ICT inkopen in het bedrijfsleven

Als inkoper in het bedrijfsleven bij ICT-inkopen is het belangrijk om verder te kijken dan alleen prijs en functionaliteit. Hieronder vind je belangrijke aandachtspunten + relevante Nederlandse klikbare links waarmee je je inkoopproces beter kunt inrichten.

Waar moet je op letten

1. Beveiliging & weerbaarheid
   • Zorg dat je leveranciers voldoen aan actuele security-eisen: patchmanagement, toegangcontrole, incidentrapportage.
   • Denk na over ketenrisico: welke subcontractors of cloud-leveranciers gebruikt jouw leverancier? Zijn zij goed beveiligd?
   • Verwerk in je contracten bepalingen omtrent beveiligingstesten, audits, continuïteit en exit-scenario’s.
2. Licenties, data & IP
   • Let op wie eigenaar blijft van data, wat er gebeurt bij beëindiging van het contract, waar de data gehost wordt (landen, jurisdictie).
   • Zorg dat licentiemodellen duidelijk zijn: wie betaalt wat, wat is inbegrepen, wat zijn verborgen kosten?
   • Let op intellectueel eigendom: maak helder wie rechten heeft op maatwerksoftware of configuraties.
3. Contractvoorwaarden en SLA’s
   • Maak gebruik van goede standaardcontracten of inkoopsvoorwaarden die ICT-specifieke risico’s afdekken (zoals downtime, datalekken, schaalbaarheid).
   • Neem heldere Service Level Agreement (SLA) op – beschikbaarheid, support, onderhoud, updates.
   • Plan exit-scenario’s: wat gebeurt er als de leverancier failliet gaat, of niet meer voldoet? Migratie van data, overgang naar andere partij.
4. Leveranciersselectie & governance
   • Doe due diligence: reputatie van leverancier, financiële gezondheid, referenties, eerdere incidenten.
   • Betrek intern stakeholders (IT-security, juridische afdeling, data-owner) vroeg in het proces.
   • Zorg voor governance: wie binnen jouw organisatie beslist, wie monitort naleving, wie rapporteert afwijkingen.
5. Open standaarden, vendor-lock-in & duurzaamheid
   • Waar mogelijk werk met open standaarden zodat je niet vastzit aan één leverancier.
   • Controleer hoe gemakkelijk het is om over te stappen, of data/migratie ondersteund wordt.
   • Neem duurzaamheid mee: energieverbruik van ICT, levensduur hardware, circulaire ICT. Zie Nederlandse voorbeelden.
     Bijvoorbeeld: de handreiking over circulaire ICT-inkoop. Computable
6. Wet- en regelgeving & compliance
   • Houd rekening met relevante regels zoals beveiligingsnormen, privacywetgeving (AVG), sector-specifieke regelgeving.
   • Wanneer je met (semi-)overheden werkt of vitale ketens binnenkomt, kunnen regels zoals Network and Information Security Directive (NIS2) of de Cyber Resilience Act (CRA) relevant zijn — ook voor het bedrijfsleven geldt dat leveranciers moeten voldoen aan hogere eisen.
   • Controleer of leveranciers voldoen aan certificeringen (ISO 27001, SOC2, etc).
7. Risicoanalyse & monitoring gedurende de levensduur
   • Voorafgaand aan de inkoop: maak een risicoanalyse van het ICT-project of product — welke risico’s zijn er, welke mitigatie-maatregelen?
   • Tijdens de contractperiode: monitor of afgesproken beveiligings- en performance-eisen worden nageleefd.
   • Wees voorbereid op incidenten: hoe snel reageert de leverancier, wat is je escalatie-pad, wat zijn boeteclausules?