INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Colofon Naam document Inkoopvoorwaarden en informatiebeveiligingseisen. Versienummer 1.0 Versiedatum Januari 2014 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2
Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is er één van. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG en PUN, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3
Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit product bevat aanwijzingen voor beveiligingseisen in inkoopvoorwaarden van de gemeente. Doelgroep Dit document is van belang voor inkopers van de gemeente. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten o Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten Informatiebeveiligingsbeleid van de gemeente De bewerkersovereenkomst De Service Level Agreement (SLA) Contracten Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Maatregel 6.2 Externe partijen Maatregel 12.1.1 Beveiligingseisen ICT-systemen 4
Inhoud 1 Inleiding 6 1.1 Het belang van beveiligingseisen in inkoopvoorwaarden 6 1.2 Raakvlakken 6 2 Beveiligingseisen in inkoopvoorwaarden 7 2.1 Algemeen 7 2.2 Hiërarchie in voorwaarden 7 2.3 Beveiligingseisen in gemeentelijke Algemene Inkoopvoorwaarden 8 5
1 Inleiding Binnen gemeenten worden vaak eigen inkoopvoorwaarden gebruikt of er wordt gebruik gemaakt van algemene inkoopvoorwaarden zoals de Algemene Rijksinkoopvoorwaarden Diensten (ARVODI). Inkoopvoorwaarden voorzien veelal (nog) niet in informatiebeveiligingseisen. Dit document werkt informatiebeveiligingseisen uit die de inkoopvoorwaarden van een gemeente versterken. In de BIG worden eisen benoemd met betrekking tot de inkoopvoorwaarden, deze staan benoemd in hoofdstuk 6.2 en hoofdstuk 12.1.1. Ook staan in het voorbeeld gemeentelijk beveiligingsbeleid van de IBD (hoofdstuk 2.4.1) de algemene beveiligingsbeleidsuitgangspunten voor het omgaan met externe partijen. 1.1 Het belang van beveiligingseisen in inkoopvoorwaarden Bij het verwerven van producten of diensten is het van belang om in een vroegtijdig stadium aan mogelijke leveranciers kenbaar te maken welke beveiligingseisen de gemeente wenst te nemen, of door haar leverancier uitgevoerd wenst te zien. Dit zodat hier niet achteraf discussie over kan ontstaan. Het vroegtijdig aangeven van beveiligingseisen zorgt ervoor dat leveranciers hier ook tijdig op in kunnen spelen. De verantwoordelijkheid voor informatiebeveiliging kan niet zomaar bij een leverancier worden belegd, neem bijvoorbeeld het outsourcen van ICT-services, Cloud Computing of het bewerken van persoonsgegevens. 1.2 Raakvlakken Overige verbintenissen en beleidsafspraken met beveiligingseisen die raakvlakken kennen met de inkoopvoorwaarden zijn: Informatiebeveiligingsbeleid van de gemeente ICT-beheer Service Level Agreements (SLA) Bewerkersovereenkomsten (ICT)-contracten 6
2 Beveiligingseisen in inkoopvoorwaarden 2.1 Algemeen Gemeenten hanteren vaak eigen Algemene Inkoopvoorwaarden (AIV) voor het afnemen van producten en/of diensten. In deze inkoopvoorwaarden moet ook rekening gehouden worden met de BIG-beveiligingseisen en het daarvan afgeleide gemeentelijk informatiebeveiligingsbeleid. 2.2 Hiërarchie in voorwaarden Er is een hiërarchie tussen de BIG, het gemeentelijk informatiebeveiligingsbeleid en de Algemene Inkoopvoorwaarden van de gemeente. Bovendien zijn er ook andere contractvormen die rondom producten en of diensten nodig zijn. Dit ziet er als volgt uit: 7
Het is van belang na te denken over de hiërarchie, omdat van boven naar beneden de beveiligingseisen goed verankerd moeten zijn. Het beveiligingsbeleid is het door de gemeente op maat gemaakte beleid, dat aanvullend op geldende wet- en regelgeving nadere voorwaarden kan bevatten. Dat beleid omvat vaak een verdere invulling van wettelijke normenkaders op organisatieniveau. Het totaal aan wet- en regelgeving en het beveiligingsbeleid, voedt de contractuele bepalingen. De inkoopcontracten kunnen bestaan uit een aantal documenten, zoals algemene voorwaarden en het contract. De algemene voorwaarden zijn standaardcontracten die een organisatie richting meerdere partijen hanteert. Daarin staan dus de algemene afspraken die richting verschillende partijen gehanteerd kunnen worden. Daarnaast worden in een specifiek contract de afspraken tussen twee specifieke partijen geregeld. In dit contract zijn de wensen en eisen nader gespecificeerd, en de concrete beveiligingseisen uitgewerkt. Het is niet voldoende om hier willekeurig de bestaande gemeentelijke beveiligingsbeleidsdocumenten te gebruiken, die zijn vaak niet zondermeer geschikt voor een leverancier. Tevens kan een