Meteen naar de inhoud
Werk slimmer met onze nieuwe, verbeterde navigatie!
Ontdek hoe IO naleving eenvoudiger maakt. Lees de blog
ISMS.online

ISO 27701 – Clausule 6.12 – Relaties met leveranciers

ISO 27701 Clausule 6.12 benadrukt het beheer van relaties met leveranciers om de beveiliging van persoonlijk identificeerbare informatie (PII) te waarborgen door middel van duidelijke overeenkomsten, regelmatige monitoring en het handhaven van de beveiliging in de gehele toeleveringsketen.

Auteur
Toby Cane
Bijgewerkt 19, 2025
4 / 5 sterren

ISO 27701 Clausule 6.12: Essentiële aspecten van leveranciersmanagement

Het vormen en onderhouden van productieve leveranciersrelaties vormt een groot deel van de meeste moderne, op data gebaseerde bedrijven – of het nu gaat om de levering van apparatuur, ondersteunende diensten of onderaanneming.

Vanaf het begin van de relatie en gedurende de looptijd van het servicecontract moeten beide partijen zich voortdurend bewust zijn van hun verplichtingen op het gebied van de beveiliging van privacy-informatie, en moeten de normen op elkaar worden afgestemd om PII te beschermen en de integriteit van gevoelige informatie te garanderen.

Wat wordt er behandeld in ISO 27701, clausule 6.12

ISO 27701 Clausule 6.12 bestaat uit twee samenstellende delen:

  • ISO 27701 6.12.1 – Informatiebeveiliging in leveranciersrelaties
  • ISO 27701 6.12.2 – Beheer van dienstverlening door leveranciers

In deze twee secties zijn er vijf subclausules die richtlijnen bevatten ISO 27002 , toegepast in het kader van privacy informatiemanagement en beveiliging:

  • ISO 27701 6.12.1.1 – Informatiebeveiligingsbeleid voor leveranciersrelaties (ISO 27002 Controle 5.19)
  • ISO 27701 6.12.1.2 – Beveiliging binnen leveranciersovereenkomsten aanpakken (ISO 27002 Controle 5.20)
  • ISO 27701 6.12.1.3 – Toeleveringsketen voor informatie- en communicatietechnologie (ISO 27002 Controle 5.21)
  • ISO 27701 6.12.2.1 – Monitoring en beoordeling van leveranciersdiensten (ISO 27002 Controle 5.22)
  • ISO 27701 6.12.2.2 – Wijzigingen in leveranciersdiensten beheren (ISO 27002 Controle 5.22)

Slechts één artikel bevat richtlijnen die van toepassing zijn op Groot-Brittannië GDPR wetgeving – (ISO 27701 6.12.1.2). Voor uw gemak zijn de artikelnummers vermeld.

Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.



ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


ISO 27701 Clausule 6.12.1.1 – Bescherming van testgegevens

Referenties ISO 27002 Controle 5.19

Organisaties moeten beleid en procedures implementeren die niet alleen het gebruik van leveranciersbronnen en cloudplatforms door de organisatie regelen, maar ook de basis vormen van hoe zij van hun leveranciers verwachten dat zij zich vóór en gedurende de looptijd van de commerciële relatie gedragen, met name met betrekking tot PII en privacygerelateerde activa.

ISO 27701 6.12.1.1 kan worden gezien als het essentiële kwalificerende document dat bepaalt hoe het beheer van privacy-informatie wordt afgehandeld in de loop van een leverancierscontract.

Organisaties moeten:

  • Houd een register bij van de typen leveranciers die mogelijk de beveiliging van privacy-informatie kunnen beïnvloeden.
  • Begrijp hoe u leveranciers kunt onderzoeken op basis van verschillende risiconiveaus.
  • Identificeer leveranciers die reeds bestaande beveiligingsmaatregelen voor privacy-informatie hebben ingevoerd.
  • Identificeer delen van de ICT-infrastructuur van de organisatie waartoe leveranciers toegang kunnen krijgen of deze kunnen bekijken.
  • Definieer hoe de eigen infrastructuur van de leverancier van invloed kan zijn op de privacybescherming.
  • Identificeer en beheer de privacyrisico’s die verbonden zijn aan:
    • Gebruik van vertrouwelijke informatie.
    • Gebruik van beschermde activa.
    • Defecte hardware of defecte software.
  • Bewaak de naleving van de privacy-informatiebeveiliging op basis van een onderwerp of leverancier.
  • Beperk de eventuele verstoring als gevolg van niet-naleving.
  • Werk met een procedure voor incidentbeheer.
  • Implementeer een gedegen trainingsplan dat het personeel informeert over de manier waarop zij met leveranciers moeten omgaan.
  • Besteed grote zorg aan de overdracht van privacy-informatie en fysieke en virtuele activa tussen de organisatie en leveranciers.
  • Zorg ervoor dat leveranciersrelaties worden beëindigd met het oog op de beveiliging van privacy-informatie.

