#35 - Third-Party Risk Management begint en eindigt bij risicoprofielen (met Luuk Stadhouders)
Welkom bij een nieuwe aflevering van qeep talking. Een podcast waarin ik, Renco Schoemaker, in gesprek ga met uiteenlopende gasten over informatiebeveiliging en privacy bij de overheid. Het gaat mij tijdens die gesprekken vooral om de hoe vraag. Die blijkt namelijk veel lastiger te beantwoorden dan de wat vraag. Met deze praktische insteek hoop ik dat jij als luisteraar ideeën opdoet om succesvoller te zijn in je werk.
Renco:Zowel op het gebied van maatregelen als het managementsysteem waarbinnen die maatregelen worden genomen. En daar valt veel over te bespreken. Dus veel plezier en qeep talking. Zo de ogen van alle voorbij razende auto's op de a 2 zit ik hier een nieuwe aflevering op te nemen van qeep talking. En tegenover mij zit een gast en ja, kan zich het allerbeste zelf introduceren.
Renco:Wie zit er tegenover mij?
Luuk:Ja, ja allereerst dank voor de uitnodiging. Leuk dat ik even aan mocht schuiven. Luuk, Luuk Stadhouders, al jaar geruime tijd werkzaam op het gebied van digitale veiligheid en weerbaarheid. En op dit moment mag ik lijnen geven aan een mooie club mensen binnen Berenschot als team lead van de club digitale transformatie. En we houden ons eigenlijk bezig met een drietal onderwerpen.
Luuk:Eenzetten we wat strategisch advies. Advies rondom ja, hoe overheden ook echt de digitale transformatie vorm moeten geven.
Renco:Nou, daar zal wel wat werk te doen zijn denk ik.
Luuk:Zeker, zeker. En ja, het stopt niet alleen bij het advies. Want wat we namelijk ook doen zit ook echt op het realiseren van daadwerkelijk die transformatie.
Renco:Dus niet alleen maar rapporten schrijven?
Luuk:Niet alleen het rapport schrijven. Nee, tijd ligt al achter ons geruime tijd achter ons. En organisatie wil ook echt wel weten ja, wat ze dan ook moeten doen. Of vooral ook hoe ze dat dat moeten doen. Dus daar helpen ze ook echt echt mee.
Luuk:En als laatste en dat is zeker ook met mijn eigen achtergrond stiekem toch wel mijn mijn tweede liefde. Daar zit ook iets met betrekking tot digitale veiligheid en en weerbaarheid. Ja en dat is ook in dat geval zo breed als klinkt. Dus moet je echt denken aan ja hoe Nederland georganiseerd is. Wat wat ons te doen staat met de weerbaarheidsopgave.
Luuk:En tegelijkertijd ook ja, alle uitdaging die dat ja bij organisaties zelf met zich met zich meebrengt.
Renco:Maar een Berenschot is een bekende naam denk ik. Een vrij groot adviesbureau. We zitten hier in Utrecht. Dat de a 2 loopt natuurlijk door een groot deel van Nederland. Ja.
Renco:In ieder geval het zuiden van het land, maar in Utrecht. Veel mensen zei ik al kennen Berenschot waarschijnlijk. Is het iets waar jullie ook zeg maar in gespecialiseerd zijn als als adviesbureau? Of wat eigenlijk wil ik vragen wat doen al die andere honden mensen voor dit adviesbureau? Zit je allemaal bezig met digitale transformatie of?
Luuk:Wij zijn een breed organisatie adviesbureau. Dus waar ik en mijn team zich met name bezighoudt met de digitale transformatie van het openbaar bestuur. Hebben wij een bredere groep die zich ook inderdaad op allerlei vraagstukken binnen het openbaar bestuur richt. Dus dan kun je ook denken aan allerlei vraagstukken bijvoorbeeld van veiligheid en crisismanagement of samenwerking integriteit vraagstukken.
Renco:Dat is wel allemaal die publieke sector dan?
Luuk:In ieder geval wel die adviesgroep. Daarnaast hebben we een aantal andere adviesgroepen die zich richten onder andere bijvoorbeeld energie in leefomgeving of op ja, zorg en maatschappelijke ondersteuning.
Renco:Het behoorlijk breed.
Luuk:Het is behoorlijk breed met ruim 500 mensen hebben eigenlijk wel alle expertise in in huis. En dat is Wel
Renco:leuk dat jij dan leiding mag geven aan het eigenlijk allerleukste team.
Luuk:Ja, stiekem wel. Want ja,
Renco:dit is natuurlijk wel het onderwerp waar het over moet gaan.
Luuk:Ja en en tegelijkertijd is het niet alleen iets wat wij als team doen, maar ook echt wel wat als Berenschot in in brede zin ook ook wel wat nastreven. Dus de digitale transformatie raakt draait het werk voor ons allemaal. Van energie en leefomgeving tot en met zorg en onderwijs en dus ook inderdaad het openbaar bestuur.
Renco:Oké en jij bent dus teamlead binnen Berenschot. Je geeft de leiding aan een ja, aan een team mensen die op dit beleidsterrein actief zijn. Maar even voordat we de inhoud induiken. Ben nu benieuwd Luuk. Wat heb je hiervoor gedaan?
Luuk:Ja, wat ik hiervoor heb gedaan. Ik ben inmiddels ruim 5 jaar, 5 en een half jaar bij Berenschot werkzaam. Wat ik vertelde op mijn achtergrond in in digitale veiligheid en weerbaarheid. Dus waar ik na mijn afstuderen heel veel heb gedaan rondom de apen van zwaar georganiseerde misdaad. Dan moest je echt denken aan allerlei projecten en programma's.
Luuk:Ja zeker mooie tijd ook ook gehad. En eigenlijk altijd wel in de front runners met nieuwe vormen van van criminaliteit. Dus ook daar al echt wel al snel in aanmerking in aanraking gekomen met ook ja, digitale veiligheidsvraagstukken, cyber crime.
Renco:Maar eigenlijk vanuit een hele andere invalshoek.
Luuk:Eigenlijk vanuit een andere invalshoek en tegelijkertijd zijn het wat dat betreft wel 2 kanten van dezelfde medaille. Dus juist als het gaat over hoe je als Nederland veilig wordt geldt zeker op het digitale vlak dat dat ook als geen ander. Dat onder andere bij gemeente Rotterdam ook een samenwerkingsverband gedaan en met wat uitzwervingen en als tijdelijk ook nog CISO bij een bij een grote gemeente heb ik ook een mooie mooie stap gemaakt naar Berenschot tot om eigenlijk die 2 kanten. Dus de digitale veiligheid van Nederland als geheel, maar ook inderdaad informatiebeveiliging aan de andere kant. Dat bij elkaar te brengen.
Renco:Ja, want het zijn wel woorden die nu vrijelijk de... Ik proef bij jou wel dat er duidelijk verschil in zit. Maar in het maatschappelijk verkeer zullen we zeggen, hebben we het over informatiebeveiliging. We hebben het over cybersecurity. We hebben het over digitale veiligheid.
Renco:We hebben het over weerbaarheid. We hebben het over. Ik bedoel zijn allemaal van deels zijn het gewoon Engelse vertalingen van de hé. Of Nederlandse vertalingen van Engelse woorden. Maar ja, jij geeft net aan, zijn 2 kanten van dezelfde medaille.
