Handreiking

Contractmanagement

Een operationeel kennisproduct ter ondersteuning van de implementatie

van de Baseline Informatiebeveiliging Overheid (BIO)

Colofon Naam document

Handreiking Contractmanagement

Versienummer

2.0

Versiedatum

Februari 2019

Versiebeheer

Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD) (2018)

Tenzi j anders vermeld, i s dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk

Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende

voorwaarden: Al le rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel

zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te

verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. De IBD wordt als bron vermeld;

2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;

3. Publ icaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven

onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten;

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf

vermelde mededeling.

Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van

Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.

Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.

Rechten en vrijwaring

De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan

de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden

of na latigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade

ontstaan door de inhoud van de uitgave of door de toepassing ervan.

Met dank aan

De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

3

Wijzigingshistorie

Versie Datum Wijziging / Actie

1.0 08-04-2014 Ini tiële versie

1.0.2 19-08-2016 Kleine tekstuele aanpassingen, links aangepast, verwijzingen naar

andere BIG documenten aangepast of toegevoegd.

2.0 Februari 2019 BIO update

Over de IBD De IBD is een gezamenlijk initiatief van a lle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor a lle

Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is

voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij

hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig

kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere

overheidslagen, met vi tale sectoren en met leveranciers. Al le Nederlandse gemeenten kunnen gebruikmaken van de

producten en de generieke dienstverlening van de IBD

De IBD is ondergebracht bij VNG Realisatie.

Leeswijzer Dit product i s een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is

eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor a lle Nederlandse overheden.

Doel Het doel van dit document is aanwijzingen te geven omtrent contractmanagement en beveiligingseisen.

Doelgroep Dit document is van belang voor het management van de gemeente, inkopers, contractmanagers en de ICT-afdeling.

Relatie met overige producten • Baseline Informatiebeveiliging Overheid (BIO)

• Informatiebeveiligingsbeleid van de gemeente

• Inkoopvoorwaarden en informatiebeveiligingseisen

• Handreiking Standaard Verwerkersovereenkomst Gemeenten

• Gemeentelijke Inkoopvoorwaarden bij IT (www.gibit.nl)

• Voorbeeld Service Level Agreement (SLA)

• Handreiking Service Level Agreements (SLA)

• Factsheet Cloud computing

• Handreiking Cloud

Verwi jzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO):

14.2.7 Uitbestede softwareontwikkeling.

15.1.1 Informatiebeveiligingsbeleid voor leveranciers.

15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten.

15.1.3 Toeleveringsketen van informatie- en communicatietechnologie.

Wat is er veranderd ten opzichte van de BIG?

Er i s weinig veranderd ten opzichte van de BIG, in de maatregelen en controls is er een kleine nuance.

5

Inhoudsopgave

1. Inleiding .............................................................................................................................. 6 1.1. Doelstelling contractmanagement ...........................................................................................6 1.2. Indeling van dit document .......................................................................................................6 1.3. Aanwijzing voor gebruik ..........................................................................................................6

2. Contractmanagement en -beveiliging ............................................................................... 7 2.1. Wat te doen vooraf aan een aanbesteding of inkoopproces?.....................................................7 2.2. Wat te doen tijdens het lopende contract?...............................................................................9 2.3. Het beëindigen van contracten ................................................................................................9

BIJLAGE: Contractmanagementbeleid gemeente <gemeente>............................................. 11

1. Inleiding De Baseline Informatiebeveiliging Overheid (BIO) beschrijft maatregelen die te maken hebben met identificatie van risico’s

en benoemt hierbij onder andere informatiebeveiligingsmaatregelen die te maken hebben met externe partijen en

overeenkomsten. Een voorbeeld hiervan is de verwerkersovereenkomst die nodig is bij het verwerken van

persoonsgegevens door een derde partij.

Binnen organisaties worden contracten met externe partijen beheerd die al of niet een informatieveiligheidscomponent

kunnen hebben. Daarmee heeft de contractmanager, of iemand met een vergelijkbare rol binnen de gemeente te maken

met beveiligingsmaatregelen die in de contracten zijn vastgelegd.

