Voor, tijdens en na een aanbestedingstraject werken we eraan om u op de juiste momenten van duidelijke informatie te voorzien. Voor de leverancier, voor de gemeenten en voor ons als contract beheerder is het cruciaal om met elkaar in gesprek te zijn over de wensen die er zijn en de mogelijkheden om daarin te voorzien. Om dat te kunnen doen, is er continu afstemming nodig met alle betrokkenen. We organiseren daar regelmatig bijeenkomsten en webinars voor en mailen nieuwsberichten of plaatsen berichten op het VNG-Forum. De ervaringen van zo’n traject verschillen natuurlijk. Om u een blik te geven in hoe dit kan verlopen deelt Nick Edwards, teamleider Gegevensbescherming & Informatiebeheer, van de gemeente Utrecht graag de ervaringen over het doorlopen traject voor GGI-Veilig, perceel 3. Het portfolio van GGI-Veilig is onderverdeeld in verschillende percelen. Perceel 3 gaat over de expertise diensten die u als gemeente of samenwerkingsverband af kunt nemen. Welke diensten van dat perceel heeft de gemeente Utrecht in gebruik en hoe kijken ze tegen de werkwijze van GGI-Veilig aan? Waar zijn ze tevreden over en waar is er nog ruimte voor verbetering?
Hoe is de kennismaking met GGI-Veilig binnen jullie gemeente tot stand gekomen?
“We kenden de VNG al van andere initiatieven zoals de aanbestedingen van GT, het 14+netnummer en ‘Waar Staat Je Gemeente’. Als G4-gemeente horen we vaak als eerste van dergelijke initiatieven, bijvoorbeeld op bijeenkomsten van de VIAG of de IMG 100.000+ Gemeenten. Digitale weerbaarheid stond al een tijdje op onze prioriteitenlijst en viel onder de verantwoordelijkheid van onze securitymanager. Die was dus blij te horen dat GGI-Veilig opgestart werd. Via hem is dit initiatief verder de organisatie in gebracht en raakten we dus vanaf het begin direct betrokken bij GGI-Veilig. De securitymanager bleef gedurende het hele traject aangehaakt en bracht onze organisatie geregeld op de hoogte van de voortgang van de aanbesteding.”
Welke diensten hebben jullie afgenomen van Perceel 3?
“We hebben voor meerdere diensten de minicompetitie doorlopen (te weten: compliance, forensische dienstverlening, vulnerability management en pentesten) en kijken daar positief op terug. De VNG toetst het Programma van Eisen op verzoek, geeft verbetersuggesties en merkt afwijkingen op. Bij het opstellen van een inhoudelijk eisenpakket bood de VNG proactief hulp aan. Onze contactpersoon was goed bereikbaar en reageerde altijd snel. Zo konden we, als dat nodig was, snel schakelen: dat werkte prettig samen.”
Hoe is de uitvoering van de opdracht verder verlopen?
In het begin was er nog wat discussie over de omvang en daardoor ook de prijs. Zo was het standaard om een hertest mee te nemen maar wij hadden een andere wens. Ondertussen krijgen we ook aangeboden wat we oorspronkelijk hadden gevraagd vanuit het offerte traject. Ook hebben we nu al veelvuldig gebruik gemaakt van de leveranciers en de leverancier weet ook beter in te vullen wat wij vragen. De verschillende onderdelen van Perceel 3 konden we apart oppakken. We bepaalden als gemeente onze eigen planning, uiteraard in afstemming met de VNG. Zo hebben we recent voor de dienst ‘forensics’ de minicompetitie doorlopen en werken daarbij samen met de leverancier. Het contact met deze leverancier ervaren wij als zeer prettig, laagdrempelig en informeel.
Hoe hebben jullie de ondersteuning vanuit het Servicecentrum Gemeenten hierbij ervaren?
“Zoals eerder gezegd: de VNG denkt proactief mee en helpt waar nodig. Wat ik zelf zeer prettig vond was dat er een aantal nuttige voorbeeld documenten beschikbaar waren, zodat je niet zelf het wiel opnieuw hoeft uit te vinden. Voorbeelden van aanvragen voor minicompetities vanuit een fictieve gemeente bijvoorbeeld. Daardoor konden we snel en doelgericht aan de slag. De goede bereikbaarheid kwam de snelheid van het proces ten goede, net als de kwaliteit van de uitvraag. Zo konden we bijvoorbeeld kort voor de vaste publicatiedag nog puntjes op de i zetten.“
Wat kan de VNG verbeteren in de toekomst?
“Het formulier voor de tijdelijke opdracht is wat onhandig. De betekenis en de impact van de contractvorm is bijvoorbeeld niet helemaal duidelijk. Ook maakte de verplichte velden het minder makkelijk om in te vullen. Een ander punt is dat de inschrijvers voor forensisch onderzoek een ander prijsmodel in de inschrijving hadden t.o.v. de andere ingekochte diensten. Hierbij hadden ze de optie op verschillende manieren in te schrijven. Dit leverde bij het opstellen van de uitvraag en invullen van de formulieren veel vragen op. En tot slot zou de VNG de deelnemende gemeenten tijdens het opstellen van een Programma van Eisen meer advies kunnen geven op de beoordelingscriteria van wensen. Hoe duidelijker deze geformuleerd worden, des te objectiever, gemakkelijker en sneller het proces van beoordelen verloopt. Het loont als gemeente om hier goed over na te denken.”
Wat heeft GGI-Veilig de gemeente tot nu toe gebracht?
“De gemeente Utrecht heeft als ambitie om gegevensbescherming steviger neer te zetten en heeft daar onder andere een programma voor opgezet. Ook de transitie naar de cloud is een ambitie van de gemeente. Zo verhogen we onze digitale weerbaarheid en realiseren we ons strategisch informatiebeveiligingsplan. GGI-Veilig heeft daarin geholpen doordat een aantal cruciale security diensten (zoals pentesten, compliance, vulnerability management en forensics) worden afgenomen bij professionele partijen. De gemeente Utrecht is blij met dit soort landelijke initiatieven.”
Heeft u vragen of wilt u weten wat we u kunnen bieden na het lezen van deze ervaring? Neem dan contact met ons op door een e-mail te sturen naar info@scgemeenten.nl.