Renco:Dus die die veiligheid kant vanuit de fysieke leefwereld en de veiligheids kant vanuit de digitale leefwereld. Is dat wat je dan bedoelt met 2 kanten van dezelfde medaille?
Luuk:Ja, dus als je het echt over informatiebeveiliging hebt echt in de klassieke zin van het van het woord heb je het echt over ja, de beveiliging en en de veiligheid van van informatie fysiek en digitaal uiteraard. Dus hoe je dat ook als organisatie doet, maar ook in in de keten. Dus dan dat dat is 1 kant van van die medaille. En de andere kant en dan komt het veel meer uit op ja, die geopolitieke ontwikkelingen. Alle vraagstukken die ook het online domein met zich mee in midden fysieke openbaar orde vraagstukken.
Luuk:Ja,
Renco:dan in de gemeente context meteen denken aan de OOV-afdelingen eigenlijk. Openbare...
Luuk:Orde en veiligheid.
Renco:OOV ja. Dacht even 2 v's, daar kom ik niet uit. Openbare orde en veiligheid ja.
Luuk:Ja, dus in dat in in de klassieke zin komen die 2 sporen bij elkaar. En tegelijkertijd zie je inderdaad met met allerlei vraagstukken dat het ook veelal tegelijkertijd kan kan spelen. Dus een een aanval van een criminele acter op een op een ziekenhuis om maar een fictief voorbeeld te geven. Kan ertoe leiden dat er allerlei problemen in openbare orde ontstaan. En voor zo'n, voor zo'n ziekenhuis op zichzelf is het natuurlijk echt een informatiebeveiligingsvraagstuk.
Luuk:En daar zie je dat eigenlijk alles wat dus raakt aan aan digitale veiligheid of aan aan de veiligheid van van Nederland in brede zin, Komt met dat soort specifieke casuïstiek ook echt wel bij elkaar. Ook in termen van ja met wie je dan te maken hebt. Met welke rollen en welke organisaties. Dat alles. Met elkaar moet doen.
Renco:Ja, want ik kan me voorstellen dat vanuit de fysieke achtergrond zal ik maar zeggen hè. Dus het hele idee dat als er een ramp voordoet dan hebben we daar van tevoren goed over nagedacht. Ja. Hebben we de draaiboeken voor en dan escaleren we en dan wordt er een hele structuur opgetuigd om dat zeg maar het hoofd te kunnen bieden. Ja.
Renco:En en ik zie dan zo dat wij in het digitale domein lopen wij daar ja flink op achter. Dat is ook logisch want
Luuk:we hebben
Renco:dat het digitale domein dat ontstond pas later. Maar eigenlijk zijn wij onderweg naar iets soortgelijks en waarbij ik steeds meer zie dat we vanuit de digitale kant eigenlijk ja, misschien ietwat jaloers kijken naar wat er eigenlijk in de fysieke wereld allemaal al is opgetuigd. Daar kunnen wij af en toe alleen maar van dromen in de digitale wereld.
Luuk:Er is eigenlijk al veel meer. Nee zeker, zeker nu ook als je kijkt naar inderdaad crisisbeheersing is van oudsher ook echt wel enorm gegroeid. Gemeenten, veiligheidsregules die daar echt wel gewoon duidelijke rollen en verantwoordelijkheden in in hebben. Ja. Niet in de laatste plaats ook de rijksoverheid.
Luuk:Dus die algemene kolom zoals het dan zo mooi heet. Ja, daarnaast staat ook een ja, een kolom die specifiek gericht is op het digitale domein. En daar zie je inderdaad dat daar wel veel ja copy-paste ook in gedaan wordt. Ja. Dus daar zie je wel echte raakvlakken in de vorm ook van samenwerkingsverbanden als het gaat over informatiedeling, als het gaat over opschaling en de rol die ook bijvoorbeeld een NCSC op nationaal niveau dan weer weer speelt.
Luuk:En alle sectorale samenwerkingsverbanden die daar dan ook weer met die informatie ook hun sectoren weer helpen. Ja.
Renco:Maar hoe doe je dat dan nu, Want ik hoor jou iemand die inhoudelijk weet waar hij het over heeft. Maar als je team lead bent dan heb je ook gewoon ja, een team aan te sturen. Wat HR taken te doen. Ja, Kan je ook nog je ei kwijt of of ben je nu fulltime manager? Nee, zeker niet.
Luuk:Nee en dat is het mooie aan werken bij Berenschot dus je wordt ook wel verwacht dat je ja, mooie opdrachten blijft blijft doen. Ook als als team lead, sterker nog. Oké. Je hebt ook wel vaak de rol van van lead in in allerlei projecten of programma's die je dan ook ook doet. Oké, dus je
Renco:draait ook mee zeg maar in in programma's.
Luuk:Ja, zeker. Dus dat is ook wat mij betreft een van de belangrijkste redenen dat ik met veel plezier hier ook werk. Juist omdat we inderdaad ja ontzettend mooi om daar te doen. En ook die verschillende disciplines dan ook echt echt nodig hebben. Dus waar ik net een aantal andere afdelingen noem of andere adviesgroepen binnen binnen Berenschot.
Luuk:Moet je voorstellen dat we tal van trajecten ook echt doen met die verschillende competenties en mensen.
Renco:Ja, want je kijkt per aanvraag of per project kijk je welke expertises heb ik nodig. En en dan daar stel je een projectteam samen. Zo stellen we dat voor.
Luuk:Ja, ja en dat is inderdaad een mix met met verschillende mensen met verschillende achtergronden junior en en wat meer senior. En ik noemde bijvoorbeeld net een voorbeeld van van een ziekenhuis. Dus wij krijgen geregeld vragen over van ziekenhuizen hoe kunnen wij onze weerbaarheid, onze digitale weerbaarheid verhogen. Ja, dan hebben we ook echt wel kennis van die sector en specifiek ziekenhuizen in huis. Dus dat is iets wat je in je team wilt hebben.
Luuk:Je wilt mensen die weten hoe ja, hoe zo'n sector als geheel werkt. Niet alleen in het ziekenhuis, maar ook als als keten. En uiteraard gaat het ook om heb je kennis van bedrijfscontinuïteit, heb je kennis van informatiebeveiliging, van wet- en regelgeving. En zo stel je zo'n team samen waarbij je dus echt, en dat vind ik het mooie aan aan werken bij Biroshot, ook echt als teams en organisatie dat kunt gaan Ja,
Renco:daar kan ik wel wat bij voorstellen ja. Ja. Hé en nou jullie zullen uiteen, jullie zijn een breed georiënteerde organisatie. Je gaf al aan hé, jij zit natuurlijk geeft leiding aan een team daarbinnen. Voordat we de inhoud ingaan heb ik nog 1 definitie vraag aan je.
Renco:Want. Ja. Wat is nou, ik hoor jou vaak zeggen het verhogen van de weerbaarheid. Waarom zeg je niet het verbeteren van informatiebeveiliging? Wat is het verschil tussen die 2?
Renco:Is dat gewoon alleen maar wat zeg maar hipper is op dit moment of of zit er ook een wezenlijk verschil onder?
Luuk:Ja, kijk in alle eerlijkheid zo commercieel ben ik natuurlijk ook wel dat waar nu weerbaarheid en weerbaarheidsopgave centraal staat dat wij niet, niet nalaten die term ook te gebruiken.