1.1. Doelstelling contractmanagement

Contractmanagement is het proces dat er onder andere voor zorgt dat contracten beheerd worden. De taken die de

contractmanager uitvoert zijn onder andere:

• Opstellen, aangaan en nakomen van contracten.

• Sturen op de leveranciersrelatie.

• Bewaken en vergroten van kwaliteit van de dienstverlening die aan de gemeente geleverd wordt.

• Voeren van contractonderhandelingen.

• Toezien en handhaven van de overeengekomen contractsbepalingen.

Informatieveiligheid is in dit verband ook een kwaliteitsaspect dat de contractmanager dient te bewaken.

1.2. Indeling van dit document

Hoofdstuk 1: Inleiding over contractmanagement.

Hoofdstuk 2 : Contractmanagement en -beveiliging.

Bi jlage: Aanvullend contractmanagement beleid voor de gemeente.

1.3. Aanwijzing voor gebruik

Deze handleiding is geschreven om informatiebeveiligingsmaatregelen die te maken hebben met contractmanagement uit

te werken. Het doel i s dat contractmanagers of diegene die van gemeentewege te maken krijgt met contracten met derden

weet welke informatiebeveiligingsaspecten/omgang met gevoelige gegevens een rol spelen bij het uitvoeren van het

contractmanagementproces. Dit document gaat slechts over deze aspecten van het contractmanagement- of inkoopproces

binnen een gemeente.

7

2. Contractmanagement en -beveiliging In de BIO is aandacht voor contracten met derden. Met de BIO heeft de gemeente een normenkader in handen om

beveiligingseisen en -wensen die nodig zijn in contracten met derden uit te werken.

Di t document gaat uit van de rol contractmanager. Niet iedere gemeente heeft hier overigens een aparte functionaris voor

in dienst. Echter, vergelijkbare taken kunnen ook door een andere functionaris worden uitgevoerd. De contracten kunnen

ook worden beheerd binnen de ICT-afdeling, door een financiële afdeling of bijvoorbeeld door een afdelingsho ofd.

2.1. Wat te doen vooraf aan een aanbesteding of inkoopproces?

Voorafgaand aan een aanbesteding moeten veiligheidsrisico’s worden onderkend die op een product of dienst inwerken.

Daarmee wordt de basis gelegd voor beveiligingseisen en -wensen die op een bepaalde plaats in de contractdocumenten

weer aan bod moeten komen. Hierover moeten afspraken worden vastgelegd in de overeenkomst/het contract. Een

voorbeeld daarvan is dat vooraf vastgesteld wordt of er (bijzondere/gevoelige)persoonsgegevens, waar de gemeente

zeggenschap over heeft, in systemen bij een derde partij terecht kunnen komen. Een van de maatregelen die dan moet

worden genomen, is het afsluiten van een verwerkersovereenkomst. In deze verwerkersovereenkomst zitten a lle eisen

(zoals het versleutelen van de gegevens) en wensen opgenomen die te maken hebben met de integriteit en exclusiviteit van

die (bijzondere/gevoelige) persoonsgegevens. In het IBD-product ‘Inkoopvoorwaarden en informatiebeveiligingseisen’

s taan nog meer voorbeelden van eisen die in contracten vastgelegd kunnen worden, zoals het vastleggen in een SLA welke

beschikbaarheidseisen gelden voor een informatiesysteem.

Waar moet men voorafgaand aan een aanbesteding aan denken:

• Is er binnen de gemeente een s tappenplan/beleid om te borgen dat de juiste beveiligingsmaatregelen benoemd

worden in het contract met derden. Wat is hierover vastgelegd in het informatiebeveiligingsbeleid of bijvoorbeeld

in het inkoopbeleid?

• Om vast te s tellen wat de juiste beveiligingsmaatregelen zijn voert men binnen de gemeente de volgende

activi teiten uit:

o Voer een verkorte risicoanalyse of baselinetoets uit om het BIO BBN niveau vast te s tellen.

o Voer, indien de baselinetoets dit uitwijst, een diepgaande risicoanalyse uit.

o Voer, indien de baselinetoets dat uitwijst, een Data Protection Impact Assessment (DPIA) uit.

