Vendor due diligence checklist: stapsgewijze leveranciersbeoordeling
Complete vendor due diligence checklist: 7-stappen proces, DNB/AFM-verplichtingen, risicocategorieën en automatisering van leverancierscontrole 2026.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokVendor due diligence is het gestructureerde verificatieproces dat een organisatie uitvoert voordat zij een nieuwe leverancier, dienstverlener of zakenpartner contractueel bindt. Het omvat het verzamelen en beoordelen van juridische, financiële, operationele en regelgevende documenten van een derde partij, met als doel risico's vroegtijdig te identificeren en naleving van wettelijke verplichtingen te garanderen. In Nederland zijn organisaties die onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) vallen verplicht een risicogebaseerd cliëntenonderzoek — en bij uitbesteding ook een leveranciersonderzoek — uit te voeren. Aanvullende verplichtingen vloeien voort uit DORA (Digital Operational Resilience Act, van kracht per januari 2025), de AVG en de toezichteisen van DNB en AFM.
Dit artikel is uitsluitend voor informatieve doeleinden en vormt geen juridisch, financieel of regelgevend advies. De regelgevende verwijzingen zijn actueel op de publicatiedatum. Raadpleeg een gekwalificeerde professional voor begeleiding die is afgestemd op uw specifieke situatie.
Wat is vendor due diligence?
Vendor due diligence (VDD) is het onderzoek dat een inkooporganisatie uitvoert naar een (potentiële) leverancier vóór het sluiten van een contract of uitbestedingsovereenkomst. Het verschilt van klassieke commercial due diligence, die door de verkopende partij wordt opgesteld voor potentiële kopers. Bij VDD staat de inkopende organisatie centraal: zij beoordeelt of de leverancier voldoet aan haar eigen nalevings-, kwaliteits- en risicovereisten.
Vendor due diligence is niet hetzelfde als een eenvoudige leverancierskwalificatie. Het omvat een gelaagd onderzoek dat juridische documentatie, financiële stabiliteit, informatiebeveiliging, regelgevende status en ESG-criteria (Environmental, Social, Governance) integreert. Voor meldingsplichtige instellingen onder de Wwft geldt bovendien een expliciete verplichting tot periodieke herbevestiging van leveranciersidentiteit en -status.
De tabel hieronder vergelijkt de meest voorkomende typen due diligence die organisaties uitvoeren:
| Type due diligence | Uitvoerder | Primaire focus | Typische context |
|---|---|---|---|
| Vendor due diligence (VDD) | Inkooporganisatie | Leveranciersrisico, regelgeving, operationeel | Uitbesteding, inkoop, toeleveranciersbeheer |
| Commercial due diligence (CDD) | Verkopende partij / M&A-adviseur | Marktpositie, omzetprognoses | Fusies en overnames |
| Financial due diligence (FDD) | Koper of investeerder | Financiële nauwkeurigheid, verborgen passiva | Acquisities, investeringsrondes |
| Legal due diligence (LDD) | Juridisch adviseur | Contracten, geschillen, IE-rechten | Overnames, joint ventures |
| IT/cybersecurity due diligence | IT-security-team of externe auditor | Informatiebeveiliging, continuïteit | Cloud, SaaS, kritieke ICT-leveranciers |
| ESG due diligence | Duurzaamheidsteam of externe adviseur | Mensenrechten, milieu, integriteit | Internationale toeleveringsketens |
Voor een bredere context over due diligence in zijn geheel verwijzen wij naar onze complete due diligence checklist voor bedrijven.
Wet- en regelgeving in Nederland
Vendor due diligence in Nederland is geen vrijwillige beste praktijk: meerdere wettelijke kaders leggen concrete verplichtingen op aan organisaties die diensten uitbesteden of leveranciersrelaties aangaan.
De Wwft verplicht meldingsplichtige instellingen tot een risicogebaseerd cliëntenonderzoek, dat ook de beoordeling van zakenpartners en dienstverleners omvat. Artikel 3 van de Wwft schrijft voor dat instellingen de identiteit van hun relaties vaststellen en verifiëren, de uiteindelijk begunstigden (UBO's) identificeren en de aard en het doel van de zakelijke relatie begrijpen. Bij uitbesteding aan derde partijen moet de instelling tevens de adequaatheid van de compliance-maatregelen van die partij beoordelen.
