Contractmanagement - Informatiebeveiligingsdienst · Het doel van dit document is aanwijzingen te...
Transcript of Contractmanagement - Informatiebeveiligingsdienst · Het doel van dit document is aanwijzingen te...
Handreiking
Contractmanagement
Een operationeel kennisproduct ter ondersteuning van de implementatie
van de Baseline Informatiebeveiliging Overheid (BIO)
Colofon Naam document
Handreiking Contractmanagement
Versienummer
2.0
Versiedatum
Februari 2019
Versiebeheer
Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).
Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD) (2018)
Tenzi j anders vermeld, i s dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk
Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende
voorwaarden: Al le rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel
zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.
Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te
verspreiden en te gebruiken onder de hiernavolgende voorwaarden:
1. De IBD wordt als bron vermeld;
2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;
3. Publ icaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven
onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten;
4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf
vermelde mededeling.
Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van
Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.
Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.
Rechten en vrijwaring
De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan
de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden
of na latigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade
ontstaan door de inhoud van de uitgave of door de toepassing ervan.
Met dank aan
De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.
3
Wijzigingshistorie
Versie Datum Wijziging / Actie
1.0 08-04-2014 Ini tiële versie
1.0.2 19-08-2016 Kleine tekstuele aanpassingen, links aangepast, verwijzingen naar
andere BIG documenten aangepast of toegevoegd.
2.0 Februari 2019 BIO update
Over de IBD De IBD is een gezamenlijk initiatief van a lle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor a lle
Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is
voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij
hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig
kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere
overheidslagen, met vi tale sectoren en met leveranciers. Al le Nederlandse gemeenten kunnen gebruikmaken van de
producten en de generieke dienstverlening van de IBD
De IBD is ondergebracht bij VNG Realisatie.
Leeswijzer Dit product i s een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is
eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor a lle Nederlandse overheden.
Doel Het doel van dit document is aanwijzingen te geven omtrent contractmanagement en beveiligingseisen.
Doelgroep Dit document is van belang voor het management van de gemeente, inkopers, contractmanagers en de ICT-afdeling.
Relatie met overige producten • Baseline Informatiebeveiliging Overheid (BIO)
• Informatiebeveiligingsbeleid van de gemeente
• Inkoopvoorwaarden en informatiebeveiligingseisen
• Handreiking Standaard Verwerkersovereenkomst Gemeenten
• Gemeentelijke Inkoopvoorwaarden bij IT (www.gibit.nl)
• Voorbeeld Service Level Agreement (SLA)
• Handreiking Service Level Agreements (SLA)
• Factsheet Cloud computing
• Handreiking Cloud
Verwi jzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO):
14.2.7 Uitbestede softwareontwikkeling.
15.1.1 Informatiebeveiligingsbeleid voor leveranciers.
15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten.
15.1.3 Toeleveringsketen van informatie- en communicatietechnologie.
Wat is er veranderd ten opzichte van de BIG?
Er i s weinig veranderd ten opzichte van de BIG, in de maatregelen en controls is er een kleine nuance.
5
Inhoudsopgave
1. Inleiding .............................................................................................................................. 6 1.1. Doelstelling contractmanagement ...........................................................................................6 1.2. Indeling van dit document .......................................................................................................6 1.3. Aanwijzing voor gebruik ..........................................................................................................6
2. Contractmanagement en -beveiliging ............................................................................... 7 2.1. Wat te doen vooraf aan een aanbesteding of inkoopproces?.....................................................7 2.2. Wat te doen tijdens het lopende contract?...............................................................................9 2.3. Het beëindigen van contracten ................................................................................................9
BIJLAGE: Contractmanagementbeleid gemeente <gemeente>............................................. 11
1. Inleiding De Baseline Informatiebeveiliging Overheid (BIO) beschrijft maatregelen die te maken hebben met identificatie van risico’s
en benoemt hierbij onder andere informatiebeveiligingsmaatregelen die te maken hebben met externe partijen en
overeenkomsten. Een voorbeeld hiervan is de verwerkersovereenkomst die nodig is bij het verwerken van
persoonsgegevens door een derde partij.
