Waarom sturen klanten Security Questionnaires?

Omdat zij verantwoordelijk zijn voor de beveiliging van de data die zij beheren, inclusief data die door hun leveranciers wordt verwerkt. De questionnaire is de manier waarop zij controleren of een leverancier aan hun beveiligingsstandaarden voldoet voordat zij deze toegang geven tot systemen of data. In gereguleerde sectoren vereisen raamwerken zoals DORA en NIS2 gedocumenteerd bewijs van leveranciersrisicobeheer.

Wat is het verschil tussen een security questionnaire en een DDQ?

Een due diligence questionnaire (DDQ) is de bredere leveranciersbeoordeling die financiën, juridische status, gegevensbescherming en security afdekt. Een security questionnaire is het onderdeel dat specifiek over informatiebeveiliging gaat en wordt vaak als los document verstuurd of opgenomen in een DDQ. In de praktijk worden de termen ruim gebruikt en overlappen ze elkaar.

Hoe kunnen leveranciers sneller reageren op security questionnaires?

Door een gecentraliseerde, goedgekeurde bibliotheek met antwoorden en bewijs bij te houden, inkomende vragen eerst te koppelen aan bestaande antwoorden voordat u iets nieuws opstelt, en een gekwalificeerde reviewer verantwoordelijk te houden voor de uiteindelijke goedkeuring. Een goed onderhouden answer library en gedisciplineerd hergebruik verkorten de responstijd aantoonbaar, omdat inhoudelijke experts zich alleen hoeven te buigen over vragen die echt nieuwe analyse vereisen.

Welke bewijsstukken vragen inkopers meestal naast een security questionnaire?

Veelvoorkomende ondersteunende documenten zijn onder andere een SOC 2 Type II auditrapport, een ISO/IEC 27001-certificaat, een recente managementsamenvatting van een penetratietest en business continuity- of incident response-plannen. Actuele certificeringen door derden kunnen een groot deel van de standaardvragen per controledomein al vooraf beantwoorden en het heen-en-weer tussen koper en leverancier beperken.

Security Questionnaire

Q: Wat is een SIG- of CAIQ-vragenlijst?

Dit zijn standaard security questionnaire frameworks. SIG (Standardized Information Gathering) wordt beheerd door Shared Assessments en wordt veel gebruikt in de financiële sector. CAIQ (Consensus Assessments Initiative Questionnaire) wordt beheerd door de Cloud Security Alliance en is ontworpen voor cloud service providers. Beide bestaan zodat kopers en leveranciers de vragen niet elke keer opnieuw hoeven uit te vinden.

Een security questionnaire is een set vragen die een koper naar een leverancier stuurt om te beoordelen hoe deze data beschermt en risico's rond informatiebeveiliging beheert. De leverancier vult deze in tijdens vendor due diligence, meestal vóór contractondertekening en daarna periodiek.

On this page

Wat is een Security Questionnaire?

Een security questionnaire, in de VS vaak een vendor security questionnaire en in het VK een supplier security questionnaire genoemd, is de manier waarop een buyer controleert of een huidige of potentiële leverancier voldoet aan de eigen security- en dataprotection-standaarden voordat deze wordt vertrouwd met systemen, data of infrastructuur. Zo'n vragenlijst kan variëren van een korte checklist met vijftien à twintig items tot een uitgebreid document met enkele honderden vragen over een tiental controledomeinen. Voor de leverancier is het vaak een formele voorwaarde voor het winnen van een nieuw contract of het behouden van een bestaand contract om de vragenlijst volledig, correct en op tijd in te vullen, en voor veel enterprise- en gereguleerde buyers is een onvolledig of niet overtuigend antwoord al genoeg om een inkooptraject te pauzeren of te beëindigen.

Waarom sturen bedrijven Security Questionnaires?

Organisaties die met data werken, zijn er juridisch en operationeel verantwoordelijk voor om die te beschermen, inclusief de delen van die data die door derde partijen worden verwerkt. De security questionnaire is hoe een buyer third-party risk management uitvoert: het creëert een gedocumenteerd bewijs dat de buyer de security posture van een leverancier heeft beoordeeld voordat er toegang wordt verleend.

