Waar moet je als provincie-inkoper op letten bij ICT-inkopen
Published
Informatiebeveiliging & Cybersecurity
Hanteer de BIO (Baseline Informatiebeveiliging Overheid) als normenkader bij ICT-inkopen. Provincies vallen onder de BIO. open-overheid.nl+2inkooppub.nl+2
Gebruik de Inkoopeisen Cybersecurity Overheid (ICO)-Wizard om specifieke beveiligingseisen op te nemen in je aanbestedingsdocumenten (PvE). PIANOo – Expertisecentrum Aanbesteden
Raadpleeg de Handreiking ICO v2.3 van het CIP om thema’s als clouddiensten, toegangsbeveiliging en ketenpartners correct te vertalen in inkoopvoorwaarden. Bio-Overheid
Let op de nieuwe BIO2: deze is geüpdatet en verzwart sommige beveiligingsmaatregelen, aansluitend op NIS2 / Cyberbeveiligingswet. aboutict
Risicomanalyse & leveranciersmanagement
Maak een grondige risicoanalyse van ICT-aanbestedingen, ook gericht op continuïteit, leveranciersafhankelijkheid en ketenrisico. De VNG biedt een model voor risicoanalyse in ICT-inkoop. VNG
Zorg voor contractclausules die veranderingen in de toeleveringsketen afdwingbaar maken (bijv. melding van nieuwe sub-leveranciers of kwetsbaarheden).
Open standaarden & vendor lock-in
Bij aanbestedingen is het verstandig om open standaarden te eisen om afhankelijkheid van één leverancier te beperken. Forum Standaardisatie beschrijft dit als “makkelijk de juiste standaarden in je ICT-aanbesteding” (bijv. voor provincies). Forum Standaardisatie
Overweeg herbruikbare addenda bij ICT-contracten: sommige provincies hebben bijv. addenda op basis van ARBIT-voorwaarden opgesteld die open standaarden combineren met beveiligingseisen. Forum Standaardisatie
Aanbestedingsvoorwaarden & contractvoorwaarden
Gebruik uniforme IT-inkoopvoorwaarden om juridische en technische risico’s te beperken. Voor gemeenten bestaat de GIBIT (Gemeentelijke Inkoopvoorwaarden bij IT), maar provincies kunnen vergelijkbare uniforme voorwaarden hanteren of aanpassen. PIANOo – Expertisecentrum Aanbesteden
Let op prijsstijgingen en tariefaanpassingen van ICT-leveranciers. De VNG heeft advies over hoe om te gaan met jaarlijkse tariefsverhogingen. Dutch IT Channel
Zorg dat contracten exit-scenario’s bevatten: als een ICT-leverancier wegvalt, wat gebeurt er met data, continuïteit en migratie naar alternatieven?
Governance & interne afstemming
Betrek security-afdelingen, CISO’s of informatiemanagers vroeg in het aanbestedingsproces: zij kunnen helpen bij het beoordelen van beveiligingsrisico’s, ketenrisico’s en waarborging gedurende de looptijd van de overeenkomst.
Stel een communicatie- en besluitvormingsstructuur op binnen je provincie, zodat ICT-inkoopbeslissingen integraal worden getoetst op beveiliging, risicomanagement en strategisch belang.
Samenwerking & schaalvoordelen
Overweeg samenwerking met andere provincies of decentrale overheden (gemeenten, waterschappen) bij ICT-aanbestedingen om schaalvoordelen te behalen én gezamenlijke risico’s (zoals cyber-risico’s) beter te managen.
Deel kennis met andere provincies over ervaringen met leveranciers, beveiligingsincidenten en contractvoorwaarden.
Verantwoording en compliance
Zorg dat je aanbestedingsdocumenten en contracten voldoen aan relevante wetgeving en voorschriften: Denk aan aanbestedingswetgeving, maar ook aan beveiligingsnormen zoals de BIO.
Leg verantwoording af over beveiligingsmaatregelen: welke eisen zijn gesteld, welke verificatiemethoden zijn gebruikt, hoe wordt naleving gecontroleerd en gerapporteerd.
BIO2 lezen: bekijk de herziening van de BIO en de impact op inkoop en beveiliging. aboutict
Open standaarden checklist: Forum Standaardisatie biedt richtlijnen over welke standaarden opgenomen kunnen worden in aanbestedingen. Forum Standaardisatie
Provincie-intern beleid: check het inkoopbeleid van je eigen provincie (zoals dat van provincie Utrecht) om te zien welke beveiligingseisen wettelijk al zijn vastgelegd in aanbestedingskaders. Stateninformatie Utrecht