Afspraken maken met een IT-leverancier

De veranderingen in het bedrijfsleven versnellen en we doen steeds vaker een beroep op technologie. Tegelijkertijd wordt technologie steeds complexer, waardoor je als ondernemer meer tijd kwijt bent aan het onderhouden van je technische omgeving, zoals het beheren van je laptops, netwerkapparatuur en de beveiliging hiervan. In plaats van dit zelf te doen, kun je ervoor kiezen dit uit te besteden aan een externe dienstverlener. Hierbij is het belangrijk om goede afspraken te maken, zodat je zeker weet dat je een volledig werkbare omgeving met de juiste beveiligingsmaatregelen krijgt.

Uitbesteden van IT

Bij het uitbesteden van IT draag je (een deel van) het beheer van je hardware, software en IT-beleid over aan een externe dienstverlener. Je kiest zelf of je het volledige beheer wilt uitbesteden, of dat je alleen een bepaalde dienst of product wilt afnemen. Een dienstverlener heeft specialistische kennis en zorgt dat de diensten die je afneemt goed werkbaar en beveiligd zijn. Ook kunnen zij zorgen voor het onderhoud en de beveiliging van deze diensten, zodat jij je volop kan richten op je bedrijfsvoering. Uitbesteding kan flexibiliteit bieden, bijvoorbeeld als je tijdelijk extra laptops nodig hebt. Daarnaast kan het uitbesteden van IT kosten besparen doordat er geen directe kapitaalinvesteringen nodig zijn, zoals het in één keer aanschaffen van alle laptops en netwerkapparatuur. In ruil daarvoor betaal je maandelijks een afgesproken bedrag.

Het maken van afspraken

Het is belangrijk goede afspraken te maken met je externe dienstverlener, zodat je zeker weet dat de diensten die je afneemt goed onderhouden worden en voldoende beveiligd zijn. Deze afspraken leg je vooraf vast in een zogenaamde Service Level Agreement (SLA). Dit is een type overeenkomst waarin afspraken staan tussen de aanbieder en afnemer van een dienst of product. Denk hierbij bijvoorbeeld aan de beschrijving van de dienst, de duur van de overeenkomst, informatie over eigendom en risico, beveiliging, en wat er gebeurt in het geval van geschillen.

Checklist Service Level Agreement

Ieder bedrijf heeft andere wensen. Daarom moeten er duidelijke afspraken gemaakt worden over de producten en diensten je afneemt en onder welke voorwaarden. Het moet bijvoorbeeld duidelijk zijn wie verantwoordelijk is voor het uitvoeren van onderhoud, of er periodiek controles worden gedaan op kwetsbaarheden en of je data regelmatig geback-upt wordt.

De vragen in dit thema bieden handvatten voor het maken van goede afspraken over het opzetten en de beveiliging van je IT omgeving.

