Waarom Procurement steeds vaker deals vertraagt bij digital agencies (en hoe je dat voorkomt)

De pitch is gewonnen. De klant is enthousiast, de planning staat bijna vast en intern wordt al geschoven met capaciteit om volgende maand meteen te kunnen starten. En dan valt er een e-mail op je digitale mat van een naam die je niet kent, van een afdeling waar je in het hele traject nog niemand van hebt gesproken. Procurement wil graag een gesprek inplannen voordat de overeenkomst getekend kan worden. Of erger nog: er hangt een spreadsheet als bijlage aan: 47 vragen over informatiebeveiliging, met het vriendelijke verzoek die binnen twee weken ingevuld terug te sturen. Voor steeds meer digital agencies een herkenbaar moment. Niet omdat er iets mis is met het bureau en ook niet omdat je klant ineens twijfelt. Maar omdat er tussen een optimistisch akkoord en de daadwerkelijke handtekening, een fase is bij gekomen die de meeste bureaus niet op de radar hadden: de leveranciersbeoordeling.

Waarom Procurement ook bij digital agencies aanklopt

Procurement is natuurlijk niet nieuw. Wat wél relatief nieuw is, is dat digital agencies er structureel mee te maken krijgen. Daar zitten drie ontwikkelingen achter die elkaar versterken.

De eerste is regelgeving. Grotere organisaties zijn door NIS2 ( in Nederland de Cyberbeveiligingswet) verplicht om hun leveranciersketen te beoordelen op digitale risico's. En een digital agency zit per definitie in die keten: je bouwt aan het platform van je klant, je hebt toegang tot omgevingen, soms tot data. Vanuit je klant gezien ben je dan niet alleen een creatieve partner, maar óók een ketenrisico dat beoordeeld moet worden. Dat klinkt onaardig, maar zo kijkt een Governance, Compliance & Risk (vanaf nu: GRC)-afdeling er nu eenmaal naar.

Een tweede ontwikkeling is dat enterprise-klanten simpelweg steeds professioneler worden in hun inkoop. Boven een bepaalde organisatieomvang is een inhouse GRC-rol de norm geworden. Die functie kent processen, checklists en doorlooptijden. Waar een directeur vroeger op vrijdagmiddag kon besluiten met een bureau te gaan werken, loopt diezelfde beslissing nu langs een beoordelingsproces dat niet onderhandelbaar is.

En de derde ontwikkeling zit bij de bureaus zelf. Agencies die groeien van twintig naar vijftig of meer mensen, komen steeds vaker in aanraking met klanten die dit soort processen hebben. De groei brengt je aan tafel bij organisaties waar je eerder niet binnenkwam. En die organisaties stellen vragen die je kleinere klanten nooit stelden. Procurement is daarmee geen teken dat er iets verandert in de markt, maar een teken dat jouw bureau een ander segment is binnengestapt. Lekker gewerkt.

Wat staat er in een leveranciersbeoordeling bij een digital agency?

De vragenlijsten verschillen per klant in lengte en toon, maar de onderliggende categorieën zijn opvallend constant. Wie er een paar naast elkaar legt, ziet steeds hetzelfde patroon terugkomen.

Het begint vrijwel altijd bij toegangsbeheer: wie van jullie kan bij onze omgevingen, hoe is dat geregeld, en wat gebeurt er als iemand uit dienst gaat? Voor je klant is dit de meest directe vraag die er is: jouw mensen kunnen bij hun systemen, dus willen ze weten hoe je dat beheerst.

Daarna volgen de procesen rondom incidenten. Niet omdat je klant verwacht dat er nooit iets misgaat, maar juist omdat ze willen weten wat er gebeurt áls er iets misgaat. Wordt er geïnformeerd? Binnen welke termijn? Is er iemand verantwoordelijk? Een bureau dat hierop "dat lossen we dan wel op" antwoordt, zegt eigenlijk: we hebben er nooit over nagedacht.

Dan leveranciersbeheer: met welke hostingpartijen, tools en freelancers werk jij, en heb jij zicht op hún beveiliging? De klant beoordeelt jou als schakel in hun keten én wil weten of jij datzelfde doet met jouw keten. Ketenverantwoordelijkheid stopt niet bij jouw voordeur.

De vierde categorie is beleid en governance: is er iemand binnen het bureau verantwoordelijk voor informatiebeveiliging en staat er iets op papier? Dit voelt voor veel bureaus als de meest bureaucratische vraag, maar voor de klant is het een simpel bewijs voor volwassenheid. Een organisatie zonder belegd eigenaarschap heeft beveiliging per definitie niet onder controle, hoe goed de intenties ook zijn.

