De gemeente doet als verantwoordelijke een risicoinschatting / risicoanalyse. Daaruit volgen dan beveiligingsmaatregelen die nodig zijn bij de bewerker die de gemeente als verantwoordelijke eist.
De beveiligingseisen horen terug te komen in de volgende documenten van de gemeente:
- Programma van eisen en wensen (knock out criterium)
- Inkoopvoorwaarden en informatiebeveiligingseisen (IBD, januari 2014, pdf)
Aanscherpen van de gemeentelijke inkoop voorwaarden. - Contractmanagement (IBD, april 2014, pdf)
Aandachtspunten voor contractmanagement, inkoop en beveiligingseisen. - Model voor een verwerkersovereenkomst (IBD, februari 2017, pdf)
De beveiligingseisen dienen periodiek gecontroleerd te worden door de gemeente, of de leverancier overlegt een TPM.