perfecte documenten die niemand kan vinden.

Stap 2: wijs eigenaarschap toe

Bepaal voor elk van de vijf domeinen wie het aanspreekpunt is. Dat hoeft geen fulltime security-rol te zijn; een naam en een verantwoordelijkheid volstaan. Het verschil tussen "dat zoeken we uit" en "daar gaat Anne over, die beantwoordt dit deel" is in een assessment groter dan je denkt. Voor de doorlooptijd én voor de indruk die je achterlaat.

Stap 3: oefen het gesprek

Loop de tien meest gestelde vragen langs en sorteer ze in drie stapels: wat kunnen we nu al beantwoorden, wat moeten we nog vastleggen, en wat moeten we kunnen uitleggen? Dat onderscheid geeft direct inzicht in waar de prioriteit ligt. Vaak blijkt de stapel "moeten we nog vastleggen" kleiner dan gevreesd en de stapel "kunnen we al" groter dan gedacht.

Van vendor assessment naar ISO 27001: wanneer is dat de logische stap?

Voor sommige bureaus blijft het bij een goede voorbereiding en dat is prima. Maar voor andere bureaus blijkt de eerste vendor assessment achteraf het startpunt van iets groters te zijn. Niet omdat ze per se een certificaat wilden, maar omdat ze tijdens de voorbereiding iets merkten: het vastleggen van beleid, het beleggen van eigenaarschap en het ordenen van de bewijslast, dat is nou net de fundering waar een ISO 27001-traject op bouwt.

De afweging is dan vooral commercieel. Wie één assessment per jaar krijgt, kan de vragen prima los beantwoorden. Wie merkt dat elke nieuwe enterprise-klant dezelfde vragenlijst stuurt, kan met één certificering het merendeel van die lijsten in één keer afdekken en daarmee structureel tijd terugwinnen in elk salestraject. Op onze ISO 27001-pagina lees je hoe zo'n traject eruitziet én wat een realistische doorlooptijd is.

Waar sta jij?

Een vendor assessment is uiteindelijk dus geen examen, maar een gesprek over hoe je werkt. De bureaus die er goed uitkomen, zijn niet de bureaus met de meeste maatregelen. Het zijn de bureaus die hun manier van werken aantoonbaar hebben gemaakt, al voordat iemand erom vroeg.