Column


IT-jurist Peter van Schelven over...

Security & Idiotie

Ik heb het niet zo op overheidsaanbestedingen in de ICT. Meer dan eens leggen overheden bij de aanschaf van ICT de meest botte en idiote eisen en voorwaarden in hun aanbestedingsstukken op tafel. Als die eisen en voorwaarden het karakter van ‘stikken of slikken’ hebben, dan worden keurige en respectabele bedrijven die voor de keuze staan wel of niet op de aanbesteding in te schrijven, in een lastig parket gemanoeuvreerd. Ga je er als bedrijf niet in mee, dan gaat de opdracht aan je neus voorbij.

De idiotie die je niet zelden bij ICT-aanbestedingen ziet, bestaat zeker ook op het vlak van security. Onlangs liep ik tegen een aanbesteding van een publieke instantie voor de inkoop van hostingdiensten aan. Het contract dat deze instantie aan de hostingprovider wenst te geven, heeft een looptijd van vier jaar, met een mogelijkheid tot verlenging van nog eens vier jaar. Wordt het gehele traject uitgezeten, dan zitten de opdrachtgever en provider dus acht jaar aan elkaar vast.

State of the art
Ik zeg natuurlijk niets bijzonders als ik opmerk dat in die acht jaar tijd er zich tal van nieuwe bedreigingen voor de informatiebeveiliging kunnen en waarschijnlijk ook zullen voordoen. Cybercriminaliteit is immers een uiterst creatieve tak van sport. Ongetwijfeld komen er ook weer nieuwe securitytools en beschermingsmogelijkheden bij. Wat nu ‘state of the art’ is, is over enkele jaren vermoedelijk alweer achterhaald.

Hoe ga je in het kader van een aanbesteding voor hostingdiensten met dergelijke toekomstige ontwikkelingen om? In de aanbestedingsstukken las ik dat de betrokken instantie alle verantwoordelijkheden daaromtrent integraal over de schutting naar de hostingprovider gooit. Uiteraard wordt contractueel verlangd dat de hostingprovider met passende maatregelen van technische en organisatorische aard voorziet in een goede informatiebeveiliging. Dat is een vanzelfsprekendheid die hier niet ter discussie staat.

Kosten van security
Het wordt anders als – zoals in dit geval – de opdrachtgever gedurende de gehele looptijd van het contract het recht wenst te hebben om eenzijdig de hostingprovider op te dragen nieuwe, nadere securitymaatregelen te treffen. Die nadere instructies moet de hostingprovider vervolgens uitvoeren. Bijzonder detail: alle kosten van de uitvoering van die nadere maatregelen zijn, zoals de bij de aanbestedingsstukken gevoegde contractvoorwaarden zeggen, volledig voor rekening van de hostingprovider.

Het spreekt voor zich dat een dergelijke insteek niet op veel sympathie kan rekenen. Een eenzijdige instructiebevoegdheid van de klant doorkruist de professionaliteit van de hostingprovider op het vlak van security, nog geheel daargelaten de vraag of de opdrachtgever in kwestie – een eenvoudige en relatief kleine instantie – zelf wel kaas van security heeft gegeten. Zo’n regeling zet voorts de deur open naar allerlei onvoorzienbare en wonderlijke securityeisen. Niet minder bezwaarlijk: de opdrachtgever zadelt de hostingprovider acht jaar lang op met het risico van wellicht hoge kosten voor de aanschaf van nieuwe securitytools.

Van zo’n model wordt geen ondernemer gelukkig. Sterker nog: de hostingprovider die een dergelijk eenzijdig instructierecht aanvaardt, stelt zijn bedrijf bloot aan schier buitenproportionele financiële risico’s.

Van God los
Overheidsinstanties zijn soms van God los. Meer dan eens poogt men in aanbestedingen zware risico’s op de betrokken dienstverlener af te wentelen, ook op het vlak van security. Een overheid die security serieus neemt, doet er – zo lijkt mij – verstandig aan om ook het ICT-bedrijfsleven serieus te nemen. Dat doe je niet door alle financiële risico’s verbonden aan toekomstige onvoorzienbare kwetsbaarheden en nieuwe beveiligingsmiddelen rücksichtslos op voorhand op het bord van de hostingproviders te leggen. ICT-bedrijven zijn geen verzekeraars. Sommige overheidsinstanties lijken dat soms uit het oog te verliezen.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over