Lessen veilig inkopen uit de praktijk van CIP

CIP is een netwerkorganisatie met zo’n 5.000 leden uit de overheid en semi-publieke sector. De organisatie zet zich in voor de informatieveiligheid en privacy van de Nederlandse overheid en de ketens waarin overheidsorganisaties samenwerken. Van de Ven ziet veilig inkopen als een logisch verlengstuk van goed informatiebeheer en -bestuur. “Want veilig inkopen is in essentie risicomanagement. Het inschatten van risico's begint bij de informatie over het aanbestedingstraject. Dus wie zijn informatiehuishouding op orde heeft, heeft al veel bouwstenen van veilig inkopen klaarliggen.”

Hoe vinden sleutelrollen elkaar?

Bij een inkoopproces zijn veel verschillende rollen betrokken. Het is belangrijk dat die rollen elkaar weten te vinden. Want, zoals Van de Ven stelt: “Juist in dat samenspel kunnen we het verschil maken. Zorg dat risicomanagement daarom een integraal onderdeel is van iedere aanbesteding.”

Bestuurders hebben daar een sturende rol, maar informatieprofessionals zoals CISO's (chief information security officers) net zo goed. “Eis op tijd je plek in het proces op. Want als de aanbesteding al de deur uit is, kan een CISO weinig meer doen. Vorm samen een kritisch front.” De verantwoordelijkheid moet uiteindelijk breed gedragen worden. “Bestuurders hoeven niet ieder proces zelf van A tot Z te beoordelen, maar ze moeten wél laten zien dat risicomanagement op bestuurlijk niveau wordt afgewogen en belangrijk is.”

Kritische inkopers beschermen de organisatie

Volgens Van de Ven is het essentieel dat inkopers kritisch blijven kijken naar de veiligheidsaspecten van hun inkopen. “Zij kunnen bij de start van een inkoopproces signaleren of er informatieverwerking bij de aanbesteding betrokken is.” Toch worden inkopers daardoor vaak gezien als ‘showstoppers’: hun kritische vragen roepen weerstand op.

Terwijl je inkopers volgens Van de Ven meer moet zien als procesregisseurs. “Inkopers zijn geen inhoudelijke security experts, maar weten wel wie ze bij het inkoopproces moeten betrekken en welke vragen ze kunnen stellen. Een inkoper die kritisch bevraagt, beschermt de organisatie.”

De digitale component – en de bijkomende risico’s

Zo’n kritisch front klinkt misschien overdreven, maar is echt nodig. Juist omdat digitale (on)veiligheid vaak in kleine hoekjes zit. Zoals een nieuw koffiezetapparaat met internetverbinding. Die staan vaak midden in de organisatie. Of een voorraadkast met een digitaal checksysteem voor de leverancier. Overal zit technologie in die gegevens verwerkt.

In het inkoopproces moet aandacht zijn voor veiligheid gedurende de gehele levensfase van het contract. Het risico zit namelijk vooral in veroudering en verwaarlozing, legt Van de Ven uit: “Techniek wordt soms ingekocht voor langere tijd, zonder afspraken over onderhoud of updates.” Als voorbeeld noemt hij een inkoopproces voor beton voor een nieuw gebouw: "De inkoop voor het beton liep gelijk aan de contracten voor de digitale techniek van het pand. De contracten werden voor 30 jaar opgesteld, zonder onderhoudsafspraken. Ik kwam een systeem tegen waar al 10 jaar geen veiligheidsupdate was uitgevoerd. In die gevallen moeten inkopers kritische vragen kunnen stellen.”

Hulpmiddelen voor veilig inkopen

Inkopers kunnen verschillende tools gebruiken voor inkoopvraagstukken met kwesties over informatieveiligheid. CIP beheert bijvoorbeeld de Baseline Informatiebeveiliging Overheid 2 (BIO2), een basisnormenkader voor alle overheidslagen, en de ICO (Inkoopeisen Cybersecurity Overheid). De BIO2 is deels opgenomen in de ICO-Wizard, een hulpmiddel dat inkopers helpt het inkoopproces te doorlopen, aan de hand van een specifiek samengesteld eisenpakket. Naar aanleiding van een risicoanalyse, bijvoorbeeld. “De toolbox veilig inkopen van de NCTV is vooral bedoeld als handig hulpmiddel om risico’s voor de nationale veiligheid bij inkoop en aanbesteden te identificeren. De ICO-Wizard sluit aan op de specifieke praktijk van de overheidsinstantie en helpt om veiligheidseisen branche-specifiek te maken”, aldus Van de Ven.

Hij benadrukt daarbij wel dat nóg meer nieuwe tooling niet de juiste focus is. “We moeten nu inzoomen op het proces: hoe maken we dat volwassener? Hoe kunnen we informatieprofessionals eerder betrekken?” Om die focus te versterken, werkt CIP samen met PIANOo en andere partners aan voorlichting, verbetering van tooling en trainingen.

Regelgeving onderstreept het belang

Ook de wet- en regelgeving voor informatiebeveiliging helpt inkopende overheden hun proces te verbeteren. Sinds 2024 geldt voor Europese landen de Europese richtlijn NIS2, kort voor ‘Network and Information Security Directive’. In Nederland wordt de richtlijn ingevuld via de nieuwe Cyberbeveiligingswet, die naar verwachting in de lente van 2026 in werking treedt. De BIO2 wordt daarin als verplichting opgenomen. Van de Ven: “Maar dat betekent niet dat je dan pas aan de slag kan. De BIO2 is sinds september 2025 vastgesteld, en inkopende overheden worden aangespoord om nu al maatregelen te nemen. De aankomende wetgeving onderstreept bovenal het belang van informatieveiligheid.”

3 belangrijke tips van CIP

• Bestuurders moeten verantwoordelijkheid nemen en dat aan de organisatie laten zien. Niet alleen formeel op papier, maar ook actief uitgedragen.
• Betrek inkopers en CISO’s sneller bij inkoopprocessen, zodat ze kunnen ingrijpen indien nodig. Andersom moeten inkopers en andere professionals niet bang zijn om kritische vragen te stellen.
• De echte winst zit in procesvolwassenheid: de juiste mensen worden op tijd betrokken, risico’s zijn bespreekbaar en van de (soms harde) praktijk wordt geleerd. Tools zijn daarbij hulpmiddelen, geen doel op zich.

Meer weten of aan de slag?

Meer weten over veilig inkopen en zelf aan de slag? Bekijk het themadossier Veilig inkopen.