Wat is Third Party Risk Management (TPRM)?
Third Party Risk Management is het systematisch identificeren, beoordelen, beperken en monitoren van de risico's die ontstaan doordat een organisatie externe partijen inschakelt. Die "derde partijen" zijn breed: IT-leveranciers en SaaS-aanbieders, cloud- en hostingproviders, detacheerders, verwerkers van persoonsgegevens, betaaldienstverleners en alle andere partners aan wie je een stuk van je bedrijfsvoering of gegevensverwerking toevertrouwt.
De kern van TPRM is een ongemakkelijke waarheid: je kunt een activiteit uitbesteden, maar niet de verantwoordelijkheid ervoor. Lekt een leverancier jouw klantgegevens, dan ben jij als verwerkingsverantwoordelijke nog steeds aanspreekbaar onder de AVG. Valt een cloudprovider uit, dan is het jouw dienst die niet beschikbaar is. TPRM zorgt dat een organisatie weet welke partijen ze inschakelt, welk risico daarbij hoort, en dat ze aantoonbaar maatregelen treft om dat risico binnen acceptabele grenzen te houden.
Daarmee onderscheidt TPRM zich van klassiek leveranciers- of vendormanagement. Dat laatste draait om prijs, levering, service levels en de commerciële relatie. TPRM kijkt specifiek naar het risico op het gebied van informatiebeveiliging, privacy, continuïteit, compliance en reputatie. In de praktijk werken beide nauw samen: inkoop en contractmanagement maken de afspraken, de risk- en securityfuncties beoordelen en bewaken de risico's.
Waarom TPRM nu zo belangrijk is
Leveranciersrisico is niet nieuw, maar het is de afgelopen jaren explosief in belang toegenomen. Vier ontwikkelingen jagen de vraag naar TPRM aan:
- Supply-chain-aanvallen. Aanvallers richten zich steeds vaker niet op het doelwit zelf, maar op een leverancier met toegang tot veel klanten. Incidenten rond softwareleveranciers en managed service providers lieten zien hoe één gecompromitteerde schakel honderden organisaties tegelijk kan raken.
- Toenemende afhankelijkheid en concentratie. Veel organisaties leunen op dezelfde handvol grote cloud- en softwareleveranciers. Dat creëert concentratierisico: als zo'n centrale partij uitvalt, voelt een hele sector dat tegelijk.
- Strengere regelgeving. Wetgeving als DORA en NIS2 maakt third-party risk van een best practice tot een harde, handhaafbare verplichting, met fors hogere boetes en directe bestuursverantwoordelijkheid.
- Diepere ketens. Jouw leverancier heeft zelf weer leveranciers. Dat brengt fourth-party- en nth-party-risico in beeld: afhankelijkheden die je niet direct ziet, maar die je wel kunnen raken.
Het gevolg op de arbeidsmarkt: organisaties beleggen TPRM niet langer als bijzaak bij inkoop, maar richten er eigen functies, teams en tooling voor in. Dat zie je terug in de risk- en compliancevacatures op ons platform.
De TPRM-levenscyclus: van due diligence tot offboarding
Een volwassen TPRM-programma behandelt elke leverancier niet als een eenmalige check, maar als een relatie die je gedurende de hele looptijd beheerst. Die levenscyclus kent grofweg vijf fasen.
1. Risico-inschatting en due diligence
Het begint met de vraag: hoeveel risico brengt deze partij eigenlijk mee? Een leverancier die persoonsgegevens verwerkt of een kritiek proces draait, verdient veel grondiger onderzoek dan een partij zonder toegang tot gevoelige data. Op basis van die inherente risicoclassificatie volgt due diligence: security-vragenlijsten, opvragen van assurance-rapporten (zoals een SOC 2- of ISAE 3402-rapport), controle van certificeringen als ISO 27001, en soms een audit ter plaatse.
2. Contractvorming en onboarding
De uitkomst van de due diligence vertaalt zich naar het contract. Daarin leg je beveiligingseisen, meldplichten bij incidenten, auditrechten, afspraken over onderuitbesteding en exit-voorwaarden vast. Verwerkt de partij persoonsgegevens, dan hoort daar een verwerkersovereenkomst bij. Pas daarna volgt de operationele onboarding: toegang inrichten, koppelingen leggen en de samenwerking opstarten.
3. Continue monitoring
Risico is geen momentopname. Certificeringen verlopen, leveranciers wijzigen van eigenaar, er duiken kwetsbaarheden of negatieve berichten op. Een goed programma monitort daarom doorlopend: periodieke herbeoordelingen, het bijhouden van assurance-rapporten en idealiter continue signalen over de securitypositie van leveranciers. Hier komt ook het beoordelen van fourth-party-afhankelijkheden in beeld.
4. Incidentrespons in de keten
Gaat het mis bij een leverancier, dan moet je snel kunnen schakelen. Dat vraagt vooraf gemaakte afspraken over melding en samenwerking, en een plek voor leveranciersincidenten in je eigen incident- en crisismanagement. Regels als NIS2 verplichten organisaties om ook ernstige incidenten in hun toeleveringsketen tijdig te melden.
