Handreiking

Inkoopvoorwaarden en informatiebeveiligingseisen

Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)

ColofonNaam document Handreiking Inkoopvoorwaarden en informatiebeveiligingseisen

Versienummer 2.01

Versiedatum Februari 2020

Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD)

Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. De IBD wordt als bron vermeld;2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker

berusten, blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten;

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling.

Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.

Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.

Rechten en vrijwaringDe IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.

3

Met dank aanDe expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

Wijzigingshistorie

Versie Datum Wijziging / Actie1.0 Januari 2014 Eerste versie1.0.1 Augustus 2016 Taskforce BID verwijderd, WBP vervangen door Wbp, GBA

vervangen door BRP en contactgegevens IBD aangepast2.0 Maart 2019 BIO update2.01 Februari 2020 Kleine tekstuele aanpassingen

Over de IBD

De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD.

De IBD is ondergebracht bij VNG Realisatie.

LeeswijzerDit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Overheid (BIO).

DoelDit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden.

DoelgroepDit document is van belang voor de inkopers van de gemeente.

Relatie met overige producten Baseline Informatiebeveiliging Overheid (BIO) Informatiebeveiligingsbeleid van de gemeente Handreiking Standaard Verwerkersovereenkomst Gemeenten Handreiking Service Level Agreements (SLA) Contractmanagement

Verwijzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO)14.1.1 Analyse en specificatie van informatiebeveiligingseisen.14.1.1.1 Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de BIO.14.2.1.1 De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.14.2.5 Principes voor engineering van beveiligde systemen.15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties.15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten15.1.3 Toeleveringsketen van informatie- en communicatietechnologie.15.1.3.1 Leveranciers moeten hun keten van toeleveranciers bekend maken en transparant zijn over de maatregelen die zij genomen hebben om aan de hun opgelegde eisen door te vertalen naar hun toeleveranciers.

Wat is er veranderd ten opzichte van de BIG? Er is weinig veranderd ten opzichte van de BIG, in de maatregelen en controls is er een kleine nuance.

5

Inhoudsopgave1. Inleiding..................................................................................................................................... 61.1. Het belang van beveiligingseisen in inkoopvoorwaarden...............................................................6

2. Beveiligingseisen in inkoopvoorwaarden......................................................................72.1. Hiërarchie in voorwaarden.............................................................................................................72.2. Beveiligingseisen in gemeentelijke Algemene Inkoopvoorwaarden...............................................9

1. InleidingInkopen is een belangrijk proces binnen gemeenten waar vaak miljoenen mee gepaard gaan. Gemeenten zijn namelijk in grote mate afhankelijk van leveranciers. Via contractmanagement moeten de belangen van gemeenten geborgd zijn.1 Hierbij is het belangrijk dat goede afspraken, waaronder over informatiebeveiliging, met de leverancier zijn gemaakt en worden vastgelegd voordat het contract wordt afgesloten. Gemeenten beschikken vaak over eigen inkoopvoorwaarden die veelal nog niet voorzien zijn van informatiebeveiligingseisen.

Wanneer gemeenten IT-gerelateerde inkopen doen, wordt aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT).2 Het is daarom goed om de GIBIT op te nemen in het inkoopbeleid van de gemeenten. Voorliggend document werkt de informatiebeveiligingseisen uit die de inkoopvoorwaarden van een gemeente versterken.

1.1. Het belang van beveiligingseisen in inkoopvoorwaardenBij het verwerven van producten of diensten is het van belang om in een vroegtijdig stadium aan mogelijke leveranciers kenbaar te maken welke beveiligingsniveau de gemeente hanteert en welke beveiligingseisen de gemeente heeft en wat zij hierbij verwacht van de leverancier. Dit zodat hier niet achteraf discussie over kan ontstaan. Het vroegtijdig aangeven van beveiligingseisen zorgt ervoor dat leveranciers hier ook tijdig op in kunnen spelen. De verantwoordelijkheid voor informatiebeveiliging kan niet bij een leverancier worden belegd, neem bijvoorbeeld het outsourcen van ICT-services, Cloud Computing of het verwerken van persoonsgegevens. De gemeente is en blijft eindverantwoordelijk voor de informatiebeveiliging.

