KIMISUITE Team

Je bedrijfsgegevens zouden niet door 20 verschillende bedrijven moeten gaan

De meeste bedrijven besteden veel tijd aan het kiezen van bedrijfssoftware. Maar slechts weinigen stellen de simpelste vraag: hoeveel andere bedrijven zullen uiteindelijk onze gegevens verwerken?

Je bedrijfsgegevens zouden niet door 20 verschillende bedrijven moeten gaan

Wie heeft er echt toegang tot je bedrijf?

De meeste bedrijven besteden veel tijd aan het kiezen van bedrijfssoftware. Ze vergelijken functies, prijzen, ontwerp, AI-mogelijkheden en integraties.

Maar slechts weinigen stellen één verrassend belangrijke vraag.

Hoeveel andere bedrijven zullen uiteindelijk onze gegevens verwerken?

Het is het soort vraag waarvan de meeste softwareleveranciers stilletjes hopen dat je die niet stelt.

De moderne SaaS-stack

Moderne SaaS-platforms lijken vaak één product. Achter het inlogscherm vertrouwen ze echter vaak op veel afzonderlijke bedrijven — elk verantwoordelijk voor een ander deel van je bedrijfsvoering.

Identiteit, bestandsopslag, klantenservice, analytics, monitoring, e-mailbezorging, pushmeldingen, AI-verwerking — elk kan een andere leverancier zijn. Elk met eigen voorwaarden, een eigen privacybeleid en een eigen locatie voor gegevensverwerking.

Dat is niet altijd slecht. Gespecialiseerde leveranciers kunnen uitstekend zijn in wat ze doen. Maar wanneer een typisch SaaS-product tegelijk van twintig van zulke partijen afhankelijk is, verandert het totaalbeeld.

Wat "verwerking door derden" echt betekent

Wanneer een leverancier zegt dat zij "partners gebruiken om de dienst te leveren", is dat zelden een voetnoot. Het betekent meestal dat delen van je gegevens fysiek door de systemen van die partners gaan.

Dat kan klantnamen, e-mailadressen, bestanden, communicatie, supportverzoeken, gedragspatronen, AI-invoer en -uitvoer omvatten, en afhankelijk van de architectuur zelfs factureringsgegevens.

Je hebt geen contract met de partner getekend. De leverancier wel. Maar je bedrijfsinformatie gaat er alsnog doorheen.

Waarom dit in 2026 belangrijk is

Toezichthouders kijken steeds strenger naar elk extra bedrijf dat persoonsgegevens verwerkt. Onder de UK GDPR en EU GDPR moet elke subverwerker worden bekendgemaakt, gecontroleerd en contractueel gebonden — en de verwerkingsverantwoordelijke (vaak jouw bedrijf) draagt verantwoordelijkheid voor die hele keten.

Hoe meer bedrijven erbij betrokken zijn, hoe moeilijker het wordt om aan die verantwoordelijkheid te voldoen.

Het is geen theoretisch risico. Auditbevindingen, vragen van toezichthouders en klachten van klanten beginnen vaak met dezelfde vraag die we bovenaan stelden: "Wie verwerkt mijn gegevens?"

Het verborgen opstapeleffect

Eén enkele storing legt een SaaS-product zelden volledig plat. Maar wanneer één product op twintig andere is gebouwd, kan een klein probleem bij een van hen een merkbaar probleem voor je bedrijf worden.

Een opslagprovider haalt een database offline voor onderhoud. Een e-maildienst heeft een regionaal incident. Een analyticsleverancier wijzigt van de ene op de andere dag zijn prijzen. Een klantenserviceplatform wordt overgenomen en verandert zijn API's.

Elk van deze problemen moet door iemand anders worden opgelost. Jouw bedrijf is degene die intussen stilletjes de gevolgen ondervindt.

Hoe KIMISUITE dit anders aanpakt

Toen we KIMISUITE ontwierpen, kozen we er bewust voor om het aantal bedrijven dat betrokken is bij het draaien van het platform te beperken.

De meeste kernfuncties van het platform — authenticatie, de bedrijfsapplicaties, documentgeneratie, interne infrastructuur — worden door ons eigen team beheerd. Niet omdat we dachten dat we elke gespecialiseerde leverancier op elk vlak konden overtreffen, maar omdat we vonden dat eenvoud het waard is om te beschermen.

Waar een dienst van derden echt nodig is — wereldwijde betalingsverwerking is een eerlijk voorbeeld — kiezen we zorgvuldig, documenteren we dit transparant en gebruiken we die dienst alleen voor de functie waarvoor die is geselecteerd.

Gemak alleen is geen goede reden.

Wat dit in de praktijk betekent

Een typische SaaS-werkplek kan het volgende omvatten:

  • Authenticatie: externe identiteitsprovider
  • Bestandsopslag: grote cloudprovider
  • E-mailverzending: gespecialiseerde mailleverancier
  • Supportchat: externe SaaS
  • Analytics: platform van derden
  • AI-functies: externe API
  • Monitoring: externe observability-leverancier
  • Klantsuccesberichten: weer een andere leverancier

KIMISUITE vervangt de meeste daarvan door interne diensten die we zelf beheren. Je bedrijfsgegevens hoeven niet door een lange keten van leveranciers te reizen om hun werk te doen.

Minder oppervlak, minder risico

Securityprofessionals gebruiken vaak een uitdrukking: "je kunt niet beveiligen wat je niet kunt zien".

Elk extern systeem in een softwarestack is iets dat je niet direct kunt inspecteren, waarop je niet kunt inloggen of dat je niet zelf kunt repareren. Het verminderen van het aantal van zulke systemen neemt risico niet weg — maar maakt de systemen die je wel hebt veel makkelijker te begrijpen.

Zichtbaarheid is een voorwaarde voor vertrouwen. Daar optimaliseren we het platform op.

Kijken naar de lange termijn

Een platform dat op twintig leveranciers is gebouwd, is fundamenteel blootgesteld aan twintig roadmaps, twintig prijsbeslissingen en twintig mogelijke overnames. Geen daarvan ligt binnen jouw controle. En weinig daarvan liggen volledig binnen de controle van de leverancier.

Een platform dat voornamelijk intern is gebouwd, heeft een kortere en voorspelbaardere lijst met afhankelijkheden. Wij kunnen voor jaren plannen, niet voor kwartalen vol onzekerheid van leveranciers.

Dat is een deel van hoe we ervoor zorgen dat KIMISUITE blijft bestaan — tegen voorspelbare prijzen, met voorspelbaar gedrag — op de lange termijn.

Tot slot

De volgende keer dat je bedrijfssoftware beoordeelt, kijk dan verder dan de functielijst.

Vraag wie je gegevens verwerkt. Vraag van wie je afhankelijk bent, naast het bedrijf dat je betaalt.

Als het eerlijke antwoord is: "veel bedrijven waar je nog nooit van hebt gehoord", dan is dat waardevolle informatie.

Als het eerlijke antwoord is: "voornamelijk wij, met een klein aantal duidelijk vermelde uitzonderingen", dan is dat ook waardevolle informatie.

Wij geloven dat het tweede antwoord is hoe bedrijfssoftware eruit zou moeten zien.


Lees verder in de Trust Series:

← Vorige: Gebouwd, niet samengesteld — Waarom we KIMISUITE anders hebben gebouwd
→ Volgende: Wie heeft toegang tot je bedrijfsgegevens?

Start je gratis proefperiode van 14 dagen · Bekijk de prijzen van KIMISUITE