Lessen Veilig Inkopen uit de praktijk van de politie

Harold Thijssen is werkzaam bij het chief procurement office van de politie. Zijn collega Edward Nummerdor is senior adviseur en houdt zich onder andere bezig met het dossier Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). Voor beiden is veilig inkopen een dagelijks thema. Thijssen: “Veilig inkopen betekent voor de politie de aanschaf van producten en diensten die geen veiligheidsrisico's opleveren en die worden afgenomen bij betrouwbare opdrachtnemers. Daarvoor moeten 3 randvoorwaarden op orde zijn: de bewustwording, de toepassing in het inkoopproces en de inhoudelijke kennis.”

Meer dan nationale veiligheid

De politie kocht in 2024 voor 2,8 miljard euro in. De te beschermen belangen bij die inkopen gaan niet alleen over nationale veiligheid. Thijssen: “Denk bijvoorbeeld aan de veiligheid van onze medewerkers, gevoelige informatie, het tegengaan van ondermijning, de continuïteit van onze dienstverlening, veilige toegang tot objecten en systemen, en imagoschade. Een groot deel van onze belangen is net zo relevant voor andere overheidsorganisaties. Het inkopen van kerstpakketten bijvoorbeeld. Hoe gaat de leverancier om met de persoonsgegevens van je personeel? Misschien heeft de leverancier dat op orde, maar de leverancier doet meestal niet zelf de bezorging: dat wordt vaak weer uitbesteed. We willen zeker weten dat de adresgegevens van ons personeel niet per ongeluk via via op straat komen te liggen.” 

Risico's signaleren

Bij de politie begint veiligheid al voordat het inkoopproces start, namelijk met de vraag óf ze moeten inkopen. Want in sommige gevallen kan de politie zelf in de behoefte voorzien, zoals bij het ontwikkelen van software. Nummerdor: “Als inkopen wel nodig is, dan stelt de opdrachtgever een business case op. Onderdeel daarvan is het uitvoeren van de NCTV Quickscan. Als er risico's gesignaleerd worden in de business case, volgt een risicoanalyse. Daarin wordt afgewogen welke risico's wel of niet acceptabel zijn, welke risico's gemitigeerd kunnen worden, en welke restrisico's overblijven.” Thijssen vult aan: “Bij iedere risicoanalyse blijven er restrisico's over. Het risico is nooit nul. Er moet daarom altijd een afweging gemaakt worden. Die afweging moet je structureel inbedden in de organisatie. Veilig inkopen is helaas geen kwestie van een simpel lijstje met onveilige producten en diensten.” 

Procesmatig inbedden

Thijssen ziet voor die inbedding 2 geleerde lessen die voor iedere organisatie gelden. “Ten eerste is de bewustwording belangrijk. Idealiter is er bewustwording bij iedere managementlaag en potentiële opdrachtgevers, want die zijn uiteindelijk verantwoordelijk. Maar niet iedere opdrachtgever initieert regelmatig een aanbesteding. De inkopers en de bedrijfsvoering hebben daarom ook een rol in de bewustwording. Zij leveren de juiste processen en tools om de te beschermen belangen in beeld te brengen. Ten tweede moet je procesmatig inbedden wie er aan tafel moeten zitten voor de risicoanalyse. Dat zijn de opdrachtgever en de inkoper, maar bijvoorbeeld ook de IT-afdeling wanneer het om nieuwe laptops gaat. Zowel de bewustwording als het procesmatig betrekken van de juiste interne stakeholders moet gebeuren voordat er wordt ingekocht of een risicoanalyse wordt gemaakt.”

Thijssen: “De ontwikkeling van veilig inkoopbeleid is nooit klaar.”

Lessen uit de leercurve

Die lessen volgen uit de leercurve van de politie. Thijssen: “In het begin ontstond soms verwarring over de terminologie van te beschermen belangen. In bijvoorbeeld de inkoop van drones rond 2019 verschilden de perspectieven. De één signaleerde geen risico's omdat iedere satelliet hetzelfde kan zien. Een ander zag juist wel risico's vanwege de mogelijke toepassingen van gezichtsherkenning op drones. Procesmatig beleid gecombineerd met de juiste tools zorgen nu dat dergelijke onduidelijkheden structureel worden opgelost. Door die tools weten we waar we het over hebben. We praten er met alle relevante belanghebbenden over waardoor alle risico's aan het licht komen. Ik onderstreep het belang hiervan, want dit is toepasbaar in elke organisatie. Ook nationale veiligheid kan op die manier in het inkoopproces worden ingebed.”

Blijven ontwikkelen

In 10 jaar tijd heeft de politie een fundament gelegd. In 2018 werd het Richtsnoer Vendor Screening geïntroduceerd, een eigen afweegkader. In 2023 werd de NCTV-Quickscan verplicht. Thijssen: “Maar de ontwikkeling van veilig inkoopbeleid is nooit klaar. Maatschappelijke omstandigheden veranderen. Diezelfde drones die we in 2019 hebben ingekocht, heeft Defensie inmiddels op non-actief gezet voor hun gebruik. Ook wij hebben de inzet aangepast naar de nieuwste inzichten in veiligheid. Misschien zouden we nu een andere inkoopbeslissing maken voor die drones.”

Nummerdor: "De volgende stap is de ABRO. Het kost tijd en kunde om een kennispositie op dit gebied op te bouwen.”

Een stap vooruit met de ABRO

Ook wanneer veilig inkopen procesmatig is belegd, kan een organisatie niet op haar lauweren rusten. De afgelopen 10 jaar heeft de politie dan ook gewerkt aan kennis, bewustwording en werkprocessen. Nummerdor: “De volgende stap is de ABRO. Het kost veel tijd en kunde om een kennispositie op dit gebied op te bouwen, ook voor een grote organisatie als de politie. Het is veel efficiënter als er een kennisorganisatie bestaat die overheden daarbij ondersteunt. Die rol krijgt het Nationaal Bureau Industrieveiligheid (NBIV), dat verantwoordelijk wordt voor het ABRO-onderzoek. In eerste instantie doen ze dat voor het Rijk en de politie, maar op den duur naar verwachting ook voor andere aanbestedende overheden. Het vergroten van de bewustwording met betrekking tot veiligheidsrisico’s en het opnemen en borgen van checks en maatregelen in het inkoopproces moet iedere organisatie zelf regelen. Combineer dat met de ABRO en het NBIV voor het inbrengen van actuele kennis over dreigingen en voor de selectie en contractering van betrouwbare opdrachtnemers.”

Meer weten over veilig inkopen?

Lees dan verder in het dossier Veilig Inkopen.