En tot slot: aantoonbaarheid. Kun je laten zíen dat het klopt wat je beweert? Dit is waar veel bureaus vastlopen: niet omdat ze het slecht geregeld hebben, maar omdat er nooit iets is vastgelegd. En in een leveranciersbeoordeling geldt een hard principe: wat je niet kunt aantonen, bestaat niet.

Wat een slechte voorbereiding op Procurement concreet kost

In de praktijk zien we drie patronen terugkomen bij bureaus die onvoorbereid een leveranciersbeoordeling ingaan. En geen van drieën gaat over compliance: ze gaan alle drie over geld en vertrouwen.

Het eerste is de vertraging na een gewonnen deal. De pitch is binnen, teams zijn ingepland, de eerste factuur staat al klaar in het systeem. En dan ligt alles weken stil omdat Procurement wacht op antwoorden en jij intern aan het uitzoeken bent wat die antwoorden eigenlijk zijn. Elke week vertraging is een week aan capaciteit die je had gereserveerd voor werk dat nog niet mag beginnen.

Het tweede patroon is het interne zoekwerk. De antwoorden op Procurement-vragen bestaan meestal wel, maar ze zitten verspreid in hoofden, SharePoint-mappen en ticketsystemen. Het invullen van één vragenlijst betekent dat meerdere mensen worden weggeplukt worden van lopend klantwerk om te reconstrueren hoe iets ook alweer geregeld is. Dat is verborgen tijd die nergens op een urenstaat verschijnt, maar wel degelijk wordt betaald.

En het derde patroon is het lastigst te repareren: vertrouwensschade. Een bureau dat traag, aarzelend of inconsistent antwoordt op securityvragen, straalt onzekerheid uit op precies het moment dat je klant bevestiging zoekt van zijn of haar keuze. Het vertrouwen gaat wankelen.. Sommige deals overleven dat. Andere niet.

Hoe je je als digital agency voorbereidt op een leveranciersbeoordeling

Het goede nieuws: voorbereiding vraagt dus geen ISO-traject als startpunt. De bureaus die soepel door een leveranciersbeoordeling komen, hebben in de basis drie dingen op orde en daar kun je deze maand al mee beginnen.

Breng allereerst in kaart waar toegang tot klantomgevingen zit en wie ervoor verantwoordelijk is. Niet als beleidsdocument van dertig pagina's, maar als helder overzicht: deze mensen kunnen bij deze omgevingen, en dit gebeurt er als iemand vertrekt. Dit is veruit de meest gestelde categorie vragen, en een bureau dat hier direct op kan antwoorden, zet meteen de toon.

Zorg daarnaast dat incidenten worden geregistreerd, al is het minimaal. Een simpel logboek van wat er gebeurd is, wat de impact was en wat ervan geleerd is, is voor Procurement meer waard dan de mooiste belofte dat er nooit iets misgaat. Het laat zien dat je organisatie kijkt, leert en bijstuurt.

Leg in één document vast hoe jullie omgaan met de meest gestelde vragen. Niet voor de bühne, maar zodat iedereen (van founder tot projectmanager) hetzelfde antwoord geeft als een klant ernaar vraagt. Consistentie is in een beoordelingsproces minstens zo overtuigend als de inhoud zelf,

Dit is de basis. Bureaus die verder willen groeien richting het bedienen van enterprise klanten (met structurele certificering zoals ISO 27001 als schaalbaarder antwoord op steeds terugkerende vragenlijsten) bouwen op precies dezelfde fundering voort. 

Van obstakel naar verkoopargument

Bureaus die dit op orde hebben, ervaren Procurement niet als hindernis maar als saleskans. Waar concurrenten weken nodig hebben om een vragenlijst rond te krijgen, sturen zij binnen een paar dagen een compleet en consistent antwoord terug. Dat verschil is voelbaar. Niet alleen bij Procurement zelf, maar bij iedereen aan klantzijde die het proces volgt.

In aanbestedingen en enterprise-trajecten wordt dat verschil zelfs beslissend. De vraag "hoe hebben jullie informatiebeveiliging geregeld?" komt namelijk gegarandeerd. Wat we eerder bijvoorbeeld bij Handpicked Agencies zagen (die case lees je hier), zien we inmiddels steeds breder: bureaus die hun beveiliging aantoonbaar op orde hebben, gebruiken het actief in hun salesproces, omdat het werkt.

Misschien heb je zo’n e-mail van Procurement al eens ontvangen. Misschien weet je dat hij eraan komt, nu je bureau groeit richting klanten die dit soort processen hebben. De vraag is hetzelfde: als Procurement morgen belt, hoe scoort je bureau dan?