Veilig inkopen in de praktijk: hoe Waterschap Aa en Maas werkt aan informatieveiligheid bij ICT-aanbestedingen

DoorAnja den Hertog

In gesprek met Linda van Beijeren (senior inkoopadviseur) en Dennis Haverkamp (coördinator ICT) over inkoop, security en samenwerking.

Informatieveiligheid is een steeds belangrijker thema voor overheidsorganisaties. Nieuwe wetgeving zoals de BIO en NIS2 vraagt om strengere eisen, betere borging en nauwere samenwerking tussen ICT, inkoop en security. Maar hoe werkt dat in de praktijk? Waterschap Aa en Maas geeft een inkijkje in hun aanpak, uitdagingen en lessen.

“Security zit óveral in”, ook bij koffieautomaten en afvaldiensten

Linda van Beijeren werkt sinds maart 2023 als senior inkoopadviseur bij Waterschap Aa en Maas. Haar portefeuille omvat leveringen en diensten, met als bijzondere rol die van OSO Inkoop: Operational Security Officer.

“Ik toets of bij inkoopdossiers de juiste eisen voor informatiebeveiliging zijn toegepast,” legt ze uit. “En dat gaat verder dan je denkt – ook koffieautomaten en afvaldiensten hebben vaak een digitaal component.”

Dennis Haverkamp, coördinator ICT, beaamt dat: “Je moet constant alert zijn. Zelfs een schoonmaaksysteem kan via een portaal worden aangestuurd. Dan is veiligheid ineens wél een issue.”

De OSO rol: een schakel tussen inkoop, security en de operatie

De OSO rol komt voort uit de BIO (Baseline Informatiebeveiliging Overheid). Het doel is dat ook niet-ICT-afdelingen verantwoordelijkheid nemen voor informatieveiligheid. Linda: “Ik had nog niet eerder van OSO inkoop gehoord, maar bij Aa en Maas is het goed opgezet. Elke afdeling heeft zo’n rol – bij P&O, facilitair, en dus ook inkoop.”

Als OSO controleert ze of security-eisen zijn toegepast bij aanbestedingen. “Vaak zie je dat bij oudere contracten daar nog niks over geregeld is. Dat moeten we nu alsnog doen. Dossiervorming en toetsing zijn daarbij cruciaal.”

ICT bij een waterschap: breed, integraal en grotendeels in eigen beheer

Dennis leidt het ICT-team van Aa en Maas. Dat team beheert zowel de kantoorautomatisering als de servers en connectiviteit voor procesautomatisering – cruciaal voor bijvoorbeeld het aansturen van gemalen en sluizen. “We zijn met elf mensen. Groot genoeg om professioneel te werken, klein genoeg om het overzicht te houden.”

Wat opvalt: in tegenstelling tot veel andere organisaties doet Aa en Maas nog veel zelf. “We besteden weinig uit. Alleen voor bijvoorbeeld glasvezel werken we met partners. Maar binnen onze grenzen doen we het liefst alles in eigen beheer. Zo houden we grip – ook op security.”

Van inkoop tot controle: zo werkt het in de praktijk

Wat maakt veilig inkopen zo uitdagend? Volgens Linda begint het bij bewustwording: “Vaak komt inkoop pas laat in beeld. Dan is het product al gekozen, zonder security-eisen te stellen. Terwijl je juist aan de voorkant moet toetsen: is het van toepassing, en zo ja, welke eisen moeten we dan stellen?”

Bij bedragen boven € 25.000 is een inkoopmelding verplicht. En boven de € 221.000 geldt Europees aanbestedingsrecht. Maar zelfs daaronder zijn de BIO- en ICO-eisen (Inkoopeisen Cybersecurity Overheid) van toepassing. “In ons inkoopsysteem zit een checklist die toetst op AVG, security, milieu en meer. Maar dan moet je wel weten hoe je die moet invullen – en inschatten of je eisen niet te zwaar zijn.”

Dennis vult aan: “De ICO Wizard van het CIP helpt enorm. Daarmee kun je op basis van de inkoopselectie automatisch relevante beveiligingseisen ophalen. Maar het blijft lastig. Zeker als je weinig ervaring hebt met security, dan voelt zo’n lijst van 100 eisen al snel als te veel.”

