Veilig aanbesteden en inschrijven

Aanbesteden is een vertrouwelijk proces. Of u nu aanbesteedt of inschrijft, u moet erop kunnen vertrouwen dat u uw informatie veilig kunt opslaan, verzenden of ontvangen. PIANOo (beheerder van TenderNed) neemt verregaande maatregelen om de kwaliteit van de informatiebeveiliging te borgen: autorisatie, een digitale kluis, versleuteling van gegevens, het periodiek vervangen van databasesleutels en gecertificeerde werkprocessen.  

Autorisatierollen: wie ziet wat?

Acties die u uitvoert in het dashboard van een aanbesteding zijn enkel inzichtelijk voor daartoe geautoriseerde gebruikers. Iedere onderneming en aanbestedende dienst heeft in ieder geval één geautoriseerde gebruiker, de lokaal beheerder. De lokaal beheerder van de organisatie bepaalt de rollen en daarmee de rechten van de overige gebruikers voor de organisatie. Rechten kunnen bestaan uit enkel leesrechten, lees- en wijzigrechten en rechten om een inschrijving in te dienen of documenten toe te voegen aan een aanbesteding.

Voor een aantal handelingen moet een geautoriseerde gebruiker een transactiecode invoeren, die hij ontvangt op zijn mobiele telefoon. Dit geldt bijvoorbeeld voor het publiceren van een aankondiging en het openen van de kluis door een aanbestedende dienst, en het indienen van een aanmelding of inschrijving door een onderneming.

De digitale kluis

Zodra de onderneming haar aanmelding of inschrijving heeft verstuurd, wordt deze in de digitale kluis geplaatst. Tot het verstrijken van de uiterste termijn heeft de onderneming nog de mogelijkheid om de offerte in te trekken en opnieuw in te dienen. Alleen een geautoriseerde gebruiker kan een offerte indienen en intrekken, met behulp van een transactiecode die per sms wordt ontvangen.

Ingediende offertes zijn voor niemand inzichtelijk totdat de kluis geopend is. De kluis kan pas geopend worden na het verstrijken van de deadline voor aanmelding of inschrijving. Alleen daartoe geautoriseerde medewerkers van de aanbestedende dienst hebben de mogelijkheid de digitale kluis met aanmeldingen of inschrijvingen te openen. Hiervoor moeten 2 geautoriseerde medewerkers een transactiecode invoeren, die zij per sms ontvangen.

Versleuteling documenten

Documenten die in TenderNed worden geüpload zijn versleuteld. Dit betekent dat alleen geautoriseerde gebruikers binnen het aanbestedingsteam inzage hebben in deze documenten. Ook medewerkers van TenderNed hebben geen inzage in de inhoud van de documenten. Pas wanneer de documenten via een aanmelding/inschrijving zijn verstuurd en de kluis door de aanbestedende dienst is geopend, is de inhoud van de documenten pas zichtbaar. Hierbij geldt dat alleen geautoriseerde medewerkers van de aanbestedende dienst de documenten kunnen inzien in TenderNed. Ontsleutelen van documenten is mogelijk in geval van een calamiteit, maar dit is altijd traceerbaar in de zogenoemde logfiles. Prijsinformatie wordt separaat versleuteld, zodat deze apart beoordeeld kan worden.

Databasesleutels

De gegevens in de database worden beveiligd met unieke databasesleutels, die periodiek vervangen worden.   

Netwerken

TenderNed werkt met een beveiligde verbinding (https), zodat al het gegevensverkeer tussen het systeem en de gebruiker meervoudig versleuteld is. We maken gebruik van een veiligheidscertificaat (SSL) van de overheid (PKI Overheid).

Testen

TenderNed voert periodiek beveiligingstesten uit, om de kwaliteit van de software te valideren. Hoe beter de kwaliteit van softwarecode, hoe beter het systeem te beveiligen is tegen aanvallen via zogenaamde ‘achterdeurtjes’. Regelmatig simuleren externe experts cyberaanvallen op de applicatie en het netwerk, om op alles te zijn voorbereid.

ISO 27001

TenderNed voldoet aan de ISO 27001 standaard met betrekking tot informatiebeveiliging. Een auditor meet jaarlijks de effectiviteit van de verschillende werkprocessen; hoe PIANOo de processen voor onder meer incidentmanagement, wijzigingenbeheer, informatiemanagement en privacy meet en monitort.

 

Naar boven