In gesprek met Tarik Fakir (Hollands Kroon) over aanbesteding Monitoring & Response
Hoe is de informatievoorziening rondom het traject van de aanbesteding M&R verlopen?
“Zorgvuldig en overzichtelijk. Tijdens de regiobijeenkomsten die jullie organiseerden werden we goed bijgepraat. Van de informatie op de Teams-omgevingen hebben we veel gebruik gemaakt en voor het opstellen van de uitvraag gebruikten we het daar beschikbaar gestelde VNG-format. We hebben zelf een multidisciplinair team (security, ICT en inkoop) betrokken bij het opstellen van de uitvraag, wat zorgde voor een breed gedragen en een goed afgestemde uitvraag voor de minicompetitie. Tijdens de nota van inlichtingen is dezelfde groep betrokken gebleven, wat de consistentie in communicatie en besluitvorming ten goede kwam. We raden andere gemeenten dan ook aan zo’n multidisciplinair team op te zetten.”
Was/ben je tevreden over het verloop van de minicompetities?
“Ja, over het algemeen wel. De minicompetitie bood ruimte voor maatwerk en innovatie, mede doordat we bewust geen prijzenblad of budgetindicatie hebben meegegeven. Dit creëerde een gelijk speelveld. Daarnaast vonden we het waardevol dat er verschillende mogelijkheden bestonden zoals een Proof of Concept of een klikgesprek. Voor ons was het belangrijk te analyseren in hoeverre een partij bij ons paste. We waren niet op zoek naar een dienstverlener, maar naar een partner. Wel merkten we dat sommige inschrijvingen nogal omvangrijk waren, wat het beoordelingsproces bemoeilijkte. Ik kom daar later nog op terug.”
Wat hebben jullie geleerd?
“Een belangrijk leerpunt was het scherp blijven op het onderscheid tussen geschiktheidseisen en subgunningscriteria tijdens het beoordelingsproces. Geschiktheidseisen bepalen of een partij überhaupt mag meedoen; subgunningscriteria bepalen wie de opdracht het beste uitvoert. Deze twee moeten strikt gescheiden blijven in de beoordeling om juridische risico’s en een oneerlijke beoordeling te voorkomen.”
Kun je een voorbeeld noemen? “Zeker. Bijvoorbeeld de beoordeling van de kwaliteit van detectie en opvolging: de winnende inschrijver bood aantoonbaar meer waarde door een gegarandeerde reactietijd te bieden conform onze eisen in combinatie met een uitgebreid wereldwijd threat intelligence-netwerk en directe samenwerking met Microsoft, wat perfect aansloot op onze infrastructuur. Een andere inschrijver betwistte de beoordeling en suggereerde dat wij selecteerden op geschiktheid in plaats van kwaliteit. Wij hebben duidelijk gemaakt dat de beoordeling objectief was gebaseerd op de mate van
toegevoegde waarde binnen het gunningcriterium, niet op geschiktheid, die al eerder was vastgesteld in de overkoepelende aanbesteding.”
Hoe was het contact met de leveranciers?
“Professioneel. De meeste leveranciers begrepen de uitvraag goed, al trokken enkelen zich terug omdat ze niet aan de eisen konden voldoen. Dit onderstreept het belang van een heldere en scherpe uitvraag, waarin zo min mogelijk ruimte voor interpretatie wordt gelaten. We nemen informatiebeveiliging heel serieus, mede vanwege het voortdurend veranderende dreigingslandschap waarin gemeenten opereren. Denk aan ransomware, ketenaanvallen en geopolitieke spanningen die direct impact hebben op onze digitale weerbaarheid. Onze aanpak is gericht op het structureel en adaptief kunnen reageren op deze ontwikkelingen. Ik denk dat het heel belangrijk is dat je als gemeente goed weet wat je wilt en dat ook helder formuleert.”
Hoe is het contact met de gegunde leverancier?
“Goed, omdat we al werkten met een Microsoft MDR-dienstverlener, was het doel te starten met een één-op-één continuering van de dienstverlening. Dit maakte het proces efficiënt en zorgde voor een soepele overgang.”
Hoe was het contact met de VNG?
“De ondersteuning vanuit de VNG was zeer waardevol. We hebben haar ingeschakeld voor aanvullend advies, wat ons hielp om scherpere keuzes te maken en valkuilen te vermijden. De samenwerking verliep prettig en constructief. Dat er bijvoorbeeld ook meegedacht werd over de formulering, was prettig.”
Heb je nog feedback aan ons, wat zouden we beter kunnen doen?
“Het zou helpen als de VNG de gemeenten actief zouden wijzen op punten zoals de kosten van data ingestion in bijvoorbeeld Microsoft Sentinel, en overige potentiële onvoorziene kosten. Daarnaast zouden jullie gemeenten meer bewust kunnen maken van het feit dat een SIEM/SOC-dienstverlener niet alleen maar een technische impact heeft. Denk hierbij aan keten-verantwoordelijkheid, dataminimalisatie, en een juridische impact. Weet wat je uitgeeft, zorg dat je aan wetgeving voldoet, houd grip op de verwerking van data, en zie erop toe hoe de leverancier zich gedraagt binnen de keten.”
Wat kunnen andere gemeenten nog van jullie leren?
“Zoals ik eerder al zei: sommige inschrijvingen waren te uitgebreid. Gemeenten kunnen overwegen om een limiet op het aantal pagina’s te stellen. Let daarbij goed op het onderscheid tussen geschiktheidseisen (toelating) en subgunningscriteria (beoordeling). Vermijd dat geschiktheidseisen worden meegewogen bij de beoordeling van subcriteria. Dit is een veelgemaakte fout die inschrijvers zelfs kunnen proberen uit te lokken. Wees zo helder mogelijk in je formuleringen om interpretatieverschillen te voorkomen. Zorg voor een multidisciplinair team waarin informatiebeveiliging vanaf de start al is ingebed. Beschouw SIEM- en SOC-dienstverlening niet enkel als IT-inkoop, maar als een strategisch onderdeel van je weerbaarheid. En last but not least: neem toekomstige ontwikkelingen, wetgeving en dreigingen proactief mee in je afwegingen en stel heldere eisen op basis van risicomanagement.” 
