Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Partij

Concepten

Verzamelbegrip voor organisaties, bedrijven, overheden en burgers.

In de context van cybersecurity verwijst het begrip partij naar elke entiteit die een rol speelt in het digitale beveiligingslandschap. Dit kan een organisatie zijn, een overheidsinstantie, een bedrijf, een burger of zelfs een kwaadwillende actor. Het is een bewust breed gekozen term die wordt gebruikt in beleidsdocumenten, wetgeving en beveiligingsstandaarden om alle mogelijke betrokken entiteiten te omvatten zonder vooraf een specifieke rol of verantwoordelijkheid toe te kennen.

Het begrip partij komt veelvuldig voor in de Algemene Verordening Gegevensbescherming (AVG), waar gesproken wordt over verwerkingsverantwoordelijke partijen, ontvangende partijen en derde partijen. Ook in het Cybersecuritybeeld Nederland van de NCTV wordt het woord partij gebruikt om de diverse actoren in het dreigingslandschap te beschrijven. Van statelijke actoren tot cybercriminelen, van toezichthouders tot eindgebruikers: het zijn allemaal partijen in het cybersecurity-ecosysteem.

Waarom belangrijk

Het correct identificeren en classificeren van partijen is een fundamentele stap in elk beveiligingsproces. Wanneer je een risico-inventarisatie uitvoert, moet je weten welke partijen betrokken zijn bij de verwerking van gegevens, welke partijen toegang hebben tot systemen en welke partijen een potentiele dreiging vormen. Zonder een helder overzicht van alle betrokken partijen is het onmogelijk om een effectief beveiligingsbeleid op te stellen.

In de toeleveringsketen speelt het partijbegrip een centrale rol. Elke leverancier, onderaannemer of dienstverlener is een partij met eigen beveiligingsverantwoordelijkheden. De NIS2-richtlijn verplicht organisaties om de cybersecuritypositie van hun ketenpartners te beoordelen. Dit betekent dat je niet alleen je eigen beveiliging op orde moet hebben, maar ook moet weten welke partijen in je keten zitten en hoe zij met beveiliging omgaan.

Het begrip is ook relevant bij incident response. Bij een beveiligingsincident moet je snel kunnen bepalen welke partijen getroffen zijn, welke partijen geinformeerd moeten worden en welke partijen kunnen bijdragen aan het herstel. Denk aan de meldplicht bij de Autoriteit Persoonsgegevens, het informeren van getroffen klanten en het inschakelen van forensische specialisten.

Hoe toepassen

Begin met het opstellen van een partijenoverzicht voor je organisatie. Categoriseer alle partijen waarmee je samenwerkt of die invloed hebben op je beveiligingslandschap. Maak onderscheid tussen interne partijen zoals afdelingen en medewerkers, en externe partijen zoals leveranciers, klanten, toezichthouders en potentiele dreigingsactoren.

Wijs aan elke partij een risiconiveau toe op basis van de aard van de relatie en de gegevens die worden uitgewisseld. Een cloudprovider die bedrijfskritieke data verwerkt, vormt een ander risico dan een kantoorleverancier. Gebruik een classificatiesysteem dat past bij je control framework en documenteer de beveiligingseisen die je aan elke partij stelt.

Leg de verantwoordelijkheden van elke partij vast in contractuele afspraken. Bij gegevensverwerking door derden is een verwerkersovereenkomst wettelijk verplicht. Maar ook buiten de AVG is het verstandig om beveiligingsafspraken contractueel vast te leggen, inclusief meldplichten bij incidenten, minimale beveiligingseisen en auditrechten.

Houd je partijenoverzicht actueel. Organisaties veranderen continu van leveranciers en partners. Stel een periodieke review in, bijvoorbeeld per kwartaal, waarin je controleert of het overzicht nog klopt en of de risicobeoordelingen nog actueel zijn. Betrek hierbij zowel de inkoopafdeling als het beveiligingsteam.

In de praktijk

Een gemeente voert een inventarisatie uit van alle partijen die betrokken zijn bij de verwerking van burgergegevens. Het blijkt dat meer dan vijftig externe partijen toegang hebben tot gemeentelijke systemen, van de softwareleverancier van het burgerzakensysteem tot de hostingpartij van de website. Door alle partijen in kaart te brengen en per partij de beveiligingseisen aan te scherpen, vermindert de gemeente het risico op een datalek aanzienlijk.