• Is er een formeel proces waar bijvoorbeeld een project zich aan moet houden om te borgen dat

beveiligingsmaatregelen niet vergeten worden bij het opstellen van specificaties?

• Is er aandacht voor het vooraf betrekken van de eigenaar van een systeem of anderen bij het bepalen van de

beveiligingseisen?

• Is er expertise nodig om te beoordelen of de ICT-dienstverlener voldoet aan de gestelde beveiligingsnormen

voordat het contract gesloten wordt?

• Is er een goede test of keuringsmethodiek om te bepalen of aan de verplichte beveiligingseisen is voldaan ?

• Maak gebruik van collega gemeenten die een vergelijkbare aanbesteding gedaan hebben en evalueer soortgelijke

aanbestedingen?

• Verklaar de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) van toepassing en wijs expliciet andere voorwaarden

van de hand. Belangrijke beveiligingseisen zijn geïntegreerd in de GIBIT.

Enkele aandachtspunten voor de juiste beveiligingseisen in contracten:

• Zi jn de risico’s geïdentificeerd in relatie tot de inkoop van diensten of goederen?

• Is de waarde en de gevoeligheid van de gegevens voor de afsluiting van een contract vastgesteld?

• Is de leverancier in staat om aan de gestelde beveiligings- en privacy vereisten te voldoen én kan de gemeente dit

periodiek (laten) controleren?

• Wat is de levensvatbaarheid van de leverancier (belangrijk wanneer diensten/gegevens bij de leverancier

gehost/verwerkt worden)?

• Worden er (bijzondere) persoonsgegevens gebruikt, is de verwerkersovereenkomst van toepassing?

• Welke beveiligingseisen vloeien voort uit wet- en regelgeving (bijvoorbeeld AVG, BRP, BIO etc.) of andere

contracten/bestaande systemen (denk aan aansluitvoorwaarden)? Gelden daarnaast vereisten vanuit het interne

privacy-/informatiebeveilgiingsbeleid?

• Is er aandacht voor privacybescherming? En zi jn daartoe passende technische en organisatorische maatregelen

geformuleerd richting de leverancier, als onderdeel van een verwerkersovereenkomst of contract?

• Waar bevindt de data van de gemeente zich (inclusief de back-up en de mirror).

• Zi jn er beschikbaarheidseisen en is er een SLA nodig?

• Zi jn de beveiligingseisen meetbaar voorafgaand aan en gedurende de contractperiode?

• Wordt er gebruik gemaakt van buitenlandse dienstverleners? Zo ja, welk recht is van toepassing?

• Zi jn er speciale koppelvlakken voorzien, bijvoorbeeld voor koppelen met andere gemeenten, toegang voor

beheerders van de leverancier of toegang door gemeentemedewerkers over niet vertrouwde netwerken?

• Zi jn er bestaande generieke voorzieningen met ingebouwde beveiliging die gebruikt kunnen worden?

• Wordt er software ontwikkeld voor de gemeente:

o Wie controleert de broncode, op welk moment en wat zijn de kwaliteitseisen?

o Waar wordt deze software ontwikkeld?

o Zi jn er afspraken nodig om toch later over de broncode te kunnen beschikken door middel van een

Escrow?

• Wordt er gebruik gemaakt van Cloud-diensten en waar bevinden die zich?

• Zi jn er ontbindende voorwaarden in geval van een bedrijfsovername?

• Is er een exit-strategie? Ga bewust om met het risico van vendor lock-in en s tel bij het sluiten van de

overeenkomst maatregelen vast om het migreren van data en diensten mogelijk te maken. Denk daarbij niet

a l leen aan de situatie waarbij de gemeente het contract wilt beëindigen, of waarbij het van rechtswege afloopt,

maar ook aan situaties a ls faillissement of wanprestatie aan de kant van de leverancier.

• Wat gebeurt er met de gegevens als deze niet meer een derden worden gebruikt.