5. Offboarding
Een onderschatte maar cruciale fase. Bij het beëindigen van een relatie moeten toegangsrechten worden ingetrokken, gegevens veilig worden teruggegeven of vernietigd en moet je weten of je zonder verstoring kunt overstappen. Juist hier is een doordachte exit-strategie belangrijk — iets waar DORA voor kritieke functies expliciet om vraagt.
Op zoek naar een rol in risk, compliance of security?
Van Third Party Risk Officer en IT Risk Officer tot compliance officer, CISO en IT-auditor: op IT Compliance Jobs vind je de nieuwste vacatures bij banken, verzekeraars, multinationals en advieskantoren.
Bekijk alle vacaturesFourth-party en nth-party risico: kijken voorbij je directe leverancier
Jouw SaaS-leverancier draait misschien zelf op een grote cloudprovider, gebruikt een externe betaaldienst en heeft onderaannemers voor support. Dat zijn jouw fourth parties: de leveranciers van je leveranciers. De keten daarachter heet nth-party. Een verstoring of datalek diep in die keten kan jou alsnog raken, ook al heb je met die onderliggende partijen geen contract.
Moderne TPRM-programma's brengen daarom subverwerkers en kritieke onderaannemers in kaart en maken afspraken over onderuitbesteding. DORA en NIS2 versterken die eis: ze willen dat organisaties zicht houden op de hele keten van afhankelijkheden, niet alleen op de eerste schakel.
Het regelgevend en normenkader
TPRM staat niet op zichzelf; het wordt gevoed door wetgeving, normen en assurance-standaarden. Wie in dit vak werkt, beweegt zich voortdurend tussen de volgende kaders.
| Kader | Wat het regelt voor third-party risk | Voor wie relevant |
|---|---|---|
| DORA | Register of Information met alle ICT-contracten, eisen aan contracten voor kritieke functies, exit-strategieën, concentratierisico en toezicht op kritieke ICT-leveranciers (CTPP) | Financiële sector (banken, verzekeraars, betaalinstellingen) |
| NIS2 / Cyberbeveiligingswet | Beveiliging van de toeleveringsketen, beoordelen van leveranciers, contractuele beveiligingseisen en meldplicht voor incidenten in de keten | Essentiële en belangrijke entiteiten in veel sectoren |
| ISO 27001 / ISO 27002 | Controls voor leveranciersrelaties (o.a. A.5.19 t/m A.5.23) als onderdeel van een ISMS | Elke organisatie met een informatiebeveiligingsmanagementsysteem |
| ISO 27036 | Specifieke norm voor informatiebeveiliging in leveranciersrelaties en de ICT-toeleveringsketen | Security- en risk-functies die TPRM inrichten |
| AVG | Verwerkersovereenkomsten, afspraken over subverwerkers en aansprakelijkheid voor verwerkers | Privacy officer en FG bij elke verwerking via derden |
| SOC 2 / ISAE 3402 | Assurance-rapporten waarmee leveranciers hun beheersing aantonen en die je gebruikt in due diligence | IT-auditors en de partijen die leveranciers beoordelen |
Vooral DORA heeft TPRM in de financiële sector op scherp gezet. De verordening is sinds 17 januari 2025 van toepassing en verplicht financiële entiteiten om een actueel Register of Information bij te houden met al hun ICT-contracten en dat jaarlijks aan de toezichthouder te rapporteren. In de Europese proefronde slaagde slechts een fractie van de instellingen in één keer voor alle datakwaliteitscontroles — een teken hoe pittig deze verplichting in de praktijk is en hoeveel werk er voor TPRM-professionals ligt. Meer over de financiële context lees je in onze gids over informatiebeveiliging, risk en compliance in de financiële sector.
Wie doet wat? TPRM en de rollen op de arbeidsmarkt
Third-party risk is bij uitstek een discipline die meerdere functies raakt. Soms is er een aparte rol voor; vaak is het een belangrijk onderdeel van een bredere risk-, security- of compliancefunctie. Zo verdelen werkgevers het werk doorgaans:
| Rol | Rol in TPRM |
|---|---|
| Third Party Risk Officer / TPRM-specialist | Eigenaar van het TPRM-proces: leveranciers classificeren, due diligence uitvoeren, monitoren en rapporteren. Bij banken en verzekeraars vaak een aparte functie. |
| IT Risk Officer / Information Security Risk Specialist | Weegt leveranciersrisico binnen het bredere IT-risicobeeld en koppelt het aan de risk appetite van de organisatie. |
| CISO / Information Security Officer | Stelt het beleid en de beveiligingseisen voor leveranciers vast en is eindverantwoordelijk voor de securitykant van de keten. |
| Compliance officer / GRC-manager | Bewaakt naleving van DORA, NIS2 en interne kaders, en borgt het Register of Information en de contractuele verplichtingen. |
| Privacy officer / FG | Beoordeelt verwerkers en subverwerkers, verwerkersovereenkomsten en de privacyrisico's van uitbesteding. |
| IT-auditor | Toetst onafhankelijk of het TPRM-proces werkt en gebruikt assurance-rapporten als SOC 2 en ISAE 3402 bij de beoordeling van leveranciers. |
| Inkoop / contractmanager | Regelt het contract, de commerciële afspraken en de exit-clausules, in nauwe samenwerking met de risk- en securityfuncties. |
Die rolverdeling past naadloos op het Three Lines Model: de business en inkoop beheersen het leveranciersrisico in de eerste lijn, risk-, compliance- en securityfuncties bewaken en challengen in de tweede lijn, en de IT-auditor toetst onafhankelijk in de derde lijn.
