GIBIT vastgesteld: ook bepalingen over informatiebeveiliging & privacy

De Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) zijn donderdag 8 december vastgesteld door het Verenigingsbestuur van de VNG. De totstandkoming van de GIBIT is onderdeel van het programma Digitale Agenda 2020 die als één van de speerpunten heeft om het ICT-opdrachtgeverschap bij gemeenten te professionaliseren.

Voor de kwaliteit van hun dienstverlening en uitvoering zijn gemeenten steeds meer afhankelijk van ingekochte ICT producten en -diensten. Deze producten en diensten worden geleverd door bijna tweehonderd verschillende leveranciers. Gemeentelijke Inkoopvoorwaarden helpen gemeenten om te waarborgen dat ze een product krijgen dat ze echt willen, waarvoor duidelijke afspraken zijn gemaakt en dat aansluit bij hun behoefte en doelstellingen. Gemeenten en gemeentelijke samenwerkingsverbanden wordt aanbevolen de GIBIT op te nemen in het inkoopbeleid en te gebruiken bij de inkoop van IT.

Informatiebeveiliging en Privacy in de GIBIT

In de GIBIT zijn enkele specifieke artikelen opgenomen over privacy, beveiliging en archivering. Het hoofdstuk is van toepassing zodra er (persoons)gegevens met de ICT Prestatie worden verwerkt. Dat zal heel vaak het geval zijn, maar zeker niet altijd (bijv. niet bij hardware).

Artikel 24 ziet op de verhouding tussen partijen en de in dat kader al dan niet aanvullend te maken afspraken. Leverancier neemt de rol van bewerker in. De GIBIT heeft in dit kader te gelden als (basis)bewerkersovereenkomst (artikel 24.2). Daar waar de afspraken uit de GIBIT niet volstaan, kan een aanvullende of afwijkende bewerkersovereenkomst worden gesloten (artikel 24.3). Ook wordt ruimte de ruimte geboden om sub-bewerkers in te schakelen.

Artikel 25 beschrijft de afspraken uit een bewerkersrelatie. Gemeenten worden er uitdrukkelijk op gewezen dat zij – als verantwoordelijke – het beleid ten aanzien van de verwerking van persoonsgegevens dienen te bepalen.

Artikel 26 ziet specifiek op beveiliging. De leverancier moet er op grond van dit artikel voor in staan dat de gemeente met de ingekochte ICT Prestatie kan voldoen aan de BIG.

Artikel 27 geeft een uitwerking van de verplichtingen die voortvloeien uit de meldplicht datalekken en eventuele toekomstige wetgeving in het kader van melden van beveiligingsincidenten.

Artikel 28 gaat in op het bewaren van data. Typerend voor de overheid is de gebondenheid aan de Archiefwet. In dit artikel zijn daarom enkele randvoorwaarden opgenomen over  het aantoonbaar beheren en beschermen van de bewaarde gegevens.

IBD kennisproducten

Voor de inkoop van ICT kunt u gebruik maken van de volgende operationele BIG-producten:

IBD: Inkoopvoorwaarden en beveiligingseisen

IBD: Bewerkersovereenkomst

IBD: Contractmanagement

IBD: Procedure nieuwe ICT-voorzieningen

IBD: Handreiking Service Level Agreements

Downloaden en meer informatie

U kunt de GIBIT als PDF downloaden op de website van KING. Voor vragen kunt u contact opnemen met KING via info@kinggemeenten.nl. U kunt uiteraard voor vragen over informatiebeveiliging contact opnemen met de IBD-Helpdesk via info@IBDgemeenten.nl of via 070 373 8011.