• Is de leverancier NEN/ISO 27001 gecertificeerd? (Dit i s geen harde eis maar helpt wel bij het bepalen of de

leverancier aandacht heeft voor informatiebeveiliging. Let hierbij wel op de scope van de certificering).

9

2.2. Wat te doen tijdens het lopende contract?

Bi j lopende contracten krijgt men ook te maken met beveiligingseisen die in contracten of de onderliggende SLA en/of

verwerkersovereenkomst kunnen zitten. Met name gedurende de uitvoering van een contract gaat het om monitoren van

de gemaakte afspraken. Vaak i s hier een samenspel van de contractmanager en de dienstafnemer voor nodig.

Aandachtspunten betreffende maatregelen die gedurende de looptijd van een contract nodig zijn:

• Zi jn er audits afgesproken, worden die ook uitgevoerd en wat zijn daarvan de resultaten? Het kan bijvoorbeeld

nodig zi jn om in te grijpen als niet voldaan wordt aan de afgesproken eisen, als dit blijkt uit een audit?

• Is de leverancier verplicht om jaarlijks een Derdenverklaring of Third Party Meded eling (TPM) of een audit

verklaring te overleggen? Wat doet de gemeente a ls deze TPM niet wordt overlegd?

• Is de leverancier verplicht om beveiligingsincidenten ti jdig te melden aan de gemeente? Welke

beveiligingsincidenten zijn er de afgelopen meetperiode opgetreden en welke contractafspraken worden geraakt

door die incidenten?

• Er i s een meldplicht voor datalekken en worden deze datalekken ook tijdig aan de gemeente en andere

belanghebbenden gemeld, zodat de gemeente als verantwoordelijke ook ti jdig de melding kan doen aan de

Autori teit persoonsgegevens?

• Zi jn er belangrijke wijzigingen in de programmatuur of infrastructuur van de leverancier waardoor de

beveiligingsafspraken geraakt worden? Hoe moet de leverancier de gemeente informeren?

• Worden de personele afspraken nagekomen door de leverancier?

• Zi jn er wijzigingen aan de kant van de gemeente die van invloed zijn op de afspraken die met leveranciers

gemaakt zijn? Hoe moet de gemeente de leverancier informeren?

• Worden de servicelevel rapportages ti jdig opgeleverd en kloppen de rapportages met de afgesproken

servicelevels?

2.3. Het beëindigen van contracten

Ook bi j het beëindigen van contracten zi jn er beveiligingsmaatregelen waar men rekening mee moet houden, met name als

het gaat om dienstverlening die wordt overgedragen, bijvoorbeeld: insourcing of outsourcing, maar ook beëindigen van de

dienstverlening. Een goede exit-strategie is belangrijk, om het risico van vendor lock-in te kunnen mitigeren.

De volgende aandachtspunten zijn er met betrekking tot contractbeëindiging en dienen al vooraf in de contracteringsfase

te worden meegenomen voor het beëindigen van contracten.

Geheimhouding

Bl i jft geheimhouding van kracht ná het overdragen of beëindigen van de dienst? Dit dient in het contract en/of de

verwerkersovereenkomst meegenomen te worden.

Vernietigen data

Data van de gemeente die op systemen staan van een derde partij dient zo spoedig mogelijk nadat deze data niet meer

nodig i s vernietigd te worden volgens aanwijzingen van de gemeente1. Deze vernietiging van data dient verantwoord en

gecontroleerd te worden.

1 Meestal zal de gegev ens eigenaar dit bepalen. Zie hierv oor bijv oorbeeld het document af v oer ICT-middelen waar v erschillende v ernietig

mogelijkheden worden behandeld.

Migratie van de dienst

Bi j het migreren van een dienst kunnen verschillende zaken verhuizen tussen dienstaanbieders of tussen de

dienstaanbieder en de gemeente (insourcing/outsourcing). Denk hierbij aan processen, hardware, software en gegevens.

De dienstaanbieder kan zowel een leverancier als een collega gemeente zijn. Denk daarbij aan het ri sico dat applicaties niet

zonder meer overdraagbaar zi jn van het ene naar het andere systeem. Dit kan migratie van diensten complex, tijdrovend en

kostbaar maken.