DNB- en AFM-toezichteisen
De Nederlandsche Bank (DNB) publiceert richtsnoeren voor uitbestedingsrisicobeheer die van toepassing zijn op alle onder haar toezicht staande instellingen: banken, verzekeraars, pensioenfondsen en betalingsinstellingen. DNB verwacht dat instellingen beschikken over een formeel uitbestedingsbeleid, een register van uitbestedingsovereenkomsten bijhouden, en voor elke materiële uitbesteding een risicoanalyse uitvoeren die de leverancier omvat. De AFM stelt vergelijkbare eisen aan beleggingsondernemingen en financiële dienstverleners in het kader van de Wet op het financieel toezicht (Wft).
DORA: Digital Operational Resilience Act (van kracht per 17 januari 2025)
DORA (Verordening (EU) 2022/2554) is rechtstreeks van toepassing op alle financiële entiteiten in de EU — banken, verzekeringsmaatschappijen, beleggingsondernemingen, betalingsinstellingen — en hun kritieke ICT-leveranciers. Vanaf 17 januari 2025 zijn financiële entiteiten verplicht om voor alle ICT-gerelateerde dienstverleners een uitgebreide contractuele due diligence uit te voeren, een register van ICT-contracten bij te houden, en periodieke risicobeoordelingen van kritieke leveranciers te documenteren. DORA introduceert bovendien directe toezichtsbevoegdheden van Europese toezichthouders (ESA's) over aangewezen kritieke ICT-derde-partijdienstverleners.
AVG: gegevensbescherming bij leveranciers
De Algemene Verordening Gegevensbescherming (AVG) verplicht verwerkingsverantwoordelijken om vóór het inschakelen van een verwerker (leverancier die persoonsgegevens verwerkt) te verifiëren dat die verwerker voldoende technische en organisatorische maatregelen heeft getroffen. Dit vereist een verwerkersovereenkomst conform artikel 28 AVG én een voorafgaande due diligence van het informatiebeveiligingsbeleid van de leverancier.
Burgerlijk Wetboek (BW): zorgplicht in contractuele relaties
Het Burgerlijk Wetboek legt organisaties een algemene zorgplicht op in contractuele en precontractuele verhoudingen. Bij een schadevordering als gevolg van een leveranciersfout kan de rechter toetsen of de opdrachtgever afdoende due diligence heeft uitgevoerd. Een gedocumenteerd vendor due diligence-proces biedt juridische bescherming en verkleint aansprakelijkheidsrisico's.
Samengevat legt de Nederlandse wet- en regelgeving — Wwft, DORA, AVG en de algemene zorgplicht uit het BW — gecombineerd een veelomvattende verplichting op voor leveranciersonderzoek die verder gaat dan eenvoudige contractcontrole.
Vendor due diligence checklist in 7 stappen
Een effectief vendor due diligence-proces bestaat uit zeven opeenvolgende stappen. Elke stap produceert gedocumenteerde bewijsstukken die reviseerbaar zijn door toezichthouders en interne auditors.