Service Level Agreement (SLA) nodig zijn voor het borgen en meetbaar maken van serviceafspraken. Een SLA heeft doorgaans betrekking op het onderhoud van een ICT-systeem, nadat dat systeem is opgeleverd. Indien degene met wie een overeenkomst wordt gesloten persoonsgegevens zal gaan verwerken, of persoonsgegevens mogelijkerwijs kan inzien, is aanvullend een bewerkersovereenkomst nodig. Zie Artikel 12 Wet Bescherming Persoonsgegevens (WBP). Als bijvoorbeeld een ICT-dienstverlener een applicatie aanbiedt (bijvoorbeeld door middel van SaaS), en in die applicatie staan persoonsgegevens, dan is de leverancier de bewerker (ook al werkt de leverancier niet rechtstreeks met de gegevens, ze kan er wel bij). De SLA en de bewerkersovereenkomst zijn aparte producten van de IBD. 2.3 Beveiligingseisen in gemeentelijke Algemene Inkoopvoorwaarden Op basis van de BIG-maatregelen is het aan te bevelen om de volgende onderwerpen op te nemen in de gemeentelijke Algemene Inkoopvoorwaarden. Daarmee kunnen relevante beveiligingsaspecten in een vroegtijdig stadium onderwerp zijn van het inkoopproces. Onderstaande onderwerpen betreffende informatiebeveiliging dienen terug te komen in de Algemene Inkoopvoorwaarden van de gemeente: Onderwerp: Personeel van de contractant Het is de leverancier verboden, zonder voorafgaande uitdrukkelijke schriftelijke toestemming van de gemeente, de uitvoering van een overeenkomst geheel of gedeeltelijk aan derden over te dragen of uit te besteden, dan wel gebruik te maken van ter beschikking gestelde of ingeleende arbeidskrachten. 8
Het is noodzakelijk inzicht te hebben in wie werkzaamheden verricht voor de gemeente. Het kan voorkomen dat een partij hiervoor derden inschakelt die mogelijkerwijs daarmee niet voldoen aan de andere beveiligingseisen die gesteld zijn. Hiervan moet de gemeente op de hoogte zijn. Onderwerp: Personeel van de contractant Alle voorwaarden en eisen die gelden voor personeel van de leverancier zijn ook van toepassing op derden, die in opdracht van de leverancier diensten verrichten voor de gemeente. Als er inzicht is in het inzetten van derden door de leverancier, dienen alle voorwaarden en eisen ook van toepassing te zijn op die derden. Onderwerp: Geheimhouding Leverancier zal het bestaan, de aard en de inhoud van de overeenkomst, evenals overige bedrijfsinformatie van de gemeente geheimhouden en niets daaromtrent openbaar maken zonder schriftelijke toestemming van de gemeente. De leverancier staat er voor in dat personeel van de leverancier, overige personeelsleden en derden de bepalingen betreffende gedrag, vertrouwelijkheid en bescherming van gegevens naleven. De leverancier zal geen informatie van de gemeente openbaar maken zonder toestemming van de gemeente. Eventueel wordt een geheimhoudingsverklaring door de leverancier getekend. Als dit niet collectief kan, dient iedere ingehuurde medewerker apart een geheimhoudingsovereenkomst te tekenen. Onderwerp: Verklaring Omtrent het Gedrag (VOG) Medewerkers van de leverancier overleggen voor aanvang van de werkzaamheden bij de gemeente een recente Verklaring Omtrent het Gedrag (VOG). De leverancier stemt voorafgaand aan de aanvraag de noodzaak, inhoud en aard hiervan af met de gemeente. Externe medewerkers moeten, net zo goed als interne medewerkers, een VOG kunnen overleggen bij aanvang van de werkzaamheden voor de gemeente. Overigens hoeft dit niet voor alle medewerkers te gelden. Als iemand helemaal niet in aanraking komt met gevoelige gegevens of systemen is een VOG misschien wat te veel gevraagd. Onderwerp: Gedragsregels De leverancier zal voor de prestaties voldoende personen inzetten met voldoende opleiding, vaardigheden en kennis van de bedrijfsvoering en organisatie van de gemeente, om de prestaties te verrichten. Wanneer de hierboven genoemde personen zich bij de gemeente bevinden, of in direct contact met de gemeente staan, zal het personeel van de leverancier de gedragsvoorschriften van de gemeente naleven. Hiermee zal gevolg gegeven worden aan redelijke verzoeken van de gemeente. De leverancier moet blijk geven van het hebben van personeel met voldoende kennis en kunde om de werkzaamheden binnen de gemeente te verrichten. Dit hangt samen met beveiligingseisen, die 9