Binnen organisaties worden contracten met externe partijen beheerd die al of niet een informatieveiligheidscomponent
kunnen hebben. Daarmee heeft de contractmanager, of iemand met een vergelijkbare rol binnen de gemeente te maken
met beveiligingsmaatregelen die in de contracten zijn vastgelegd.
1.1. Doelstelling contractmanagement
Contractmanagement is het proces dat er onder andere voor zorgt dat contracten beheerd worden. De taken die de
contractmanager uitvoert zijn onder andere:
• Opstellen, aangaan en nakomen van contracten.
• Sturen op de leveranciersrelatie.
• Bewaken en vergroten van kwaliteit van de dienstverlening die aan de gemeente geleverd wordt.
• Voeren van contractonderhandelingen.
• Toezien en handhaven van de overeengekomen contractsbepalingen.
Informatieveiligheid is in dit verband ook een kwaliteitsaspect dat de contractmanager dient te bewaken.
1.2. Indeling van dit document
Hoofdstuk 1: Inleiding over contractmanagement.
Hoofdstuk 2 : Contractmanagement en -beveiliging.
Bi jlage: Aanvullend contractmanagement beleid voor de gemeente.
1.3. Aanwijzing voor gebruik
Deze handleiding is geschreven om informatiebeveiligingsmaatregelen die te maken hebben met contractmanagement uit
te werken. Het doel i s dat contractmanagers of diegene die van gemeentewege te maken krijgt met contracten met derden
weet welke informatiebeveiligingsaspecten/omgang met gevoelige gegevens een rol spelen bij het uitvoeren van het
contractmanagementproces. Dit document gaat slechts over deze aspecten van het contractmanagement- of inkoopproces
binnen een gemeente.
7
2. Contractmanagement en -beveiliging In de BIO is aandacht voor contracten met derden. Met de BIO heeft de gemeente een normenkader in handen om
beveiligingseisen en -wensen die nodig zijn in contracten met derden uit te werken.
Di t document gaat uit van de rol contractmanager. Niet iedere gemeente heeft hier overigens een aparte functionaris voor
in dienst. Echter, vergelijkbare taken kunnen ook door een andere functionaris worden uitgevoerd. De contracten kunnen
ook worden beheerd binnen de ICT-afdeling, door een financiële afdeling of bijvoorbeeld door een afdelingsho ofd.
2.1. Wat te doen vooraf aan een aanbesteding of inkoopproces?
Voorafgaand aan een aanbesteding moeten veiligheidsrisico’s worden onderkend die op een product of dienst inwerken.
Daarmee wordt de basis gelegd voor beveiligingseisen en -wensen die op een bepaalde plaats in de contractdocumenten
weer aan bod moeten komen. Hierover moeten afspraken worden vastgelegd in de overeenkomst/het contract. Een
voorbeeld daarvan is dat vooraf vastgesteld wordt of er (bijzondere/gevoelige)persoonsgegevens, waar de gemeente
zeggenschap over heeft, in systemen bij een derde partij terecht kunnen komen. Een van de maatregelen die dan moet
worden genomen, is het afsluiten van een verwerkersovereenkomst. In deze verwerkersovereenkomst zitten a lle eisen
(zoals het versleutelen van de gegevens) en wensen opgenomen die te maken hebben met de integriteit en exclusiviteit van
die (bijzondere/gevoelige) persoonsgegevens. In het IBD-product ‘Inkoopvoorwaarden en informatiebeveiligingseisen’
s taan nog meer voorbeelden van eisen die in contracten vastgelegd kunnen worden, zoals het vastleggen in een SLA welke
beschikbaarheidseisen gelden voor een informatiesysteem.
Waar moet men voorafgaand aan een aanbesteding aan denken:
• Is er binnen de gemeente een s tappenplan/beleid om te borgen dat de juiste beveiligingsmaatregelen benoemd
worden in het contract met derden. Wat is hierover vastgelegd in het informatiebeveiligingsbeleid of bijvoorbeeld
in het inkoopbeleid?
