Column


IT-jurist Peter van Schelven over...

Gemeentelijke flauwekul: Gibit en security

De volksmond spreekt over ‘de kleine lettertjes’ als het over algemene inkoop- of verkoopvoorwaarden gaat. Vrijwel altijd zijn deze gortdroge juridische teksten niet de meest spannende lectuur in het leven, maar wie de moeite neemt om ze te lezen en zelfs te begrijpen, komt soms voor vreemde of verrassende zaken te staan.

Gibit
Dat is ook zo met het vorige week door KING, het Kwaliteitsinstituut Nederlandse Gemeenten, gepubliceerde concept voor de Gibit: de Gemeentelijke Inkoopvoorwaarden bij IT. KING, onderdeel van de belangenorganisatie VNG, heeft het voornemen om met de Gibit een set van uniforme voorwaarden te maken, welke door de gemeenten in ons land gebruikt kunnen gaan worden bij het inschakelen van leveranciers van IT-producten en -diensten.

Met de Gibit zien marktpartijen zich geplaatst voor nieuwe spelregels en nieuwe risico’s. De gemeente die bij een IT-aanbesteding het gebruik van Gibit gaat voorschrijven, zet de juridische bescherming die een leverancier aan zijn eigen verkoop- en leveringsvoorwaarden denkt te ontlenen buitenspel. De bepalingen van de Gibit gaan in dat geval deel uitmaken van het IT-contract tussen gemeente en leverancier.

Publieke consultatie
Met de publicatie van het concept van de Gibit op 4 augustus jl. stelt KING belanghebbenden in de gelegenheid zich uit te spreken over de voorwaarden. Nu deze publieke consultatie (bewust?) midden in de vakantietijd plaatsvindt, valt het nog maar te bezien of er vanuit de kring van belanghebbenden - waaronder leveranciers - veel reacties zullen komen. Hoe dan ook, op een aantal punten verdient de Gibit zeker stevige kritiek. Ik beperk me hier tot een deel van de beveiligingsregeling in het concept van de Gibit. Die regeling rammelt op onderdelen.

Opmerkelijk is bijvoorbeeld de garantieregeling, die zegt dat de leverancier er voor dient in te staan dat de gemeente met de te leveren goederen, diensten en gebruiksrechten aan de zogeheten ‘Baseline Informatiebeveiliging Nederlandse Gemeenten’ (BIG) kan voldoen. Voor wie het niet weet: deze Baseline is - kort gezegd - een instrument aan de hand waarvan de gemeente kan bepalen of haar eigen organisatie ‘in control’ is op het gebied van informatiebeveiliging. Desgewenst mogen gemeente en leverancier ook een andere beveiligingsnorm overeenkomen, zo zeggen de inkoopvoorwaarden.

Garantie voor security
Waarom deugt de garantieregeling niet? De regeling in de Gibit bepaalt weliswaar niet dat de leverancier de BIG moet implementeren, maar wel dat de leverancier moet garanderen dat gemeenten aan de BIG kunnen voldoen. Dat laatste is een tamelijk holle frase, want wie de BIG - een set van documenten op hoog abstractieniveau - erop naslaat ziet dat de gemeente aan de hand van de Baseline zelf risico-inventarisaties en risico-afwegingen rondom informatiebeveiliging moet maken, teneinde vervolgens passende, concrete en op de eigen organisatie gerichte eisen en wensen vast te stellen.

In de BIG zelf vind je dus geen concrete producteisen en -wensen terug. Het is niet veel meer dan een ‘kapstok’ voor ideevorming rondom security. Anders gezegd: een leverancier van IT tast in het duister als hij de BIG erop naslaat en zich de vraag stelt waaraan zijn contractuele prestatie precies dient te beantwoorden.

Placebo
Kortom, hoe fraai en nuttig de ‘Baseline Informatiebeveiliging Nederlandse Gemeenten’ verder ook is als startpunt bij het maken van gemeentelijk beveiligingsbeleid, een verwijzing daarnaar in inkoopvoorwaarden is nutteloze bladvulling en komt louter tegemoet aan het onderbuikgevoel van politici, beleidsmakers en securitymensen.

Contractueel is zo’n garantie van nul komma nul waarde. Het lijkt er dus op dat KING zich met de securityregeling in de Gibit op het pad van de symboolpolitiek begeeft en een juridisch placebo aflevert. Hier wordt geen gemeente, burger of leverancier wijzer van.

Clash
Daar komt nog een ander praktisch bezwaar bij. De BIG bestaat uit een aantal documenten en ‘producten’. Naast een Strategische Baseline bestaat er een Tactische Baseline en deze beide documenten worden ondersteund door - wat wordt genoemd - BIG-producten (lees: documenten) ‘op operationeel niveau’. Wie zich aan de Gibit bindt, moet zich dus afvragen welk deel van de BIG voor hem precies geldt.

Dat antwoord wordt niet duidelijk gegeven. Dat is temeer bedenkelijk nu de leverancier zich volgens de Gibit op voorhand akkoord verklaart met toekomstige ‘normen en standaarden’ in de BIG. Geen weldenkende leverancier kan met zoiets vaags uit de voeten. Is KING op zoek naar een clash met de IT-sector?


Lees meer over