1 Zie hiervoor het operationele product ‘Contractmanagement’

2 Meer informatie over de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT): https://www.vngrealisatie.nl/GIBIT

7

2. Beveiligingseisen in inkoopvoorwaardenGemeenten hanteren vaak eigen Algemene Inkoopvoorwaarden (AIV) voor het afnemen van producten en/of diensten. In deze inkoopvoorwaarden moet ook rekening gehouden worden met de BIO-beveiligingseisen en het gemeentelijk informatiebeveiligingsbeleid dat op de BIO is gebaseerd. In de GIBIT zijn daarentegen standaard artikelen opgenomen die expliciet belangrijke beveiligingseisen waarborgen, zoals (niet-limitatief):

Toe te passen ICT-kwaliteitsnormen, interoperabiliteitseisen en standaarden (artikel 6 GIBIT). Het hebben van een acceptatieprocedure (artikel 7 GIBIT). Aansprakelijkheid (artikel 13 GIBIT). Geheimhouding (artikel 15 GIBIT). Toegang tot data en autorisaties (artikel 18 GIBIT). Controlerecht en medewerking bij audits (artikel 21 GIBIT). Exitplan en -scenario (artikel 22 GIBIT). Verwerkersrelatie, in de zin van de AVG (artikel 24 GIBIT). Verwerking persoonsgegevens (artikel 25 GIBIT). Informatiebeveiliging(sniveau) (artikel 26 GIBIT). Meldplicht informatiebeveiligingsincidenten (artikel 27 GIBIT). Waarborging continuïteit, waaronder data-escrow (artikel 32 GIBIT).

In paragraaf 2.1 is de hierarchie en relatie gevisualiseerd ten aanzien van de producten (en regels) die er zijn rondom informatiebeveiligingseisen ten aanzien van inkoop. In paragraaf 2.2 is ingegaan welke aspecten binnen de inkoopvoorwaarden in ieder geval geborgd moeten zijn. Dit kan deels geborgd zijn door de GIBIT van toepassing te verklaren en/of door inkoopvoorwaarden expliciet te borgen in het (hoofd)contract.

2.1. Hiërarchie in voorwaardenEr is een hiërarchie tussen de BIO, het gemeentelijk informatiebeveiligingsbeleid, de AIV van de gemeente en de GIBIT. Bovendien zijn er ook andere contractvormen die rondom producten en of diensten nodig zijn. Figuur 1 visualiseert de hiërarchie en de contractvormen.

Het is van belang na te denken over de hiërarchie, omdat van boven naar beneden de beveiligingseisen goed verankerd moeten zijn. Het informatiebeveiligingsbeleid is door de gemeente op maat gemaakt beleid, dat aanvullend op geldende wet- en regelgeving nadere voorwaarden kan bevatten. Dat beleid omvat vaak een verdere invulling van wettelijke normenkaders op organisatieniveau. Het totaal aan wet- en regelgeving en het informatiebeveiligingsbeleid, voedt de contractuele bepalingen.

De inkoopcontracten kunnen bestaan uit een aantal documenten, zoals algemene voorwaarden en het contract. De algemene voorwaarden zijn standaardcontracten die een organisatie richting meerdere partijen hanteert. De GIBIT kan hier onderdeel van zijn. Daarin staan dus de algemene afspraken die richting verschillende partijen gehanteerd kunnen worden. Daarnaast worden in een specifiek contract de afspraken tussen twee specifieke partijen geregeld. In dit contract zijn de wensen en eisen nader gespecificeerd, en de concrete beveiligingseisen uitgewerkt. Het is niet voldoende om hier willekeurig de bestaande gemeentelijke beveiligingsbeleidsdocumenten te gebruiken, die zijn vaak niet zondermeer geschikt voor een leverancier.

Tevens kan een Service Level Agreement (SLA) nodig zijn voor het borgen en meetbaar maken van serviceafspraken. Een SLA heeft doorgaans betrekking op dienstverleningsafspraken, nadat dat systeem is opgeleverd.

Indien degene met wie een contract wordt gesloten persoonsgegevens zal gaan verwerken, of persoonsgegevens mogelijkerwijs kan inzien, is aanvullend een verwerkersovereenkomst nodig. Zie Artikel 28 Algemene Verordening Gegevensbescherming (AVG). Als bijvoorbeeld een ICT-dienstverlener een applicatie aanbiedt (bijvoorbeeld door middel van SaaS), en in die applicatie staan persoonsgegevens, dan is de leverancier de verwerker (ook al werkt de leverancier niet rechtstreeks met de gegevens, ze kan er wel bij).3

Figuur 1 Hiërarchie en contractvormen ten aanzien van de beveiligingseisen in inkoopvoorwaarden