Marktverkenning als sleutel tot betere uitvragen

Een terugkerend punt: leveranciers zeggen vaak dat overheden verkeerd uitvragen. Te generiek, te zwaar, of juist niet passend bij de praktijk.

Linda is daar open over: “Zeg dat vooral! Daar is de Nota van Inlichtingen voor. En als het echt niet klopt, stoppen we liever halverwege dan dat we de verkeerde partij selecteren.”

Zowel Dennis als Linda benadrukken het belang van marktverkenning vooraf. Dennis: “Zeker als we iets nieuws uitvragen, willen we weten wat er leeft in de markt. Hoe kunnen we eisen stellen die én proportioneel zijn, én bijdragen aan veiligheid?”

Linda: “We staan open voor gesprekken met leveranciers, zolang het niet puur een verkooppraatje is. Kom met inhoud. Laat zien wat we nog niet weten – en wat er mogelijk is.”

Veiligheid versus innovatie: is er spanning?

Sommige leveranciers klagen dat strengere eisen innovatie tegenhouden. Herkennen ze dat? Linda: “Niet echt. Maar ik werk ook niet vaak met startups. De eisen zijn er met reden – ze beschermen ons tegen risico’s. Maar natuurlijk moet je proportioneel blijven.”

Ze ziet wel kansen: “Als je iets innovatiefs wilt inkopen, kun je geschiktheidseisen bewust licht houden. Of een marktconsultatie doen waarin je vraagt: wat kunnen jullie aan, wat niet? Zo krijg je betere inzichten – en voorkom je dat je per ongeluk partijen uitsluit.”

De rol van TenderNed, samenwerking en contractmanagement

Leveranciers die mee willen doen, moeten zich inschrijven op TenderNed en de juiste CPV-codes selecteren. Maar ook daarna is het werk niet klaar. Linda: “Ik hou me ook bezig met contractmanagement. Want je kunt nog zulke mooie eisen stellen – het gaat erom wat er in de uitvoering gebeurt.”

Soms is ze ook de ‘boeman’. “Als het echt niet werkt, trek ik aan de bel. Dan voer ik namens de organisatie een stevig gesprek met de leverancier. Dat is nodig – zeker als je collega’s er middenin zitten en de relatie niet willen schaden.”

Trends en zorgen: afnemende inschrijvingen en vendor lock-in

Een opvallende trend: er schrijven steeds minder partijen in op aanbestedingen. Linda: “Ze hebben het druk, zijn kritischer, of vinden het niet aantrekkelijk. Dat is zorgelijk – want aanbesteden is juist bedoeld om de markt open te stellen.”

Dennis ziet ook het risico van vendor lock-in. “Voor bepaalde oplossingen zijn we afhankelijk van één partij – bijvoorbeeld in het GIS-domein. Daar valt niet aan te ontkomen, tenzij je als hele sector samen iets anders kiest.”

Centrale inkoop en samenwerking via het Waterschapshuis

Om schaalvoordelen en kennisdeling te benutten, werken waterschappen ook samen via het Waterschapshuis. Dennis: “Zij doen aanbestedingen voor diensten zoals monitoring en security. Elk waterschap implementeert dat vervolgens zelf, met behoud van eigen data en keuzes.”

Zo wordt er momenteel een gezamenlijke securitydienst uitgerold. “Wij zijn een van de eerste waterschappen die aansluiten. Maar het blijft maatwerk: iedereen heeft een ander landschap, andere prioriteiten.”

Drie tips aan leveranciers (en collega-inkopers)

Tot slot vroegen we Linda en Dennis om hun belangrijkste tips:

Voor leveranciers:

  1. Sluit je aan op TenderNed – en gebruik de juiste CPV-codes.
  2. Doe actief mee aan marktconsultaties – ook als je (nog) niet meedoet.
  3. Zoek de inhoudelijke gesprekspartner – niet alleen de inkoper, maar ook de techneut.

