Vanoers.nlDigital Solutions, IT-Audit en AssuranceICT-leveranciers gaan preventief gecontroleerd worden

ICT-leveranciers gaan preventief gecontroleerd worden

Publicatie: 23-04-2026 • Door: Wesley Riool , Marjon van de Lindeloof

De Autoriteit Persoonsgegevens (AP) gaat ICT‑leveranciers preventief controleren op naleving van de privacywetgeving. Deze ontwikkeling heeft directe impact op organisaties die werken met IT‑dienstverleners, cloudoplossingen en andere externe verwerkers. In dit artikel lees je wat deze nieuwe toezichtaanpak inhoudt, welke risico’s dit met zich meebrengt en hoe organisaties zich hier praktisch en toekomstbestendig op kunnen voorbereiden.

Preventieve controles: waarom nu?

De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de Algemene verordening gegevensbescherming (AVG). Waar de toezichthouder voorheen vooral reactief handelde, bijvoorbeeld na klachten of datalekken, verschuift de focus nu naar preventief toezicht. ICT‑leveranciers staan hierbij centraal. Zij verwerken vaak grote hoeveelheden persoonsgegevens voor meerdere klanten tegelijk en vormen daarmee een cruciale schakel in de digitale keten.

Door leveranciers preventief te controleren, wil de AP eerder inzicht krijgen in structurele risico’s en tekortkomingen. Het doel is niet alleen handhaven, maar vooral voorkomen dat organisaties en betrokkenen schade ondervinden door onvoldoende ingerichte privacy‑ en beveiligingsmaatregelen. Dit betekent dat privacy steeds nadrukkelijker onderdeel wordt van de reguliere bedrijfsvoering.

Wat controleert de AP bij ICT‑leveranciers?

Bij de preventieve controles kijkt de AP onder meer naar de invulling van de rol als verwerker. Denk hierbij aan de inhoud en naleving van verwerkersovereenkomsten, de technische en organisatorische beveiligingsmaatregelen en de omgang met subverwerkers. Ook het kunnen aantonen van compliance – bijvoorbeeld via documentatie, audits en rapportages – speelt een belangrijke rol.

Voor organisaties is dit een belangrijk signaal. De AVG verplicht hen om uitsluitend samen te werken met leveranciers die voldoende garanties bieden op het gebied van privacy en informatiebeveiliging. Als een leverancier tekortschiet, kan dit ook gevolgen hebben voor de organisatie zelf, bijvoorbeeld in de vorm van sancties, reputatieschade of herstelkosten.

Impact op jouw organisatie

Hoewel de controles zich richten op ICT‑leveranciers, blijft de eindverantwoordelijkheid bij de organisatie die de persoonsgegevens laat verwerken. Dat vraagt om actief leveranciersmanagement. Weet je welke leveranciers persoonsgegevens verwerken? Zijn de gemaakte afspraken actueel? Weet je hoe deze leveranciers hun informatiebeveiliging hebben ingericht? En kun je aantonen dat je zelf voldoende toezicht houdt op je leveranciers?

Deze ontwikkeling laat zien dat ‘blind vertrouwen’ op leveranciers niet langer volstaat. Organisaties doen er verstandig aan hun contracten, verwerkersovereenkomsten en beheersmaatregelen kritisch te beoordelen. Door dit proactief te doen, verklein je het risico op verrassingen bij toezicht of incidenten en versterk je tegelijkertijd je compliancepositie.

Meer informatie

Wil je weten of jouw organisatie klaar is voor deze strengere vorm van toezicht? Of ben je benieuwd wat je kunt doen om relevante leveranciers te beoordelen? Onze specialisten helpen je graag verder. Zo krijg je inzicht in je risico’s én concrete handvatten om deze beheersbaar te maken.

Neem contact op via de onderstaande button of per e‑mail via: digitalsolutions@vanoers.nl.

Wesley Riool

Manager IT Audit

Marjon van de Lindeloof

IT consultant

Schrijf u in voor de nieuwsbrief

Phone
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Voornaam en achternaam*
Voornaam Achternaam
Bedrijfsnaam
E-mailadres*
Ik wil de nieuwsbrief ontvangen van
Ik wil de nieuwsbrief ontvangen van*
- Alles selecteren
- Algemeen
- Agro
- Btw
- HR Solutions
- Digital Solutions
- Transport en Logistiek
Ik ga akkoord met de privacyverklaring.