Veilig aanbesteden en inschrijven

Aanbesteden is een vertrouwelijk proces. Of je nu aanbesteedt of inschrijft, je moet erop kunnen vertrouwen dat je informatie veilig kunt opslaan, verzenden of ontvangen. Informatie moet zichtbaar zijn wanneer dat mag en nodig is, maar onzichtbaar blijven in alle andere gevallen.

Security en Privacy ‘by design’

Zowel veiligheid als privacy zitten daarom ‘ingebakken’ in alles wat we bij TenderNed bedenken en bouwen. Al in een vroeg stadium zorgen we zowel technisch als organisatorisch voor zorgvuldige omgang met persoonsgegevens en veiligheid.

Onze Servicedeskmedewerkers zien bijvoorbeeld in TenderNed voldoende om hun werkzaamheden te kunnen verrichten en niet meer dan dat. Ze kunnen, na toestemming, meekijken in de schermen van een gebruiker, maar ze zien daar niet alle velden.

Ook technisch applicatiebeheerders kunnen bij TenderNed niet alles zien en wijzigen, door de gehanteerde encryptiemethodes. Dit is iets wat vaak vergeten wordt, maar bij TenderNed niet.

Al bijna 10 jaar ISO gecertificeerd

TenderNed voldoet al bijna 10 jaar aan de eisen voor het ISO 27001-certificaat, een wereldwijd erkende norm op het gebied van informatiebeveiliging.

Enkele voorbeelden van privacy en veiligheid in TenderNed

Hieronder ziet u een aantal voorbeelden van hoe we omgaan met privacy en veiligheid. En hoe we op alle momenten in de klantreis aandacht hebben voor deze onderwerpen. Waarbij we kijken naar alle gebruikersgroepen: aanbestedende diensten, ondernemers, mensen met een ‘interesseprofiel’, maar ook naar medewerkers van TenderNed.  

Autorisatierollen regelen wat iemand ziet en kan doen

Verschillende autorisatierollen zorgen ervoor dat iemand alleen kan zien en doen, wat hij mag zien en doen. Iedere onderneming en aanbestedende dienst heeft in ieder geval één volledig geautoriseerde gebruiker: de lokaal beheerder. Deze lokaal beheerders bepalen de rollen en daarmee de rechten van de overige gebruikers binnen hun organisatie.

Aanbestedende diensten zijn overigens zelf verantwoordelijk en aansprakelijk voor de gegevens die zij op TenderNed publiceren. Dat geldt ook voor eventuele persoonsgegevens die in aanbestedingsstukken zijn opgenomen. Daar worden ze door de applicatie op gewezen tijdens het aanmaken van een aanbesteding.

Medewerkers TenderNed zien niet alles

Naast gebruikers van aanbestedende diensten en ondernemers kent TenderNed gebruikers met zogenaamde verhoogde rechten. Dit zijn de functioneel- en technisch beheerders en de Servicedeskmedewerkers van RVO. Ook deze gebruikers van TenderNed hebben geen inzage in de inhoud van de documenten.

Functioneel beheerders en technisch applicatiebeheerders hebben geen toegang tot inhoudelijke data van aanbestedende diensten en ondernemers. Dat gebeurt via autorisatie per scherm. Ook voor hen gelden autorisatierollen, en ook hun acties worden vastgelegd met logging (wie doet wat, waar en wanneer). Ook moeten zij een extra geheimhoudingsverklaring tekenen.

De Servicedeskmedewerkers hebben minder rechten dan de beheerders. Zij zien voldoende om de eerstelijns werkzaamheden richting de gebruikers te kunnen doen. SD-medewerkers kunnen daarnaast, na toestemming, bij gebruikers meekijken in de applicatie, maar ook daar weer niet alle velden zien, zoals beoordelingen en prijzen in een aanbesteding.

Het aantal mensen met verhoogde rechten wordt zo klein mogelijk gehouden. Dit wordt periodiek gecontroleerd.

Tweestapsverificatie voor extra veiligheid

Voor een aantal handelingen moeten gebruikers een transactiecode invoeren, die zij per sms ontvangen op hun mobiele telefoon. Dit geldt bijvoorbeeld voor het publiceren van een aankondiging, het versturen van een aanmelding of inschrijving door een onderneming, en het openen van de kluis door een aanbestedende dienst.

Offertes worden bewaard in de digitale kluis

Zodra een onderneming haar aanmelding of inschrijving heeft verstuurd, dan wordt deze in een digitale kluis geplaatst. Deze offertes zijn voor niemand te zien totdat de kluis geopend is. Dat kan pas na het verstrijken van de deadline. De kluis moet vervolgens worden geopend door twee geautoriseerde medewerkers van de aanbestedende dienst, volgens het zogenoemde vierogenprincipe. Zij moeten allebei zijn ingelogd en een transactiecode invoeren, die ze per sms ontvangen.

Documenten zijn versleuteld

Documenten die in TenderNed worden geüpload zijn versleuteld. Alleen geautoriseerde gebruikers binnen het eigen aanbestedingsteam kunnen de documenten zien en openen. Pas wanneer de documenten zijn verstuurd en de kluis door de aanbestedende dienst is geopend, is de inhoud van de documenten ook voor hen zichtbaar. Prijsinformatie wordt separaat versleuteld, zodat deze apart beoordeeld kan worden.

Lees meer over de versleuteling van de TenderNed kluis.

Gegevens beveiligd met databasesleutels

De gegevens in de database worden beveiligd met unieke databasesleutels, die periodiek vervangen worden.

Veilige netwerken en certificaten

TenderNed werkt met een beveiligde https-verbinding, zodat al het gegevensverkeer tussen het systeem en de gebruiker meervoudig versleuteld is. We maken gebruik van een veiligheidscertificaat (SSL) van de overheid (PKI Overheid).

Regelmatig testen om de code te verbeteren

We voeren periodiek beveiligingstesten uit om de kwaliteit van onze software te valideren. Hoe beter de kwaliteit van de softwarecode, hoe beter het systeem te beveiligen is tegen aanvallen via zogenaamde ‘achterdeurtjes’. Regelmatig simuleren externe experts cyberaanvallen op de applicatie en het netwerk, om op alles te zijn voorbereid.

De uitgangspunten van TenderNed

Bij privacy en veiligheid zijn dit onze uitgangspunten:

  • Toegang tot het niet-publieke deel van TenderNed is alleen mogelijk voor gebruikers waarvan de identiteit is vastgesteld (identificatie en authenticatie).
  • Gebruikers die de authenticatie hebben doorlopen, krijgen alleen toegang tot functionaliteit en/of gegevens die bij hun rol en toegekende rechten hoort (autorisatie).
  • Informatie die wordt uitgewisseld tussen de gebruikers en TenderNed (inclusief subsystemen) kan niet kan worden onderschept, en wordt niet toegankelijk voor niet-geautoriseerde derden (vertrouwelijkheid).
  • De gegevens die worden uitgewisseld tussen de gebruikers en TenderNed (inclusief subsystemen) kunnen niet worden veranderd (opzettelijk of onopzettelijk) door niet-geautoriseerde derden (integriteit).
  • Gebruikers kunnen niet ontkennen dat zij als belangrijk aangemerkte transacties hebben uitgevoerd (onweerlegbaarheid).
Naar boven