10 tools (en podcasts) voor veilig publiek inkopen

Natuurlijk gaan we bij een aanbesteding ervan uit dat inschrijvers het beste met ons voor hebben. Toch moet je als publieke inkoper scherp blijven op de risico’s. Je wilt simpelweg niet dat vertrouwelijke informatie zoals persoonsgegevens of data over onze vitale infrastructuur in de verkeerde handen vallen. Maar hoe regel je dat precies? Welke hulpmiddelen zijn er om je te ondersteunen? Daar duiken we in dit artikel in.

Wat houdt veilig inkopen precies in?

Veilig inkopen is een brede term. Vanuit de Rijksoverheid ligt de focus vooral op de nationale veiligheid. Denk aan het voorkomen van datalekken of het voorkomen dat je als publieke organisatie onbedoeld afhankelijk wordt van leveranciers van buiten de EU (de geopolitieke risico’s).

Om veilig inkopen te stimuleren, zijn er verschillende bronnen en tools ontwikkeld. We hebben er 10 voor je geselecteerd, verdeeld over drie categorieën: Identificeren van risico’s, Normering & eisen en Kennis & inspiratie.

Identificeren van risico’s

Voordat je allerlei eisen opneemt in de aanbesteding, moet je weten waar het risico zit. Deze tools van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) helpen je de veiligheidsrisico’s van jouw specifieke aanbesteding scherp te krijgen.

1.     De QuicksScan

De QuickScan van de NCTV is een handig vertrekpunt. Aan de hand van vragen bepaal je direct of een opdracht risico’s voor de nationale veiligheid met zich meebrengt. Op basis van je antwoorden kun je kijken welke vervolgstappen je neemt.

2.     De Risicoanalyse

Komen er risico's uit de QuickScan? Dan is de risicoanalyse de volgende stap. Deze handleiding helpt je om diepgaand vast te stellen hoe groot de risico’s zijn en, belangrijker nog, hoe je deze binnen de opdracht kunt tackelen.

3.     De Quickguide

Hoe verhoudt veiligheid zich tot de Aanbestedingswet? De Quickguide geeft je het juridische overzicht. Hier vind je de relevante wetteksten die je de ruimte geven om veiligheidseisen zwart-op-wit in je bestek op te nemen.

4.      Handvatten risicomitigatie bij inkoop en aanbesteding 

De handvatten risicomitigatie bij inkoop en aanbesteding zijn speciaal voor alle aanbestedende diensten en speciale sectorbedrijven met opdrachten die raken aan nationale veiligheid. Een onmisbaar document voor de zwaardere dossiers.

Normering & eisen

Zodra de risico’s geïdentificeerd zijn, moet je ze vertalen naar concrete eisen in je bestek. Deze tools bieden de technische en tekstuele bouwstenen hiervoor.

5.      Inkoopeisen Cybersecurity Overheid (ICO)

Bij de inkoop van ICT-producten en -diensten kun je niet om de ICO-eisen heen. Met deze set standaardeisen dwing je een minimumniveau van beveiliging af bij leveranciers, zonder dat je zelf het wiel hoeft uit te vinden.

6.      Baseline Informatiebeveiliging Overheid (BIO)

De BIO is dé norm voor informatiebeveiliging binnen de hele overheid. Je gebruikt deze normen om je beveiligingsniveaus (BBN) te bepalen.

7.      NCSC Supply Chain Security

Het Nationaal Cyber Security Centrum (NCSC) deelt factsheets en handreikingen over actuele dreigingen. Vooral de informatie over Supply Chain Security (ketenveiligheid) is goud waard om de risico’s bij je toeleveranciers in kaart te brengen.

​​​​Kennis & inspiratie

Veiligheid is geen eenmalig vinkje, maar een continu proces. Deze bronnen houden je bij de les.

8.      Webdossier Veilig Inkopen (PIANOo)

Typisch PIANOo: ze hebben voor ieder belangrijk onderwerp een compleet dossier klaarstaan. Dat geldt dus ook voor veilig inkopen. In dit webdossier vind je alles over het afdekken van risico’s en praktische tips voor informatiebeveiliging. Ideaal als je even snel wilt checken hoe het ook alweer zit.

9.      Podcast ‘Veilig inkopen doen we met elkaar’

De podcastserie ‘Veiliginkopen doen we met elkaar’ van het Centrum Informatiebeveiliging en Privacybescherming is een aanrader. In zes afleveringen komen experts aan het woord over verschillende onderwerpen, van AI en Big Data tot publiek-privatesamenwerking en wetgeving.

10. Lessenvan Havenbedrijf Rotterdam

Wil je weten hoe ze het in de praktijk aanpakken? Duik dan eens in de ervaringen van Havenbedrijf Rotterdam. Hun aanpak laat zien dat veilige inkoop overal in zit, zelfs in de vuilnisbakken. De lessen die zij hebben geleerd zijn voor bijna elke publieke inkoper direct bruikbaar.

Hoe nu verder?

Veilig inkopen hoeft niet ingewikkeld te zijn, als je maar weet waar je moet beginnen. Gebruik de QuickScan van de NCTV als vaste prik bij elke nieuwe opdracht en neem de ICO-eisen standaard op in je bestek. Zo dek je de belangrijkste gaten af voordat de samenwerking überhaupt begint. Het kost vooraf misschien wat extratijd, maar het scheelt achteraf een hoop ellende.