• Om vast te s tellen wat de juiste beveiligingsmaatregelen zijn voert men binnen de gemeente de volgende
activi teiten uit:
o Voer een verkorte risicoanalyse of baselinetoets uit om het BIO BBN niveau vast te s tellen.
o Voer, indien de baselinetoets dit uitwijst, een diepgaande risicoanalyse uit.
o Voer, indien de baselinetoets dat uitwijst, een Data Protection Impact Assessment (DPIA) uit.
• Is er een formeel proces waar bijvoorbeeld een project zich aan moet houden om te borgen dat
beveiligingsmaatregelen niet vergeten worden bij het opstellen van specificaties?
• Is er aandacht voor het vooraf betrekken van de eigenaar van een systeem of anderen bij het bepalen van de
beveiligingseisen?
• Is er expertise nodig om te beoordelen of de ICT-dienstverlener voldoet aan de gestelde beveiligingsnormen
voordat het contract gesloten wordt?
• Is er een goede test of keuringsmethodiek om te bepalen of aan de verplichte beveiligingseisen is voldaan ?
• Maak gebruik van collega gemeenten die een vergelijkbare aanbesteding gedaan hebben en evalueer soortgelijke
aanbestedingen?
• Verklaar de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) van toepassing en wijs expliciet andere voorwaarden
van de hand. Belangrijke beveiligingseisen zijn geïntegreerd in de GIBIT.
Enkele aandachtspunten voor de juiste beveiligingseisen in contracten:
• Zi jn de risico’s geïdentificeerd in relatie tot de inkoop van diensten of goederen?
• Is de waarde en de gevoeligheid van de gegevens voor de afsluiting van een contract vastgesteld?
• Is de leverancier in staat om aan de gestelde beveiligings- en privacy vereisten te voldoen én kan de gemeente dit
periodiek (laten) controleren?
• Wat is de levensvatbaarheid van de leverancier (belangrijk wanneer diensten/gegevens bij de leverancier
gehost/verwerkt worden)?
• Worden er (bijzondere) persoonsgegevens gebruikt, is de verwerkersovereenkomst van toepassing?
• Welke beveiligingseisen vloeien voort uit wet- en regelgeving (bijvoorbeeld AVG, BRP, BIO etc.) of andere
contracten/bestaande systemen (denk aan aansluitvoorwaarden)? Gelden daarnaast vereisten vanuit het interne
privacy-/informatiebeveilgiingsbeleid?
• Is er aandacht voor privacybescherming? En zi jn daartoe passende technische en organisatorische maatregelen
geformuleerd richting de leverancier, als onderdeel van een verwerkersovereenkomst of contract?
• Waar bevindt de data van de gemeente zich (inclusief de back-up en de mirror).
• Zi jn er beschikbaarheidseisen en is er een SLA nodig?
• Zi jn de beveiligingseisen meetbaar voorafgaand aan en gedurende de contractperiode?
• Wordt er gebruik gemaakt van buitenlandse dienstverleners? Zo ja, welk recht is van toepassing?
• Zi jn er speciale koppelvlakken voorzien, bijvoorbeeld voor koppelen met andere gemeenten, toegang voor
beheerders van de leverancier of toegang door gemeentemedewerkers over niet vertrouwde netwerken?
• Zi jn er bestaande generieke voorzieningen met ingebouwde beveiliging die gebruikt kunnen worden?
• Wordt er software ontwikkeld voor de gemeente:
o Wie controleert de broncode, op welk moment en wat zijn de kwaliteitseisen?
o Waar wordt deze software ontwikkeld?
o Zi jn er afspraken nodig om toch later over de broncode te kunnen beschikken door middel van een
Escrow?
• Wordt er gebruik gemaakt van Cloud-diensten en waar bevinden die zich?
• Zi jn er ontbindende voorwaarden in geval van een bedrijfsovername?
• Is er een exit-strategie? Ga bewust om met het risico van vendor lock-in en s tel bij het sluiten van de
overeenkomst maatregelen vast om het migreren van data en diensten mogelijk te maken. Denk daarbij niet
a l leen aan de situatie waarbij de gemeente het contract wilt beëindigen, of waarbij het van rechtswege afloopt,
maar ook aan situaties a ls faillissement of wanprestatie aan de kant van de leverancier.
• Wat gebeurt er met de gegevens als deze niet meer een derden worden gebruikt.
