Lessen Veilig Inkopen uit de praktijk van Havenbedrijf Rotterdam

Het team van Saskia Slabbekoorn is verantwoordelijk voor IT-, Facilities-, Arbeid- en Adviesdiensten inkopen bij Havenbedrijf Rotterdam. Daarnaast is zij betrokken bij het dossier veilig inkopen. Het Havenbedrijf koopt jaarlijks voor zo'n 400 miljoen euro in. Daarvan is 300 miljoen euro van de inkoopafdeling voor infrastructuur en 100 miljoen euro voor het team van Slabbekoorn. De financiële en fysieke gevolgschade die ontstaat als het misgaat bij het Havenbedrijf is enorm. Zodoende is het Havenbedrijf door de overheid aangemerkt als vitale aanbieder. Ze zijn wettelijk verplicht om onder andere technische en organisatorische maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen.

Kaders voor veilig inkopen

Daarom staat veiligheid voorop bij de inkopen en aanbestedingen van Havenbedrijf Rotterdam. Slabbekoorn legt uit hoe ze mogelijke risico's bij een aanbesteding identificeren. “Wij gebruiken de kaders uit de Aanbestedingswet Defensie en Veiligheid (ADV). Met name het deel 'veiligheid’ uit die wetgeving is voor ons relevant. Veiligheid wordt in de ADV gekoppeld aan gerubriceerde gegevens, informatie die een geheime of vertrouwelijke classificering heeft. In ons geval heeft bijvoorbeeld het havenveiligheidsplan een gerubriceerde status. Op het moment dat een opdracht in de markt wordt gezet die raakt aan de taken van de havenmeester, gaat er bij ons een vlaggetje omhoog. Het gaat dan over aanbestedingen die bijvoorbeeld te maken hebben met de afwikkeling van het scheepvaartverkeer, IT, of radarsystemen.” 

Procedure waarborgt de veiligheid

Om de veiligheid te waarborgen ligt er een vaste inkoopprocedure klaar bij het Havenbedrijf. Slabbekoorn: “Wanneer een afdeling een inkoopbehoefte heeft, schakelt de opdrachtgever de relevante inkoopafdeling in. Wij stellen vervolgens direct vragen over de mogelijke risico's. Stel dat het bijvoorbeeld over (IT-)opdrachten gaat, gerelateerd aan scheepvaartafwikkeling, dan voeren we de Quickscan en de Risicoanalyse van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) uit. Voor de uitvoering stelt de afdeling inkoop in overleg met de opdrachtgever een inkoopteam samen. Meestal sluit de contractmanager voor de desbetreffende inkoop aan, plus vakspecialisten zoals technici of IT’ers, afhankelijk van het project. Zij brengen praktijkkennis mee. Die kennis is essentieel om risico’s en potentiële schade te kunnen inschatten. Als we met het inkoopteam tot de conclusie komen dat we de opdracht niet openbaar kunnen publiceren, maar onderhands gaan aanbesteden, maken we een marktbenaderingsplan. Dat plan gaat naar een onafhankelijke aanbestedingscommissie. Zij toetsen het plan en geven wel of niet akkoord. Het waarborgen van de veiligheid zit dus in onze hele procedure ingebed.”

Het belang van praktijkexperts

Soms blijkt uit die procedure dat de risico's meevallen. Slabbekoorn: “Het kan zijn dat de mitigatie van risico's al in het project belegd is. Een voorbeeld is de aankoop van een Identity and Access Management (IAM) systeem, een systeem dat identiteiten en toegangsrechten van gebruikers binnen een organisatie beheert en controleert. Wij zagen daarin risico's voor de nationale veiligheid. Maar de IT-expert in het inkoopteam wees ons erop dat vrijwel iedere organisatie een IAM heeft. De aanbesteding daarvan is dus niet zo bijzonder. Bij zo’n aankoop maak je met de leverancier afspraken tot geheimhouding en voer je een leveranciersscreening uit, daardoor zit de risicomitigatie al in de aankoop.”

Overal zit IT in 

Veilig inkopen is voor alle organisaties relevant als het om IT-systemen gaat. Slabbekoorn: “IT zit overal in tegenwoordig. Wij hebben zelfs IT in onze vuilnisbakken: ze geven een signaal af wanneer ze vol zitten. Die vuilnisbakken vallen onder de afdeling Facilities, maar in dit geval dus ook onder de afdeling IT. Steeds meer overlappen deze afdelingen bij inkoopopdrachten. Daarom houden we de afdeling Security die verantwoordelijk is voor IT-beveiliging altijd aangesloten bij een aanbesteding. Zo krijg je de IT-risico's zo scherp mogelijk in beeld.”

Relevant voor iedereen

Niet iedere organisatie heeft misschien risico's op het niveau van nationale veiligheid. Toch ziet Slabbekoorn lessen die voor elke organisatie gelden: “Allereerst is het belangrijk om veilig inkopen serieus te nemen. Dat klinkt als een open deur, maar ik vind dat we in Nederland soms best naïef kunnen zijn. We denken te snel dat het voor ons niet van toepassing is, maar niets is minder waar. Je hoeft de krant maar open te slaan en de AIVD waarschuwt bijvoorbeeld voor hackers. Twijfel je of er risico's zijn, gebruik dan de tools van de NCTV zoals de risicoanalyse. Ten tweede moet de inkoopprocedure op orde zijn. Dat is de fundering van het hele proces. Zorg dat de juiste mensen zijn aangesloten en vergeet daarbij vooral de experts uit de praktijk niet. Tot slot is het best lastige materie, zeker wat betreft regels en wetgeving. Schakel daarom ook altijd de juridische afdeling in: die expertise heb je nodig om tot een veilig inkoopbeleid te komen.”

“Denk niet dat veilig inkopen voor jouw organisatie niet relevant is.”

Groeiend maatschappelijk bewustzijn

Door maatschappelijke en geopolitieke ontwikkelingen wordt veilig inkopen in de toekomst alleen maar relevanter. Dat geldt voor iedere organisatie, niet alleen voor het Havenbedrijf. Slabbekoorn: “Neem bijvoorbeeld artikel 346 van het verdrag betreffende de werking van de Europese Unie (VWEU). Dat artikel stelt dat lidstaten niet verplicht zijn informatie vrij te geven die zij zelf aan staatsveiligheid toeschrijven. Volgens vaste jurisprudentie moet dit principe restrictief worden toegepast. Toch wordt er steeds ruimer gekeken naar wat binnen dit principe als ‘acceptabel’ geldt, doordat het maatschappelijk bewustzijn over nationale veiligheidsrisico’s toeneemt. De meeste organisaties zullen dat steeds meer gaan merken bij de inkoop van ogenschijnlijk praktische zaken. Producten zoals sensoren, drones, telecommunicatieapparatuur en camera’s worden tegenwoordig bij voorkeur bij Europese leveranciers ingekocht. Denk dus niet dat veilig inkopen voor jouw organisatie niet relevant is.”

Meer weten over veilig inkopen?

Lees dan verder in het dossier Veilig Inkopen.