Aan de slag met veilig inkopen
Het vroegtijdig herkennen van veiligheidsrisico’s is essentieel bij overheidsopdrachten. Denk aan toegang tot gevoelige informatie, vitale infrastructuur of strategische afhankelijkheden van buitenlandse partijen. Breng risico’s tijdig in beeld met de Toolbox veilig inkopen, en neem gerichte maatregelen. Zo zorg je dat jouw aanbesteding niet alleen rechtmatig en doelmatig, maar ook veilig verloopt.
Niet elke inkoopopdracht of aanbesteding heeft risico’s voor de nationale veiligheid. En als die risico's er wel zijn hoeft dat niet direct te betekenen dat een opdracht niet uitgezet kan worden in de markt. Maar voordat je een opdracht aanbesteedt of gunt aan een partij, is het belangrijk om stil te staan bij de eventuele risico’s voor de nationale veiligheid en maatregelen te nemen.
Toolbox veilig inkopen
Signaleer, analyseer en neem passende maatregelen met de Toolbox veilig inkopen. De toolbox bevat 3 instrumenten:
-
Risico’s signaleren met de Quickscan
Bepaal of er een gevaar is voor de nationale veiligheid bij een inkoopopdracht of aanbesteding. Om veilig te kunnen inkopen is het belangrijk dat je zo vroeg mogelijk in het inkoopproces bepaalt of een opdracht raakt aan een belang voor de nationale veiligheid. Alleen dan kun je als aanbestedende dienst passende maatregelen nemen om risico’s te beperken en juiste keuzes maken in het inkoopproces.
De Quickscan helpt bij het signaleren van veiligheidsrisico’s in aanbestedingen. Deze Quickscan bestaat uit enkele vragen om snel te bepalen of een opdracht een risico vormt voor de nationale veiligheid. Soms is meer onderzoek nodig. De interne opdrachtgever is verantwoordelijk voor het invullen van de Quickscan. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) maakte de Quickscan.- Je gebruikt de Quickscan ruim voor de publicatie van de aankondiging van een opdracht (bij aanbestedingsprocedures) of vóór het verzoek om een offerte (bij enkel- of meervoudige onderhandse procedures).
- De Quickscan stelt 2 soorten vragen. De eerste gaat over toegang tot informatie. De tweede gaat over de locatie. Als je bij een vraag ‘ja’ of ‘mogelijk’ antwoordt, kan er een risico zijn voor de veiligheid. Dan moet je een risicoanalyse doen.
- De interne opdrachtgever is vooral verantwoordelijk voor de Quickscan en voor de risicoanalyse als die nodig is. Deze zorgt ook voor maatregelen tegen mogelijke risico’s. De inkoper kan helpen bij de Quickscan, de risicoanalyse en het nemen van maatregelen.
-
Risico’s analyseren met de Risicoanalyse
Komen er risico’s uit de QuickScan? Doe een risicoanalyse om vast te stellen welke risico’s dit precies zijn en hoe je ze kan wegnemen of verminderen.
Met een risicoanalyse kijk je of de leverancier toegang heeft of kan krijgen tot gevoelige locaties, systemen of installaties. Bijvoorbeeld belangrijke gebouwen, ICT-systemen of vitale infrastructuur. Ook kijk je of misbruik hiervan een risico is voor de nationale veiligheid.
De Risicoanalyse volgt dezelfde thema’s als de Quickscan, maar dan uitgebreider. De risicoanalyse brengt onder meer in kaart:
- Welke processen, systemen, informatie e.d. zijn toegankelijk via de opdracht.
- Hoe wordt het risico zichtbaar: welke stappen moet een opdrachtnemer zetten om echt toegang te verkrijgen tot deze zaken.
- Wat is de impact op het moment dat dit risico zichtbaar wordt.
Zorg dat de risicoanalyse aansluit bij het bredere risicomanagementproces van de organisatie. Kijk wat belangrijk is om te beschermen. Bedenk welke (te beschermen) belangen de organisatie heeft. Kijk welke risico’s nu gelden en welke maatregelen er al zijn. Zo kan jouw organisatie beter inschatten wat nodig is voor een inkoopopdracht of aanbesteding.
Te Beschermen Belangen
In het Besluit BVA-stelsel Rijksdienst 2021 staat als definitie van ‘Te Beschermen Belangen’: “personen, informatie, informatiesystemen, materieel, goederen, imago en objecten, waarbij in geval van compromittering, of de mogelijkheid van compromittering, nadelige gevolgen, of een risico daarop, kan ontstaan voor de vertrouwelijkheid, beschikbaarheid en integriteit van de primaire processen van de rijksoverheid, delen daarvan of voor andere belangen van de Staat, van zijn bondgenoten of van één of meer ministeries”.
-
Risico's afdekken met de Quick guide
Komt uit de Quickscan of risicoanalyse een risico voor de veiligheid? Dan is het belangrijk om goede maatregelen te nemen, de risico’s af te dekken.
Neem passende maatregelen om de risico’s af te dekken door de Quick quide te raadplegen, een overzicht van het aanbestedingsrechtelijk handelingsperspectief om risico´s te beheersen.
Komt uit de Quickscan of risicoanalyse een risico voor de veiligheid? Dan is het belangrijk om goede maatregelen te nemen, de risico’s af te dekken.
Er zijn verschillende manieren om maatregelen te treffen:
- Aanbestedingsrechtelijke kaders
Denk bij aanbestedingsrechtelijke kaders aan specifieke aanbestedingsprocedures, uitsluitingsgronden en het stellen van geschiktheidseisen en (bijzondere) contractvoorwaarden. - Beveiligingsmaatregelen om risico’s te beheersen
Gebruik hiervoor de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) en de Inkoopeisen Cybersecurity Overheid (ICO). Voor de Rijksoverheid is dit verplicht. - Maak ook afspraken met de opdrachtnemer
Bijvoorbeeld over de inzet van personeel, het bestuur en organisatie van de opdrachtnemer. Ook over fysieke en digitale beveiliging. Kijk hiervoor bijvoorbeeld naar de Algemene Beveiligingseisen Defensieopdrachten (ABDO). Binnenkort komen er Algemene Beveiligingseisen voor de Rijksoverheid (ABRO). Bedrijven met gevoelige overheidsopdrachten moeten daaraan voldoen.
- Aanbestedingsrechtelijke kaders