Inkoopvoorwaarden en informatiebeveiligingseisen

Transcriptie

1 Handreiking Inkoopvoorwaarden en informatiebeveiligingseisen Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)

2 Colofon Naam document Handreiking Inkoopvoorwaarden en informatiebeveiligingseisen Versienummer 2.0 Versiedatum Maart 2019 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD) Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. De IBD wordt als bron vermeld; 2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten; 4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten, licentie onder: CC BY-NC-SA 4.0. Bezoek voor meer informatie over de licentie. Rechten en vrijwaring De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

3 Wijzigingshistorie Versie Datum Wijziging / Actie 1.0 Januari 2014 Eerste versie Augustus 2016 Taskforce BID verwijderd, WBP vervangen door Wbp, GBA vervangen door BRP en contactgegevens IBD aangepast 2.0 Maart 2019 BIO update Over de IBD De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD. De IBD is ondergebracht bij VNG Realisatie. Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Overheid (BIO). Doel Dit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden. Doelgroep Dit document is van belang voor de inkopers van de gemeente. 3

4 Relatie met overige producten Baseline Informatiebeveiliging Overheid (BIO) Informatiebeveiligingsbeleid van de gemeente Handreiking Standaard Verwerkersovereenkomst Gemeenten Handreiking Service Level Agreements (SLA) Contractmanagement Verwijzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO) Analyse en specificatie van informatiebeveiligingseisen Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de BIO De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen Principes voor engineering van beveiligde systemen Informatiebeveiligingsbeleid voor leveranciersrelaties Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie Leveranciers moeten hun keten van toeleveranciers bekend maken en transparant zijn over de maatregelen die zij genomen hebben om aan de hun opgelegde eisen door te vertalen naar hun toeleveranciers. Wat is er veranderd ten opzichte van de BIG? Er is weinig veranderd ten opzichte van de BIG, in de maatregelen en controls is er een kleine nuance.

5 Inhoudsopgave 1. Inleiding Het belang van beveiligingseisen in inkoopvoorwaarden Beveiligingseisen in inkoopvoorwaarden Hiërarchie in voorwaarden Beveiligingseisen in gemeentelijke Algemene Inkoopvoorwaarden...9 5

6 1. Inleiding Inkopen is een belangrijk proces binnen gemeenten waar vaak miljoenen mee gepaard gaan. Gemeenten zijn namelijk in grote mate afhankelijk van leveranciers. Via contractmanagement moeten de belangen van gemeenten geborgd zijn. 1 Hierbij is het belangrijk dat goede afspraken, waaronder over informatiebeveiliging, met de leverancier zijn gemaakt en worden vastgelegd voordat het contract wordt afgesloten. Gemeenten beschikken vaak over eigen inkoopvoorwaarden die veelal nog niet voorzien zijn van informatiebeveiligingseisen. Wanneer gemeenten IT-gerelateerde inkopen doen, wordt aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). 2 Het is daarom goed om de GIBIT op te nemen in het inkoopbeleid van de gemeenten. Voorliggend document werkt de informatiebeveiligingseisen uit die de inkoopvoorwaarden van een gemeente versterken Het belang van beveiligingseisen in inkoopvoorwaarden Bij het verwerven van producten of diensten is het van belang om in een vroegtijdig stadium aan mogelijke leveranciers kenbaar te maken welke beveiligingsniveau de gemeente hanteert en welke beveiligingseisen de gemeente heeft en wat zij hierbij verwacht van de leverancier. Dit zodat hier niet achteraf discussie over kan ontstaan. Het vroegtijdig aangeven van beveiligingseisen zorgt ervoor dat leveranciers hier ook tijdig op in kunnen spelen. De verantwoordelijkheid voor informatiebeveiliging kan niet bij een leverancier worden belegd, neem bijvoorbeeld het outsourcen van ICT-services, Cloud Computing of het verwerken van persoonsgegevens. De gemeente is en blijft eindverantwoordelijk voor de informatiebeveiliging. 1 Zie hierv oor het operationele product Contractmanagement 2 Meer inf ormatie ov er de Gemeentelijke Inkoopv oorwaarden bij IT (GIBIT): ngrealisatie.nl/gibit

