Nu moet het leveranciersmanagement nog zwart op wit komen te staan. Als het goed is heeft u hier de basis voor gelegd bij het uitsturen van het verzoek een aanbod te doen door uw inkoopvoorwaarden en verwerkersovereenkomst mee te sturen. Zoals meer uitvoerig besproken in de eerdere delen, zijn de volgende stappen dan al genomen: u heeft de leverancier middels het verzoek om informatie (RFI) het hemd van het lijf gevraagd. Vervolgens heeft u een beperkt aantal leveranciers uitgenodigd een aanbod te doen (RFP). Daarna heeft u een leverancier gekozen. Nu is het tijd voor het contract.
Praktijk
Mogelijk bevatte uw verzoek om een aanbod zelfs al een voorstel voor de mantelovereenkomst of een aantal afspraken die u essentieel acht in het kader van de in te kopen dienst. Toch heb ik nog nooit meegemaakt dat er na selectie direct getekend kan worden. Buiten het feit dat het voorkomt dat leveranciers ‘commercieel’ inschrijven, zijn er in de praktijk altijd nog belangrijke punten op de ‘i’ te zetten. Zo kan het natuurlijk voorkomen dat uit de organisatie terugkomt dat bepaalde aanvullende functionaliteiten nodig zijn om de nieuwe dienst tot een succes te maken. Als we het over beeldbellen hebben, men kan behoefte hebben aan een transcript van hetgeen besproken is. Bijvoorbeeld om een en ander op te kunnen nemen in een zorginformatiesysteem (duur woord voor EPD). Dit brengt nieuwe risico’s met zich mee voor de informatieveiligheid en dus wellicht ook andere contractuele afspraken. Stel bijvoorbeeld dat er geen koppeling tot stand is gebracht tussen de beeldbelapplicatie en het EPD, dan zijn afspraken over exit en continuïteit ineens veel belangrijker dan bij een kale beeldbelapplicatie. Het gaat hier dan immers over informatie uit het medisch dossier waar een bewaartermijn van in ieder geval 20 jaar voor geldt. Meer over het regelen van continuïteit en exit in het laatste deel van deze blogserie.
Raamwerk
Afspraken in het kader van beschikbaarheid, integriteit en veiligheid moeten een plek krijgen in de overeenkomst met de leverancier. De volgende set documenten is gangbaar als het gaat om de inkoop van een kritische dienst: een mantelovereenkomst, algemene (inkoop)voorwaarden, een verwerkersovereenkomst, een Service Level Agreement (SLA) en, als er behoefte is aan meer praktische afspraken, een DAP (dossier afspraken procedures).
In de zorg wordt vaak gebruik gemaakt van een aantal standaarddocumenten:
- AIVG: de algemene inkoopvoorwaarden voor de gezondheidszorg.
- De Algemene Inkoopvoorwaarden NFU: de algemene inkoopvoorwaarden zoals gehanteerd door de UMC’s.
- BoZ-verwerkersovereenkomst: de verwerkersovereenkomst zoals opgesteld door de Brancheorganisaties Zorg.
Afspraken
Door deze standaard documenten te gebruiken, komt u al een heel eind. Voorgaande is natuurlijk afhankelijk van de Business Impact Analyse op grond waarvan u de risico’s vaststelt. Op basis van de uitkomst van de analyse stelt u de nodige afspraken vast om de risico’s zo goed mogelijk te managen. Als bepaalde algemene afspraken of afspraken over de kern van de overeenkomst niet in uw (standaard) documenten zijn opgenomen, dan kunt u ze opnemen in de mantelovereenkomst. Indien het gaat om (aanvullende) afspraken in het kader van de verwerking van de persoonsgegevens, dan kunt u deze opnemen in de verwerkersovereenkomst. Voor aanvullingen en aanpassingen aan de BoZ-verwerkersovereenkomst, kunt u gebruik maken van de bijgevoegde tabel. De afspraken over de geldende service levels horen thuis in de SLA of DAP.
In de NEN 7510 vindt u een overzicht van de beheersmaatregelen op basis waarvan u de nodige afspraken kunt opstellen (zie NEN 7510-2:2017 §15). Een aantal vaak relevante afspraken zijn:
- Afspraken over scheiding van uw data van andere klanten van de leverancier.
- Afspraken over toegangsbeveiliging en versleuteling van data in transit en bij opslag. Stel de afspraken bij voorkeur wel ‘techniek neutraal’ op.
- Afspraken over toegangsbeheer. Wordt u zelf verantwoordelijk voor het toegangsbeheer of besteedt u het uit? Dan zijn duidelijke afspraken over personen met welke functie toegang krijgen tot wat, nodig.
- Afspraken over de servicelevels, denk aan de vereiste beschikbaarheid, incidentrapportage en -management.
- Afspraken over de benodigde certificeringen, relevante voorbeelden zijn ISO 27001 en NEN7510 (en samenhangend met genoemde normen het voldoen aan ISO 27002, NEN 7512, NEN 7513 en NTA 7516). Indien de leverancier niet in Nederland gevestigd is, zijn de NEN-normen mogelijk niet bekend bij de leverancier. U kunt dan kijken naar vergelijkbare ISO-normen eventueel met aanvullende beheersmaatregelen.
- Afspraken waarin de eisen zijn opgenomen die gelden voor leveranciers in de keten. Denk aan de cloudprovider waar de beeldbelapplicatie wordt gehost.
- Afspraken over het recht om een audit af te (laten) nemen.
- Afspraken over exit en continuïteit.
Plan-do-check-act
Het managementsysteem voor informatiebeveiliging kent een cyclus van plan-do-check-act. Deze cyclus moet ook gehanteerd worden ten aanzien van de afspraken. De afspraken en het nakomen daarvan moeten regelmatig worden gemonitord, beoordeeld en geaudit. Om ook iets te kunnen doen met de uitkomst daarvan is het goed om in de overeenkomst op te nemen dat partijen, indien de informatieveiligheid dit vereist, de afspraken en desnoods de dienst zullen aanpassen zodat er weer een voldoende beschermingsniveau geldt. Meer over het periodiek controleren volgt in de volgende blog.
