Een zorgvuldig systeem voor IT-risico’s in aanbestedingen
Hoe dek je alle IT-risico’s goed af in een aanbesteding? En hoe zorg je dat je voldoet aan wet- en regelgeving? In dit praktijkvoorbeeld van Forum Standaardisatie ontwikkelde Veiligheids- en Gezondheidsregio Gelderland-Midden (VGGM) een broneisenportfolio voor aanbestedingen met een IT-component. Arnoud Willemsen vertelt over de grote voordelen.
Bij elke aanbesteding met een digitale component hebben we te maken met non-functionele eisen. Dat zijn de randvoorwaarden voor aanbestedende leveranciers om aan regels en wetten te voldoen. Denk aan de open standaarden die Forum Standaardisatie toetst, die onder andere de privacy, de betrouwbaarheid en de beveiliging van onze domeinen garanderen.
Om bezoekers van onze sites en de data in webapplicaties bijvoorbeeld goed te beschermen. Maar dat was altijd een tijdrovende klus. En dan wisten we alsnog niet zeker of we die eisen allemaal hadden meegenomen. Of we er niet een paar over het hoofd hadden gezien. En of de manier waarop we de eisen in de aanbesteding formuleerden wel helemaal in orde waren.’
Snel de juiste eisen
‘En dat zat ons niet lekker. Als Veiligheids- en Gezondheidsregio Gelderland-Midden, kortweg VGGM, werken we aan het vergroten van de veiligheid en gezondheid in 15 Gelderse gemeenten. We organiseren en coördineren de ambulance- en brandweerzorg, we doen de crisisbeheersing en ook de GGD en Veilig Thuis vallen onder onze organisatie. Voor deze doeleinden en partijen beheren we zo’n 40 sites en een groot aantal webapplicaties.
We werken dus veel met privacygevoelige data, die zo goed mogelijk beschermd moet worden tegen onrechtmatig gebruik. En data waar geen wettelijke bewaarplicht meer op rust, moet vernietigd kunnen worden. Ook dat helpt ons om beter beschermd te zijn tegen kwaadwillenden. Dit lukt ons beter met behulp van standaarden, bijvoorbeeld die van Forum Standaardisatie. Wanneer steeds meer leveranciers aan de standaarden voldoen, wordt aanbesteden makkelijker. Én, nog belangrijker, het beheersen van risico’s wordt zo ook makkelijker.
Vanuit de afdeling Informatievoorziening en ICT heb ik het afgelopen jaar gewerkt aan een broneisenportfolio: een soort gereedschapskist waar we snel de juiste eisen uit kunnen pikken voor elke aanbesteding met een digitale component. Of het nu om een website gaat, een webapplicatie of een andere IT-voorziening.
Het resultaat is een Excel-sheet met ruim 180 eisen, afgestemd op de relevante wet- en regelgeving en intern beleid. Door te filteren op parameters kun je 90% van de eisen die voor een specifieke aanbesteding van belang zijn in no-time naar boven halen. Na een korte inhoudelijke check, en mogelijk een enkele wijziging, hebben we het overgrote deel van de risico’s dan afgedekt. Hiermee sorteren we beter aan de voordeur.'
Volledig praktijkvoorbeeld
Lees het volledige praktijkvoorbeeld op de website van Forum Standaardisatie.