Stap 1: Risicoschaal en segmentatie van de leverancier
De eerste handeling is het bepalen van het risiconiveau van de beoogde leverancier. Niet iedere leverancier vereist hetzelfde onderzoeksniveau. Een risicogebaseerde aanpak — zoals vereist door de Wwft en aanbevolen door DNB — segmenteert leveranciers in categorieën:
- Stel risicocriteria vast: mate van toegang tot persoonsgegevens, financiële blootstelling, kritiekheid voor bedrijfscontinuïteit, geografische herkomst van de leverancier
- Wijs een risiconiveau toe (laag / middel / hoog / kritiek) op basis van een gedocumenteerde risicomatrix
- Bepaal de diepte van het due diligence-onderzoek per risiconiveau
- Registreer de segmentatiebeslissing in het leveranciersregister
Stap 2: Verzameling van identiteits- en vennootschapsdocumenten
- KvK-uittreksel (Kamer van Koophandel), niet ouder dan drie maanden
- Actuele statuten en eventuele aandeelhoudersovereenkomsten
- UBO-registerextract of gelijkwaardige documentatie voor buitenlandse entiteiten
- Identiteitsdocumenten van bevoegde vertegenwoordigers (paspoort of ID-kaart, geldig)
- Bewijs van btw-registratie en, waar van toepassing, vergunningen of licenties
- Concernstructuur- of groepsschema (bij complexe holdingstructuren)
Stap 3: Financiële soliditeitsverificatie
- Jaarrekeningen van de afgelopen drie boekjaren (gecontroleerd door een externe accountant indien beschikbaar)
- Bankgarantie of solvabiliteitsverklaring voor leveranciers met een hoge financiële blootstelling
- Bewijs van afsluiting van relevante verzekeringspolissen (aansprakelijkheid, beroepsaansprakelijkheid, cyberrisico)
- Bevestiging dat de leverancier geen faillissementsaanvraag heeft lopen (controleerbaar via het Insolventieregister)
- Kredietrapport van een erkend bureau (bij kritieke leveranciers aanbevolen)
Stap 4: Regelgevende en juridische nalevingscontrole
- Screening op sanctielijsten (EU-sanctieverordeningen, OFAC, VN-Veiligheidsraad) voor de leverancier en haar UBO's
- PEP-screening (Politiek Prominent Persoon) voor bestuurders en UBO's
- Verificatie van sectorspecifieke vergunningen (bijv. DNB- of AFM-vergunning voor financiële dienstverleners, BIG-registratie voor zorgverleners)
- Controle op lopende rechtszaken, handhavingsmaatregelen of bestuursrechtelijke sancties
- Beoordeling van het anti-witwasbeleid (AML/CFT-beleid) van de leverancier, indien van toepassing
Stap 5: Informatiebeveiligings- en AVG-beoordeling
- Huidig ISO 27001-certificaat of gelijkwaardige beveiligingscertificering (SOC 2 Type II, NEN 7510)
- Verwerkersovereenkomst conform artikel 28 AVG (bij verwerking van persoonsgegevens verplicht)
- Overzicht van subverwerkers en doorgifte van persoonsgegevens buiten de EER
- Beveiligingsbeleid en incidentresponsplan (BCP/DRP) voor kritieke leveranciers
- Penetratietestrapport of kwetsbaarheidsanalyse (voor kritieke ICT-leveranciers, vereist onder DORA)
- Bevestiging van encryptiestandaarden en toegangsbeheermechanismen
Stap 6: Operationele en ESG-beoordeling
- Bewijs van relevante kwaliteitscertificeringen (ISO 9001, branchespecifieke normen)
- Referenties van minimaal twee bestaande klanten van vergelijkbare omvang
- Continuïteitsplan en back-up leveranciersstrategie voor kritieke diensten
- ESG-vragenlijst of duurzaamheidsrapport (verplicht voor grote ondernemingen onder de CSRD vanaf 2026)
- Verklaring inzake arbeidsomstandigheden en naleving van arbeidsnormen (relevant voor internationale toeleveringsketens)
- Anticorruptie- en integriteitsbeleid van de leverancier
Stap 7: Contractuele vastlegging en monitoringplan
- Ondertekend contract met expliciete nalevingsclausules (Wwft, AVG, DORA indien van toepassing)
- SLA (Service Level Agreement) met kwantificeerbare prestatie-indicatoren
- Auditrecht: contractuele bepaling die de opdrachtgever het recht geeft de leverancier te (laten) controleren
- Exitclausule en exit-managementplan voor kritieke leveranciers
- Vastgesteld monitoringschema: periodieke herbevestiging van documenten (jaarlijks voor hoog-risico leveranciers)
- Escalatieprocedure bij non-conformiteit of incidenten
Een gedocumenteerde 7-stappen vendor due diligence-aanpak verlaagt het risico op contractbreuk, regelgevingsboetes en reputatieschade aanzienlijk — en vormt het bewijs van een risicogebaseerde aanpak zoals vereist door DNB en de Wwft.