• Is de leverancier NEN/ISO 27001 gecertificeerd? (Dit i s geen harde eis maar helpt wel bij het bepalen of de
leverancier aandacht heeft voor informatiebeveiliging. Let hierbij wel op de scope van de certificering).
9
2.2. Wat te doen tijdens het lopende contract?
Bi j lopende contracten krijgt men ook te maken met beveiligingseisen die in contracten of de onderliggende SLA en/of
verwerkersovereenkomst kunnen zitten. Met name gedurende de uitvoering van een contract gaat het om monitoren van
de gemaakte afspraken. Vaak i s hier een samenspel van de contractmanager en de dienstafnemer voor nodig.
Aandachtspunten betreffende maatregelen die gedurende de looptijd van een contract nodig zijn:
• Zi jn er audits afgesproken, worden die ook uitgevoerd en wat zijn daarvan de resultaten? Het kan bijvoorbeeld
nodig zi jn om in te grijpen als niet voldaan wordt aan de afgesproken eisen, als dit blijkt uit een audit?
• Is de leverancier verplicht om jaarlijks een Derdenverklaring of Third Party Meded eling (TPM) of een audit
verklaring te overleggen? Wat doet de gemeente a ls deze TPM niet wordt overlegd?
• Is de leverancier verplicht om beveiligingsincidenten ti jdig te melden aan de gemeente? Welke
beveiligingsincidenten zijn er de afgelopen meetperiode opgetreden en welke contractafspraken worden geraakt
door die incidenten?
• Er i s een meldplicht voor datalekken en worden deze datalekken ook tijdig aan de gemeente en andere
belanghebbenden gemeld, zodat de gemeente als verantwoordelijke ook ti jdig de melding kan doen aan de
Autori teit persoonsgegevens?
• Zi jn er belangrijke wijzigingen in de programmatuur of infrastructuur van de leverancier waardoor de
beveiligingsafspraken geraakt worden? Hoe moet de leverancier de gemeente informeren?
• Worden de personele afspraken nagekomen door de leverancier?
• Zi jn er wijzigingen aan de kant van de gemeente die van invloed zijn op de afspraken die met leveranciers
gemaakt zijn? Hoe moet de gemeente de leverancier informeren?
• Worden de servicelevel rapportages ti jdig opgeleverd en kloppen de rapportages met de afgesproken
servicelevels?
2.3. Het beëindigen van contracten
Ook bi j het beëindigen van contracten zi jn er beveiligingsmaatregelen waar men rekening mee moet houden, met name als
het gaat om dienstverlening die wordt overgedragen, bijvoorbeeld: insourcing of outsourcing, maar ook beëindigen van de
dienstverlening. Een goede exit-strategie is belangrijk, om het risico van vendor lock-in te kunnen mitigeren.
De volgende aandachtspunten zijn er met betrekking tot contractbeëindiging en dienen al vooraf in de contracteringsfase
te worden meegenomen voor het beëindigen van contracten.
Geheimhouding
Bl i jft geheimhouding van kracht ná het overdragen of beëindigen van de dienst? Dit dient in het contract en/of de
verwerkersovereenkomst meegenomen te worden.
Vernietigen data
Data van de gemeente die op systemen staan van een derde partij dient zo spoedig mogelijk nadat deze data niet meer
nodig i s vernietigd te worden volgens aanwijzingen van de gemeente1. Deze vernietiging van data dient verantwoord en
gecontroleerd te worden.
1 Meestal zal de gegev ens eigenaar dit bepalen. Zie hierv oor bijv oorbeeld het document af v oer ICT-middelen waar v erschillende v ernietig
mogelijkheden worden behandeld.
Migratie van de dienst
Bi j het migreren van een dienst kunnen verschillende zaken verhuizen tussen dienstaanbieders of tussen de
dienstaanbieder en de gemeente (insourcing/outsourcing). Denk hierbij aan processen, hardware, software en gegevens.
De dienstaanbieder kan zowel een leverancier als een collega gemeente zijn. Denk daarbij aan het ri sico dat applicaties niet
zonder meer overdraagbaar zi jn van het ene naar het andere systeem. Dit kan migratie van diensten complex, tijdrovend en
kostbaar maken.
