doedag da2020 venlo 9 maart
TRANSCRIPT
GIBIT
Doe-dag Venlo
9 februari 2017
Jeroen Schuuring
2
GHoe
Wat
Invloeden van buiten de gemeente
Inwoners & ondernemers
De organisatie van de gemeente
Markt & ketenpartners
Gemeenten in de informatiesamenleving
Wet- en regelgevingTechnologische innovaties
Verwachtingen van de overheidMaatschappelijke trends
Afspraken over standaardisatieInvulling aan opdrachtgeverschap
BedrijfsvoeringStructuur & cultuur
3
Nieuw!
Doe-dag Venlo
9 maart 2017
Jeroen Schuuring
4
Programma1. Doel en totstandkoming GIBIT
2. Structuur van de overeenkomst
3. Inhoudelijke toelichting- Algemeen- Op specifieke artikelen / onderwerpen
4. Gebruik van de GIBIT- Aan de slag: hoe borging in de organisatie- Toelichting ondersteuning
5. Afsluiting
5
DoelAansluiten op ambities• Open en transparant in de participatiesamenleving
staan.• Werken als één efficiënte overheid.• Massaal digitaal & maatwerk lokaal.
Een goed functionerende ICT markt is cruciaal• Sterker ICT opdrachtgeverschap en meer uniforme
inkoop• Passend aanbod voor informatievoorziening in de
lokale (keten)overheid• Veilig, inpasbaar, flexibel, tijdig, innovatief en
transparant• Gelijk speelveld voor ca 200 aanbieders• Zichtbaar maken van aanbieders die
meerwaarde bieden voor de lokale (keten)overheid
6
Proces van opstelling• Inhoud GIBIT bepaald a.d.h.v. Verkenning
• > 100 gemeenten meegedaan• Aangegeven wat geregeld moet worden
• Uitvoering:• Opdrachtgeverschap: Commissie D&I• Projectleiding KING• Advies ICT kwaliteit, beveiliging, normen, e.d. KING• Juridisch advies – Penvoerder GIBIT: Dirkzwager Advocaten• Juridisch advies – Ontwikkelen hulpmiddelen: ICT Recht• Werkgroep van gemeenten (21 leden) besluitvorming op inhoud• Klankbordgroep van leveranciers (14 leveranciers)• Volgers van gemeenten (>200)• Volgers van leveranciers (26)
• Iteratief proces inclusief een brede consultatie met participatie van 94 organisaties
7
Programma1. Doel en totstandkoming GIBIT
2. Structuur van de overeenkomst
3. Inhoudelijke toelichting- Algemeen- Aan de slag: Check a.d.h.v. bestaand contract- Op specifieke artikelen
4. Gebruik van de GIBIT- Aan de slag: hoe borging in de organisatie- Toelichting ondersteuning
5. Afsluiting
8
Structuur Overeenkomst
9
Reikwijdte GIBITProducten: (onderdelen van) standaard en maatwerk software,
systeemsoftware, databases, hardware en/of (complete) IT-systemen, een en ander met bijbehorende materialen, koppelingen, toegang tot opgeslagen gegevens, hulpmiddelen, vervangingsonderdelen en documentatie, het verstrekken van softwarelicenties en/of intellectuele eigendomsrechten;
Diensten van projectmatige aard: het leveren, converteren, installeren, inrichten, koppelen, implementeren, onderhouden, ontvlechten, repareren en vervaardigen van en adviseren over ICT zaken en/of diensten, inclusief het verzorgen van opleidingen/trainingen;
Diensten van structurele aard: het onderhouden, op afstand aanbieden en/of ‘hosten’ van software(applicaties), clouddiensten, netwerken en websites, het (laten) registreren van domeinnamen, het ontwerpen en ontsluiten van websites en webtoepassingen, het bijhouden en ontsluiten van content en support en incidentmanagement.