7 2. Beveiligingseisen in inkoopvoorwaarden Gemeenten hanteren vaak eigen Algemene Inkoopvoorwaarden (AIV) voor het afnemen van producten en/of diensten. In deze inkoopvoorwaarden moet ook rekening gehouden worden met de BIO-beveiligingseisen en het gemeentelijk informatiebeveiligingsbeleid dat op de BIO is gebaseerd. In de GIBIT zijn daarentegen standaard artikelen opgenomen die expliciet belangrijke beveiligingseisen waarborgen, zoals (niet-limitatief): Toe te passen ICT-kwaliteitsnormen, interoperabiliteitseisen en standaarden (artikel 6 GIBIT). Het hebben van een acceptatieprocedure (artikel 7 GIBIT). Aansprakelijkheid (artikel 13 GIBIT). Geheimhouding (artikel 15 GIBIT). Toegang tot data en autorisaties (artikel 18 GIBIT). Controlerecht en medewerking bij audits (artikel 21 GIBIT). Exitplan en -scenario (artikel 22 GIBIT). Verwerkersrelatie, in de zin van de AVG (artikel 24 GIBIT). Verwerking persoonsgegevens (artikel 25 GIBIT). Informatiebeveiliging(sniveau) (artikel 26 GIBIT). Meldplicht informatiebeveiligingsincidenten (artikel 27 GIBIT). Waarborging continuïteit, waaronder data-escrow (artikel 32 GIBIT). In paragraaf 2.1 is de hierarchie en relatie gevisualiseerd ten aanzien van de producten (en regels) die er zijn rondom informatiebeveiligingseisen ten aanzien van inkoop. In paragraaf 2.2 is ingegaan welke aspecten binnen de inkoopvoorwaarden in ieder geval geborgd moeten zijn. Dit kan deels geborgd zijn door de GIBIT van toepassing te verklaren en/of door inkoopvoorwaarden expliciet te borgen in het (hoofd)contract Hiërarchie in voorwaarden Er is een hiërarchie tussen de BIO, het gemeentelijk informatiebeveiligingsbeleid, de AIV van de gemeente en de GIBIT. Bovendien zijn er ook andere contractvormen die rondom producten en of diensten nodig zijn. Figuur 1 visualiseert de hiërarchie en de contractvormen. Het is van belang na te denken over de hiërarchie, omdat van boven naar beneden de beveiligingseisen goed verankerd moeten zijn. Het informatiebeveiligingsbeleid is door de gemeente op maat gemaakt beleid, dat aanvullend op geldende wet- en regelgeving nadere voorwaarden kan bevatten. Dat beleid omvat vaak een verdere invulling van wettelijke normenkaders op organisatieniveau. Het totaal aan wet- en regelgeving en het informatiebeveiligingsbeleid, voedt de contractuele bepalingen. De inkoopcontracten kunnen bestaan uit een aantal documenten, zo als algemene voorwaarden en het contract. De algemene voorwaarden zijn standaardcontracten die een organisatie richting meerdere partijen hanteert. De GIBIT kan hier onderdeel van zijn. Daarin staan dus de algemene afspraken die richting verschillende partijen gehanteerd kunnen worden. Daarnaast worden in een specifiek contract de afspraken tussen twee specifieke partijen geregeld. In dit contract zijn de wensen en eisen nader gespecificeerd, en de concrete beveiligingseisen uitgewerkt. Het is niet voldoende om hier willekeurig de bestaande gemeentelijke beveiligingsbeleidsdocumenten te gebruiken, die zijn vaak niet zondermeer geschikt voor een leverancier. Tevens kan een Service Level Agreement (SLA) nodig zijn voor het borgen en meetbaar maken van serviceafspraken. Een SLA heeft doorgaans betrekking op dienstverleningsafspraken, nadat dat systeem is opgeleverd. 7

8 Indien degene met wie een contract wordt gesloten persoonsgegevens zal gaan verwerken, of persoonsgegevens mogelijkerwijs kan inzien, is aanvullend een verwerkersovereenkomst nodig. Zie Artikel 28 Algemene Verordening Gegevensbescherming (AVG). Als bijvoorbeeld een ICT-dienstverlener een applicatie aanbiedt (bijvoorbeeld door middel van SaaS), en in die applicatie staan persoonsgegevens, dan is de leverancier de verwerker (ook al werkt de leverancier niet rechtstreeks met de gegevens, ze kan er wel bij). 3 Figuur 1 Hiërarchie en contractvormen ten aanzien van de beveiligingseisen in inkoopvoorwaarden 3 De SLA en de verwerkersovereenko mst zijn aparte producten van de IBD