3 De SLA en de verwerkersovereenkomst zijn aparte producten van de IBD

9

2.2. Beveiligingseisen in gemeentelijke Algemene InkoopvoorwaardenOp basis van de BIO is het van belang om een risicoanalyse uit te voeren in relatie tot de dienst of het product dat ingekocht wordt. Hiervoor kan de baselinetoets gebruikt worden. Doel is scherp te krijgen welk beveiligingsniveau van toepassing is en welke beheersmaatregelen getroffen moeten worden. Op basis daarvan kan vervolgens bepaald worden welke afspraken expliciet in het contract met de leverancier moeten worden gemaakt. Deze afspraken worden contractueel vastgelegd. Met deze werkwijze kunnen relevante beveiligingsaspecten in een vroegtijdig stadium onderwerp zijn van het inkoopproces.

Onderstaande basis-onderwerpen betreffende informatiebeveiliging dienen minimaal terug te komen in de Algemene Inkoopvoorwaarden van de gemeente (op basis van de uitgevoerde risicoanalyse is het mogelijk om meer onderwerpen expliciet op te nemen in het contract):

Onderwerp: Leidende algemene inkoopvoorwaarden

Opnemen:De GIBIT is van toepassing op de hoofdovereenkomst en is bepalend. De Algemene Inkoopvoorwaarden van de leverancier wijst de gemeente expliciet van de hand. Aanvullingen en afwijkingen op de GIBIT zijn expliciet in het contract vastgelegd.

Doel van deze bepaling:De GIBIT levert een set van uniforme inkoopvoorwaarden die gemeenten kunnen gebruiken bij IT-gerelateerde inkopen. De GIBIT biedt ruimte om eventuele afwijkingen en aanvullingen op te nemen. De GIBIT-overeenkomstengenerator kan de gemeente hierbij helpen.4 Ter waarborging van de vertrouwelijkheid of geheimhouding worden bij IT-inkopen standaard voorwaarden voor inkoop gehanteerd door de gemeente.

Onderwerp: Personeel van de contractant

Opnemen:Het is de leverancier verboden, zonder voorafgaande uitdrukkelijke schriftelijke toestemming van de gemeente, de uitvoering van een contract geheel of gedeeltelijk aan derden over te dragen of uit te besteden, dan wel gebruik te maken van ter beschikking gestelde of ingeleende arbeidskrachten.

Doel van deze bepaling:Het is noodzakelijk inzicht te hebben in wie werkzaamheden verricht voor de gemeente. Het kan voorkomen dat een partij hiervoor derden inschakelt die mogelijkerwijs daarmee niet voldoen aan de andere beveiligingseisen die gesteld zijn. Hiervan moet de gemeente op de hoogte zijn.

Onderwerp: Personeel van de contractant

Opnemen:Alle voorwaarden en eisen die gelden voor personeel van de leverancier zijn ook van toepassing op derden, die in opdracht van de leverancier diensten verrichten voor de gemeente.

Doel van deze bepaling:Als er inzicht is in het inzetten van derden door de leverancier, dienen alle voorwaarden en eisen ook van toepassing te zijn op die derden.

4 Meer informatie: https://www.vngrealisatie.nl/producten/gibit-overeenkomstengenerator

Onderwerp: Geheimhouding

Opnemen:Leverancier zal het bestaan, de aard en de inhoud van de contract, evenals overige bedrijfsinformatie van de gemeente geheimhouden en niets daaromtrent openbaar maken zonder schriftelijke toestemming van de gemeente.De leverancier staat er voor in dat personeel van de leverancier, overige personeelsleden en derden de bepalingen betreffende gedrag, vertrouwelijkheid en bescherming van gegevens naleven.

Doel van deze bepaling:De leverancier zal geen informatie van de gemeente openbaar maken zonder toestemming van de gemeente. Eventueel wordt een geheimhoudingsverklaring door de leverancier getekend. Als dit niet collectief kan, dient iedere ingehuurde medewerker apart een geheimhoudingsovereenkomst te tekenen. Artikel 15 uit de GIBIT gaat over geheimhouding.

Onderwerp: Verklaring Omtrent het Gedrag (VOG)

Opnemen:Medewerkers van de leverancier overleggen voor aanvang van de werkzaamheden bij de gemeente een recente Verklaring Omtrent het Gedrag (VOG). De leverancier stemt voorafgaand aan de aanvraag de noodzaak, inhoud en aard hiervan af met de gemeente.

Doel van deze bepaling:Externe medewerkers moeten, net zo goed als interne medewerkers, een VOG kunnen overleggen bij aanvang van de werkzaamheden voor de gemeente. Overigens hoeft dit niet voor alle medewerkers te gelden. Als iemand helemaal niet in aanraking komt met gevoelige gegevens of systemen is een VOG misschien wat te veel gevraagd.

Onderwerp: Gedragsregels

Opnemen:De leverancier zal voor de prestaties voldoende personen inzetten met voldoende opleiding, vaardigheden en kennis van de bedrijfsvoering en organisatie van de gemeente, om de prestaties te verrichten.Wanneer de hierboven genoemde personen zich bij de gemeente bevinden, of in direct contact met de gemeente staan, zal het personeel van de leverancier de gedragsvoorschriften van de gemeente naleven. Hiermee zal gevolg gegeven worden aan redelijke verzoeken van de gemeente.

Doel van deze bepaling:De leverancier moet blijk geven van het hebben van personeel met voldoende kennis en kunde om de werkzaamheden binnen de gemeente te verrichten. Dit hangt samen met beveiligingseisen, die bijvoorbeeld door scholing en/of voldoende kennis en kunde gebruikersfouten beperken. Daarnaast moet extern personeel zich net zo goed houden aan de gedragsregels van de gemeente als de gemeenteambtenaar.

Onderwerp: Diensten en goederen

Opnemen: Service Level Agreement (SLA)In het geval van af te nemen diensten met afgesproken serviceniveaus wordt tussen de leverancier en de gemeente een SLA afgesloten, volgens het model van de IBD.

Doel van deze bepaling:Als diensten worden afgenomen, dan horen daar serviceniveaus bij en de manier van meten en rapporteren. Deze serviceniveaus gaan ook over beveiligingsaspecten, zoals bijvoorbeeld beschikbaarheid, melden van

11

incidenten, doorvoeren van wijzigingen, serviceniveaus en escalatie. Artikel 8 van de GIBIT heeft betrekking op een SLA.

Onderwerp: Informatieveiligheid

Opnemen:De leverancier accepteert de maatregelen uit de BIO, voor zover van toepassing verklaard door de gemeente, en past deze toe op de geleverde producten en/of diensten. Leveranciers maken aansluitend hun keten van toeleveranciers bekend maken en zijn transparant over de maatregelen die zij genomen hebben om aan de hun opgelegde eisen door te vertalen naar hun toeleveranciers.

Doel van deze bepaling:Als een leverancier producten en/of diensten levert aan de gemeente, dan dient de leverancier uit te gaan van het basisbeveiligingsniveau van de gemeente, dat gebaseerd is op de BIO. Eventueel wordt een link toegevoegd of de BIO is onderdeel van de eisen en wensen. Hoofdstuk 2 uit de GIBIT heeft betrekking op informatiebeveiliging (en ook privacy en archivering) en artikel 26 gaat expliciet over informatiebeveiliging.

Onderwerp: Persoonsgegevens

Opnemen:De leverancier accepteert dat wanneer er persoonsgegevens worden verwerkt in systemen van de leverancier buiten de gemeente (bijvoorbeeld bij SaaS), er een verwerkersovereenkomst wordt afgesloten als onderdeel van het contract. Tevens worden in het contract afspraken vastgelegd betreffende aansprakelijkheid en schade in geval van incidenten. De standaard verwerkersovereenkomst gemeenten van de IBD wordt gehanteerd.

Doel van deze bepaling:Als persoonsgegevens van de gemeente worden gehost bij een externe partij, dan is deze 3e partij vanuit de AVG een verwerker. Of deze 3e partij zelf iets verwerkt of niet, maakt niet uit. De gemeente is en blijft verantwoordelijk voor deze persoonsgegevens. Daarmee is de gemeente verplicht om beveiligingsmaatregelen te laten uitvoeren door deze 3e partij en deze ook jaarlijks te (laten) toetsen. Deze beveiligingsmaatregelen en verantwoordelijkheden worden in een verwerkersovereenkomst vastgelegd. Artikel 24 en 25 van de GIBIT gaan expliciet over de verwerkersrelatie en de verwerkersovereenkomst.

Onderwerp: Melden van (beveiligings)incidenten

Opnemen:In het geval van afnemen van producten en/of diensten accepteert de leverancier dat (beveiligings)incidenten direct gemeld worden aan de gemeente, en als dat wettelijk noodzakelijk is ook aan de Autoriteit Persoonsgegevens. Bij niet gemelde incidenten waar persoonsgegevens bij betrokken zijn, zal de gemeente een ontvangen boete en ontstane schade verhalen op de leverancier. Wanneer een kwetsbaarheid is gecontstateerd bij de leverancier, dan zorgt de leverancier er ook voor dat deze wordt opgelost.

