Skip to main content

Contract en leveranciersmanagement; mitsen en maren bij informatiebeveiliging


‘Een overeengekomen niveau van informatiebeveiliging en dienstverlening handhaven’. En dan ook ‘in overeenstemming met de leveranciersovereenkomsten’. Een hele mond vol. Maar van levensbelang om goed werk te verrichten. In hoofdstuk 15 van de BIO wordt hieraan dan ook niet voor niets aandacht besteed. Maar wat houdt het precies in?

Een vooraf overeengekomen niveau van informatiebeveiliging en dienstverlening

Een lijnmanager, vaak ook proceseigenaar, heeft de taak en verantwoordelijkheid om na te denken over het gewenste niveau van informatiebeveiliging, en dus ook de IT-dienstverlening, voor een bepaald proces. Het is tenslotte niet de bedoeling dat er gevoelige data bij de verkeerde personen terecht komt of dat de continuïteit van de dienstverlening in het geding komt.

Kortom, de lijnmanager moet risicoanalyses (laten) uitvoeren en kwetsbaarheden, afhankelijkheden en risico’s in kaart (laten) brengen, waarmee hij mitigerende maatregelen en ook de betrouwbaarheidseisen voor de informatiesystemen vaststelt c.q. laat vaststellen. Lijnmanagers weten als geen ander in hoeverre risico’s acceptabel zijn voor het proces waar zij verantwoordelijk voor zijn. Maar in de dagelijkse praktijk blijkt het voor hen best lastig om deze informatiebeveiligingsaspecten als uitgangspunt te nemen, aangezien zij de verantwoordelijkheid hebben (of voelen) voor een veelheid aan (soms conflicterende) belangen.

Een voorbeeld: Wanneer een lijnmanager elke dag klagende collega’s aan zijn bureau heeft staan die slecht kunnen werken met de extra beveiligingsstappen die zij moeten nemen in de werkprocessen, moet een lijnmanager stevig in zijn schoenen staan om niet te zwichten voor hun argumentatie. Als organisatie is het daarom van groot belang vooraf rekening te houden met werkbare maatregelen en vooraf een bepaald gewenst niveau van informatiebeveiliging vast te stellen.

De lijnmanager staat hierin uiteraard niet alleen, maar wordt hierin geadviseerd en bij gestaan door Chief Information Security Officer (CISO). Samen bepalen zij het juiste niveau van informatiebeveiliging waarop de IT-dienstverlener hier de passende beveiligingsmaatregelen op kan nemen.

Vereisten voor een nieuwe IT-dienstverlener

Het is belangrijk dat een lijnmanager, voordat er een nieuwe IT-dienstverlener wordt aangetrokken, al op de hoogte is van de basisvereisten vanuit de gemeente. Afdeling Inkoop heeft hierin een rol om de CISO proactief te betrekken. Het is namelijk net iets te makkelijk om te zeggen: ‘de leverancier moet werken volgens de BIO.’ Want wat zegt dat nu eigenlijk en over welke onderdelen van de BIO heb je het dan specifiek? Vaak ligt een deel nog bij de eigen organisatie en een deel bij de leverancier. Dit moet duidelijk zijn voor beide partijen. Uit ervaring kan ik zeggen dat het mij, in de tijd dat ik nog voor een IT-dienstverlener werkzaam was, behoorlijk frustreerde wanneer ik een aanbesteding las waarin alleen werd aangegeven dat je ‘ISO-27001 gecertificeerd‘ moest zijn. Want hoe moet je dat in het licht van de specifieke uitvraag interpreteren?

Leveranciersovereenkomsten en informatiebeveiliging

Zodra het niveau van informatiebeveiliging ten behoeve van de dienstverlening is bepaald, is het tijd om dit ook met de leverancier af te stemmen en vast te leggen in het contract. Niet alleen de afdeling Inkoop moet zich bezighouden met contractmanagement, ook als CISO heb je hierin een belangrijke rol wanneer het specifiek om de afspraken rondom informatiebeveiliging gaat. Wanneer contracten met leveranciers worden opgesteld wordt vaak ook de Functionaris Gegevensbescherming (FG) betrokken voor het toetsen van de verwerkersovereenkomst (wanneer geen gebruik gemaakt wordt van de standaard overeenkomst vanuit de gemeente).