9 2.2. Beveiligingseisen in gemeentelijke Algemene Inkoopvoorwaarden Op basis van de BIO is het van belang om een risicoanalyse uit te voeren in relatie tot de dienst of het product da t ingekocht wordt. Hiervoor kan de baselinetoets gebruikt worden. Doel is scherp te krijgen welk beveiligingsniveau van toepassing is en welke beheersmaatregelen getroffen moeten worden. Op basis daarvan kan vervolgens bepaald worden welke afspraken expliciet in het contract met de leverancier moeten worden gemaakt. Deze afspraken worden contractueel vastgelegd. Met deze werkwijze kunnen relevante beveiligingsaspecten in een vroegtijdig stadium onderwerp zijn van het inkoopproces. Onderstaande basis-onderwerpen betreffende informatiebeveiliging dienen minimaal terug te komen in de Algemene Inkoopvoorwaarden van de gemeente (op basis van de uitgevoerde risicoanalyse is het mogelijk om meer onderwerpen expliciet op te nemen in het contract): Onderwerp: Leidende algemene inkoopvoorwaarden De GIBIT is van toepassing op de hoofdovereenkomst en is bepalend. De Algemene Inkoopvoorwaarden van de leverancier wijst de gemeente expliciet van de hand. Aanvullingen en afwijkingen op de GIBIT zijn expliciet in het contract vastgelegd. De GIBIT levert een set van uniforme inkoopvoorwaarden die gemeenten kunnen gebruiken bij IT-gerelateerde inkopen. De GIBIT biedt ruimte om eventuele afwijkingen en aanvullingen op te nemen. De GIBIT-overeenkomstengenerator kan de gemeente hierbij helpen. 4 Ter waarborging van de vertrouwelijkheid of geheimhouding worden bij IT-inkopen standaard voorwaarden voor inkoop gehanteerd door de gemeente. Onderwerp: Personeel van de contractant Het is de leverancier verboden, zonder voorafgaande uitdrukkelijke schriftelijke toestemming van de gemeente, de uitvoering van een contract geheel of gedeeltelijk aan derden over te dragen of uit te besteden, dan wel gebruik te maken van ter beschikking gestelde of ingeleende arbeidskrachten. Het is noodzakelijk inzicht te hebben in wie werkzaamheden verricht voor de gemeente. Het kan voorkomen dat een partij hiervoor derden inschakelt die mogelijkerwijs daarmee niet voldoen aan de andere beveiligingseisen die gesteld zijn. Hiervan moet de gemeente op de hoogte zijn. Onderwerp: Personeel van de contractant Alle voorwaarden en eisen die gelden voor personeel van de leverancier zijn ook van toepassing op derden, die in opdra cht van de leverancier diensten verrichten voor de gemeente. Als er inzicht is in het inzetten van derden door de leverancier, dienen alle voorwaarden en eisen ook van toepassing te zijn op die derden. 4 Meer inf ormatie: ngrealisatie.nl/producten/gibit-ov ereenkomstengenerator 9

