Nu moet het leveranciersmanagement nog zwart op wit komen te staan. Als het goed is heeft u hier de basis voor gelegd bij het uitsturen van het verzoek een aanbod te doen door uw inkoopvoorwaarden en verwerkersovereenkomst mee te sturen. Zoals meer uitvoerig besproken in de eerdere delen, zijn de volgende stappen dan al genomen: u heeft de leverancier middels het verzoek om informatie (RFI) het hemd van het lijf gevraagd. Vervolgens heeft u een beperkt aantal leveranciers uitgenodigd een aanbod te doen (RFP). Daarna heeft u een leverancier gekozen. Nu is het tijd voor het contract.
Mogelijk bevatte uw verzoek om een aanbod zelfs al een voorstel voor de mantelovereenkomst of een aantal afspraken die u essentieel acht in het kader van de in te kopen dienst. Toch heb ik nog nooit meegemaakt dat er na selectie direct getekend kan worden. Buiten het feit dat het voorkomt dat leveranciers ‘commercieel’ inschrijven, zijn er in de praktijk altijd nog belangrijke punten op de ‘i’ te zetten. Zo kan het natuurlijk voorkomen dat uit de organisatie terugkomt dat bepaalde aanvullende functionaliteiten nodig zijn om de nieuwe dienst tot een succes te maken. Als we het over beeldbellen hebben, men kan behoefte hebben aan een transcript van hetgeen besproken is. Bijvoorbeeld om een en ander op te kunnen nemen in een zorginformatiesysteem (duur woord voor EPD). Dit brengt nieuwe risico’s met zich mee voor de informatieveiligheid en dus wellicht ook andere contractuele afspraken. Stel bijvoorbeeld dat er geen koppeling tot stand is gebracht tussen de beeldbelapplicatie en het EPD, dan zijn afspraken over exit en continuïteit ineens veel belangrijker dan bij een kale beeldbelapplicatie. Het gaat hier dan immers over informatie uit het medisch dossier waar een bewaartermijn van in ieder geval 20 jaar voor geldt. Meer over het regelen van continuïteit en exit in het laatste deel van deze blogserie.
Afspraken in het kader van beschikbaarheid, integriteit en veiligheid moeten een plek krijgen in de overeenkomst met de leverancier. De volgende set documenten is gangbaar als het gaat om de inkoop van een kritische dienst: een mantelovereenkomst, algemene (inkoop)voorwaarden, een verwerkersovereenkomst, een Service Level Agreement (SLA) en, als er behoefte is aan meer praktische afspraken, een DAP (dossier afspraken procedures).
In de zorg wordt vaak gebruik gemaakt van een aantal standaarddocumenten:
Door deze standaard documenten te gebruiken, komt u al een heel eind. Voorgaande is natuurlijk afhankelijk van de Business Impact Analyse op grond waarvan u de risico’s vaststelt. Op basis van de uitkomst van de analyse stelt u de nodige afspraken vast om de risico’s zo goed mogelijk te managen. Als bepaalde algemene afspraken of afspraken over de kern van de overeenkomst niet in uw (standaard) documenten zijn opgenomen, dan kunt u ze opnemen in de mantelovereenkomst. Indien het gaat om (aanvullende) afspraken in het kader van de verwerking van de persoonsgegevens, dan kunt u deze opnemen in de verwerkersovereenkomst. Voor aanvullingen en aanpassingen aan de BoZ-verwerkersovereenkomst, kunt u gebruik maken van de bijgevoegde tabel. De afspraken over de geldende service levels horen thuis in de SLA of DAP.
In de NEN 7510 vindt u een overzicht van de beheersmaatregelen op basis waarvan u de nodige afspraken kunt opstellen (zie NEN 7510-2:2017 §15). Een aantal vaak relevante afspraken zijn:
Het managementsysteem voor informatiebeveiliging kent een cyclus van plan-do-check-act. Deze cyclus moet ook gehanteerd worden ten aanzien van de afspraken. De afspraken en het nakomen daarvan moeten regelmatig worden gemonitord, beoordeeld en geaudit. Om ook iets te kunnen doen met de uitkomst daarvan is het goed om in de overeenkomst op te nemen dat partijen, indien de informatieveiligheid dit vereist, de afspraken en desnoods de dienst zullen aanpassen zodat er weer een voldoende beschermingsniveau geldt. Meer over het periodiek controleren volgt in de volgende blog.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.