Waar moet je als provincie-inkoper op letten bij ICT-inkopen

1. Informatiebeveiliging & Cybersecurity
   • Hanteer de BIO (Baseline Informatiebeveiliging Overheid) als normenkader bij ICT-inkopen. Provincies vallen onder de BIO. open-overheid.nl+2inkooppub.nl+2
   • Gebruik de Inkoopeisen Cybersecurity Overheid (ICO)-Wizard om specifieke beveiligingseisen op te nemen in je aanbestedingsdocumenten (PvE). PIANOo – Expertisecentrum Aanbesteden
   • Raadpleeg de Handreiking ICO v2.3 van het CIP om thema’s als clouddiensten, toegangsbeveiliging en ketenpartners correct te vertalen in inkoopvoorwaarden. Bio-Overheid
   • Let op de nieuwe BIO2: deze is geüpdatet en verzwart sommige beveiligingsmaatregelen, aansluitend op NIS2 / Cyberbeveiligingswet. aboutict
2. Risicomanalyse & leveranciersmanagement
   • Maak een grondige risicoanalyse van ICT-aanbestedingen, ook gericht op continuïteit, leveranciersafhankelijkheid en ketenrisico. De VNG biedt een model voor risicoanalyse in ICT-inkoop. VNG
   • Zorg voor contractclausules die veranderingen in de toeleveringsketen afdwingbaar maken (bijv. melding van nieuwe sub-leveranciers of kwetsbaarheden).
3. Open standaarden & vendor lock-in
   • Bij aanbestedingen is het verstandig om open standaarden te eisen om afhankelijkheid van één leverancier te beperken. Forum Standaardisatie beschrijft dit als “makkelijk de juiste standaarden in je ICT-aanbesteding” (bijv. voor provincies). Forum Standaardisatie
   • Overweeg herbruikbare addenda bij ICT-contracten: sommige provincies hebben bijv. addenda op basis van ARBIT-voorwaarden opgesteld die open standaarden combineren met beveiligingseisen. Forum Standaardisatie
4. Aanbestedingsvoorwaarden & contractvoorwaarden
   • Gebruik uniforme IT-inkoopvoorwaarden om juridische en technische risico’s te beperken. Voor gemeenten bestaat de GIBIT (Gemeentelijke Inkoopvoorwaarden bij IT), maar provincies kunnen vergelijkbare uniforme voorwaarden hanteren of aanpassen. PIANOo – Expertisecentrum Aanbesteden
   • Let op prijsstijgingen en tariefaanpassingen van ICT-leveranciers. De VNG heeft advies over hoe om te gaan met jaarlijkse tariefsverhogingen. Dutch IT Channel
   • Zorg dat contracten exit-scenario’s bevatten: als een ICT-leverancier wegvalt, wat gebeurt er met data, continuïteit en migratie naar alternatieven?
5. Governance & interne afstemming
   • Betrek security-afdelingen, CISO’s of informatiemanagers vroeg in het aanbestedingsproces: zij kunnen helpen bij het beoordelen van beveiligingsrisico’s, ketenrisico’s en waarborging gedurende de looptijd van de overeenkomst.
   • Stel een communicatie- en besluitvormingsstructuur op binnen je provincie, zodat ICT-inkoopbeslissingen integraal worden getoetst op beveiliging, risicomanagement en strategisch belang.
6. Samenwerking & schaalvoordelen
   • Overweeg samenwerking met andere provincies of decentrale overheden (gemeenten, waterschappen) bij ICT-aanbestedingen om schaalvoordelen te behalen én gezamenlijke risico’s (zoals cyber-risico’s) beter te managen.
   • Deel kennis met andere provincies over ervaringen met leveranciers, beveiligingsincidenten en contractvoorwaarden.
7. Verantwoording en compliance
   • Zorg dat je aanbestedingsdocumenten en contracten voldoen aan relevante wetgeving en voorschriften: Denk aan aanbestedingswetgeving, maar ook aan beveiligingsnormen zoals de BIO.
   • Leg verantwoording af over beveiligingsmaatregelen: welke eisen zijn gesteld, welke verificatiemethoden zijn gebruikt, hoe wordt naleving gecontroleerd en gerapporteerd.

Praktische tips & bronnen

• ICO-Wizard: gebruik dit hulpmiddel om beveiligingseisen uit BIO op maat te maken in je inkoopdocumenten. PIANOo – Expertisecentrum Aanbesteden+1
• BIO2 lezen: bekijk de herziening van de BIO en de impact op inkoop en beveiliging. aboutict
• Open standaarden checklist: Forum Standaardisatie biedt richtlijnen over welke standaarden opgenomen kunnen worden in aanbestedingen. Forum Standaardisatie
• Provincie-intern beleid: check het inkoopbeleid van je eigen provincie (zoals dat van provincie Utrecht) om te zien welke beveiligingseisen wettelijk al zijn vastgelegd in aanbestedingskaders. Stateninformatie Utrecht