10 Onderwerp: Geheimhouding Leverancier zal het bestaan, de aard en de inhoud van de contract, evenals overige bedrijfsinformatie van de gemeente geheimhouden en niets daaromtrent openbaar maken zonder schriftelijke toestemming van de gemeente. De leverancier staat er voor in dat personeel van de leverancier, overige personeelsleden en derden de bepalingen betreffende gedrag, vertrouwelijkheid en bescherming van gegevens naleven. De leverancier zal geen informatie van de gemeente openbaar maken zonder toestemming van de gemeente. Eventueel wordt een geheimhoudingsverklaring door de leverancier getekend. Als dit niet collectief kan, dient iedere ingehuurde medewerker apart een geheimhoudingsovereenkomst te tekenen. Artikel 15 uit de GIBIT gaat over geheimhouding. Onderwerp: Verklaring Omtrent het Gedrag (VOG) Medewerkers van de leverancier overleggen voor aanvang van de werkzaamheden bij de gemeente een recente Verklaring Omtrent het Gedrag (VOG). De leverancier stemt voorafgaand aan de aanvraag de noodzaak, inhoud en aard hiervan af met de gemeente. Externe medewerkers moeten, net zo goed als interne medewerkers, een VOG kunnen overleggen bij aanvang van de werkzaamheden voor de gemeente. Overigens hoeft dit niet voor alle medewerkers te gelden. Als iemand helemaal niet in aanraking komt met gevoelige gegevens of systemen is een VOG misschien wat te veel gevraagd. Onderwerp: Gedragsregels De leverancier zal voor de prestaties voldoende personen inzetten met voldoende opleiding, vaardigheden en kennis van de bedrijfsvoering en organisatie van de gemeente, om de prestaties te verrichten. Wanneer de hierboven genoemde personen zich bij de gemeente bevinden, of in direct contact met de gemeente staan, zal het personeel van de leverancier de gedragsvoorschriften van de gemeente naleven. Hiermee zal gevolg gegeven worden aan redelijke verzoeken van de gemeente. De leverancier moet blijk geven van het hebben van personeel met voldoende kennis en kunde om de werkzaamheden binnen de gemeente te verrichten. Dit hangt samen met beveiligingseisen, die bijvoorbeeld door scholing en/of voldoende kennis en kunde gebruikersfouten beperken. Daarnaast moet extern personeel zich net zo goed houden aan de gedragsregels van de gemeente als de gemeenteambtenaar. Onderwerp: Diensten en goederen Service Level Agreement (SLA) In het geval van af te nemen diensten met afgesproken serviceniveaus wordt tussen de leverancier en de gemeente een SLA afgesloten, volgens het model van de IBD. Als diensten worden afgenomen, dan horen daar serviceniveaus bij en de manier van meten en rapporteren. Deze serviceniveaus gaan ook over beveiligingsaspecten, zoals bijvoorbeeld beschikbaarheid, melden van incidenten, doorvoeren van wijzigingen, serviceniveaus en escalatie. Artikel 8 van de GIBIT heeft betrekking op een SLA.

11 Onderwerp: Informatieveiligheid De leverancier accepteert de maatregelen uit de BIO, voor zover van toepassing verklaard door de gemeente, en past deze toe op de geleverde producten en/of diensten. Leveranciers maken aansluitend hun keten van toeleveranciers bekend maken en zijn transparant over de maatregelen die zij genomen hebben om aan de hun opgelegde eisen door te vertalen naar hun toeleveranciers. Als een leverancier producten en/of diensten levert aan de gemeente, dan dient de leverancier uit te gaan van het basisbeveiligingsniveau van de gemeente, dat gebaseerd is op de BIO. Eventueel wordt een link toegevoegd of de BIO is onderdeel van de eisen en wensen. Hoofdstuk 2 uit de GIBIT heeft betrekking op informatiebeveiliging (en ook privacy en archivering) en artikel 26 gaat expliciet over informatiebeveiliging. Onderwerp: Persoonsgegevens De leverancier accepteert dat wanneer er persoonsgegevens worden verwerkt in systemen van de leverancier buiten de gemeente (bijvoorbeeld bij SaaS), er een verwerkersovereenkomst wordt afgesloten als onderdeel van het contract. Tevens worden in het contract afspraken vastgelegd betreffende aansprakelijkheid en schade in geval van incidenten. De standaard verwerkersovereenkomst gemeenten van de IBD wordt gehanteerd. Als persoonsgegevens van de gemeente worden gehost bij een externe partij, dan is deze 3 e partij vanuit de AVG een verwerker. Of deze 3 e partij zelf iets verwerkt of niet, maakt niet uit. De gemeente is en blijft verantwoordelijk voor deze persoonsgegevens. Daarmee is de gemeente verplicht om beveiligingsmaatregelen te laten uitvoeren door deze 3 e partij en deze ook jaarlijks te (laten) toetsen. Deze beveiligingsmaatregelen en verantwoordelijkheden worden in een verwerkersovereenkomst vastgelegd. Artikel 24 en 25 van de GIBIT gaan expliciet over de verwerkersrelatie en de verwerkersovereenkomst. Onderwerp: Melden van (beveiligings)incidenten In het geval van afnemen van producten en/of diensten accepteert de leverancier dat (beveiligings)incidenten direct gemeld worden aan de gemeente, en als dat wettelijk noodzakelijk is ook aan de Autoriteit Persoonsgegevens. Bij niet gemelde incidenten waar persoonsgegevens bij betrokken zijn, zal de gemeente een ontvangen boete en ontstane schade verhalen op de leverancier. Wanneer een kwetsbaarheid is gecontstateerd bij de leverancier, dan zorgt de leverancier er ook voor dat deze wordt opgelost. Algemeen: Als de leverancier informatie van de gemeente host op haar systemen, dienen (beveiligings)incidenten direct gemeld te worden aan de betrokken contactpersoon van de gemeente. De gemeente dient te kunnen reageren op (beveiligings)incidenten en deze melding dient door de contactpersoon van de gemeente gemeld te worden aan de IBD. Daarbij dienen de geconstateerde kwetsbaarheden door de leverancier o ok opgelost te worden. Artikel 27 uit de GIBIT heeft betrekking op de meldplicht voor beveiligingsincidenten. Incidenten met persoonsgegevens: Bij een datalek moet de gemeente afwegen of ook aan de Autoriteit Persoonsgegevens (AP) gemeld moet worden en aanvullend betrokkenen geïnformeerd moeten worden. 11