Overdragen data en of software
Er moet aandacht zijn voor het overdragen van data en/of software tussen dienstenaanbieders van de gemeente. De nieuw
gecontracteerde en latende leverancier verklaren zich op voorhand bereid tot het overdragen en ontvangen van data en/of
software. Denk daarbij aan het ri sico dat gegevens niet zonder meer overdraagbaar zijn tussen applicatie of systeem.
11
BIJLAGE: Contractmanagementbeleid gemeente <gemeente>
Ten behoeve van de beveiliging van informatie is er beleid voor contractmanagement. Het doel van dit beleid is
aanvullende eisen te stellen aan contractmanagement met als effect dat informatie en software van de organisatie passend
zi jn beveiligd.
De gemeente <naam gemeente> hanteert de volgende beleidsuitgangspunten en deze zijn ontleend aan de BIO en
aanvullend op het algemene beveiligingsbeleid van de gemeente:
1. Informatiebeveiligingsbeleid voor leveranciersrelaties
Met de leverancier behoren de informatiebeveiligingseisen om risico’s te verlagen die verband houden met de
toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, te worden overeengekomen en
gedocumenteerd.
• Bi j offerteaanvragen waar informatie(voorziening) een rol speelt, worden eisen t.a .v. informatiebeveiliging
(beschikbaarheid, integriteit en vertrouwelijkheid) benoemd. Deze eisen zijn gebaseerd op een expliciete
ri s icoafweging.
• Op basis van een expliciete risicoafweging worden de beheersmaatregelen met betrekken tot
leverancierstoegang tot bedrijfsinformatie vastgesteld.
• Met a l le leveranciers die als verwerker voor of namens de organisatie persoonsgegevens verwerken, worden
verwerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld.
2. Opnemen van beveiligingsaspecten in leveranciersovereenkomsten
Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke
leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of
deze verwerkt, opslaat, communiceert of biedt.
• De beveiligingseisen uit de offerteaanvraag worden expliciet opgenomen in de (inkoop)contracten waar
informatie een rol speelt.
• In de inkoopcontracten worden expliciet prestatie-indicatoren en de bijbehorende
verantwoordingsrapportages opgenomen.
• In s ituaties waarin contractvoorwaarden worden opgelegd door leveranciers, i s voorafgaand aan het
tekenen van het contract met een risicoafweging helder gemaakt wat de consequenties hiervan zijn voor de
organisatie. Expliciet is gemaakt welke consequenties geaccepteerd worden en welke gemitigeerd moeten
zi jn bij het aangaan van de overeenkomst.
• Ter waarborging van vertrouwelijkheid of geheimhouding worden bij IT-inkopen standaard voorwaarden
voor inkoop gehanteerd.
• Voordat een contract wordt afgesloten wordt in een risicoafweging bepaald of de afhankelijkheid van een
leverancier beheersbaar i s. Een vast onderdeel van het contract is een expliciete uitwerking van de exit-
s trategie.
• In inkoopcontracten wordt expliciet de mogelijkheid van een externe audit opgenomen waarmee de
betrouwbaarheid van de geleverde dienst kan worden getoetst. Een audit is niet nodig als de contractant
d.m.v. certi ficering aantoont dat de gewenste betrouwbaarheid van de dienst i s geborgd.
• De Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) zijn van toepassing bij IT-gerelateerde inkopen.
3. Toeleveringsketen van informatie- en communicatietechnologie
Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de
informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied
van informatie- en communicatietechnologie.
• Leveranciers moeten hun keten van toeleveranciers bekend maken en transparant zi jn over de maatregelen
die zij genomen hebben om de aan hun opgelegde eisen ook door te vertalen naar hun toeleveranciers.
Aldus vastgesteld door
[Naam. Functie, Datum] [Naam. Functie, Datum]
_______________ _______________
13
Kijk voor meer informatie op:
www.informatiebeveiligingsdienst.nl
Nassaulaan 12
2514 JS Den Haag
CERT: 070 373 80 11 (9:00 – 17:00 ma – vr)
CERT 24x7: Piketnummer (instructies via voicemail)