Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van Software as a Service (afgekort als SaaS). Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. Met name bij SaaS-leveranciers die standaardoplossingen bieden blijkt dit in de praktijk een uitdaging. Want hoe zorg je ervoor dat ook die oplossingen aan de eisen van de gemeente voldoen? Je leest het in deze blog.

Wat is een SaaS-oplossing?

SaaS, wat staat voor Software as a Service, is een manier om software te leveren. Hierbij wordt software als een dienst aangeboden en kunnen gebruikers er via het internet gebruik van maken. In plaats van de software zelf te installeren en te beheren op eigen servers, kunnen gebruikers de applicatie openen via een webbrowser en deze gebruiken door een abonnement af te sluiten. De serviceprovider is verantwoordelijk voor het onderhoud, de beveiliging en de updates van de software. Hierdoor kunnen gebruikers (en systeembeheerders) zich volledig richten op het gebruik ervan, zonder zich zorgen te hoeven maken over technische zaken. Een bekend voorbeeld van een SaaS-leverancier is Centric. Zij bieden onder andere in SaaS opgezette applicaties als Sociale Regie en eDiensten en willen eind 2023 al hun producten beschikbaar hebben als SaaS.

Informatiebeveiliging en privacy

Bij het gebruik van SaaS-oplossingen door de gemeente wordt de verantwoordelijkheid niet overgedragen. De gemeente is en blijft verantwoordelijk voor de juiste beveiliging van haar gegevens en het waarborgen van de privacy en daarmee ook hoe een SaaS-leverancier omgaat met informatiebeveiliging. Het is daarom belangrijk om in een vroeg stadium aan potentiële SaaS-leveranciers duidelijk te maken welke beveiligingseisen de gemeente heeft, om achteraf geen discussie hierover te hebben.

Voor de gemeente gelden de regels van de Baseline Informatiebeveiliging Overheid (BIO). Hierin staat o.a. dat er concrete afspraken over informatiebeveiliging moet worden vastgelegd in het contract met een (SaaS-)leverancier en dat hier ook over gerapporteerd moet worden. Bij het kiezen van een applicatie moet dus duidelijk zijn welke beveiligingsmaatregelen de gemeente verwacht van de leverancier. Omdat SaaS-oplossingen vaak standaard zijn ingericht voor meerdere klanten, lijkt het soms niet zinvol om specifiek te controleren of de beveiliging wel aan de eisen van de gemeente voldoet omdat je toch geen mogelijkheid hebt om dit aan te passen. Maar dat is niet waar.

Beveiligingseisen

Als je klant bent bij een SaaS-oplossing heb je inderdaad niet zoveel zeggenschap over de beveiliging. Maar je kunt altijd met de leverancier in gesprek gaan en kijken waar mogelijke risico’s liggen. Belangrijk is om duidelijk aan te geven wat de beveiligingseisen van de gemeente zijn. Zo kun je ervoor zorgen dat ze die opnemen in het contract of de Service Level Agreement (SLA).

Wat je eisen zijn kan verschillen, afhankelijk van het soort applicatie en hoe gevoelig de gegevens zijn die erin worden verwerkt. Als er bijvoorbeeld persoonsgegevens worden verwerkt, moet je niet alleen denken aan de belangen van de gemeente, maar ook aan de belangen van de betrokkenen zelf (medewerkers en burgers). Ik geef je hieronder graag enkele veelvoorkomende eisen die je als klant, in dit geval de gemeente, kunt overwegen en aan de SaaS-leverancier kunt communiceren of in het programma van eisen kunt opnemen, als je het via een aanbesteding doet.

Het beschermen van je gegevens:

• Versleuteling: Zorg ervoor dat de SaaS-leverancier gegevens versleutelt (encryptie) tijdens overdracht (transitie, wanneer de data over het internet of netwerk gaat) en opslag.
• Gegevensintegriteit: Gegevensintegriteit betekent dat de gegevens juist en onveranderd blijven, zonder fouten of beschadigingen, zodat je erop kunt vertrouwen dat de informatie die je ziet of gebruikt, klopt en betrouwbaar is. Stel eisen aan mechanismen/maatregelen om de integriteit van gegevens te waarborgen, zoals hashcontroles of digitale handtekeningen.
• Gegevensbewaartermijnen: Specificeer hoe lang data wordt bewaard en zorg ervoor dat dit voldoet aan de eisen en relevante wet- en regelgeving zoals de AVG.

Toegang tot je gegevens:

• Sterke authenticatie: vraag om het gebruik van sterke authenticatiemethoden, zoals tweefactorauthenticatie (2FA), voor toegang tot de applicatie en gegevens.
• Autorisatie: Geef duidelijk aan welke niveaus van toegangsbeheer je wilt hebben, zoals het beperken van functies en gegevens op basis van de rollen en rechten van gebruikers.
• Auditlogs: Vraag of het mogelijk is om toegangslogs en gebruikersactiviteiten te kunnen bekijken en opslaan, zodat je kunt voldoen aan nalevingsvereisten (de BIO geeft aan dat je de logging moet kunnen controleren, gebaseerd op het risico).

