Verslag van de derde bijeenkomst van de INKOOP IB&P Practitioner Community, Amsterdam, 13 maart 2017
Het centrale thema van deze bijeenkomst is: “Op weg naar uniformering van informatiebeveiliging en privacybescherming in inkoop”. Als sprekers zijn aanwezig Menno van Drunen (Supply Value) en Patrick van den Berg (RWS). Aan de hand van praktijk cases worden de deelnemers meegenomen langs de vraagstukken van informatiebeveiliging en privacy. Ná de gehouden teamsessie wordt met enthousiasme het idee opgevat met elkaar het RWS model als basis te hanteren voor een generiek Overheidsmodel.
De bijeenkomst
Ad Kint opent het programma en heet iedereen van harte welkom. Er zijn veel nieuwe gezichten onder de deelnemers. Een korte inleiding over het CIP is daarom even aan de orde. Daarna wordt het resultaat van de gehouden enquête teruggekoppeld. Voornaamste conclusie is: Inkoop speelt een belangrijke rol bij verbetering van Informatiebeveiliging en Privacybescherming.
Vervolgens wordt op het scherm de AVG roadmap getoond.
Het maakt duidelijk dat er wat gaat en moet gebeuren om organisaties voor te bereiden op de AVG per 25 mei 2018.
Veilig ICT inkopen? Een goed begin is het halve werk.
Hoe doe je dat? Menno legt aan de hand van drie belangrijke punten uit:
Van inkoop naar performance procurement; leg de focus op realisatie van de organisatiedoelstellingen (WAAROM en WAT) in plaats van op het WIE en HOE. Minimaliseer de minimale eisen en creëer ruimte voor vakmanschap. Zijn toelichting op de succesfactoren bij prestatiecontracten in bouw en ICT zijn ook van belang (zie sheets).
IT Value contract management & IT Value sourcing; Gebruik het IT value sourcing model om te komen tot een goede vraagspecificatie en gebruik het value contract management model om je prestatiecontract te managen van strategie tot en met evaluatie. Hiermee borg je dat je jouw doelstelling behaalt wordt binnen de gestelde kaders.
Lessen uit de praktijk; Beveiligingseisen zijn soms nog een wirwar, waardoor het noodzakelijk is dubbelingen er uit te halen, eisen toe te wijzen aan de juiste partij in de keten, SMART maken waar mogelijk is en de toepasselijkheid bepalen en prioriteiten stellen. Verder is het van belang veilig inkopen te borgen in iedere organisatie. Menno doet de suggestie hiervoor een expert team samen te stellen om zo te borgen dat het wiel niet steeds opnieuw uitgevonden hoeft te worden.
Tot slot luidt het devies van Menno:
• CIP producten kunnen helpen om te versnellen en te vereenvoudigen;
• Een tool om de juiste eisen te selecteren voor jouw situatie kan helpen;
• Denk vooraf goed na over het waarom, een goed begin is het halve werk!
Informatiebeveiliging, Privacybescherming bij inkoop/contractmanagement
In dit programmaonderdeel presenteert RWS een methodiek voor contractmanagement en inkoop om privacy- en beveiligingseisen te borgen in processen.
Patrick introduceert het RWS en legt daarna het accent bij Informatie voorziening voor ICT en IA.
Security is integraal onderdeel van het te ontwerpen, bouwen, realiseren en te exploiteren Systeem. Dit betekent dat security integraal onderdeel moet worden van het ontwikkel- en onderhoudsproces.
Het Security by Design team ondersteunt de business bij borging in het design proces (Security by Design) en de verdere life-cycle van IA en ICT trajecten. Security conform BIR is in de life-cycle opgenomen. De problemen bij BIR en contracten zijn geïnventariseerd. Een oplossing is tot stand gekomen door standaard contracteisen (VSP/VSE) te ontwikkelen voor informatievoorziening.
Patrick geeft een gedetailleerde uitleg van de VSE/VSP selectie tool. De ontwikkelde vragenlijst helpt daarbij een selectie te maken van de contracteisen. Het dient als hulpmiddel voor de contractmanager. De reacties van marktpartijen en contractmanagement zijn zeer positief. De ICT marktpartijen zijn aangenaam verrast door de reductie van het aantal eisen. De ISO 27001/2 aanpak wordt herkend en er is meer goodwill om contracteisen door te voeren.
RWS nodigt de deelnemers van deze tot nu toe boeiende middag uit, na te denken over de stelling: “Een generieke versie van de VSP/VSE eisen heeft de potentie een kapstok te vormen voor het merendeel van de CIP normenkaders en richtlijnen”.
Teamsessie “Kan het RWS model basis zijn voor een generiek overheidsmodel?
Eindelijk kunnen de deelnemers zelf aan het werk.
Met veel enthousiasme worden in drie groepen de voors en de tegens verzameld om de voorliggende vraag te beantwoorden.
Een halfuur lang wordt met volle overtuiging onderling gediscussieerd.
De opbrengsten worden plenair per groep toegelicht.
De conclusie luidt unaniem: Ja, graag!
De resultaten op circa 3 meter flipovervellen, illustreren de sfeer aan het eind van deze inspirerende middag voor Inkoop Informatiebeveiliging en Privacybescherming. De RWS tool wordt volmondig omarmd door de community. Grote voordelen zijn:
• Uniformiteit binnen de Overheid (overheid en markt)
• Concrete eisen duidelijk voor leveranciers
• Meer tijd voor specifieke risico’s.
Tot slot van deze middag sluit Ad Kint met glinsterende oogjes af. Afgesproken wordt dat het CIP in overleg met RWS verder bekijkt hoe de gemeenschappelijke wens het beste gestalte kan krijgen.