Renco:Ja, dan sluit je daarbij aan.
Luuk:Ja en tegelijkertijd is dat vooral ook het appelleren aan de behoefte die hier eigenlijk al wat, wat langer is latent en soms ook wel wat explicieter. En wat je dan ziet bij bijvoorbeeld vraagstukken rondom weerbaarheid daar zie je dus enerzijds dat vanuit wet en regelgeving allerlei vraagstukken naar voren komen. De all haset benadering vanuit een NIS 2 richtlijn of een een CER richtlijn. Je ook echt in staat moet zijn die weerstand te bieden tegen allerlei soorten dreigingen. Dus dat is een belangrijk component.
Luuk:En anderzijds heb je ook echt wel te maken met daadwerkelijk ook de risico's die in toenemende mate ook spelen. Ja en dat is niet zo smal noem ik het toch maar even als ook alleen op informatiebeveiliging. Een belangrijke zeg hierbij, een belangrijke dreiging en veel ook een risico voor organisaties. Maar het is ook echt wel wel breder. Een pandemie overstromingen dat soort fictieve risico's tot vrij recent zeg ik dan maar even.
Luuk:Ja. Zijn inmiddels toch wel redelijk ingeburgerd. En ook daar moet je rekening mee houden.
Renco:Ja, precies. Dus als je als je over jezelf zegt als organisatie dat je digitaal weerbaar bent, dan leg ik dat uit als dat je in staat bent om tot op zekere hoogte zeg maar tegenwind of aanvallen te weerstaan zonder dat je hele bedrijfsvoering daarmee meteen op de rug ligt en processen stil vallen. Ik bedoel je houdt er eigenlijk rekening mee dat je moet kunnen incasseren. Ja. Dat je aan, dat je onder vuur komt te liggen van een dadels aanval of dat er iemand toch op een linkje klikt waardoor er wat narigheid geactiveerd wordt in je netwerk.
Renco:En wat is dan de impact daarvan op de continuïteit van je organisatie? En in als je dus digitaal weerbaar bent, kan je eigenlijk meer incasseren, mag ik dat zo zeggen?
Luuk:Ja, kijk de kans dat het je overkomt daar kan je relatief weinig aan doen. Je kunt dingen niet doen, maar dat is in in zeker voor overheden of Maar is het lastig. Is het toch een stukje lastiger. Dus daar waar het gaat om inderdaad ja, het beperken, het inperken van daadwerkelijke impact. En dat betekent inderdaad dat je weet als het misgaat wat je dan in ieder geval nog minimaal overeind moet houden.
Luuk:Ja. Wat je dan bijvoorbeeld ook niet doet. Bijvoorbeeld een brandweer die dan zegt ik oefen niet meer als er een brand is omdat er dan de blusmaterialen gebruikt moeten worden. Dus dan stoppen we daarmee. En datzelfde zie je ook bij digitale veiligheid.
Renco:Daar heb je dan dus echt van tevoren goed over nagedacht?
Luuk:Daar moet je over nadenken. Ja. Je moet weten inderdaad wat, wat moet ten alle tijden ook gewoon ja, door blijven gaan. En waar zit dan ook je afhankelijkheden en en je kwetsbaarheden?
Renco:Nou, mooi bruggetje. Niet geregiseerd, maar wel mooi bruggetje. Afhankelijkheden, er zijn veel afhankelijkheden naar leveranciers. Ja. Heel veel, steeds meer.
Renco:En dan moet ik nog even wegblijven bij de hele geopolitieke componenten daarvan, want daar zouden we ook een hele hoop op een podcast en zelfs meerdere wel over kunnen vullen. Maar je noemde net al even terloopse de NIS 2 en de vanuit Europa. En dat de third party risk management. Ja. Dat is wel heel duidelijk een opgave.
Renco:Als je onder de reikwijdte van die richtlijn valt en in Nederland gaan die gewoon door het leven als de cyberbeveiligingswetten en de WWKE. Ja klopt. Met weerbaarheid kritieke entiteiten. Ja. Die 2 wetten die die laten daar weinig ruimte over bestaan.
Renco:Jij, jij hebt dingen te regelen en als jij dingen buiten de deur zet, uitbesteed, dat moet je allemaal zelf weten. Ja. Maar jij die verantwoordelijkheid heb jij.
Luuk:Klopt, klopt.
Renco:Dat lijkt me ook wel eentje waar je als adviesbureau denk ik nu en de komende jaren aardig wat ja, advieswerk in kunt verrichten.
Luuk:Nee zeker en en daar komt nog bij natuurlijk ook wel een relatief nieuwe winters komen waaien ook met de digitale autonomie en vraagstukken die dat natuurlijk op oplevert. Maar je ziet dat inderdaad enerzijds wet en regelgeving anderzijds die ontwikkelingen ook inderdaad veel organisaties zich wel achter de oren doet krabben. Ja, waar zit onze afhankelijkheden nu eigenlijk? En wat betekent dat ook stel dat we niet meer van deze leverancier op aankunnen? En dat kan ook die kleine leverancier zijn die toevallig net die ene koppeling verzorgt voor jouw kritieke applicatie.
Luuk:Ja, tot en de grote geopolitieke vraagstukken. Ja. Maar de realisatie is wel, is wel een belangrijke en dat betekent ook inderdaad dat wij daar geheel vragen over krijgen. Van laagdrempelig inzicht in wat zijn onze kritieke processen of leveranciers tot en met inderdaad ja, hoe kunnen we in godsnaam zorgen dat we wat meer autonoom worden.
Renco:Ja, wat ik, wat mij er wordt best veel over geschreven over dit onderwerp. En iedereen je kunt vanaf de, vanaf de zijlijn natuurlijk heel verstandige dingen daarover opschrijven. Ja. Ik zou dat ook wel kunnen. Jullie hebben vast ook wel eens adviesrapporten daarover uitgebracht.
Renco:Mhmm. Maar het weten, het op kunnen schrijven, het adviseren is is is 1. Maar als organisatie die met een met een gigantische hoeveelheid aan externe partijen werkt. Sommige relaties bestaan al jaren. Die gaan al ver terug.
Renco:Klopt. Toen hadden we nog helemaal geen BIO of. Nee. Nou, iets hadden we dan waarschijnlijk al wel. Maar je snapt waar ik heen wil hè?
Renco:Van het is best makkelijk om daarover te adviseren. Maar als grote organisatie om dit goed neer te zetten, want het zit eigenlijk ook op het snijvlak tussen informatiebeveiliging of security. Klopt. En inkoop slash contractbeheer, leveranciersmanagement, dat zit daar ergens in het midden. Ja.
Renco:Ik heb in ieder geval in mijn opdracht al wel ontdekt de afgelopen jaren dat dit op papier heel duidelijk neer te zetten is hoe het zou moeten worden. Hoe je dit zou willen hebben of hoe wet en regelgeving zegt dat het zou moeten zijn. Maar die leg er naartoe hé. Ja. Dat is nogal echt, ik vind het een echt een moeilijk onderwerp.
Luuk:Ja, nee klopt. Ja, dit is een bord spaghetti. Als je aan een draadje begint te trekken daar komt dan van alles blijft er aan hangen. Wat ik zelf altijd wel zeg, kijk wat er moet gebeuren is op zichzelf niet eens zo moeilijk. Nee.