bijvoorbeeld door scholing en/of voldoende kennis en kunde gebruikersfouten beperken. Daarnaast moet extern personeel zich net zo goed houden aan de gedragsregels van de gemeente als de gemeenteambtenaar. Onderwerp: Diensten en goederen Service Level Agreement (SLA) In het geval van af te nemen diensten met afgesproken serviceniveaus wordt tussen de leverancier en de gemeente een Service Level Agreement (SLA) afgesloten, volgens het model van de IBD. Als diensten worden afgenomen, dan horen daar serviceniveaus bij en de manier van meten en rapporteren. Deze serviceniveaus gaan ook over beveiligingsaspecten, zoals bijvoorbeeld beschikbaarheid, melden van incidenten, doorvoeren van wijzigingen, serviceniveaus en escalatie. Onderwerp: Informatieveiligheid De leverancier accepteert de maatregelen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), voor zover van toepassing verklaard door de gemeente, en past deze toe op de geleverde producten en/of diensten. Als een leverancier producten en/of diensten levert aan de gemeente, dan dient de leverancier uit te gaan van het basisbeveiligingsniveau van de gemeente, dat gebaseerd is op de BIG. Eventueel wordt een link toegevoegd of de BIG is onderdeel van de eisen en wensen. Onderwerp: Persoonsgegevens De leverancier accepteert dat wanneer er persoonsgegevens worden bewerkt in systemen van de leverancier buiten de gemeente (bijvoorbeeld bij SaaS), er een bewerkersovereenkomst wordt afgesloten als onderdeel van het contract. Tevens worden in het contract afspraken vastgelegd betreffende aansprakelijkheid en schade in geval van incidenten. Als persoonsgegevens van de gemeente worden gehost bij een externe partij, dan is deze 3 e partij vanuit de Wet Bescherming Persoonsgegevens (WBP) een bewerker. Of deze 3 e partij zelf iets bewerkt of niet, maakt niet uit. De gemeente is en blijft verantwoordelijk voor deze persoonsgegevens. Daarmee is de gemeente verplicht om beveiligingsmaatregelen te laten uitvoeren door deze 3 e partij en deze ook jaarlijks te (laten) toetsen. Deze beveiligingsmaatregelen en verantwoordelijkheden worden in een bewerkersovereenkomst vastgelegd. Onderwerp: Melden van (beveiligings)incidenten In het geval van afnemen van producten en/of diensten accepteert de leverancier dat (beveiligings)incidenten direct gemeld worden aan de gemeente, en als dat wettelijk noodzakelijk is ook aan het College Bescherming Persoonsgegevens (CBP). Bij niet gemelde incidenten waar persoonsgegevens bij betrokken zijn, zal de gemeente een ontvangen boete en ontstane schade verhalen op de leverancier. Algemeen: Als de leverancier informatie van de gemeente host op haar systemen, dienen (beveiligings)incidenten direct gemeld te worden aan de betrokken contactpersoon van de 10
gemeente. De gemeente dient te kunnen reageren op (beveiligings)incidenten en deze melding dient door de contactpersoon van de gemeente gemeld te worden aan de IBD. Incidenten met persoonsgegevens: Als de leverancier informatie van de gemeente host op haar systemen, dienen (beveiligings)incidenten direct gemeld te worden aan de betrokken contactpersoon van de gemeente. De gemeente dient te kunnen reageren op beveiligingsincidenten en deze melding dient door de contactpersoon van de gemeente gemeld te worden aan de IBD en het CBP. Als de wet die een meldplicht datalekken introduceert wordt ingevoerd, dient een verantwoordelijke (gemeente), bij een inbreuk op beveiliging met aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens, onverwijld het CBP daarvan in kennis te stellen. Het niet (of niet tijdig) melden kan leiden tot een boete van 450.000.-. Onderwerp: controle en toezicht De gemeente kan een audit laten uitvoeren om te controleren dat aan beveiligingseisen die van toepassing zijn wordt voldaan. Een TPM kan als vervanging van de gevraagde audit worden gebruikt om aan te tonen dat aan beveiligingseisen voldaan is. De leverancier kan te maken krijgen met beveiligingseisen in bijvoorbeeld de bewerkersovereenkomst, de gemeente moet dan controleren dat die beveiligingseisen ook worden nageleefd. Om te voorkomen dat bij een leverancier door iedere klant jaarlijks audits worden uitgevoerd, kan de leverancier ook volstaan met een TPM-verklaring waardoor de auditlast verminderd. Onderwerp: Escrow De leverancier draagt zorg voor een Escrow. Zo heeft de gemeente in voorkomend geval de mogelijkheid om bij het in vervulling gaan van één of meer in de Escrow genoemde voorwaarden, software die onderdeel is van het contract, eigenmachtig te (laten) gebruiken voor het herstellen van fouten en anderszins het onderhouden en beheren van de standaardprogrammatuur. De gemeente die software gebruikt van een leverancier op haar eigen ICT-infrastructuur of in een Cloud-achtige toepassing, moet de mogelijkheid hebben om bijvoorbeeld in het geval dat de software leverancier failliet gaat te waarborgen dat de software onderhouden en gebruikt kan blijven worden. 11
INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82 IBD@KINGGEMEENTEN.NL WWW.KINGGEMEENTEN.NL 12