Deze praktijk komt het meest voor in software en technologie, financiële dienstverlening, de zorg en andere gereguleerde sectoren waar de gevolgen van datalekken ernstig zijn en toezichthouders expliciet bewijs eisen van toezicht op derde partijen. Regelgeving zoals DORA (de EU Digital Operational Resilience Act, van kracht vanaf januari 2025) en NIS2 verplicht gereguleerde organisaties om leveranciersrisico te beheersen en te documenteren. Dit heeft geleid tot een aanzienlijke toename van het aantal questionnaires in Europese toeleveringsketens. Security questionnaires worden meestal gestart tijdens de initiële leveranciersbeoordeling, direct vóór onboarding en vervolgens op periodieke momenten (meestal jaarlijks) gedurende de hele relatie.

Wat valt er onder een Security Questionnaire?

De reikwijdte van een security questionnaire weerspiegelt de domeinen waarin de zwakke punten van een leverancier de koper schade kunnen berokkenen. Veelvoorkomende aandachtsgebieden zijn onder andere:

Toegangsbeheer en authenticatie, waarin wordt beschreven hoe de leverancier gebruikersaccounts, wachtwoorden, multi-factor-authenticatie en bevoorrechte toegang beheert.
Gegevensbescherming en encryptie, waarin wordt beschreven hoe data wordt geclassificeerd, versleuteld tijdens transport en in rust, en bewaard of verwijderd.
Netwerk- en applicatiebeveiliging, met inbegrip van perimeterbeveiliging, vulnerability management, patchmanagement en penetratietesten.
Business continuity en incident response, met aandacht voor disaster recovery-plannen, recovery time objectives en het proces om klanten na een incident te informeren.
Compliance en certificeringen, met informatie over of de leverancier erkende third-party certificeringen heeft, zoals ISO/IEC 27001, of een SOC 2-audit heeft afgerond, en hoe de controls worden gekoppeld aan relevante regelgeving.
Subprocessor- en toeleveringsketenrisico, waarin wordt beschreven op welke fourth-party providers de leverancier vertrouwt en hoe deze worden beoordeeld.

Veel inkopers vragen om onderbouwende bewijsstukken naast de antwoorden. Een SOC 2 Type II-rapport, een ISO 27001-certificaat of een executive summary van een penetratietest kan grote delen van een standaard Security Questionnaire al vooraf beantwoorden en het heen-en-weer tussen inkoper en leverancier beperken.

Wat zijn de meest gebruikte Security Questionnaire-frameworks?

In plaats van volledig nieuwe, maatwerkvragen te schrijven, vertrouwen veel inkopers op gedeelde frameworks die standaard controledomeinen afdekken. Dat voorkomt dubbel werk voor beide partijen: een leverancier die een SIG Security Questionnaire voor de ene klant heeft ingevuld, kan een groot deel daarvan hergebruiken voor een andere klant.

Framework	Volledige naam	Beheerd door
SIG	Gestandaardiseerde informatieverzameling	Shared Assessments
CAIQ	Consensus Assessments Initiative Questionnaire	Cloud Security Alliance
VSA	Vendor Security Alliance vragenlijst	Vendor Security Alliance (branchecoalitie)

SIG (Standardised Information Gathering)

De SIG questionnaire wordt beheerd door Shared Assessments, een ledenorganisatie die zich richt op best practices voor third-party risk management. Er zijn twee versies beschikbaar: een lichtere SIG Lite (die de meest kritieke controlegebieden afdekt) en de uitgebreide SIG Full (die 18 of meer domeingebieden met honderden vragen omvat). De SIG is zo opgezet dat deze aansluit op een breed scala aan regelgevende en branchekaders. Dat maakt het format bijzonder populair bij financiële instellingen en grote enterprise procurement teams die tegelijkertijd aan meerdere complianceverplichtingen moeten voldoen.

CAIQ (Consensus Assessments Initiative Questionnaire)

De CAIQ wordt gepubliceerd door de Cloud Security Alliance en is specifiek ontworpen voor cloud service providers. De vragenlijst is gebaseerd op de Cloud Controls Matrix (CCM), een raamwerk van security controls die zijn gekoppeld aan cloudrelevante regelgeving en standaarden. Voltooide CAIQ-antwoorden kunnen worden ingediend bij het CSA STAR-register, een openbaar toegankelijke repository waar potentiële kopers de zelfbeoordeelde security posture van een provider kunnen bekijken voordat zij hun eigen beoordeling starten. Dit maakt de CAIQ een veelgebruikte eerste stap voor kopers die SaaS- en infrastructuurleveranciers beoordelen.