Luuk:Ook het doelbeeld waar wil je men ook, ja waar wil je naartoe, ook dat is wel helder met elkaar scherp te stellen. Maar juist inderdaad grip krijgen van waar sta je dus nu en welke stappen moet je als eerste zetten en in welke volgorde. Daar zie je dat veel organisaties mee worstelen.
Renco:Er zit een grote gap tussen hoe we nog wel redelijk inzichtelijk hebben waar we moeten komen. Ja. Maar dan is er vaak beperkt zicht over waar we nu staan. Laat staan over in welke logische te overzien stappen je zeg maar van nu van hoe het nu is naar de gewenste
Luuk:Nee klopt. En wat ik zelf altijd wel zeg en dat is toch de ongemakkelijke waarheid. Dat heb ik vaker ook ook gezegd. Je moet als organisatie weten in welke processen je hebt, wat doe je, wat zijn dan ook je afhankelijkheden daarin daarin. En dat zit op digitale aspecten veel rond bepaalde IT-infrastructuur, bepaalde applicaties, bepaalde systemen.
Luuk:Als je dat al niet weet waar die afhankelijkheden zitten, dan kan je het juridisch niet eens goed dicht timmeren. Laat staan dat je daadwerkelijk in de praktijk daar echt goed je voelsprieten vol kunnen hebben. Niet alleen aan de wolken, maar ook gedurende de looptijd dat je met zo'n leverancier hem gaat.
Renco:Maar het het in inzichtelijk hebben van je eigen processen, dat dient neem ik aan toch veel meer doelen dan alleen... Dat zou je om allerlei redenen moeten willen.
Luuk:Zeker. Waarvan
Renco:1 er is third party risk management. Ja. Of leveranciers management, hoe je het maar wilt noemen. Ja. Maar goed, maar ik proef hier ook al uit dat dit niet een vanzelfsprekendheid is.
Renco:Dat niet iedereen, niet elke organisatie heeft dit beeld over haar eigen processor.
Luuk:Nee, klopt. En dat dat heeft verschillende redenen. Soms inderdaad de de legacy systemen gewoon informatie die ook gewoon in de hoofden van mensen zit. De situatie dat organisaties bij elkaar zijn gekomen en gezamenlijke bedrijfsvoering moeten doen. Een veelheid aan factoren maakt dat dat inzicht ja op zijn minst niet actueel is en veelal ook niet volledig.
Luuk:En tegelijkertijd is dat wel de basis om met elkaar goed een ja goede stappen te kunnen gaan zetten. En dat nogmaals dat begint toch echt met in en overzicht van je.
Renco:Maar oké, maar laten we even een gedachte experiment doen dan. Ik ben een organisatie die dat misschien met een beetje hulp van Berenschot inzichtelijk hebben. Ja. Ik weet wat mijn processen zijn. Dus ik weet welke afdeling ik heb.
Renco:Ik weet welke diensten en producten ik daar lever. En daar kan ik ook die processen wel achter bedenken. Die heb op een bepaalde manier afgekaderd. Ja. Oké en dan?
Renco:Want dan weet ik dat. En dan? Wat moet ik dan doen?
Luuk:Ja, dus de sleutel zit uiteindelijk in eigenlijk de verschillende processen die je al bij elkaar doet. Dus je hebt te maken met de expertise rondom informatiebeveiliging, risicoanalyses en dat soort zaken. Je hebt te maken met contractbeheer, contractmanagement wat ja in meer of mindere mate bij een organisatie toch vaak al al is. Ja. In het verlengde daarvan en dat is al een vraag die je wel moet stellen.
Luuk:In hoeverre is er ook iets met leveranciersmanagement? Is er daadwerkelijk ook echt grip op leveranciers?
Renco:Want er is een verschil dus tussen inkoop en leveranciersmanagement. Inkoop is te verwerven zal maar zeggen. En dan op een moment is er een contract getekend. Ja. En dan is de inkoop gelukt zou je kunnen zeggen.
Renco:Exact. Zijn we klaar.
Luuk:Ja, exact. Nee, dus je hebt te maken met veel expertise die gedurende de looptijd van van contracten zeg maar van inkoop tot en met uiteindelijk je exit een bepaalde rol daar ook in in vervullen. En idealiter heb je daar ook een soort van satéprikker die van a tot z daar dan een verantwoordelijkheid in inneemt. De eindverantwoordelijkheid het liefst als het gaat over ja, de eigenaar, de proceseigenaar die ja iets inkoopt of iets iets doet. En daar zie je uiteindelijk dan toch dat dat veelal belegd is bij verschillende onderdelen.
Luuk:Dus vanuit inkoop wordt er iets gedaan, vanuit security, vanuit privacy, vanuit risk, compliance. Iedereen doet een klein deel, dat kleine puzzelstukje. Maar dat maakt uiteindelijk dat ja, de samenhang in het inkooptraject, laat staan in het geheel van de doorlooptijden van zo'n traject er al niet is. En het echt het risico gebaseerd waar ook de wet en regelgeving natuurlijk nadrukkelijk naar naar kijkt. Risico gebaseerd op basis van risicoprofielen kijken naar je leveranciers.
Luuk:En daar ook adequaat op inzoomen, monitoring gaat het zoals het gaat. Bepaalde vorm van altijd ook toepassen.
Renco:Dat wordt knap lastig als niet 1 iemand voor dat geheel aan de lat staat. Bedoel ze het helemaal opknipt in delen en onderdelen die op zichzelf best uitstekend kunnen functioneren. Ik bedoel op zich het opknippen daar valt veel voor te zeggen. Maar deze verantwoordelijkheden die nu met die richtlijnen op organisaties af, Ja. Wordt steeds moeilijker invulling aan te geven als je zo dat versnipperd hebt ingericht of of dat was gewoon zo ontstaan in de tijd.
Luuk:Ja, en kijk waar je waar je knip moet je plakken en en dat betekent in deze dus dat je ook dus inderdaad moet gaan zorgen wie er je noemde net net te passen.
Renco:Vroeger was een titel voor de hoor, waar je knip moet je plakken.
Luuk:Ja, ja, daar zit wel de kern in. En dat geldt zeker voor dat te party risk verhaal. Wie zorgt voor dat overzicht? Ja. En uiteindelijk zit daar een belangrijke knop om aan te draaien.
Luuk:Want dan gaat het er ook echt om ja, heb je met elkaar inzichtelijk als organisatie nog even los van het poppetje of organisatieonderdeel waar je uiteindelijk ja, je meeste risico's ook ook loopt. Om de schaarse capaciteit die je simpelweg ook hebt, ook doel richt in te zetten op die meest kritieke leveranciers.
Renco:Ja, precies. Ik hoor je een aantal keren zeggen, risico gebaseerd risicoprofiel, risicomanagement, dus ik hoor je ook zeggen schaarse capaciteit. Dus alleen al vanuit een pragmatisch argument zou je moeten zeggen, de capaciteit die we hebben die zal op moeten gaan aan de leveranciers relaties of de externe de externe partij waar we zaken aan uitbesteden. Ja. Die van grote hoe zeg je dat, waar een sterke relatie is met onze bedrijfscontinuïteit.
Renco:Met andere woorden. Klopt. Als die die derde partij, die leverancier omvalt. Mhmm. Om wat voor reden dan ook.
Renco:Ja. Dan zou daarmee de continuïteit van het bedrijf echt flink geschaad worden. Ja. Dat zou de graadmeter moeten zijn. Ja exact.