Overdragen data en of software

Er moet aandacht zijn voor het overdragen van data en/of software tussen dienstenaanbieders van de gemeente. De nieuw

gecontracteerde en latende leverancier verklaren zich op voorhand bereid tot het overdragen en ontvangen van data en/of

software. Denk daarbij aan het ri sico dat gegevens niet zonder meer overdraagbaar zijn tussen applicatie of systeem.

11

BIJLAGE: Contractmanagementbeleid gemeente <gemeente>

Ten behoeve van de beveiliging van informatie is er beleid voor contractmanagement. Het doel van dit beleid is

aanvullende eisen te stellen aan contractmanagement met als effect dat informatie en software van de organisatie passend

zi jn beveiligd.

De gemeente <naam gemeente> hanteert de volgende beleidsuitgangspunten en deze zijn ontleend aan de BIO en

aanvullend op het algemene beveiligingsbeleid van de gemeente:

1. Informatiebeveiligingsbeleid voor leveranciersrelaties

Met de leverancier behoren de informatiebeveiligingseisen om risico’s te verlagen die verband houden met de

toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, te worden overeengekomen en

gedocumenteerd.

• Bi j offerteaanvragen waar informatie(voorziening) een rol speelt, worden eisen t.a .v. informatiebeveiliging

(beschikbaarheid, integriteit en vertrouwelijkheid) benoemd. Deze eisen zijn gebaseerd op een expliciete

ri s icoafweging.

• Op basis van een expliciete risicoafweging worden de beheersmaatregelen met betrekken tot

leverancierstoegang tot bedrijfsinformatie vastgesteld.

• Met a l le leveranciers die als verwerker voor of namens de organisatie persoonsgegevens verwerken, worden

verwerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld.

2. Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke

leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of

deze verwerkt, opslaat, communiceert of biedt.

• De beveiligingseisen uit de offerteaanvraag worden expliciet opgenomen in de (inkoop)contracten waar

informatie een rol speelt.

• In de inkoopcontracten worden expliciet prestatie-indicatoren en de bijbehorende

verantwoordingsrapportages opgenomen.

• In s ituaties waarin contractvoorwaarden worden opgelegd door leveranciers, i s voorafgaand aan het

tekenen van het contract met een risicoafweging helder gemaakt wat de consequenties hiervan zijn voor de

organisatie. Expliciet is gemaakt welke consequenties geaccepteerd worden en welke gemitigeerd moeten

zi jn bij het aangaan van de overeenkomst.

• Ter waarborging van vertrouwelijkheid of geheimhouding worden bij IT-inkopen standaard voorwaarden

voor inkoop gehanteerd.

• Voordat een contract wordt afgesloten wordt in een risicoafweging bepaald of de afhankelijkheid van een

leverancier beheersbaar i s. Een vast onderdeel van het contract is een expliciete uitwerking van de exit-

s trategie.

• In inkoopcontracten wordt expliciet de mogelijkheid van een externe audit opgenomen waarmee de

betrouwbaarheid van de geleverde dienst kan worden getoetst. Een audit is niet nodig als de contractant

d.m.v. certi ficering aantoont dat de gewenste betrouwbaarheid van de dienst i s geborgd.

• De Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) zijn van toepassing bij IT-gerelateerde inkopen.

3. Toeleveringsketen van informatie- en communicatietechnologie

Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de

informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied

van informatie- en communicatietechnologie.

• Leveranciers moeten hun keten van toeleveranciers bekend maken en transparant zi jn over de maatregelen

die zij genomen hebben om de aan hun opgelegde eisen ook door te vertalen naar hun toeleveranciers.

Aldus vastgesteld door

[Naam. Functie, Datum] [Naam. Functie, Datum]

_______________ _______________

13

Kijk voor meer informatie op:

www.informatiebeveiligingsdienst.nl

Nassaulaan 12

2514 JS Den Haag

CERT: 070 373 80 11 (9:00 – 17:00 ma – vr)

CERT 24x7: Piketnummer (instructies via voicemail)

info@IBDGemeenten.nl / incident@IBDGemeenten.nl