Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van Software as a Service (afgekort als SaaS). Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. Met name bij SaaS-leveranciers die standaardoplossingen bieden blijkt dit in de praktijk een uitdaging. Want hoe zorg je ervoor dat ook die oplossingen aan de eisen van de gemeente voldoen? Je leest het in deze blog.
SaaS, wat staat voor Software as a Service, is een manier om software te leveren. Hierbij wordt software als een dienst aangeboden en kunnen gebruikers er via het internet gebruik van maken. In plaats van de software zelf te installeren en te beheren op eigen servers, kunnen gebruikers de applicatie openen via een webbrowser en deze gebruiken door een abonnement af te sluiten. De serviceprovider is verantwoordelijk voor het onderhoud, de beveiliging en de updates van de software. Hierdoor kunnen gebruikers (en systeembeheerders) zich volledig richten op het gebruik ervan, zonder zich zorgen te hoeven maken over technische zaken. Een bekend voorbeeld van een SaaS-leverancier is Centric. Zij bieden onder andere in SaaS opgezette applicaties als Sociale Regie en eDiensten en willen eind 2023 al hun producten beschikbaar hebben als SaaS.
Bij het gebruik van SaaS-oplossingen door de gemeente wordt de verantwoordelijkheid niet overgedragen. De gemeente is en blijft verantwoordelijk voor de juiste beveiliging van haar gegevens en het waarborgen van de privacy en daarmee ook hoe een SaaS-leverancier omgaat met informatiebeveiliging. Het is daarom belangrijk om in een vroeg stadium aan potentiële SaaS-leveranciers duidelijk te maken welke beveiligingseisen de gemeente heeft, om achteraf geen discussie hierover te hebben.
Voor de gemeente gelden de regels van de Baseline Informatiebeveiliging Overheid (BIO). Hierin staat o.a. dat er concrete afspraken over informatiebeveiliging moet worden vastgelegd in het contract met een (SaaS-)leverancier en dat hier ook over gerapporteerd moet worden. Bij het kiezen van een applicatie moet dus duidelijk zijn welke beveiligingsmaatregelen de gemeente verwacht van de leverancier. Omdat SaaS-oplossingen vaak standaard zijn ingericht voor meerdere klanten, lijkt het soms niet zinvol om specifiek te controleren of de beveiliging wel aan de eisen van de gemeente voldoet omdat je toch geen mogelijkheid hebt om dit aan te passen. Maar dat is niet waar.
Als je klant bent bij een SaaS-oplossing heb je inderdaad niet zoveel zeggenschap over de beveiliging. Maar je kunt altijd met de leverancier in gesprek gaan en kijken waar mogelijke risico’s liggen. Belangrijk is om duidelijk aan te geven wat de beveiligingseisen van de gemeente zijn. Zo kun je ervoor zorgen dat ze die opnemen in het contract of de Service Level Agreement (SLA).
Wat je eisen zijn kan verschillen, afhankelijk van het soort applicatie en hoe gevoelig de gegevens zijn die erin worden verwerkt. Als er bijvoorbeeld persoonsgegevens worden verwerkt, moet je niet alleen denken aan de belangen van de gemeente, maar ook aan de belangen van de betrokkenen zelf (medewerkers en burgers). Ik geef je hieronder graag enkele veelvoorkomende eisen die je als klant, in dit geval de gemeente, kunt overwegen en aan de SaaS-leverancier kunt communiceren of in het programma van eisen kunt opnemen, als je het via een aanbesteding doet.
Het beschermen van je gegevens:
Toegang tot je gegevens:
Het beveiligen van je infrastructuur:
Borgen van privacy aspecten van je gegevens: (vaak vastgelegd in een verwerkersovereenkomst)
Bij het vinden van een balans tussen standaardisatie en maatwerk is het belangrijk om de belangrijkste beveiligingseisen te identificeren en over mogelijke compromissen te onderhandelen. Hierbij moeten oplossingen worden gezocht die zowel aan de eisen van de gemeente als aan de mogelijkheden van de SaaS-leverancier voldoen. De SaaS-leverancier kan met de eventuele aanvullende eisen van de gemeente de volgende stappen nemen:
Let op! Wanneer er onderdelen zijn waar een SaaS-leverancier (mogelijk) niet aan kan voldoen, moet er een risicoanalyse worden uitgevoerd op deze onderdelen om de impact en risico voor de gemeente te kunnen bepalen. Wanneer nodig kunnen door de gemeente bijvoorbeeld aanvullende (organisatorische) maatregelen worden genomen om eventuele technische tekortkomingen van de SaaS-leverancier te compenseren.
Tot slot, is het altijd belangrijk dat de SaaS-leverancier duidelijkheid biedt over de genomen beveiligingsmaatregelen en -praktijken. Dit kan worden gedaan door het verstrekken van TPM-verklaringen of een rapport waarin de naleving van de beveiligingseisen in het contract wordt beschreven.
Om te zorgen dat een ICT-product of -dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT, ook wel bekend als GIBIT. Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van de inkoop van ICT-diensten en –producten. Meer hierover weten? Lees dan onze eerder blog ‘Wat zegt de GIBIT over informatiebeveiliging?’
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Laat ons dit dan weten en neem contact met ons op.
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap