Zorgvuldig systeem voor IT-risico’s in aanbestedingen
Hoe dek je alle IT-risico’s goed af in een aanbesteding? En hoe zorg je dat je voldoet aan wet- en regelgeving? In dit praktijkvoorbeeld van Forum Standaardisatie ontwikkelde Veiligheids- en Gezondheidsregio Gelderland-Midden (VGGM) een broneisenportfolio voor aanbestedingen met een IT-component. Arnoud Willemsen vertelt over de grote voordelen. (december 2023)
Bij elke aanbesteding met een digitale component hebben we te maken met non-functionele eisen. Dat zijn de randvoorwaarden voor aanbestedende leveranciers om aan regels en wetten te voldoen. Denk aan de open standaarden die Forum Standaardisatie toetst, die onder andere de privacy, de betrouwbaarheid en de beveiliging van onze domeinen garanderen.
Om bezoekers van onze sites en de data in webapplicaties bijvoorbeeld goed te beschermen. Maar dat was altijd een tijdrovende klus. En dan wisten we alsnog niet zeker of we die eisen allemaal hadden meegenomen. Of we er niet een paar over het hoofd hadden gezien. En of de manier waarop we de eisen in de aanbesteding formuleerden wel helemaal in orde waren.’
Snel de juiste eisen
‘En dat zat ons niet lekker. Als Veiligheids- en Gezondheidsregio Gelderland-Midden, kortweg VGGM, werken we aan het vergroten van de veiligheid en gezondheid in 15 Gelderse gemeenten. We organiseren en coördineren de ambulance- en brandweerzorg, we doen de crisisbeheersing en ook de GGD en Veilig Thuis vallen onder onze organisatie. Voor deze doeleinden en partijen beheren we zo’n 40 sites en een groot aantal webapplicaties.
We werken dus veel met privacygevoelige data, die zo goed mogelijk beschermd moet worden tegen onrechtmatig gebruik. En data waar geen wettelijke bewaarplicht meer op rust, moet vernietigd kunnen worden. Ook dat helpt ons om beter beschermd te zijn tegen kwaadwillenden. Dit lukt ons beter met behulp van standaarden, bijvoorbeeld die van Forum Standaardisatie. Wanneer steeds meer leveranciers aan de standaarden voldoen, wordt aanbesteden makkelijker. Én, nog belangrijker, het beheersen van risico’s wordt zo ook makkelijker.
Vanuit de afdeling Informatievoorziening en ICT heb ik het afgelopen jaar gewerkt aan een broneisenportfolio: een soort gereedschapskist waar we snel de juiste eisen uit kunnen pikken voor elke aanbesteding met een digitale component. Of het nu om een website gaat, een webapplicatie of een andere IT-voorziening.
Het resultaat is een Excel-sheet met ruim 180 eisen, afgestemd op de relevante wet- en regelgeving en intern beleid. Door te filteren op parameters kun je 90% van de eisen die voor een specifieke aanbesteding van belang zijn in no-time naar boven halen. Na een korte inhoudelijke check, en mogelijk een enkele wijziging, hebben we het overgrote deel van de risico’s dan afgedekt. Hiermee sorteren we beter aan de voordeur.'
Praktische tool
‘Het is een ontzettend praktische tool. Maar je moet er ook mee kunnen werken. En je moet borgen dat bijvoorbeeld veranderende wetgeving goed in het portfolio wordt verwerkt. Daarom heb ik processen met werkinstructies uitgeschreven voor het onderhouden en toepassen van het broneisenportfolio. En hebben we het eigenaarschap over de verschillende onderdelen ervan – zoals informatiebeveiliging, ICT en privacy – verdeeld over verschillende onderdelen van VGGM. Zodat niet 1 of 2 collega’s verantwoordelijk zijn, maar alle betrokken onderdelen in de organisatie.
Deze onderdelen zijn er samen met de informatie-architecten voor verantwoordelijk dat we ook die laatste 10% van de eisen goed in de aanbesteding opnemen. Want niet alle eisen rollen zo uit het Excel-bestand. Voor sommige is iets meer nodig.’
Beslisboom Open Standaarden
‘Dat geldt bijvoorbeeld voor de open standaarden van Forum Standaardisatie. Daarvoor hebben we in het werkproces onder andere opgenomen dat we altijd de Beslisboom Open Standaarden gebruiken. De uitkomst van die beslisboom controleren we ook nog goed. In het aanbestedingsdocument staat zo precies aan welke open standaarden de leverancier moet voldoen. En dat ze het moeten uitleggen als ze niet aan een open standaard kunnen voldoen.
Dat we het aan de leverancier overlaten om te ontdekken aan welke standaarden ze moeten voldoen. Of dat het ‘pas toe of leg uit’-principe niet goed wordt toegepast. Want ook dat gebeurde vroeger wel eens. Dat er niet duidelijk werd uitgelegd waarom het niet mogelijk was om aan bepaalde voorwaarden te voldoen. En hoe ze de risico’s dan wel af zouden dekken.’
Aansluiten op de realiteit
‘Samen met mijn collega-informatie-architect heb ik de taak om het digitale landschap van VGGM te overzien. En we overzien dus ook het broneisenportfolio en de bijbehorende processen. We controleren of nieuwe of aangepaste eisen niet conflicteren met andere eisen. Of de werkprocessen goed worden opgevolgd. En of die processen, of het portfolio, nog wel goed aansluiten op de realiteit.
Want we zijn klaar voor de start, maar nog lang niet klaar. We passen het broneisenportfolio al met succes toe. Maar om de werkprocessen bij elke aanbesteding goed toe te kunnen passen, moet onze organisatie nog mee in deze verandering. Dat gaat gebeuren, stapje voor stapje. Want dat ongemakkelijke gevoel van mogelijk niet afgedekte risico’s, die wil niemand meer ervaren.’
Lees het praktijkvoorbeeld op de website van Forum Standaardisatie.