In praktijk komt het regelmatig voor dat een leverancier gecontracteerd wordt, zonder dat je als CISO het contract daadwerkelijk gecontroleerd hebt op informatiebeveiligingsaspecten. Als CISO word je dan achteraf geconfronteerd met de contractuele afspraken die er zijn gemaakt. Het kan dan voorkomen dat het contract niet voldoet aan het gewenste niveau van informatiebeveiliging binnen de gemeente, of dat er te globaal is genoemd dat de leverancier aan de BIO of ISO-27001 moet voldoen. En dat is juist precies wat je wilt voorkomen.

Handhaven

Om ervoor te zorgen dat er in de praktijk wordt voldaan aan de opgestelde en overeengekomen beveiligingseisen, is het als CISO belangrijk om na te denken over de wijze waarop de leverancier gecontroleerd moet worden. In hoofdstuk 15.2.1.1 van de BIO staat beschreven dat er jaarlijks gekeken moet worden naar de prestaties van de leveranciers op het gebied van informatiebeveiliging, waarbij de beoordelingscriteria vooraf moeten zijn vastgesteld door middel van prestatie-indicatoren. Deze prestatie-indicatoren (KPI’s) vormen een wezenlijk onderdeel van het contract en zijn transparant voor de leverancier.

Zinvolle KPI’s vaststellen op het gebied van informatiebeveiliging is behoorlijk lastig. In het verleden hebben hele werkgroepen zich hiermee beziggehouden (bron: PvIB). De handreiking Contractmanagement 2.0 van de IBD zegt het zo: “In de inkoopcontracten worden expliciet prestatie-indicatoren en de bijbehorende verantwoordingsrapportages opgenomen”. Maar ook hier wordt geen concrete handreiking gedaan voor de prestatie-indicatoren die je kunt gebruiken. Het is te afhankelijk van de context of situatie. Wel geeft het document belangrijke en zinvolle aandachtspunten voor de juiste beveiligingseisen in contracten.  

Waar moet je dan op letten met het definiëren van KPI’s?

  1. KPI’s moeten passen bij de risico’s en doelstellingen die gelde voor het proces waar een IT-dienstverlener voor wordt ingezet.
  2. Probeer niet alles in KPI’s te vatten en voorkom dat je een legio aan KPI’s krijgt op informatiebeveiligingsgebied. Je kunt beter een klein aantal KPI’s definiëren die ertoe doen, dan te veel KPI’s. Hoe beter de KPI’s, hoe beter het resultaat.
  3. Vertaal de belangrijkste afspraken (beveiligingsmaatregelen) met de IT-dienstverlener naar meetbare KPI’s. Bijvoorbeeld dat patches binnen een vastgestelde tijd worden uitgerold. In een KPI-overzicht kan een leverancier rapporteren over wanneer welke patches zijn geïnstalleerd en of dit binnen de afgesproken tijd gebeurd is.
  4. Betrek de IT-dienstverlener ook bij het opstellen van KPI’s. Stel de gedeelde belangen vast en bepaal of de gewenste KPI ook daadwerkelijk goed meetbaar is.
  5. Maak afspraken over de wijze en frequentie waarop over de KPI’s wordt gerapporteerd, om te voorkomen dat er maandelijks rapporten worden aangeleverd door de IT-dienstverlener die vervolgens in de la verdwijnen omdat ze niet leesbaar zijn.

Aan de slag!

Het blijkt maar weer hoe belangrijk het is om je vooraf als CISO goed te verdiepen in contracten met leveranciers wil je aan de eisen van de BIO voldoen. De vraag is natuurlijk hoe je dit binnen je eigen gemeente slim kunt organiseren.

Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig? Neem dan contact met ons op.

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…

Het beheren van verwerkersovereenkomsten

Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerk…