Functionaliteit

Supplier management

Supplier management is het beoordelen, selecteren en monitoren van leveranciers op basis van risico en impact. Verplicht onderdeel van ISO 9001, ISO 27001 en vrijwel elke andere norm. En in de praktijk een onderwerp waar veel organisaties op vastlopen door overschatting van wat ze kunnen bijbenen.

In Normity beheer je leveranciers op één plek. Inclusief beoordelingen, contracten, verwerkersovereenkomsten en risicoclassificatie. Met de mogelijkheid om beoordelingsfrequenties af te stemmen op het risiconiveau.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity

Eerlijk is eerlijk: wij zijn behoorlijk trots op onze eigen software. Dat komt niet in de laatste plaats doordat we deze al bij veel organisaties hebben mogen implementeren. Tevreden organisaties. Omdat deze organisaties met Normity in staat zijn grip te krijgen op hun kwaliteit. Omdat audittrajecten eenvoudiger verlopen. Omdat processen beter inzichtelijk is. Omdat medewerkers meer betrokken zijn. Kortom: meer kwaliteit. En dat is goed voor jou, maar ook voor jouw klanten.

Functionaliteit

Leveranciers vormen vaak een blinde vlek in een managementsysteem. Veel organisaties hebben hun interne processen prima georganiseerd, maar weten weinig van hoe het bij hun leveranciers staat. Terwijl risico's en kwaliteitsproblemen daar net zo goed kunnen ontstaan — en in de keten doorstromen naar jouw klanten.

Goede supplier management bestaat uit een paar onderdelen:

  • Selectie — nieuwe leveranciers beoordelen voordat je met ze in zee gaat
  • Classificatie — bepalen welke leveranciers kritisch zijn (en welke niet) op basis van risico en impact
  • Periodieke beoordeling — jaarlijks (of vaker) checken of de leverancier nog voldoet
  • Contractmanagement — afspraken over kwaliteit, levering, beveiliging en privacy
  • Verwerkersovereenkomsten — bij persoonsgegevens vereist door de AVG
  • Klachten- en incidentregistratie — gestructureerd vastleggen wat er fout gaat en hoe het wordt opgelost
  • Exit-procedure — afspraken over wat er gebeurt als de relatie eindigt (data, kennis, materialen)

De grootste valkuil: alle leveranciers proberen even intensief te beoordelen. Dat is niet vol te houden en ook niet zinvol. Niet alle leveranciers hebben dezelfde impact. Een IT-leverancier die je hele systeem host, vraagt om andere aandacht dan een leverancier van kantoorartikelen. In Normity onderscheid je leveranciers naar risiconiveau en stel je per groep een passend beoordelingsritme in.

Marcel schreef een driedelige serie over leveranciersbeoordeling: selecteren en plannen, bemensing en criteria en resultaten verwerken. Praktische lectuur voor wie z'n leveranciersproces wil opzetten of verbeteren.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

Leverancierbeoordeling (3/3) - Resultaten

Met de resultaten van je leveranciersbeoordelingen in handen komt de lastigste stap: wat doe je ermee? Welke regels hanteer je voor promoveren, handhaven of diskwalificeren van leveranciers? Dit is deel 3 van drie en gaat over het eerlijk en consequent verwerken van beoordelingsresultaten binnen je managementsysteem.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Leverancierbeoordeling (2/3) - Bemensing, criteria en momenten

Nadat je leveranciers hebt geselecteerd volgt de volgende stap: wie voert de beoordeling uit, welke criteria gebruik je en op welke momenten? De keuze van beoordelaars en meetpunten bepaalt of je een objectief beeld krijgt of niet. Dit is deel 2 van drie over leveranciersbeoordelingen in de praktijk.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

Leverancierbeoordeling (1/3) - Selecteren en plannen

Een leveranciersbeoordeling begint bij de selectie: welke leveranciers wil je beoordelen en hoe plan je dat zonder de organisatie te overbelasten? Niet alle leveranciers verdienen dezelfde aandacht, dus scherp je keuze af op basis van risico en impact. Dit is deel 1 van drie over leveranciersbeoordelingen in de praktijk.

Marcel van Baren

Veelgestelde vragen over Supplier management

De vragen die we het vaakst krijgen over Supplier management, met korte en feitelijke antwoorden.

Supplier management (leveranciersmanagement) is het systematisch beheren van relaties met externe leveranciers — van selectie en beoordeling tot contracten, prestaties en beëindiging. Voor ISO-normen is supplier management een verplicht onderdeel: een organisatie is verantwoordelijk voor de keten, inclusief fouten van leveranciers.

Steeds meer organisaties doen meer uit — en dragen zo risico's, kwaliteit en compliance over aan leveranciers. Incidenten bij leveranciers (datalekken, veiligheidsincidenten, leveringsproblemen) raken jouw organisatie direct. Goed supplier management voorkomt verrassingen en is essentieel voor NIS2-naleving (ketenbeveiliging).

Een leveranciersbeoordeling is de periodieke evaluatie van de prestaties van een leverancier — op kwaliteit, tijdigheid, prijs, samenwerking, compliance en (voor ICT) informatiebeveiliging. ISO 9001 eist periodieke beoordeling; voor kritieke leveranciers typisch jaarlijks, voor andere om de twee of drie jaar.

Een verwerkersovereenkomst (VWO) is een verplicht contract onder de AVG tussen verwerkingsverantwoordelijke en verwerker (leverancier die persoonsgegevens verwerkt namens jou). De VWO regelt beveiligingsmaatregelen, sub-verwerkers, datalek-melding, rechten van betrokkenen en beëindiging. Zonder VWO is de verwerking formeel onrechtmatig.

NIS2 verplicht organisaties in kritieke sectoren om de informatiebeveiliging van hun leveranciers te beoordelen en af te dwingen. Dat betekent audits, contractuele eisen en monitoring van leveranciers. Softwareleveranciers moeten kwaliteit en veiligheid van hun software aantoonbaar borgen. Ketenbeveiliging is een van de belangrijkste NIS2-thema's.

Leveranciersgegevens blijven in het leveranciersregister zolang de relatie bestaat, plus een retentieperiode (typisch 7 jaar voor financiële transacties, Belastingdienst-eis). Evaluaties, audits en prestatiedata worden meestal 3 tot 5 jaar bewaard. Persoonsgegevens (contactpersonen) volgen AVG-bewaartermijnen.

Een goedgekeurd leveranciersbestand (Approved Vendor List, AVL) is een lijst van leveranciers die voldoen aan de eisen van de organisatie en beschikbaar zijn voor inzet. ISO 9001 en andere normen moedigen dit aan: je werkt alleen met leveranciers die zijn beoordeeld. Voor inkoop buiten de AVL geldt vaak een goedkeuringsprocedure.

Cloud-leveranciers zijn een speciale categorie: je ziet geen infrastructuur, dus je moet vertrouwen op contractuele afspraken, certificeringen (ISO 27001, SOC 2, ISO 27701) en onafhankelijke assurance-rapporten (ISAE 3000, ISAE 3402). Voor kritieke cloud-diensten vraag je expliciet naar exit-strategie en data-portabiliteit.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management