Vaardigheden en certificeringen
Een sterke TPRM-professional combineert inhoudelijke security- en risicokennis met de zachte vaardigheden om met zowel leveranciers als de eigen business te schakelen. Werkgevers vragen doorgaans om:
- Kennis van frameworks en regelgeving: ISO 27001 en ISO 27036, de AVG en sectorregels als DORA en NIS2.
- Risk-vaardigheden: leveranciers kunnen classificeren, risico's wegen en rapporteren in begrijpelijke taal voor het management.
- Assurance lezen: een SOC 2- of ISAE 3402-rapport kunnen beoordelen en de juiste vragen stellen over de scope ervan.
- Stakeholdermanagement: overtuigen, onderhandelen en samenwerken met inkoop, juristen, security en de leverancier zelf.
- Tooling: ervaring met GRC- en TPRM-platformen die het leveranciersregister, vragenlijsten en monitoring ondersteunen.
Qua certificeringen sluiten brede risk- en securitykwalificaties goed aan: de CRISC voor risicomanagement, CISM voor securitymanagement en de CISA voor wie de auditkant raakt. Daarnaast bestaat er met de CTPRP (Certified Third-Party Risk Professional) een certificering die specifiek op deze discipline is gericht.
Salaris in Nederland
Omdat TPRM een specialistische en sterk gevraagde discipline is, liggen de salarissen op of boven het niveau van vergelijkbare risk- en securityrollen. De exacte beloning hangt af van ervaring, sector (de financiële sector betaalt doorgaans het best) en of de rol een eigen functie is of onderdeel van een bredere risk-positie. Als indicatie voor Nederland in 2026:
| Niveau | Indicatief bruto jaarsalaris |
|---|---|
| Medior Third Party Risk Officer / TPRM-specialist | €55.000 – €75.000 |
| Senior Third Party Risk Officer | €75.000 – €95.000 |
| Lead / Team Lead TPRM | €90.000 – €120.000+ |
Ter illustratie: grote werkgevers als ABN AMRO, ING, NN Group en zorgverzekeraar VGZ werven actief voor third-party risk-rollen; bij sommige posities ligt het maandsalaris voor een ervaren specialist rond de €5.900 bruto of hoger. De bedragen hierboven zijn richtbedragen; de feitelijke beloning verschilt per werkgever en regio. Bekijk de actuele risk-vacatures voor de meest recente arbeidsvoorwaarden.
Carrièrepad: hoe kom je in third-party risk terecht?
Er leidt geen enkele vaste route naar TPRM; juist dat maakt het een toegankelijk vakgebied voor mensen met verschillende achtergronden. Veelvoorkomende opstappen zijn:
- Vanuit security of IT-risk: een information security officer of IT risk officer die zich op de leverancierskant specialiseert.
- Vanuit audit: een IT-auditor die veel met assurance-rapporten en derde partijen werkt, maakt de overstap naar het inrichten en bewaken van TPRM.
- Vanuit compliance of inkoop: een compliance officer of contractmanager die de risicokant steeds verder oppakt.
- Vanuit privacy: een privacy officer die vanuit verwerkersbeoordelingen doorgroeit naar bredere ketenrisico's.
Doorgroeien kan richting Lead TPRM, Head of Third Party Risk of breder naar een GRC-managementrol of de CISO-positie. Omdat third-party risk de business, IT, juridische zaken en compliance verbindt, bouw je er een breed netwerk en een veelzijdig profiel mee op — precies wat werkgevers in toezichthoudende functies zoeken.
Conclusie
Third Party Risk Management is in een paar jaar opgeschoven van een administratieve inkooptaak naar een strategische discipline die direct raakt aan de digitale weerbaarheid van een organisatie. Aangejaagd door supply-chain-aanvallen en door wetgeving als DORA en NIS2, investeren werkgevers fors in mensen en middelen om hun leveranciers- en ketenrisico te beheersen. Voor wie een loopbaan in risk, compliance of security ambieert, biedt dat een aantrekkelijk en toekomstbestendig perspectief — of je nu als Third Party Risk Officer aan de slag gaat of TPRM oppakt vanuit een bredere risk-, security- of auditfunctie. Bekijk de actuele IT-compliancevacatures om te zien welke organisaties vandaag versterking zoeken.