Organisaties moeten de bovenstaande richtlijnen gebruiken bij het aangaan van nieuwe relaties met leveranciers, en niet-naleving van de richtlijnen van geval tot geval overwegen.

ISO erkent dat commerciële relaties sterk variëren van sector tot sector en van bedrijf tot bedrijf, en geeft organisaties speelruimte door onderzoek aan te bevelen naar “compenserende controles” die dezelfde onderliggende principes voor privacybescherming proberen te bereiken.

ISO 27701 Clausule 6.12.1.2 – Beveiliging binnen leveranciersovereenkomsten aanpakken

Referenties ISO 27002 Controle 5.20

Bij het aanpakken van de beveiliging binnen leveranciersrelaties moeten organisaties ervoor zorgen dat beide partijen zich bewust zijn van hun verplichtingen op het gebied van privacy-informatiebeveiliging, en van elkaar.

Daarbij moeten organisaties:

  • Zorg voor een duidelijke beschrijving met details over de privacy-informatie waartoe toegang moet worden verkregen, en hoe toegang tot die informatie zal worden verkregen.
  • Classificeer de privacy-informatie waartoe toegang moet worden verkregen in overeenstemming met een geaccepteerd classificatieschema (zie ISO 27002 Controls 5.10, 5.12 en 5.13).
  • Schenk voldoende aandacht aan het eigen classificatieschema van de leverancier.
  • Categoriseer rechten in vier hoofdgebieden – juridisch, statutair, regelgevend en contractueel – met een gedetailleerde beschrijving van de verplichtingen per gebied.
  • Zorg ervoor dat elke partij verplicht is een reeks controles uit te voeren die de risiconiveaus voor de beveiliging van privacy-informatie monitoren, beoordelen en beheren.
  • Geef een overzicht van de noodzaak dat leverancierspersoneel zich moet houden aan de informatiebeveiligingsnormen van een organisatie (zie ISO 27002 Controle 5.20).
  • Zorg voor een duidelijk begrip van wat zowel aanvaardbaar als onaanvaardbaar gebruik van privacy-informatie en fysieke en virtuele activa van beide partijen inhoudt.
  • Voer autorisatiecontroles in die nodig zijn voor personeel aan de leverancierszijde om toegang te krijgen tot de privacygegevens van een organisatie of deze te bekijken.
  • Denk na over wat er gebeurt in het geval van contractbreuk of het niet naleven van individuele bepalingen.
  • Beschrijf een incidentbeheerprocedure, inclusief hoe grote gebeurtenissen worden gecommuniceerd.
  • Zorg ervoor dat het personeel een veiligheidsbewustzijnstraining krijgt.
  • (Als het de leverancier is toegestaan ​​om onderaannemers in te schakelen) voeg dan eisen toe om ervoor te zorgen dat onderaannemers zich houden aan dezelfde reeks privacy-informatiebeveiligingsnormen als de leverancier.
  • Denk na over de manier waarop personeel van leveranciers wordt gescreend voordat zij met privacy-informatie omgaan.
  • Bepaal de behoefte aan attesten van derden die aantonen dat de leverancier in staat is te voldoen aan de vereisten voor de beveiliging van organisatorische privacy-informatie.
  • Het contractuele recht hebben om de procedures van een leverancier te controleren.
  • Van leveranciers eisen dat zij rapporten overleggen waarin de effectiviteit van hun eigen processen en procedures gedetailleerd wordt beschreven.
  • Focus op het nemen van stappen om de tijdige en grondige oplossing van eventuele defecten of conflicten te beïnvloeden.
  • Zorg ervoor dat leveranciers werken met een adequaat BUDR-beleid, om de integriteit en beschikbaarheid van PII en privacygerelateerde activa te beschermen.
  • Een veranderingsmanagementbeleid aan de leverancierszijde vereisen dat de organisatie informeert over eventuele wijzigingen die mogelijk van invloed zijn op de privacybescherming.
  • Implementeer fysieke beveiligingsmaatregelen die evenredig zijn aan de gevoeligheid van de gegevens die worden opgeslagen en verwerkt.
  • (Wanneer gegevens moeten worden overgedragen) vraag leveranciers om ervoor te zorgen dat gegevens en bedrijfsmiddelen worden beschermd tegen verlies, schade of corruptie.
  • Maak een lijst van de acties die beide partijen moeten ondernemen in geval van beëindiging.
  • Vraag de leverancier om aan te geven hoe hij van plan is de privacy-informatie na beëindiging te vernietigen, of dat de gegevens niet langer nodig zijn.
  • Neem maatregelen om een ​​minimale bedrijfsonderbreking tijdens een overdrachtsperiode te garanderen.