Het beveiligen van je infrastructuur:

• Netwerkbeveiliging: Stel eisen aan de beveiliging van netwerkverbindingen, zoals het gebruik van firewalls indringingsdetectie-/preventiesystemen en veilige communicatieprotocollen.
• Fysieke beveiliging: Vraag naar maatregelen die genomen zijn om de fysieke infrastructuur van de SaaS-leverancier te beschermen, zoals bijvoorbeeld beveiligde datacenters en toegangscontrolesystemen.
• Patchbeheer: Zorg ervoor dat de SaaS-leverancier regelmatig beveiligingsupdates en patches installeert op hun systemen en software. Dit heeft waarschijnlijk ook impact op het onderhoudswindow die je met elkaar afspreekt.

Borgen van privacy aspecten van je gegevens: (vaak vastgelegd in een verwerkersovereenkomst)

• Gegevensdeling en verwerking: Geef duidelijk aan welke beperkingen en vereisten er zijn voor het delen of verwerken van gegevens door de SaaS-leverancier, inclusief een verbod op ongeoorloofde gegevensverwerking (Artikel 4, lid 2 van de AVG. Hierin wordt “verwerking” gedefinieerd als elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals verzamelen, vastleggen, organiseren, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, aligneren of combineren, beperken, wissen of vernietigen van gegevens) en het delen van gegevens met derden zonder toestemming.
• Datalekken: Informeer naar het beleid van de SaaS-leverancier met betrekking tot het ontdekken, melden en oplossen van datalekken, en hoe ze communiceren met klanten in het geval van incidenten.

Balans tussen standaardisatie en maatwerk

Bij het vinden van een balans tussen standaardisatie en maatwerk is het belangrijk om de belangrijkste beveiligingseisen te identificeren en over mogelijke compromissen te onderhandelen. Hierbij moeten oplossingen worden gezocht die zowel aan de eisen van de gemeente als aan de mogelijkheden van de SaaS-leverancier voldoen. De SaaS-leverancier kan met de eventuele aanvullende eisen van de gemeente de volgende stappen nemen:

1. Evaluatie en aanpassing: De SaaS-leverancier kijkt zorgvuldig naar de beveiligingseisen die ze ontvangen en passen hun bestaande beveiliging aan als dat nodig is, zodat het aan de wensen van de gemeente voldoet.

• Transparantie: De SaaS-leverancier is open en eerlijk over hun bestaande beveiligingsmaatregelen en beleid. Ze laten de gemeente weten hoe ze omgaan met gegevensbescherming en beveiliging, zodat er vertrouwen wordt opgebouwd.

• Compliance: Als er specifieke eisen zijn vanwege wetten en regels, doet de SaaS-leverancier zijn best om daaraan te voldoen. Ze zorgen ervoor dat ze aan de relevante compliance-normen voldoen om te kunnen blijven werken met de overheid.
• Maatwerkoplossingen: Als sommige beveiligingseisen niet standaard worden aangeboden, kan de SaaS-leverancier overwegen om oplossingen op maat te maken voor de gemeente. Zo wordt aan alle specifieke behoeften voldaan.

• Ondersteuning en samenwerking: De SaaS-leverancier is er om de gemeente te ondersteunen en samen te werken. Als er eventuele vragen of zorgen zijn over de beveiliging worden deze besproken. Ze bieden advies en expertise om de gemeente te helpen bij het begrijpen en toepassen van de juiste beveiligingsmaatregelen.

Let op! Wanneer er onderdelen zijn waar een SaaS-leverancier (mogelijk) niet aan kan voldoen, moet er een risicoanalyse worden uitgevoerd op deze onderdelen om de impact en risico voor de gemeente te kunnen bepalen. Wanneer nodig kunnen door de gemeente bijvoorbeeld aanvullende (organisatorische) maatregelen worden genomen om eventuele technische tekortkomingen van de SaaS-leverancier te compenseren.

Tot slot, is het altijd belangrijk dat de SaaS-leverancier duidelijkheid biedt over de genomen beveiligingsmaatregelen en -praktijken. Dit kan worden gedaan door het verstrekken van TPM-verklaringen of een rapport waarin de naleving van de beveiligingseisen in het contract wordt beschreven.

Meer informatie of hulp nodig?

Om te zorgen dat een ICT-product of -dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT, ook wel bekend als GIBIT. Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van de inkoop van ICT-diensten en –producten. Meer hierover weten? Lees dan onze eerder blog ‘Wat zegt de GIBIT over informatiebeveiliging?’

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Laat ons dit dan weten en neem contact met ons op.