Verdiep u in het onderwerp
Ontdek onze praktische gidsen en bronnen over documentcompliance.
Gidsen bekijkenRisicocategorieën bij leveranciersbeoordeling
Leveranciersrisico is meerdimensionaal. Een uitsluitend financiële beoordeling mist kritieke dimensies die bij regelgevende audits centraal staan. De onderstaande tabel geeft een overzicht van de risicocategorieën die in een volledig vendor due diligence-programma aan bod moeten komen, inclusief de bijbehorende indicatoren en toezichthouders.
| Risicocategorie | Kernrisico's | Beoordelingsindicatoren | Relevant kader |
|---|---|---|---|
| Juridisch / Vennootschappelijk | Ondoorzichtige eigendomsstructuur, UBO-mismatch, sanctieblootstelling | KvK-uittreksel, UBO-register, sanctiescreening | Wwft, BW |
| Financieel / Solvabiliteit | Faillissementsrisico, onvoldoende kapitaaldekking, cashflowproblemen | Jaarrekeningen, kredietstatus, verzekeringspolissen | BW, sectorspecifieke prudentiële regels |
| ICT / Informatiebeveiliging | Datalekken, cyberaanvallen, gebrek aan continuïteit | ISO 27001, SOC 2, penetratietestrapport, DRP | DORA, AVG (art. 32) |
| Regelgevend / Compliance | Vergunningsschendingen, AML/CFT-tekortkomingen, PEP-verbanden | Vergunningsstatus, AML-beleid, PEP/sanctiescreening | Wwft, Wft, DORA |
| Operationeel / Kwaliteit | Leveringsonderbrekingen, kwaliteitsdefecten, subcontracting-risico | ISO 9001, SLA-prestaties, BCP, referenties | Sectorstandaarden, contractueel |
| Gegevensbescherming / AVG | Onrechtmatige gegevensverwerking, doorgifte buiten EER, subverwerkers | Verwerkersovereenkomst, DPA-register, subverwerkerlijst | AVG art. 28, art. 46 |
| ESG / Integriteit | Corruptie, mensenrechtenschendingen, milieuvervuiling | ESG-vragenlijst, anticorruptiebeleid, CSRD-rapportage | CSRD, CSDDD, OESO-richtlijnen |
| Concentratie / Afhankelijkheid | Enkelvoudige sourcingstrategie, lock-in, gebrek aan alternatieven | Exitplan, alternatieve leveranciers, contractsduur | DORA (art. 28), prudentiële richtlijnen |
De concentratierisico-dimensie wordt door veel organisaties onderschat: DORA verplicht financiële entiteiten expliciet om leveranciersconcentratierisico te documenteren en te beheersen, met name voor kritieke ICT-dienstverleners.
Voor een bredere risicobeheersing in de context van derde-partijrelaties verwijzen wij naar onze gids over third-party risk management (TPRM).
Vendor due diligence automatiseren
Handmatige leveranciersbeoordeling is tijdrovend, foutgevoelig en moeilijk schaalbaar. Het verzamelen, verifiëren en bewaken van tientallen documenten per leverancier — met uiteenlopende vervaldatums, landenspecifieke formaten en meerdere betrokken teams — leidt in de praktijk tot structurele achterstanden en compliance-hiaten.
Onze analyse van meer dan 45.000 leveranciersdossiers toont aan dat 14,2% blokkerende fouten bevat — documenten die verlopen zijn, ontbreken of niet overeenkomen met de geregistreerde vennootschapsgegevens. Dit percentage is significant hoger in sectoren met strikte uitbestedingsvereisten, zoals financiële dienstverlening en de zorgsector, waar de documentatielast het grootst is.
CheckFile automatiseert de kern van het vendor due diligence-proces. Ons platform stelt compliance-teams in staat om:
- Documenten automatisch te valideren: het systeem herkent documenttypen (KvK-uittreksels, verzekeringspolissen, ISO-certificaten, verwerkersovereenkomsten), extraheert relevante gegevens via OCR en kruisverifieert deze tegen verwachte waarden.
- Vervaldatums te monitoren: geautomatiseerde herinneringen waarschuwen tijdig bij naderende vervaldatums van vergunningen, certificaten en polissen, zonder handmatig agendabeheer.