Renco:Maar als we het dan hebben over zo'n risicoanalyse. Mhmm. Voer je nou een risicoanalyse dan uit op een individuele leverancier? Of voer je een risicoanalyse uit op hetgeen wat je wenst te gaan uitbesteden? Wat is nou het object van de risicoanalyse bij uitbesteding?
Renco:Ja. Want ja, ik hoor daar, ik heb het idee dat daar verschillende beelden over bestaan. Ja. Wat analyseer je nou?
Luuk:Feitelijk allebei. Dus het gaat zowel om het herstel dat je een product inkoopt. Dat product moet veilig zijn. Ook daar zich wel allerlei wettelijke eisen en en ook richtlijnen voor. Dus dat is een belangrijke waar je naar moet moet
Renco:moeten Laten zeggen we een IT-oplossing. We gaan een IT-oplossing aanbesteden.
Luuk:Ja, dus dus je kijkt inderdaad naar die oplossing. Voldoet het aan eisen, zowel technisch als niet technisch. Dus dat is een belangrijk aspect. Dus laten we dat even als als 1 puzzelstukje neerleggen. Ja.
Luuk:Een tweede en dat zit dan ook noem maar even het risicoprofiel van zo'n leverancier. Dan moet je aan de voorkant denken ja wil je met iedere leverancier in ja wil je daar in mee mee samenwerken. Wil je een bepaalde organisatie uit Oost-Europa inhuren? Wil je een Amerikaanse cloud provider in je netwerk hebben? Dus ook daarin heb je aan de voorkant met elkaar een bepaald risicoprofiel te maken van ja, wat vind je als organisatie belangrijk?
Renco:Maar dat doe je dus nog voordat er individuele partijen in beeld zijn eigenlijk. Eigenlijk denk je daar dus al na over na in de ontwerpfase zou je kunnen zeggen.
Luuk:Ja, ja en ik maak zelf eigenlijk altijd ontzettend een wat ik dan even een quick en dirty risicoprofiel aan de voorkant noem. Gedurende ja, echt je je verkenning. Dus bij een marktverkenning of inderdaad je oriëntatie fase. En 2 als je met elkaar inderdaad die vereisten min of meer scherp hebt gesteld ook daadwerkelijk die die eisen mee te gaan geven in je ja, je bestek of in je inkoopvraag. Zodat je daar ook inderdaad effectief op kan gaan kan gaan sturen.
Luuk:En ook effectief op kan gaan selecteren in die gevallen.
Renco:En en ontstaat er dan verderop ook nog een risicoscore of een risicoprofiel van een individuele leverancier? Stel je voor ik, ik heb goed nagedacht over een bepaalde aanbesteding hè van een IT oplossing en daar schrijven 3 partijen in. Ja. We hebben ongemerkt zitten we natuurlijk meteen vanuit die publieke sector heel erg te denken. We gaan aanbesteden en er gaan 3 partijen die schrijven zich in.
Renco:Ik heb 3 aanbiedingen binnen. Ja. Ga ik dan ook die individuele partijen die daadwerkelijk inschrijven ook nog zeg maar onderwerpen aan een risicoanalyse. Want je zei net het is en en. Het is en het product, maar ook wel dus de organisatie die producten aan je aanbiedt.
Renco:Die inschrijft.
Luuk:Ja, dus hier gelden misschien even als context wat wat even goed is mee te nemen in in in deze afweging is dat er ook vanuit legal wel goed gekeken wordt. Want je moet wel met elkaar creëren voor een level playing field. Dus je moet voorkomen dat je bepaalde groepen specifiek een voordeel geeft in ja, in aan Ja. Aanbestedingstraject.
Renco:Of een nadeel.
Luuk:Of een nadeel inderdaad. Precies. Dan dan anders. Dus dat is wel even belangrijker dus. Dus dat is wel goed om ook die check al even te doen van welke eisen mag je wel en niet stellen om te voorkomen dat je al te veel met bepaalde partij oploopt.
Renco:Ja, waarom zou je namelijk vanuit de risicoanalyse kunnen zeggen nou, willen niet met Amerikaanse techbedrijven samenwerken. En dan ga je een eis in je programma van eisen opnemen. Nou ben jij een Amerikaans tech bedrijf of maak je gebruik van diensten van Amerikaanse techbedrijven. Dan wordt het een knock-out criteria, hoef je niet meer dat kan natuurlijk niet.
Luuk:Nee, dus daar zit een bepaalde grens aan. En tegelijkertijd denk ik dat er best wel ruimte is om inderdaad de eisen te stellen die je ook ook wel belangrijk vindt. Oké,
Renco:dus samenwerk met legal.
Luuk:Dat maakt dat val expliciet. En dat dat zit 9 van de 10 keer is mijn ervaring ook echt wel ingebakken in dat proces wat inkoopverhaal veelal faciliteert. Als je inderdaad dan een drietal partijen hebt die zijn dan door het hoepeltje gegaan van de eisen die je gesteld hebt. Ja dan ga je ook daadwerkelijk due diligence doen bij zo'n organisatie. En ook gaan kijken ja is het ook wat ze leveren ze ook wat ze doen?
Luuk:Kunnen ze ook bewijs leveren dat ze voldoen aan die aan die eisen.
Renco:En en dat is toch voordat er definitief de handtekening wordt gezet of is het andersom? Er wordt wel getekend, maar mocht blijken dat die leverancier veel te mooi weer gespeeld heeft hé. Ja. Ze kunnen helemaal niet aantonen dat ze voldoen. Dan kun je dan nog de stekker eruit trekken.
Renco:Daar zit ik altijd wel een beetje mee te worstelen van waar, waar trek je nou die leverancier door die check heen? Ja, En kan je dan nog wat met de uitkomsten? Want als je dat ja, doet als het allemaal al in gang is gezet. Dan heb ik altijd het gevoel van ja, hebben we wat zijn we dan nog aan doen hier?
Luuk:Ja, ja, kijk mijn ervaring is dat dat het inderdaad veelal bewijs wordt aangeleverd nadat er inderdaad een voorlopige gunning is gedaan om inderdaad even in deze lijn van een aanbestedingen te te blijven.
Renco:Voorlopig gunning.
Luuk:Voorlopig gunning en dat dan ook inderdaad aantoonbaar moet gemaakt moet worden door die leverancier dat ze inderdaad voldoen. En dat het anders reden is om inderdaad de verloop vergunning ook in te trekken.
Renco:Dus een belangrijk advies aan organisaties die moeten voldoen aan deze richtlijnen en in Nederland gewoon wetten straks. Is dat je in de periode tussen voorlopige gunning en definitieve gunning daar moet wat gebeuren. Exact. En dat daar zit over het algemeen zit daar niet heel veel tijd tussen, Dat gaat over een paar weken denk ik.
Luuk:Nee, de veelal wel, klopt.
Renco:Ja, dus in die paar weken, dus je moet je proces best wel strak hebben staan. Iedereen daar bedoel ik mee security mensen, privacy mensen, inkoop mensen. Iedereen moet heel goed weten wat zijn rol is om in die paar weken tijd dit te kunnen waarmaken. Maar dat je dat nog moet gaan uitvogelen met elkaar. Ja, dat komt niet goed dan toch?
