'Inkoop softwarediensten door gemeenten vraagt om extra aandacht voor veiligheid', is een expertquote van Santosh Sharman, Kiwa naar aanleiding van het bericht: Steeds meer software als dienst ingekocht - Binnenlands Bestuur.
De website Binnenlands Bestuur meldde onlangs dat gemeenten steeds vaker software inkopen als dienst. Inmiddels is 35 procent van de door gemeenten gebruikte programma’s Software as a Service (SaaS), zo blijkt uit onderzoek. Dat aandeel zal naar verwachting binnen een paar jaar stijgen tot 60 procent. Dit vraagt bij gemeenten om extra aandacht voor privacybescherming en cyberveiligheid.
Gemeenten verwerken en bewaren privacygevoelige informatie van hun inwoners en moeten dus altijd oog hebben voor de cyber- en dataveiligheid. Dat is extra belangrijk als software, als SaaS-oplossing, wordt ingekocht bij derden. Een doortastend inkoopbeleid is een goede eerste stap om kwalitatief goede SaaS-diensten aan te kopen. Daarbij kan onder meer worden gelet op de volgende zaken:
- Een heldere scope: Waarvoor is er software nodig? Waarom is dat zo en aan welke criteria moet die software voldoen? Hierbij komt regelgeving als de AVG aan bod en daarna moet een keuze worden gemaakt uit potentiële verkopers en producten. Als een gemeente hiervoor niet zelf de kennis in huis heeft, is het raadplegen van een expert een must!
- Due diligence: Let er op of een leverancier gecertificeerd is op het gebied van IT-beveiliging en of hij bijvoorbeeld penetratietests heeft laten uitvoeren. Laat experts andere producten uit de portfolio van de leverancier checken op datalekken of hacks.
- Hoe goed worden gebruikers beschermd?: Let goed op de garanties die een leverancier biedt rondom cyber- en dataveiligheid. Wie is aansprakelijk waarvoor? Non-disclosure Agreements (NDA’s) zijn hier van belang, net als checks op de kwaliteitssystemen van de leverancier. Mag de gemeente data opslaan en back-uppen van de leverancier? Welke garanties gelden er dan? Ook de AVG speelt hier een rol.
Dit zijn slechts een aantal aandachtspunten bij de aanschaf van veilige SaaS-producten. Van belang zijn ook de integratie met overige softwaresystemen, gebruikslicenties en contractduur.
Kortom, bij het aankopen van softwarediensten moeten experts worden betrokken met diepgaande kennis van de veiligheidsaspecten van softwareproducten. Verder is het belangrijk dat zowel de compliance als potentiële risico’s door een onafhankelijke partij gecheckt worden. Voor compliance-vraagstukken kunnen, naast de AVG, ook kwaliteitsstandaarden als de ISO 270001 en de IEC 62443 worden gebruikt.
Om vroegtijdig risico’s te signaleren en beheersen, kan gebruik worden gemaakt van penetratietests, bug bounty hunts en vulnerability assessments. De combinatie van een compliance- en een risicogebaseerde aanpak zorgt ervoor dat je optimaal grip krijgt op de cyberbeveiliging van producten en diensten.