- Risicogebaseerde workflows in te stellen: op basis van het leverancierssegment (laag / middel / hoog / kritiek) genereert het platform automatisch de vereiste documentatieset en stuurt de juiste beoordelingsworkflow aan.
- Een auditklaar dossier bij te houden: elk leveranciersdossier bevat een volledige tijdlijn van ontvangen documenten, validatieresultaten, beoordelingsnotities en goedkeuringen — direct toegankelijk voor toezichthouders en interne auditors.
- Sanctie- en UBO-screening te integreren: via directe koppelingen met sanctielijsten en UBO-registers worden risicowijzigingen bij bestaande leveranciers proactief gesignaleerd.
Organisaties die ons platform inzetten rapporteren een reductie van de doorlooptijd voor leveranciersonboarding van gemiddeld 12 werkdagen naar minder dan 3 werkdagen — een verbetering van meer dan 75% — waarbij de volledigheidsgraad van dossiers stijgt van gemiddeld 67% naar 97% bij eerste indiening. Bekijk onze beveiligings- en compliancearchitectuur voor meer informatie over de technische inrichting van ons platform.
Bent u geïnteresseerd in onze mogelijkheden voor leasingmaatschappijen en financieringspartners? Lees meer op de pagina financiering en leasing. Een volledig overzicht van onze tariefstructuur vindt u op onze prijspagina. Voor een overzicht van alle documentverificatiemogelijkheden verwijzen wij naar onze gids voor documentverificatie.
Praktische vragen van compliance-teams
Hoe diep moet een vendor due diligence gaan voor een laag-risicoleverancier?
Voor een laag-risicoleverancier — dat wil zeggen een leverancier zonder toegang tot persoonsgegevens, met een beperkte financiële blootstelling en zonder kritieke operationele afhankelijkheid — volstaat in de meeste gevallen een basiscontrole: verificatie van het KvK-uittreksel, een sanctiescreening van de rechtspersoon en haar UBO's, en een korte financiële check (bijvoorbeeld via een openbaar kredietrapport). Een volledige set van jaarrekeningen, ISO-certificaten of een verwerkersovereenkomst is bij deze categorie leveranciers disproportioneel. Het risicogebaseerde principe van de Wwft ondersteunt uitdrukkelijk deze gedifferentieerde aanpak: voor laag-risico relaties zijn vereenvoudigde maatregelen toegestaan, mits de risicoindeling aantoonbaar en gedocumenteerd is.
Wel dient de initiële risicoclassificatie periodiek te worden herzien: een leverancier die aanvankelijk als laag-risico werd geclassificeerd, kan door uitbreiding van de dienstverlening of wijziging in de eigendomsstructuur opschuiven naar een hogere risicocategorie. Een effectief monitoringsysteem signaleert dergelijke statuswijzigingen automatisch.
Hoe frequent moeten leveranciersdossiers worden bijgewerkt?
De herzieningsfrequentie hangt af van het risiconiveau van de leverancier en de aard van de verleende diensten. Als leidraad geldt:
- Kritieke leveranciers (bijv. kritieke ICT-providers onder DORA, uitbesteding van kernprocessen): jaarlijkse volledige herbeoordeling, aangevuld met continue monitoring van sanctie- en UBO-wijzigingen
- Hoog-risico leveranciers: jaarlijkse herbeoordeling van kerndocumenten, halfjaarlijkse sanctiescreening
- Middel-risico leveranciers: tweejaarlijkse herbeoordeling, jaarlijkse sanctiescreening
- Laag-risico leveranciers: driejaarlijkse herbeoordeling of bij significante wijzigingen in de leveranciersrelatie
DNB verwacht dat financiële instellingen de frequentie van leveranciersreviews kunnen rechtvaardigen op basis van de gedocumenteerde risicoanalyse. Een tijdgebaseerd herzieningsschema dat is gekoppeld aan de risicocategorie biedt de sterkste verdedigingslijn bij een toezichtonderzoek.
Veelgestelde vragen
Wat is het verschil tussen vendor due diligence en leverancierskwalificatie?