Luuk:Nee, nee, dus als je inderdaad aan de voorkant zegt dat je voldoet aan aan een bepaalde norm. De de ISO om een voorbeeld voorbeeld te geven. En je moet vervolgens na het voorlopig gunningsbesluit hier achter de oren krabben of je inderdaad die verklaring van toepasselijkheid wel klopt met wat je had opgeschreven. Ja, bijvoorbeeld. Dan heb je wel als organisatie natuurlijk aan de voorkant niet heel je proces goed doorlopen.
Renco:Ja en dat geeft je als je dit goed inricht qua aanbestedende organisatie, dan geef je dat dus ook de grond om die voorlopige gunning in te trekken. Want je zegt eigenlijk ja. Ja. Je hebt a gezegd, maar het blijkt beter te zijn. Wij kunnen nu geen zaken doen En dan gaat er voorlopige gunning naar de tweede.
Renco:Ja. Dus de score van de leveranciers die hebben ingeschreven die krijgen allemaal punten. Ja. En dan eerst wordt er natuurlijk zaken gedaan met de partij die het hoogste aantal punten heeft. Maar als die door het ijs zakt omdat dat voor de paselijkheid die bleek niet net even niet te bestaan of niet te kloppen.
Renco:Dan ga je door naar de tweede op de lijst.
Luuk:Ja en tegelijkertijd en dat is natuurlijk ook de realiteit. Het ideale antwoord is inderdaad volmondig ja. Dus dus dan zou je inderdaad naar de tweede partij gaan kijken. Wat je in de praktijk wel ziet is dat zeker voor de wat meer niche leveranciers of die specifieke kennis en expertise hebben, dat die er niet aan kunnen voldoen of nog niet aan kunnen voldoen. En dan kom je terug op wat ik net met risicomanagement al even zeg.
Luuk:Ook daarin kun je met elkaar zeggen een bepaalde tijd dat je toch met een organisatie in dienst moet, nogmaals die unieke kennis en expertise, die unieke applicatie bij wijze van spreken die je nodig hebt. Dan kun je ook met zo'n organisatie ja een verbeterplan in ingaan. En uiteindelijk de geest van van ook zo'n NIS 2 is dat je als keten uiteindelijk ook weerbaar ook ook gaat worden. En omdat je dus als als organisatie die dus een leverancier contracteert. En dan kun je ook zo'n leverancier helpen om uiteindelijk te gaan te gaan voldoen.
Luuk:Bepaalde risico acceptatie, in ieder geval een tijdelijke risico acceptatie die je dan dan doet. De leverancier de gelegenheid geeft om ja, een been bij te trekken. En zodoende ook met elkaar een ja, een goede relatie ook ook aan te gaan. Blijf wel en dat benadruk ik nog maar even, ga wel uit van het risico wat je als aanbestedende organisatie loopt. Dus accepteer niet een lagere vorm van beveiliging omdat de leverancier niet aan kan voldoen.
Luuk:Kies dan tenminste dat zij dat moeten gaan verbeteren. Ja. En monitor dat dan ook in die, in die fase.
Renco:Ja, maar dat dat het eigenlijk accepteren dat de inschrijvende partij nog niet voldoet aan het niveau wat je uitgevraagd hebt of wat je geëist hebt hé. Dat zul je waarschijnlijk alleen maar doen op het moment dat je geen alternatieven hebt hé. Exact. Als er een partij is die gewoon overal een 8 of hoger scoort bij wijze van spreken ja, dan ga je daarmee in zee toch?
Luuk:Ja, nee zeker
Renco:klopt klopt. Ik moet wel zeggen misschien een beetje negatief hoor, maar ik heb ook wel eens het gevoel dat ik in het verleden door een leverancier dat ik daar een beetje mooi weer... Nou ja, dat gaan we allemaal doen en dan ga je toch alles de uitstapdrempel wordt op een gegeven moment heel groot hè. Je gaat met elkaar een implementatietraject starten onder de belofte ABC. Ja.
Renco:En dan vervolgens loopt het en dan is het eigenlijk ja, dat vind ik er lastig aan. Het is heel moeilijk om die leverancier dan ja, even in mijn woorden, om ergens mee om de oren te slaan op het moment dat die belofte niet waar gemaakt wordt. Hè, wat is dan je, wat is dan je, je pressiemiddel zeg maar. Ja.
Luuk:Nou kijk, in dit gesprek zitten we natuurlijk heel erg aan de voorkant. Dat heeft connotatie dat je met elkaar in de vorm van contract en juridisch alles dicht timmert. Dus met elkaar alle vinkjes af afzet om uiteindelijk na de eindstreep en het daadwerkelijk starten van je dienstverlening of het product wat dan komt het eigenlijk gewoon te vergeten. Dan wordt zo'n contract misschien in de maximale zin nog beheerd. Leverancier wordt af en toe een keer gebeld, maar dat kalft af.
Luuk:Zeker bij de doorlooptijd van enkele jaren. Ja. De crux zit hem inderdaad en dat is uiteindelijk ook wel denk ik het aangrijpenspunt waar je als orientage op moet, moet aangrijpen. Niet alleen te kijken naar beloven ze wat ze doen, maar voldoen ze ook nog steeds aan die randvoorwaarden. En dat betekent dus aan de hand van dat risicoprofiel aan de voorkant bepaalde classificatie die je daar aan aangeeft ook gedurende de looptijd af en toe eens in in te prikken.
Luuk:Een wat minder belangrijk product in een wat minder die een wat minder belangrijk proces ondersteunt. Ja, daar kom je weg met ieder jaar een selfassessment bijvoorbeeld te laten doen door die organisatie en dat zij het aantoonbaar maken dat ze eraan voldoen. Bij anderen meer kritieke wil je niet alleen dat ze het in opstand bestaan hebben we ook dat die maatregelen die ze hebben dat je ook aantoonbaar door een onafhankelijke derde
Renco:wordt Precies. Dus dat er een soort assurance rapportage komt.
Luuk:Exact. Dan krijg je uiteindelijk te maken met dat je aan de voorkant die afspraak moet maken indien jij niet voldoet dan. En dat zijn de juridische vereisten, contractuele eisen die je gedurende de looptijd daadwerkelijk ook kunt gebruiken om zo'n organisatie ja echt toch mee om de oren te slaan.
Renco:Maar wat ik dan wel lastig vind, als je dan wat jij eerder zei, de inkoopfunctie en ook die combinatie met legal, dat komt niet pas op gang omdat wij vanuit informatiebeveiliging daarover beginnen. Dit is gewoon natuurlijk een vakgebied wat al jaren bestaat, waar wij meer een soort ja, nieuwe loods zijn hè. Aan eisen waar je ook over na moet denken vanuit wet en regelgeving of vanuit risico perspectief wat je wil. Dus op zich is daar niks, brengen wij niks nieuws teweeg. Maar aan die beherende kant hè.
Renco:Want je zei net eerder in het gesprek van er moet iemand aan de lat staan voor dat voor het geheel. Het zou logisch zijn dat dat bijvoorbeeld vanuit de lijn degene is die ook de portemonnee trekt. Die ook de proceseigenaar is. En die dus ook ja, aan de lat staat voor de onderliggende informatiesystemen of informatiesysteem en die besluit misschien nou dat ga ik aanbesteden. Ga ik, ga ik mijn derde partij Goed, hoe dan ook dat is dus een lijnverantwoordelijke dan die over dat geheel heen moet kijken.