Doel van deze bepaling:Algemeen:Als de leverancier informatie van de gemeente host op haar systemen, dienen (beveiligings)incidenten direct gemeld te worden aan de betrokken contactpersoon van de gemeente. De gemeente dient te kunnen reageren op (beveiligings)incidenten en deze melding dient door de contactpersoon van de gemeente gemeld te worden aan de IBD. Daarbij dienen de geconstateerde kwetsbaarheden door de leverancier ook opgelost te worden. Artikel 27 uit de GIBIT heeft betrekking op de meldplicht voor beveiligingsincidenten.

Incidenten met persoonsgegevens:

Bij een datalek moet de gemeente afwegen of ook aan de Autoriteit Persoonsgegevens (AP) gemeld moet worden en aanvullend betrokkenen geïnformeerd moeten worden.

Onderwerp: controle en toezicht

Opnemen:De gemeente kan een externe audit, waaronder een penetratietest, laten uitvoeren om te controleren dat aan beveiligingseisen die van toepassing zijn wordt voldaan. Een audit is niet nodig als de contractant door middel van certificering aantoont dat de gewenste betrouwbaarheid van de dienst is geborgd, dan wel aantoont dat een onafhankelijke audit heeft plaatsgevonden en de relevante resultaten deelt met de gemeente.

Doel van deze bepaling:De leverancier kan te maken krijgen met beveiligingseisen in bijvoorbeeld de verwerkersovereenkomst, de gemeente moet dan controleren dat die beveiligingseisen ook worden nageleefd. Om te voorkomen dat bij een leverancier door iedere klant jaarlijks audits worden uitgevoerd, kan de leverancier ook volstaan met een Third Party Mededeling (TPM)-verklaring waardoor de auditlast verminderd. Artikel 8.12 en artikel 21 van de GIBIT hebben betrekking op controle en rapportage.

Onderwerp: controle en toezicht

Opnemen:De contractant levert verantwoordingsrapportages aan de gemeente conform afgesproken prestatie-indicatoren.

Doel van deze bepaling:In de inkoopcontracten dient de gemeente expliciete prestatie-indicatoren en bijbehorende verantwoordingsrapportages op te nemen. Voor controle en toezicht is het van belang dat voor afsluiting van het contract welke prestatie-indicatoren van toepassing zijn en afspraken te maken met de leverancier dat hier periodiek over wordt gerapporteerd. Artikel 8.12 en artikel 21 van de GIBIT hebben betrekking op controle en rapportage.

Onderwerp: Escrow

Opnemen:De leverancier draagt zorg voor een Escrow. Zo heeft de gemeente in voorkomend geval de mogelijkheid om bij het in vervulling gaan van één of meer in de Escrow genoemde voorwaarden, software die onderdeel is van het contract , eigenmachtig te (laten) gebruiken voor het herstellen van fouten en anderszins het onderhouden en beheren van de standaardprogrammatuur.

Doel van deze bepaling:De gemeente die software gebruikt van een leverancier op haar eigen ICT-infrastructuur of in een Cloud toepassing, moet de mogelijkheid hebben om bijvoorbeeld in het geval dat de software leverancier failliet gaat te waarborgen dat de software onderhouden en gebruikt kan blijven worden. Artikel 32 ‘Waarborgen continuïteit’ van de GIBIT heeft betrekking op data-escrow.

Onderwerp: Exit-strategie

Opnemen:De contractant beschikt over een expliciete uitwerking van de exit-strategie.

Doel van deze bepaling:Voordat een contract wordt afgesloten wordt in een risicoafweging bepaald of de afhankelijkheid van een leverancier beheersbaar is. Een vast onderdeel van het contract is een expliciete uitwerking van de exit-

13

strategie. Artikel 22 van de GIBIT heeft hier betrekking op (overstap van opdrachtgever naar een ander systeem, afschaling en overdracht).

Onderwerp: Ontwikkeling van software en systemen

Opnemen:De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen.

Doel van deze bepaling:Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. Het is van belang grip te hebben op Secure Software Development.

Kijk voor meer informatie op:www.informatiebeveiligingsdienst.nl

Nassaulaan 122514 JS Den HaagCERT: 070 373 80 11 (9:00 – 17:00 ma – vr)CERT 24x7: Piketnummer (instructies via voicemail)info@IBDGemeenten.nl / incident@IBDGemeenten.nl