12 Onderwerp: controle en toezicht De gemeente kan een externe audit, waaronder een penetratietest, laten uitvoeren om te controleren dat aan beveiligingseisen die van toepassing zijn wordt voldaan. Een audit is niet nodig als de contractant door middel van certificering aantoont dat de gewenste betrouwbaarheid van de dienst is geborgd, dan wel aantoont dat een onafhankelijke audit heeft plaatsgevonden en de relevante resultaten deelt met de gemeente. De leverancier kan te maken krijgen met beveiligingseisen in bijvoorbeeld de verwerkersovereenkomst, de gemeente moet dan controleren dat die beveiligingseisen ook worden nageleefd. Om te voorkomen dat bij een leverancier door iedere klant jaarlijks audits worden uitgevoerd, kan de leverancier ook volstaan met een Third Party Mededeling (TPM)-verklaring waardoor de auditlast verminderd. Artikel 8.12 en artikel 21 van de GIBIT hebben betrekking op controle en rapportage. Onderwerp: controle en toezicht De contractant levert verantwoordingsrapportages aan de gemeente conform afgesproken prestatie-indicatoren. In de inkoopcontracten dient de gemeente expliciete prestatie-indicatoren en bijbehorende verantwoordingsrapportages op te nemen. Voor controle en toezicht is het van belang dat voor afsluiting van het contract welke prestatie-indicatoren van toepassing zijn en afspraken te maken met de leverancier dat hier periodiek over wordt gerapporteerd. Artikel 8.12 en artikel 21 van de GIBIT hebben betrekking op controle en rapportage. Onderwerp: Escrow De leverancier draagt zorg voor een Escrow. Zo heeft de gemeente in voorkomend geval de mogelijkheid om bij het in vervulling gaan van één of meer in de Escrow genoemde voorwaarden, software die onderdeel is van het contract, eigenmachtig te (laten) gebruiken voor het herstellen van fouten en anderszins het onderhouden en beheren van de standaardprogrammatuur. De gemeente die software gebruikt van een leverancier op haar eigen ICT-infrastructuur of in een Cloud toepassing, moet de mogelijkheid hebben om bijvoorbeeld in het geval dat de software leverancier failliet gaat te waarborgen dat de software onderhouden en gebruikt kan blijven worden. Artikel 32 Waarborgen continuïteit van de GIBIT heeft betrekking op data-escrow. Onderwerp: Exit-strategie De contractant beschikt over een expliciete uitwerking van de exit-strategie. Voordat een contract wordt afgesloten wordt in een risicoafweging bepaald of de afhankelijkheid van een leverancier beheersbaar is. Een vast onderdeel van het contract is een expliciete uitwerking van de exit-strategie. Artikel 22 van de GIBIT heeft hier betrekking op (overstap van opdrachtgever naar een ander systeem, afschaling en overdracht).

13 Onderwerp: Ontwikkeling van software en systemen De gangbare principes rondom Security by design zijn uitgangspunt voor de ontwikkeling van software en systemen. Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast. Het is van belang grip te hebben op Secure Software Development. 13

14 Kijk voor meer informatie op: Nassaulaan JS Den Haag CERT: (9:00 17:00 ma vr) CERT 24x7: Piketnummer (instructies via voic ) / incident@ibdgemeenten.nl