In de zorgsector werken ziekenhuizen samen met tientallen partijen die toegang hebben tot patientgegevens. Denk aan laboratoria, apotheken, huisartsenpraktijken en verzekeringsmaatschappijen. Elk van deze partijen moet voldoen aan de NEN 7510-norm voor informatiebeveiliging in de zorg. Het ziekenhuis is verantwoordelijk voor het controleren of alle partijen hieraan voldoen.

Bij een cyberincident in de logistieke sector bleek dat een aanval op een relatief kleine toeleverancier leidde tot verstoringen bij meerdere grote partijen in de keten. Het incident maakte duidelijk dat zelfs ogenschijnlijk onbelangrijke partijen een significant risico kunnen vormen als hun beveiliging niet op orde is. Dit leidde tot een herziening van het partijenbeheer bij alle betrokken organisaties.

Een financiele instelling gebruikt een geautomatiseerd systeem om continu de security rating van alle derde partijen te monitoren. Wanneer de score van een partij onder een vastgesteld minimum daalt, wordt automatisch een herbeoordelingsprocedure gestart. Zo houdt de instelling grip op het risico dat externe partijen vormen voor haar eigen beveiliging.

Het begrip partij krijgt extra relevantie door de toenemende complexiteit van digitale ecosystemen. In een moderne cloudgebaseerde omgeving is het aantal betrokken partijen exponentieel gegroeid. Naast de traditionele leveranciers en klanten zijn er nu ook cloudproviders, API-aanbieders, data-intermediairs en platformbeheerders die elk een eigen rol spelen in de verwerking en bescherming van gegevens. Het correct classificeren van al deze partijen en het toewijzen van beveiligingsverantwoordelijkheden is een voorwaarde voor effectief risicobeheer.

De Europese NIS2-richtlijn heeft het partijbegrip verder aangescherpt door te eisen dat organisaties niet alleen hun directe leveranciers maar ook hun indirecte ketenpartners in kaart brengen. Dit betekent dat je als organisatie moet weten welke partijen je leveranciers inschakelen en of die subleveranciers aan adequate beveiligingseisen voldoen. Deze ketenaanpak vereist een systematisch partijenbeheer dat verder reikt dan het traditionele contractbeheer.

In de praktijk blijkt dat veel organisaties onderschatten hoeveel externe partijen daadwerkelijk toegang hebben tot hun systemen en gegevens. Shadow IT, ongeautoriseerde SaaS-abonnementen en informele samenwerkingsrelaties zorgen ervoor dat het werkelijke aantal betrokken partijen vaak twee tot drie keer hoger is dan wat formeel is gedocumenteerd. Een periodieke inventarisatie, ondersteund door technische scans van netwerkverkeer en applicatiegebruik, is daarom essentieel om een compleet beeld te krijgen van alle betrokken partijen.

Veelgestelde vragen

Wat is het verschil tussen een partij en een stakeholder in cybersecurity?

Een stakeholder is een partij met een specifiek belang of verantwoordelijkheid. Elke stakeholder is een partij, maar niet elke partij is automatisch een stakeholder. Een kwaadwillende actor is bijvoorbeeld wel een partij in het dreigingslandschap, maar geen stakeholder van je organisatie.

Hoeveel partijen heeft een gemiddelde organisatie?

Dit varieert sterk, maar onderzoek toont aan dat middelgrote organisaties gemiddeld met honderden tot duizenden externe partijen werken. Veel van deze partijen hebben op enige manier toegang tot bedrijfsgegevens of -systemen, wat het belang van partijenbeheer onderstreept.

Hoe beoordeel je het risico van een externe partij?

Start met het classificeren van de gegevens die de partij verwerkt en de systemen waartoe zij toegang heeft. Combineer dit met een beoordeling van hun beveiligingsmaatregelen, certificeringen en eventuele security ratings. Leg de uitkomsten vast en herhaal de beoordeling periodiek.

Is een partijenoverzicht wettelijk verplicht?

De AVG vereist dat je een verwerkingsregister bijhoudt waarin alle partijen staan die persoonsgegevens verwerken. De NIS2-richtlijn stelt aanvullende eisen aan het in kaart brengen van ketenpartners. Een partijenoverzicht is dus niet alleen een best practice, maar in veel gevallen ook een wettelijke verplichting.

Ontdek welke cybersecurityoplossingen jouw organisatie helpen bij het beheren van externe partijen en ketenrisico's op IBgidsNL.