Voor collega-inkopers:

  1. Begin op tijd – haast is de grootste vijand van een goede aanbesteding.
  2. Doe altijd een marktverkenning – zeker bij nieuwe of complexe diensten.
  3. Werk integraal samen – betrek ICT, security, juristen én gebruikers vroeg in het proces.

Veilige inkoop is samenwerken, afstemmen en blijven leren

Het gesprek met Waterschap Aa en Maas laat zien hoe complex en belangrijk het is om informatieveiligheid goed te borgen in inkoopprocessen. Van bewustwording en procesontwerp tot leveranciersdialoog en contractbewaking, elk aspect doet ertoe.

Veilig inkopen is geen checkbox-oefening, maar een continu proces van samenwerken, afwegen en verbeteren. En vooral: van openstaan voor elkaar, want alleen dan vinden overheid en markt elkaar in oplossingen die wérken én beschermen.

Linda en Dennis hun bonus tips voor leveranciers:

1. Inkopers zoeken wél contact – als het inhoudelijk is

“Ik wil niet elke week een verkooppraatje, maar wél weten wat we nog niet weten.”

Er leeft bij leveranciers soms het idee dat overheden ‘onbereikbaar’ zijn. Maar Waterschap Aa en Maas is juist expliciet: leveranciers zijn welkom om kennis te delen, mits het inhoudelijk, realistisch en eerlijk is.

2. De drempel zit vaker in kennis dan in onwil

“Ik ben geen security-expert. Soms weet ik gewoon niet of een eis proportioneel is.”

Inkopers willen wél veilige oplossingen, maar missen soms de kennis om de juiste eisen te stellen. Leveranciers die dit snappen en daar respectvol mee omgaan – bijvoorbeeld door drempels te verlagen of technische eisen begrijpelijk toe te lichten – winnen vertrouwen.

3. Leveranciers moeten hun aanbod modulair maken

“Als ik al een Mobile Device Management-oplossing heb, wil ik niet gedwongen worden om je hele suite af te nemen.”

Leveranciers die hun security-oplossing alleen als alles-in-één pakket aanbieden, haken vaak af. Overheden zoeken functionaliteit die past binnen hun bestaande architectuur. Flexibiliteit en interoperabiliteit zijn cruciaal.

4. Veilige architectuur weegt zwaarder dan feature-lijstjes

“Je koopt geen Ferrari als je een Volkswagen nodig hebt. En je laat die Ferrari dan ook vaak gewoon stilstaan.”

Veel leveranciers verkopen op features, maar dat is niet altijd wat de klant nodig heeft. Overheden willen oplossingen die passen in hun bestaande infrastructuur en governance. Slimme leveranciers verkopen daarom geen functies, maar risicoreductie en continuïteit.

5. Overheden hebben behoefte aan praktische stresstests, niet alleen certificaten

“ISO 27001 is mooi, maar ik wil weten: werkt het écht?”

Certificering is een randvoorwaarde, maar geen garantie. Zeker bij mission-critical processen of OT-omgevingen willen partijen zoals Aa en Maas weten of een oplossing daadwerkelijk werkt onder druk. Leveranciers die een demo-moment, audit of stresstest aanbieden, maken het verschil.

Over:

Linda van Beijeren

Senior Inkoopadviseur bij Waterschap Aa en Maas

Sinds 2023 adviseert Linda over de inkoop van leveringen en diensten voor afdelingen zoals ICT en Facilitair. Als OSO Inkoop bewaakt ze ook of informatieveiligheid is geborgd in aanbestedingen. Ze combineert haar inkoopkennis met een groeiende expertise in security.

Dennis Haverkamp

Coördinator ICT bij Waterschap Aa en Maas

Dennis is sinds 2020 verantwoordelijk voor de ‘harde’ kant van ICT binnen het waterschap – van infrastructuur en werkplekken tot technische ondersteuning van procesautomatisering. Zijn team beheert een breed landschap in eigen beheer, met een scherpe blik op security.

“Wij zijn groot genoeg om professioneel te moeten werken, maar klein genoeg om het echt te kunnen overzien.”

Vergelijkbare berichten