Renco:Klopt. Maar die moet al, die heeft zo'n, die heeft al zo'n grote span of control hè. Dus ik Ja. Misschien is dat wat negatief, maar ik heb niet zulke hele hoge verwachtingen van een lijnverantwoordelijke in het daadwerkelijk managen van dat contract gedurende de looptijd van die, van die overeenkomst om te checken of al die dingen zoals jij die net opsomde. Ja.
Renco:Of die allemaal daadwerkelijk gebeuren. Dus die die lijnmanager die moet ondersteund worden.
Luuk:Exact.
Renco:Daarin toch? Ja. Naar door een leveranciersmanagement afdeling of zo?
Luuk:Ja, dus die je kunt er zo groot meeslepend als je als je wilt. Dus in in de meest ideale en dan moet je echt denken aan hoog gereguleerd gereguleerde sectoren heb je bijna een TPRM office die echt ja, dag dagelijks bezighoudt met het beheren van contracten. Het ondersteunen van de contracteigenaren. Het ondersteunen in daadwerkelijk hun dagelijkse acties die ze moeten ondernemen.
Renco:Ze hebben dat als, die club heeft dat dus als core business hè. Dat is een bestaansrecht.
Luuk:Exact.
Renco:Beheer van contracten.
Luuk:Exact.
Renco:Ja. Ja. Ja. Oké, maar zit je zei al hoog gereguleerde sectoren. Mhmm.
Renco:We hebben ook heel veel niet hoog gereguleerde sectoren. Ja. En zij moeten dit ook allemaal optuigen. Klopt. Maar zij hebben deze TPRM, niet te verwarren met TPM.
Renco:TPRM, third party risk management afdeling hebben ze niet.
Luuk:Nee, nee.
Renco:Dus dat gaat niet vanzelf goed.
Luuk:Nee, dus je ziet uiteindelijk een combinatie ontstaan dat je verschillende subject matters experts om het zo maar even te noemen vanuit inkoop, vanuit informatieverwerking, privacy. Zo heb je nog een aantal andere functies contractbeheer, leveranciersmanagement.
Renco:Legeal,
Luuk:Legeal, dat zijn in ieder geval verschillende functies, kennisgebieden die bij elkaar moeten komen. En in sommige gevallen is dat iemand die contractbeheer al jarenlang ondersteunt en voldoende weet van die aanpalende gebieden om in ieder geval de juiste vragen te kunnen stellen of de juiste expertise bij te kunnen schakelen. Er zijn ook tal van voorbeelden waarbij contracteigenaren echt wel snappen dat hun kritieke proces te maken heeft met allerlei leveranciers waar ze afhankelijkheden van hebben. En die onderlinge relatie is ook gewoon gewoon uitstekend. Dus dat kun je ook in een wat laagdrempelige vorm met elkaar organiseren.
Renco:Het hoeft niet per se vanuit zo'n TPRM office zeg maar. Dat is Nee. Ook niet voor elke organisatie natuurlijk haalbaar, laten we eerlijk zijn.
Luuk:Nee en zeker als het gaat over contractbeheer dat is ligt zaak toch wel vast in een bepaald zaak. En daar zit dan toch ook vaak iets van een functioneel beheerder op. En hij of zij heeft vaak toch al wel de rol om ook richting contract eigenaar aan te geven einde looptijd en dat soort triggers. Nou ja, een enkele trigger in te bouwen, periodieke audit of in te zoomen op je bestaande lopende zaken. Ja, dat is een relatief makkelijke trigger die je kunt kunt initiëren.
Renco:Ja, dit zou je ook in de managementsysteem gewoon kunnen ja, terugkerende taken op soort platte manier hè. Ja, ja, ja. En dat zou ook
Luuk:mijn advies zijn. Dus ga ook niet inderdaad uit van ik moet een zo'n, zo'n TPRM-office inrichten. Ik moet dat als een, als een Cadillac hebben, als ook een, een Opeltje vol volstaat. Zorg dat je het met elkaar in ieder geval gaat doen. En zeker bij je top X van je kritieke applicatieleveranciers.
Luuk:Ja,
Renco:dus daar ben je weer terug bij het eerdere punt, dat je goed in beeld moet hebben welke processen je eigenlijk allemaal hebt en welke daarvan dan bedrijfskritisch zijn. Ja, ja. Hé en tot slot dan nog, want je noemde eerder, toen zei je tegen mij ja, hebben het nu vooral over het stuk aan het begin, de inkoopdeel.
Luuk:Hebben het
Renco:nu een tijdje gehad over het gedeeld gedurende het contract. Ja. En er komt ook op een gegeven moment nog een keer een einde aan het aan samenwerking hé. Ja. Hopelijk gewoon omdat het contract verloopt en niet omdat iemand ontevreden is.
Renco:Maar exact. Hoe het ook zei, wat wat wat wat valt er dan onder third party risk management als het gaat om de exit? Waar moet ik dan aan denken?
Luuk:Misschien even 1 stap terug. Dus aan de voorkant heb je vaak zeker bij overheden ook wel echt te maken met inkoopeisen. Gemeenten allerlei andere overheden hebben ook die standaard set aan eisen. En daar staan ook gewoon de juiste voorwaarden eigenlijk ook al wel in opgenomen. Oké.
Luuk:Hun extra strategie voorkomen dat je een bepaalde vendor lock in hebt. Dat je ook gewoon niet meer je data kunt gebruiken. Dus dat zijn een aantal aspecten die je aan de voorkant eigenlijk al hebt vastgesteld. En dat betekent dus aan het einde dat je inderdaad ook zorgt dat je inderdaad aan die eisen dat je dat ook netjes af kunt kunt vinken. En dat is eigenlijk zo simpel als een als een checklist.
Luuk:Dus kun je inderdaad je data meenemen. Betekent dat ook inderdaad dat de leverancier alle hun data heeft verwijderd. Dat ook alle toegang die je vanuit jouw organisatie aan die leverancier bijvoorbeeld hebt gegeven dat die zijn ingetrokken. En zo heb je een hele lijstje met af te vinken acties.
Renco:Weet je alsof iemand uit dienst gaat hè, dan heb je natuurlijk ook exact. Er hangen ook dingen op.
Luuk:Ja, ja, ja, zo simpel is het in dat opzicht dus dus ook. En dan krijg je uiteindelijk ook de loop terug naar het begin van ja, wat voor eisen levert nu evaluatie die je met zo'n leverancier aan het eind doet ook op? Betekent dat iets in technisch of niet technische vereisten die je dan moet hebben? En dat is iets wat je het liefst gedurende een doorlooptijd al doet. Dus echt dat dat cyclische proces met die periodieke incheck, ja dat kan heel laagdrempelig of dus wat hoger zijn.
Luuk:Maar wel met elkaar echt dat al oppakt en dan is het laatste, laatste setje bij de evaluatie ja niet meer dan een, een formele afronding van een traject.
Renco:Ja, en zo'n, zeg maar die leverancier die die moet ook opruimen zullen we zeggen. Mhmm. Dus die heeft allemaal data opgeslagen, had jarenlang verwerkt in opdracht van die Ja. Aanbestedende partij. In de AVG termen in opdracht van de verwerkersverantwoordelijke.