VSA (Vendor Security Alliance vragenlijst)

The Vendor Security Alliance is een coalitie van technologiebedrijven die een gedeelde questionnaire heeft ontwikkeld om de last van het beantwoorden van honderden overlappende assessments te verminderen. De VSA questionnaire is beschikbaar in een volledige versie en een kortere core-versie. Door de leden-gedreven oorsprong sluit deze nauw aan bij de praktische prioriteiten van technology buyers en wordt zij veel gebruikt binnen de enterprise softwaresector.

Zelfs met deze frameworks in gebruik sturen veel kopers nog steeds hun eigen maatwerkspreadsheets of portaalgebaseerde questionnaires, waardoor leveranciers regelmatig dezelfde onderliggende vragen beantwoorden, telkens anders geformuleerd en verspreid over meerdere gelijktijdige verzoeken. Het hebben van een erkende certificering zoals ISO/IEC 27001 of een actueel SOC 2-rapport vermindert deze belasting aanzienlijk, omdat geaudit bewijs een groot deel van de standaardvragen per controledomein al vooraf beantwoordt.

Hoe verschilt een Security Questionnaire van een DDQ?

Een due diligence questionnaire (DDQ) is een bredere leveranciersbeoordeling die financiële stabiliteit, juridische status, gegevensbescherming, governance en informatiebeveiliging omvat. Een security questionnaire is het informatiebeveiligingsonderdeel van die bredere evaluatie en wordt vaak verstuurd als een losstaand document of opgenomen in een DDQ.

De termen worden ruim gebruikt en overlappen in de praktijk. Sommige kopers sturen één gecombineerd document en noemen dat een DDQ, anderen splitsen het security-gedeelte af en sturen het apart, vaak naar een ander intern team (security of IT in plaats van inkoop). In investment- en private-equitycontext verwijst "DDQ" meestal naar een due diligence questionnaire voor fund managers die door institutionele beleggers wordt gebruikt. Dat is een ander type document met een andere scope. De betekenis rond supplier security die in deze entry wordt beschreven, is de meest gebruikelijke in B2B-inkoop.

Hoe reageren leveranciers op een Security Questionnaire?

Leveranciers beantwoorden vragen vanuit een onderhouden bibliotheek met goedgekeurde antwoorden en onderbouwende bewijsstukken. Zij koppelen elke binnenkomende vraag aan een bestaande reactie en zorgen dat een gekwalificeerde reviewer de controle houdt vóór indiening. Het lastige deel is operationeel: het volume aan binnenkomende questionnaires, de variatie aan formats en dezelfde vraag die in tientallen buyer templates net anders is geformuleerd, elk met een eigen deadline. Wij behandelen dat volledige responseproces van begin tot eind in de questionnaire response process guide en op onze Security Questionnaire Response pagina.

Waar SEQUESTO Past

Security questionnaires hebben twee kanten: de koper stuurt ze om een leverancier te beoordelen, en de leverancier vult ze in om de deal te winnen of te behouden. De SEQUESTO aOS is gebouwd voor de leverancierskant van dat proces.

Als uw team Security Questionnaires beantwoordt, helpt de SEQUESTO aOS u sneller te reageren vanuit een vertrouwde, herbruikbare knowledge base, houdt elke reactie nauwkeurig, onderbouwd en auditbaar, en zorgt ervoor dat er altijd een persoon de eindbeslissing neemt voordat er iets wordt ingediend. Het systeem leest een binnenkomende questionnaire in elk formaat in, gebruikt Reference Mapping om elke vraag te koppelen aan uw goedgekeurde antwoorden en bewijs, en stelt onderbouwde conceptantwoorden op die een reviewer alleen nog hoeft goed te keuren in plaats van ze vanaf nul te schrijven.

Lees meer over Security Questionnaire Response en Security Questionnaire Automation.