Klantprofiel

Een middelgrote organisatie die een digitale transformatie ondergaat, heeft een cruciale informatiedienst uitbesteed aan een externe IT-leverancier. De dienst omvatte toegang tot gevoelige bedrijfs- en klantgegevens en was essentieel voor de dagelijkse bedrijfsvoering.

Het risico

Tijdens de precontractfase hebben we een hoog informatiebeveiligingsrisico vastgesteld met betrekking tot de omgang met vertrouwelijke informatie door derden. Het risico had betrekking op de mogelijke ongeoorloofde openbaarmaking, corruptie of verlies van gegevens als gevolg van onvoldoende beveiligings- en privacycontroles op leveranciersniveau. Gezien het cruciale belang van de dienst werd de potentiële impact als hoog beoordeeld, met reputatieschade, niet-naleving van regelgeving (bijv. AVG) en operationele verstoring als belangrijkste punten van zorg.

 

The TPRM-aanpak

Met behulp van een gestructureerde Third-Party Risk Management (TPRM)-aanpak voerde het PACT-team een datagestuurde risicobeoordeling uit op basis van waarschijnlijkheid en impact, waardoor een duidelijke risicoprioritering werd gecreëerd. Informatiebeveiligingsmaatregelen, gegevensbeschermingsmaatregelen en incidentresponscapaciteiten werden beoordeeld voordat het contract werd ondertekend. De risicofunctie werkte nauw samen met belanghebbenden op het gebied van inkoop, juridische zaken en IT om ervoor te zorgen dat de beveiligingsverwachtingen expliciet werden gedefinieerd en meetbaar waren gedurende de gehele looptijd van het contract.

Risicobeperkende maatregelen

Om het geïdentificeerde risico te beperken, heeft de klant preventieve maatregelen genomen, waaronder:

  • Verplichte clausules inzake gegevensbescherming en vertrouwelijkheid in het contract.
  • Duidelijke audit- en rapportagerechten met betrekking tot informatiebeveiligingsmaatregelen.
  • Gedefinieerde verantwoordelijkheden voor incidentbeheer en melding van inbreuken.
  • Voortdurende monitoring van de beveiligingsstatus van de leverancier tijdens de dienstverlening.
  • Deze maatregelen hebben de kans op en de impact van een mogelijk beveiligingsincident aanzienlijk verminderd.

 

De uitkomst

Door TPRM te integreren in het sourcingproces voor informatiediensten, versterkte de klant de controle over risico's van derden en behield hij tegelijkertijd de flexibiliteit in zijn digitale transformatie. De organisatie realiseerde een verbeterde veerkracht, vertrouwen in de regelgeving en meer zekerheid over de bescherming van gevoelige informatie. Hiermee werd aangetoond hoe proactief TPRM groei mogelijk maakt en tegelijkertijd de blootstelling aan kritieke informatiebeveiligingsrisico's vermindert.

d

Heeft u uw risico's met betrekking tot derden onder controle?

Praat met onze experten

Contacteer ons