Leverancierskwalificatie is doorgaans een operationeel proces dat nagaat of een leverancier technisch en commercieel aan de vereisten voldoet: productspecificaties, leveringscapaciteit en prijsafspraken. Vendor due diligence gaat verder en omvat een gelaagde beoordeling van juridische, financiële, regelgevende en integriteitsaspecten. In gereguleerde sectoren (financiële dienstverlening, zorg, energie) is VDD een compliance-verplichting, terwijl leverancierskwalificatie een operationele best practice is. De twee processen overlappen maar zijn niet uitwisselbaar.
Is vendor due diligence verplicht voor niet-financiële bedrijven?
Strikt formeel zijn de zwaarste verplichtingen — zoals die uit de Wwft en DORA — van toepassing op meldingsplichtige instellingen en financiële entiteiten. Niet-financiële bedrijven zijn echter niet vrijgesteld van alle leveranciersgerelateerde verplichtingen. De AVG verplicht iedere verwerkingsverantwoordelijke tot een adequate leveranciersbeoordeling bij de inschakeling van verwerkers. De CSRD (Corporate Sustainability Reporting Directive) verplicht grote ondernemingen tot rapportage over waardeketenrisico's. En de algemene zorgplicht uit het BW geldt voor alle contractuele relaties. Bovendien maakt de toenemende blootstelling aan cyberincidenten via leveranciers het uitvoeren van vendor due diligence ook voor niet-gereguleerde bedrijven bedrijfseconomisch noodzakelijk.
Welke documenten zijn absoluut vereist bij iedere vendor due diligence?
Een basisset van vereiste documenten voor iedere vendor due diligence — ongeacht het risiconiveau — omvat: een actueel KvK-uittreksel (of buitenlands equivalent), een sanctiescreening van de rechtspersoon en haar UBO's, bewijs van relevante vergunningen of registraties, en een kopie van de getekende overeenkomst met nalevingsclausules. Afhankelijk van het risiconiveau en de aard van de dienstverlening worden hier aanvullende documenten aan toegevoegd, zoals jaarrekeningen, ISO-certificaten, een verwerkersovereenkomst of een DORA-compatibele ICT-risicoanalyse.
Hoe bewaart u vendor due diligence-documentatie conform de AVG?
Bewaartermijnen voor vendor due diligence-documentatie worden bepaald door de doeleinden waarvoor de gegevens zijn verzameld. Onder de Wwft geldt een wettelijke bewaartermijn van vijf jaar na beëindiging van de zakelijke relatie voor cliëntenonderzoeksdossiers (artikel 34 Wwft). Voor contractuele documentatie geldt op grond van het BW een verjaringstermijn van vijf jaar (vorderingen uit overeenkomst) of twintig jaar (vorderingen uit onrechtmatige daad), hetgeen de feitelijke bewaarbehoefte bepaalt. De AVG vereist dat persoonsgegevens in due diligence-dossiers niet langer worden bewaard dan noodzakelijk: stel bewaartermijnen vast per documentcategorie en documenteer de rechtsgrondslag voor bewaring.
Wat zijn de meest voorkomende tekortkomingen bij vendor due diligence?
Op basis van ons platform zijn de vijf meest voorkomende tekortkomingen bij vendor due diligence: (1) verlopen of ontbrekende verzekeringspolissen die niet tijdig worden vernieuwd, (2) onvolledige UBO-documentatie bij leveranciers met complexe houdingstructuren, (3) afwezigheid van een verwerkersovereenkomst bij leveranciers die persoonsgegevens verwerken, (4) ontbrekende sanctiescreening bij periodieke herbevestiging van bestaande leveranciers, en (5) geen gedocumenteerde risicoklassificatie die de diepte van het onderzoek onderbouwt. Automatisering van het verzamelingsproces en gestructureerde checklists per risicocategorie elimineren de meeste van deze tekortkomingen structureel. Bezoek onze homepage voor meer informatie over hoe CheckFile uw compliance-teams ondersteunt.
Blijf op de hoogte
Ontvang onze compliance-analyses en praktische gidsen rechtstreeks in uw inbox.