Renco:Ja. Zij treden op als verwerker. Is natuurlijk ook een verwerkersovereenkomst getekend. Klopt. Zijn eventuele subverwerkers zijn natuurlijk allemaal keurig in beeld gebracht.
Renco:Ja. Zijn allemaal Amerikaanse techbedrijven dan vaak. Flauw grapje. We hebben het eerder gehad over risicoprofiel. Dus een risicoprofiel kan sturing geven aan de frequentie en de diepgang van de toetsing van de periodieke controle stelden we al vast.
Renco:Kan je ook je risicoprofiel dan gebruiken om dat zeg maar bij de exit het minder meer of minder zwaar aan te zetten. Want je kunt ook daar denk ik ja, de leverancier die kan mij een mail sturen en die kan zeggen nou Renco, ik heb het verwijderd. Ja. Dat voelt als het als die zelf self assessement. Ik heb dat gedaan.
Renco:Maar ja, we hebben, er zijn talloze voorbeelden van organisaties die hun eigen bewaartermijnen niet naleven. En vervolgens dan in de, hè als er dan een data gestolen wordt, blijkt in 1 keer, die data was er toch nog. Mhmm. Hè, dus als ik denk aan een, een, een hoog geclasseerd risicoprofiel van, dat zeg ik niet goed, risicoprofiel hoog op een leverancier, dan zou ik dan wel wat meer willen hebben. Toch?
Renco:Dan zou ik willen willen hebben dat het weg Ja. Dat ik hem ook worst case scenario om de oren kan slaan met het feit ja, dit nou ja, je wilt hem eigenlijk helemaal nergens meer mee om de oren slaan, daar ben ik mee. Je wilt gewoon het bewijs hebben dat het definitief weg is.
Luuk:Nee, kijk dus dus een hoog risicoprofiel aan de voorkant levert een wat zwaarder behandel regime op gedurende de looptijd. En ja, wat mij betreft vertrekt dat ook door tot inderdaad de allerlaatste fase. Dan zou het namelijk gek zijn als dat juist dat je tot tot het laatste moment altijd een een derde partij onafhankelijk assurance laat geven. Ja. En dat het op het op het laatste mailtje zou moeten zijn en dat je zonder blauwe ogen moet geloven.
Luuk:Dus ook daar geldt voor ja, toon maar aan en in sommige gevallen zal het ook door een onafhankelijke derde aantoonbaar moeten moeten zijn.
Renco:Oké, dus samenvattend risicoprofiel opstellen. En dat risicoprofiel geeft, dat zou je moeten uitwerken in het inkoopdeel. Wat betekent een risicoprofiel hoog bijvoorbeeld voor de eisen die je stelt aan de leverancier? Ja. Wat stel je aan eisen voor de aantoonbaarheid?
Renco:Wat moet de leverancier opsturen om aan te tonen dat hij voldoet. Dan mag die gewoon alleen zeggen ik voldoe of moet die ook iets aanleveren. Dus een risicoprofiel zegt iets aan de voorkant. Het zegt ook iets gedurende de looptijd. In hoeverre moet ik er kort op de bal zitten zeg maar bij die leverancier.
Renco:En ook in het scenario dat die nog beterschap beloofd heeft.
Luuk:Zeker.
Renco:Ik ben nog niet ISO 27001 gecertificeerd, maar we zijn in een traject. Ik noem maar wat. Kort op de bal zitten en aan het einde kun je het risicoprofiel dus ook gebruiken om op te ruimen zeg maar samen. En in hoeverre je dat aantoonbaar wilt hebben.
Luuk:Ja en zo'n risicoprofiel misschien ook ook als laatste, dus dat is ook niet per se statisch. Dus als je aan de voorkant een bepaald hoog risicoprofiel identificeert juist omdat er nog een verbeterplan gekoppeld is aan activiteiten die voordat je het contract tekent. Ja, het kan natuurlijk ook gedurende de looptijd kan dat ook bijgesteld worden in.
Renco:Afwaarderen eigenlijk. Afwaarderen inderdaad.
Luuk:Maar de hoogte van het risicoprofiel, iteratief te checken bepaalt dus het behandel regime. En ook dat kan dus fluctueren. Ja. Om dus inderdaad die schaarste van mensen middelen ook gedurende de looptijd goed in te blijven richten.
Renco:Ja, want je initiële risicoprofiel hoeft natuurlijk niet per se onveranderd te blijven. Er kan van alles gebeuren.
Luuk:Nee, sterker nog daar waar je inderdaad hoopt dat zo'n contract of zo'n zo'n leverancier een been heeft bijgetrokken. En juist inderdaad wel voldoet aan eisen die je hebt gesteld. Ja, dan heb je met elkaar toch een wat wat lager behandel regime door te lopen.
Renco:Ja, nou ik hoor het al. Berenschot is niet alleen maar een partij van aparte schrijven. Er wordt ook doorleefd Ja. Hoe het in de praktijk vorm kan krijgen. En daar zit natuurlijk de ja, heel veel toegevoegde waarde.
Luuk:Ja, zeker dus dus de digitale transformatie maakt ook dat je dingen inzichtelijk maakt. Waar je net iets aan refereert inzicht in je processen. In dit specifieke geval beveiliging van je toeleveringsketen. Ja, dat geldt ook voor je hele transformatie van je IT-stack. Dat geldt eigenlijk voor voor alle keuzes die je ook ook maakt.
Luuk:En ik ben er wel trots op dat we inderdaad als organisatie niet alleen die die mooie rapporten en road maps geven. Ook daadwerkelijk organisaties mogen en kunnen helpen in de daadwerkelijk verbeteren van hun digitale transformatie en digitale veiligheid.
Renco:Nou, ga nu op een hele, het voelt nu alsof ik nu de vraag moet stellen Luuk zijn er nog vacatures dan bij Berenschot?
Luuk:Ja, we hebben wat dat betreft meer dan genoeg vragen en ook zoeken wij voortdurend goede mensen. Dus mocht je interesse hebben schroom niet mij daarvoor even een DM'tje sturen.
Renco:Zo is het heel af en toe. Ik mag dat ook vragen, want ik zie natuurlijk af en toe dat je wel eens vacatures deelt. En je bent je bent een team lead, dus er komt natuurlijk wel eens een vacature voorbij. Ik vond het heel interessant om met jou eens hierover door te praten.
Luuk:Insgelijks.
Renco:Jij zegt fijn dat ik even langs mag komen in je podcast in het begin. Maar het voelt meer alsof ik bij jou langs met al mijn spullen. Maar dank daarvoor en dat je deze ruimte geboekt hebt. En ja, wij gaan mekaar tegenkomen weer in het veld. Daar twijfel ik niet aan.
Luuk:Ja, help naar mooie samenwerking wat mij betreft.
Renco:Lijkt me heel goed. Hé, dankjewel en werk van vandaag.
Luuk:Dank je wel.
Renco:En daarmee is deze aflevering van qeep talking alweer afgelopen. Leuk dat je luisterde en hopelijk heb je wat bruikbare ideeën opgedaan die je kan toepassen binnen je eigen werk. Op mijn site qeepposted punt nl vind je naast deze podcast ook blogs, video's, handige links, opinie's en trainingsdata. Abonneren is gratis en zo gepiept en op die manier ontvang je nieuwe content direct in je mailbox. In de volgende aflevering ga ik weer in gesprek met een andere gast en ik hoop dat je dan ook weer luistert.
Renco:Tot dan.
