De vragenlijst die niets bewijst, maar drie weken duurt

Een paar maanden geleden kreeg ik een verzoek van een grote Nederlandse retailer. Of ik hun nieuwe SaaS-leverancier wilde "due-diligencen". Bij het verzoek zat een PDF. De PDF was 47 pagina's. De PDF heette "Information Security Vendor Questionnaire v3.2" en bevatte 187 vragen. De retailer verwachtte dat ik deze vragen aan de leverancier zou stellen, dat de leverancier de antwoorden zou opschrijven (in dezelfde PDF, in vakjes die te klein waren voor zinnige antwoorden), dat ik ze zou beoordelen, en dat ik op pagina 47 een handtekening zou zetten met de tekst "approved" of "not approved".