Organisaties moeten ook een register van overeenkomsten, waarin alle overeenkomsten met andere organisaties zijn opgenomen.

Toepasselijke AVG-artikelen

  • Artikel 5, lid 1, onder f)
  • Artikel 28 (1)
  • Artikel 28, lid 3, onder a), (3)(b), (3)(c), (3)(d), (3)(e), (3)(f), (3)(g) , (3)(h)
  • Artikel 30, lid 2, onder d)
  • Artikel 32, lid 1, onder b)

Relevante ISO 27002-controles

  • ISO 27002 5.10
  • ISO 27002 5.12
  • ISO 27002 5.13
  • ISO 27002 5.20


beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


ISO 27701 Clausule 6.12.1.3 – Toeleveringsketen van informatie- en communicatietechnologie

Referenties ISO 27002 Controle 5.21

Bij het uitbesteden van onderdelen van hun toeleveringsketen moeten organisaties, om PII en privacygerelateerde activa te beschermen:

  • Stel een duidelijke reeks privacy-informatiebeveiligingsnormen op waarmee leveranciers en opdrachtnemers volledig vertrouwd zijn.
  • Vraag leveranciers om informatie te verstrekken over eventuele softwarecomponenten die worden gebruikt om een ​​dienst te leveren.
  • Identificeer de beveiligingsfuncties van elk geleverd product of dienst en stel vast hoe deze producten en diensten moeten worden beheerd op een manier die de veiligheid van privacy-informatie niet in gevaar brengt.
  • Stel procedures op die ervoor zorgen dat producten of diensten binnen de geaccepteerde industrienormen vallen.
  • Houd u aan een proces dat elementen van een product of dienst identificeert en vastlegt die cruciaal zijn voor het behoud van de kernfunctionaliteit.
  • Vraag leveranciers om garanties te bieden dat voor bepaalde componenten een auditlogboek is bijgevoegd dat de bewegingen in de toeleveringsketen aantoont.
  • Zorg ervoor dat producten en diensten geen functies bevatten die een veiligheidsrisico kunnen vormen.
  • Zorg ervoor dat leveranciers gedurende de gehele ontwikkelingslevenscyclus antimanipulatiemaatregelen overwegen.
  • Zorg ervoor dat alle geleverde producten of diensten in overeenstemming zijn met de industriestandaard vereisten voor privacy-informatiebeveiliging.
  • Neem stappen om ervoor te zorgen dat leveranciers zich bewust zijn van hun verplichtingen bij het delen van privacy-informatie in de hele toeleveringsketen.
  • Stel procedures op die risico's beheren bij het werken met niet-beschikbare, niet-ondersteunde of verouderde componenten.

Het is belangrijk op te merken dat kwaliteitscontrole zich niet noodzakelijkerwijs uitstrekt tot gedetailleerde inspectie van de eigen procedures van de leverancier.

Organisaties moeten leverancierspecifieke controles implementeren die bevestigen dat externe organisaties een betrouwbare bron zijn, binnen de sfeer van privacy-informatiebeheer.

