BIO inleiding > Leveranciers

[RoelBrandDeurne]

Verwijzing naar ICO is hier niet op zijn plaats

• Deze paragraaf beschrijft hoe de BIO zich verhoudt tot het uitbesteden van informatiesystemen en het stellen van eisen aan leveranciers. Het noemen van de ICO(-wizard) is op deze plaats veel te specifiek en roept de indruk op dat het verplicht is gebruik te maken van de ICO(-wizard) bij het opstellen van inkoopeisen. Dat is volgens mij niet het geval en zowel, dat hoort het onder de verplichte overheidsspecifieke maatregelen te staan en niet op deze plaats.
• De verplichting om de BIO toe te passen ontstaat uit de Cyberbeveiligingswet maar de BIO geldt niet rechtstreeks voor leveranciers. Die moet (deels) worden opgelegd via inkoopeisen.

Voorgestelde wijziging Leveranciers bieden diensten en/of producten aan overheidsorganisaties. Een overheidsorganisatie blijft zelf echter verantwoordelijk voor het behandelen van risico's die betrekking hebben op de uitbestede of ingekochte dienst of product. Afhankelijk van het risico behoren daarom verplichtingen van de overheid die volgen uit de BIO of uit andere richtlijnen, meegenomen te worden bij het samenstellen van inkoopeisen aan leveranciers.

Impact van de wijziging

• Verhoging van de juistheid van de tekst.
• Eventuele verwijzing naar te hanteren ICO(-wizard) verplaatst naar de maatregelen.

Aanvullende informatie N.v.t.

[jbeljonoss]

De vluchtige lezer leest hier inderdaad dat de BIO verplicht is voor leveranciers. Zie de opmerking van Roel.

Aanvullend: Eerder in BIOv1 werd in paragraaf 4.4 gerefereerd aan een In Control Verklaring. Die lijkt mij niet alleen zinvol voor interne transparantie, maar ook vanuit een leverancier. Verwijs hier naar “BIO2 inleiding – Transparantie en verantwoording”, als daar zo’n ICV genoemd wordt. Anders zo'n ICV hier bij het kopje “Leveranciers” aandacht geven.