Makkelijk de juiste standaarden in je ICT-aanbesteding

Voor Provincie Zeeland zijn open standaarden een absolute must. Open standaarden zijn voor iedereen bruikbaar. Ze zorgen voor gestandaardiseerde gegevensuitwisseling tussen organisaties, dragen in een belangrijke mate bij aan informatieveiligheid en maken organisaties minder afhankelijk van leveranciers.

Om bij ICT-aanbestedingen meteen de vereiste open standaarden boven water te krijgen, heeft Provincie Zeeland deze meegenomen in een Addendum ARBIT-2022 Provincie Zeeland. Een aanvulling op de ARBIT-inkoopvoorwaarden van het Rijk. Een praktische document waarmee het aanbestedingsproces kan worden versimpeld en versneld. Ook andere provincies kunnen er gebruik van maken.

Open standaarden sluiten naadloos aan op de overheidsbrede eisen m.b.t. informatieveiligheid en eisen vanuit de ISO-27001 norm en Baseline Informatiebeveiliging Overheid (BIO).

Dick van der Velde wijst naar de kast in zijn kantoor. ‘Daar staat-ie’, zegt de gedeputeerde van de Provincie Zeeland tevreden. ‘In die fotolijst.’

Tussen alle kleine lettertjes vallen een paar grote, vetgedrukte woorden op.

Certificaat

Provincie Zeeland

ISO 27001:2017

Zelf is Dick niet helemaal thuis in het vakjargon en de technische termen. Daarvoor heeft de gedeputeerde ook een te omvangrijke portefeuille – van toerisme tot milieu en van ruimtelijke ordening tot IT. Maar hij kan veel vertellen over de ISO 27001:2017, een internationale standaard voor informatiebeveiliging. Een van de verplichte open standaarden voor de IT-systemen van de Nederlandse overheid.

Consensus krijgen

Met ‘we’ doelt hij in dit geval ook op CISO Hans Quist en IT-architect Aart Allemekinders. Ze trekken samen op om het belang van open standaarden onder de aandacht te brengen bij de Provincie Zeeland. ‘We weten elkaar gemakkelijk ook in het dagelijkse werk te vinden’, vertelt Hans. ‘Dat is het voordeel van een kleine organisatie.’

Dick: ‘Als ik bijvoorbeeld een verdachte mail voorbij zie komen waarover ik geadviseerd wil worden, dan bel ik meteen Hans.’

Hans: ‘Ik hoor soms van collega-CISO’s dat het heel ingewikkeld is om contact te komen met een directeur of gedeputeerde. De organisatie is groter, de hiërarchie sterker. Maar dat werkt niet voor informatiebeveiliging en het toepassen van open standaarden. Daarvoor moet je dicht op elkaar zitten. Consensus krijgen.’

Open standaarden als basis

En die consensus is er. Hoe wezenlijk verschillend hun functie en perspectief ook zijn, open standaarden zijn voor alle drie een absolute must. En dat begint voor hen allemaal bij het maken van afspraken met leveranciers over het gebruik van open standaarden. ‘En niet alleen voor open standaarden die gaan over informatiebeveiliging, maar ook open standaarden die gaan over het vastleggen en delen van informatie’, zegt Dick. ‘Met milieu in mijn portefeuille houd ik me bijvoorbeeld ook bezig met lozingen van de gevaarlijke PFAS. Het zou ontzettend goed zijn als burgers met één druk op de knop kunnen zien waar alle PFAS-lozingen in Nederland plaatsvinden. Maar dat kunnen we niet, omdat we dat in Nederland allemaal op andere manieren hebben opgeslagen.’

Aart: 'Dit is een heel mooi voorbeeld van het belang van open standaarden in een ketensamenwerking.'

'We zijn een schakel in een groter geheel. We kunnen pas tevreden zijn als de hele overheid hierop aansluit.'

Voorlopig is het nog niet zover. Het aanbestedingsproces is cruciaal om de juiste standaarden mee te nemen in de implementatie en doorontwikkeling van risicovolle en bedrijfskritische systemen. Maar door de veelheid aan kaders, bronnen en lijstjes blijkt het voor veel overheden ingewikkeld om voor een aanbesteding daadwerkelijk de juiste standaarden eruit te pikken.

Versnellen met een Addendum

Om dat proces te versimpelen en versnellen, ontwikkelde de Provincie Zeeland een Addendum. Een aanvulling op de Algemene Rijksvoorwaarden bij IT-overeenkomsten, waarin de eisen voor leveranciers heel helder staan geformuleerd. Sinds de zomer van 2023 is dit Addendum officieel vastgesteld door het College van Gedeputeerde Staten van de Provincie Zeeland.

Aart: ‘Er waren al wel voorwaarden voor provincies, maar die moesten we steeds op maat snijden. Voor elke aanbesteding weer. Daar hadden we bij Inkoop veel last van.'

Beslisboom van Forum Standaardisatie en ICO-wizard

Hans: ‘Het Addendum omvat niet álle voorwaarden. Een aanbesteding voor een cloudoplossing bevat bijvoorbeeld andere eisen dan eentje voor huisvesting. Maar het basispakket zit in dit Addendum. Namelijk de standaardeisen voor architectuur, informatieveiligheid, privacy en dienstverlening. De specifieke eisen worden vervolgens gegenereerd door de Beslisboom Forum Standaardisatie voor de 'pas toe of leg uit'-lijst. Aanvullend wordt ICO-wizard van de Baseline Informatiebeveiliging Overheid toegepast. Dat maakt het heel makkelijk om de juiste voorwaarden en standaarden boven water te halen.’

Aart: ‘Daar moeten leveranciers aan voldoen. Of ze moeten aantonen dat ze er binnen afzienbare tijd aan voldoen.’

Hans: ‘En anders kunnen ze niet meedoen. Daar zijn we best streng in. Dat moet wel.’

Aart: ‘Het Addendum gebruiken we natuurlijk wel alleen voor aanbestedingen van risicovolle en bedrijfskritische systemen. Als we bijvoorbeeld standaard softwarelicenties van Adobe Acrobat aan willen schaffen, is dit niet nodig. We gaan niet met een kanon op een mug schieten.’

Ook andere provincies lieten al weten interesse te hebben in het Addendum. En de Provincie Zeeland stelt deze ook graag beschikbaar, ook vanuit de ambitie om de hele overheid op een hoger kwaliteitsniveau te brengen. Het Addendum is gepubliceerd op de website Lokale Wet- en regelgeving op overheid.nl.

Het borgen van informatiebeveiliging is een belangrijk onderdeel van het Addendum. 'Het is niet het meest dankbare onderwerp om goed op te scoren', weet Dick. 'Burgers gaan ervan uit dat het op orde is. Je krijgt niet zoveel 'credits' voor een goede informatiebeveiliging, dat blijft een beetje onzichtbaar.'