ISO 27701 Clausule 6.12.2.1 – Monitoring en beoordeling van leveranciersdiensten

Referenties ISO 27002 Controle 5.22

Organisaties moeten zich voortdurend bewust zijn van de manier waarop de diensten van leveranciers worden geleverd – en op welke niveaus – om een ​​veilig beheer van privacy-informatie te kunnen handhaven.

Om dit te bereiken moeten organisaties:

  • Bewaak de serviceniveaus in overeenstemming met gepubliceerde SLA's.
  • Pak eventuele tekortkomingen of gebeurtenissen in de dienstverlening zo snel mogelijk aan, vooral als deze van invloed zijn op PII of privacygerelateerde activa.
  • Houd toezicht op eventuele wijzigingen die de leverancier in zijn eigen bedrijfsvoering heeft aangebracht en die van invloed kunnen zijn op de privacybescherming, inclusief eventuele servicespecifieke wijzigingen.
  • Vraag om regelmatige servicerapporten en geplande evaluatievergaderingen.
  • Houd outsourcingpartners en onderaannemers onder de loep en ga op zoek naar eventuele aandachtspunten.
  • Opereren binnen overeengekomen Incident Management-normen en -praktijken.
  • Houd een register bij van privacy-informatiebeveiligingsgebeurtenissen, operationele problemen en fouten.
  • Benadruk eventuele kwetsbaarheden op het gebied van informatiebeveiliging en verhelp deze maximaal.
  • Houd rekening met de relaties van de leverancier met zijn eigen leveranciers en onderaannemers, en hoe dit van invloed is op de privacybescherming binnen de grenzen van de organisatie zelf.
  • Identificeer het personeel aan de leverancierszijde dat verantwoordelijk is voor het naleven van de voorwaarden van het servicecontract.
  • Voer audits uit die bevestigen dat een leverancier in staat is adequate normen voor privacy-informatie te handhaven.

Relevante ISO 27002-controles

  • ISO 27002 5.29
  • ISO 27002 5.30
  • ISO 27002 5.35
  • ISO 27002 5.36
  • ISO 27002 8.14


ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


ISO 27701 Clausule 6.12.2.2 – Wijzigingen in leveranciersdiensten beheren

Referenties ISO 27002 Controle 5.22

Zie ISO 27701 clausule 6.12.2.1

Ondersteunende controles van ISO 27002 en AVG

ISO 27701-clausule-identificatie ISO 27701 Clausulenaam ISO 27002-vereiste Bijbehorende AVG-artikelen
6.12.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties
5.19 – Informatiebeveiliging in leveranciersrelaties voor ISO 27002
 		Geen
6.12.1.2 Het aanpakken van de beveiliging binnen leveranciersovereenkomsten
5.20 – Informatiebeveiliging aanpakken binnen leveranciersovereenkomsten voor ISO 27002
 		Artikelen (5), (28), (30), (32)
6.12.1.3 Toeleveringsketen voor informatie- en communicatietechnologie
5.21 – Informatiebeveiliging beheren in de ICT-toeleveringsketen voor ISO 27002
 		Geen
6.12.2.1 Toezicht en beoordeling van leveranciersdiensten
5.22 – Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten voor ISO 27002
 		Geen
6.12.2.2 Wijzigingen in leveranciersdiensten beheren
5.22 – Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten voor ISO 27002
 		Geen

Hoe ISMS.online helpt

Het kan lastig zijn om te weten waar je moet beginnen met ISO 27701, vooral als je nog nooit zoiets als dit hebt hoeven doen. Dit is waar ISMS.online in beeld komt!

Onze ISO 27701-oplossingen bieden raamwerken waarmee uw organisatie de naleving van ISO 27701 kan aantonen.

Onze experts op het gebied van informatiebeveiliging kunnen met u samenwerken om ervoor te zorgen dat u een logisch implementatieproces ontwikkelt dat aansluit bij het online documentatieframework.

‌Lees meer via het boeken van een hands-on demo.

Toby Cane

Partner Klantensuccesmanager

Toby Cane is Senior Partner Success Manager voor ISMS.online. Hij werkt al bijna vier jaar voor het bedrijf en heeft diverse functies vervuld, waaronder het hosten van hun webinars. Voordat hij in SaaS ging werken, was Toby docent in het voortgezet onderwijs.

LinkedIn

ISO 27701-clausules

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Klaar voor de start?

Demo boeken