  1. Welke producten en diensten worden geleverd?
    Zorg dat duidelijk is wat er van de dienstverlener verwacht wordt en dat het duidelijk is waar jij zelf nog verantwoordelijk voor bent. Wil je bijvoorbeeld dat de externe dienstverlener enkel laptops levert, of wil je het beheer van de gehele IT-omgeving uitbesteden aan de externe dienstverlener? In beide situaties zullen beide partijen andere verantwoordelijkheden hebben.
    Bij het maken van een overeenkomst is het belangrijk dat begrippen meetbaar en eenduidig zijn, zodat de overeenkomst niet gebaseerd is op interpretatie. Maak daarom gebruik van heldere begrippen en definities, bijvoorbeeld uit het Cybersecurity woordenboek van Cyberveilig Nederland.
  2. Hoe wordt het onderhoud uitgevoerd?
    Het uitvoeren van updates en patches is belangrijk omdat hiermee kwetsbaarheden in software gerepareerd worden. Echter, is het vanuit het oogpunt van continuïteit niet altijd mogelijk deze updates en patches zo snel mogelijk uit te voeren. Belangrijk is dat je hier als onderneming bewust van bent en hier goede afspraken over maakt. Zorg dat duidelijk is wie het onderhoud uitvoert, hoe vaak dit gebeurt en hoe de dienstverlening kan voorkomen dat jouw onderneming hier zo min mogelijk hinder van ondervindt.
  3. Welke beveiligingsmaatregelen zijn getroffen tegen aanvallen van buitenaf?
    Om je onderneming te beschermen tegen aanvallen van buitenaf is het belangrijk goede beveiligingsmaatregelen te treffen. Ga na of de dienstverlener zorg draagt dat alle apparaten voorzien zijn van antivirussoftware en de veiligheid regelmatig getest wordt. Daarnaast dient het netwerk voorzien te zijn van een firewall, waarvan de werking getest is. Maak duidelijke afspraken over wie hiervoor verantwoordelijk is. Zorg daarbij ook dat kritieke systemen extra beschermd zijn, bijvoorbeeld door middel van tweefactorauthenticatie.
  4. Welk beveiligingsbeleid is van toepassing voor werkplekken?
    Om gegevens op computers, laptops en andere mobiele apparaten te beschermen is het belangrijk dat er een goed beveiligingsbeleid gevoerd wordt. Enkele voorbeelden hiervan zijn dat gegevens versleuteld opgeslagen dienen te worden en dat medewerkers verplicht moeten worden een sterk wachtwoord te gebruiken. Let daarbij ook op of er afspraken gemaakt zijn over het gebruik van apparatuur die eigendom is van je medewerkers, zoals 'Bring Your Own Device' apparatuur. Je kunt met de dienstverlener afspreken wie verantwoordelijk is voor het bedenken en het uitvoeren van dit beleid.
  5. Hoe wordt mijn informatie beschermd tegen datalekken en dataverlies?
    Om de toegankelijkheid van informatie bevorderen en dataverlies te voorkomen wordt steeds vaker gebruik gemaakt van clouddiensten. Als jouw informatie in de cloud wordt opgeslagen is het goed om te weten of de informatie versleuteld wordt opgeslagen en wie toegang heeft tot deze data. Als de informatie niet in de cloud wordt opgeslagen is het handig om te weten of er back-ups worden gemaakt, zodat je geen data verliest als je laptop defect is.
  6. Wie is het aanspreekpunt bij (beveiligings)incidenten?
    Als er zich een probleem voordoet moet het duidelijk zijn bij wie je terecht kunt. Zijn er duidelijke afspraken over hoe je een melding kan maken van een probleem of incident? Is de meldingsprocedure duidelijk en niet te omslachtig? Is er 24/7 ondersteuning beschikbaar?
  7. Hoe snel wordt een probleem opgelost?
    Wanneer er zich een (beveiligings)probleem voordoet wil je natuurlijk dat dit zo snel mogelijk wordt opgelost. In de SLA staan afspraken hoe snel een dienstverlener reageert op een melding (responsetime) en een oplossing biedt (oplostijd). Zorg dat deze tijdslijnen duidelijk en acceptabel zijn voor jouw bedrijf.
  8. Welke prestatie-eisen zijn nodig en hoe wordt dit gemeten?
    In een SLA staan afspraken over de beschikbaarheid (uptime) of hoe lang een dienst offline mag zijn (downtime) voor bijvoorbeeld onderhoud of door storingen. Kijk goed naar hoe dit gemeten wordt: Als een uptime van 99,9% per jaar wordt gegarandeerd, mogen uw systemen er per jaar een ruime werkdag achterelkaar uit liggen. Als dit percentage per maand wordt berekend, is dit minder dan een uur. Let daarnaast ook op of de beschikbaarheid gegarandeerd wordt op de momenten die er toe doen. Het updaten van de systemen kan bijvoorbeeld beter 's nachts gebeuren dan tijdens kantooruren.
  9. Wat gebeurt er als afspraken niet nagekomen worden?
    Je gaat er vanuit dat afspraken die je maakt nagekomen worden. Helaas is dit niet altijd mogelijk. In zo'n situatie is het prettig als je vooraf afspraken gemaakt hebt wat er gebeurt als de afspraken in een SLA niet worden gehaald of voldoende worden nageleefd. Let goed op dat de afgesproken vergoeding voor het niet nakomen van een SLA in verhouding staat tot de mogelijke schade die je kan leiden. Kijk daarnaast ook of er duidelijke afspraken zijn over bijvoorbeeld aansprakelijkheid en schadevergoedingen.
  10. Vinden er periodiek controles plaats om zeker te weten dat we geen risico's lopen?
    Om zeker te weten dat de beveiligingsmaatregelen en het beleid haar werk doen, is het belangrijk dit periodiek te laten controleren.