En verder overal waar een ICT component inzit (internet-of-things / waar data wordt verzameld en gebruikt)
10
Programma1. Doel en totstandkoming GIBIT
2. Structuur van de overeenkomst
3. Inhoudelijke toelichting- Algemeen- Op specifieke artikelen / onderwerpen
4. Gebruik van de GIBIT- Aan de slag: hoe borging in de organisatie- Toelichting ondersteuning
5. Afsluiting
11
Inhoudelijke toelichting
Alg: Juridische OpzetAlg: Life Cycle benaderingAlg: VangnetAlg: Zorgplicht leverancierAlg: Specificatie Overeengekomen gebruik
12
Inhoudelijke toelichtingAlg: Juridische OpzetAlg: Life CycleAlg: Zorgplicht leverancierAlg: Specificatie Overeengekomen gebruikArt 3+4 Risico analyseArt 5 ImplementatieArt 6 Gemeentelijke ICT-kwaliteitsnormenArt 6 Preventieve testenArt 7 AcceptatieArt 8 Onderhoud
Art 9 VergoedingenArt 12 Product managementArt 13 AansprakelijkheidArt 17 Intellectuele EigendomArt 18 Toegang tot dataArt 19 DerdenprogrammatuurArt 20 BeëindigingArt 20 Exit / overstapArt 28 ArchiveringH II InformatiebeveiligingH III Hosting
13
Programma1. Doel en totstandkoming GIBIT
2. Structuur van de overeenkomst
3. Inhoudelijke toelichting- Algemeen- Aan de slag: check a.d.h.v. bestaand contract- Op specifieke artikelen / onderwerpen
4. Gebruik van de GIBIT- Aan de slag: hoe borging in de organisatie- Toelichting ondersteuning
5. Afsluiting
14
Aan de slag • Welke actie zou je morgen (en de dagen daarna) moeten
uitvoeren om te zorgen dat de GIBIT goed geborgd wordt in de organisatie- Wat ga je doen op beleidsniveau - Wat op uitvoeringsniveau in welke processen- Wie ga je betrekken- …
15
Gebruik borgen binnen de gemeente1. Borg het gebruik van de GIBIT door het op te nemen in het inkoopbeleid –
en zorg dat het College van B&W dit beleid vaststelt2. Borg het gebruik van de GIBIT bij organisaties die namens jou bepaalde
taken uitvoeren (Sociale Diensten, Belastingsamenwerkingen, RUD’s, gemeenschappelijke regelingen, …)
3. Borg daadwerkelijk gebruik: betrek juristen, inkopers, informatiemanagers en mensen uit de business
4. Borg de inhoudelijke kennis van/over GIBIT5. Voeg bij een uitvraag reeds de GIBIT toe als de voorwaarden die van
toepassing zijn6. Stel als gemeente altijd de overeenkomst op: daarin nogmaals aangeven
dat de GIBIT gelden en eventuele voorwaarden van leverancier niet van toepassing zijn
7. Pas GIBIT toe bij hercontractering/verlenging
16
Hulpmiddelen en invoering• Generator voor
modelcontracten
• Handreikingen• En FAQ
• Kennissessies
17
Ondersteuning KING• Actualiseren en beheren site www.gibit.nl voor alle informatie• Ontwikkelen en beschikbaar stellen hulpmiddelen (model-
overeenkomsten, handreikingen, etc.)• Organiseren kennissessies (voor juristen, inkopers, informatiemanagers
en voor leveranciers)• Bijdrage aan congressen en bijeenkomsten georganiseerd door partners• Bijhouden en inzichtelijk maken gebruik van de GIBIT• Inrichten feedbackproces van gebruik GIBIT (waaronder ‘meekijken’ met
enkele aanbestedingen en ophalen ervaringen uit de praktijk) en inhoudelijke support
• Inrichten beheer GIBIT en bijbehorende Gemeentelijke ICT-kwaliteitsnormen
18
Programma1. Doel en totstandkoming GIBIT
2. Structuur van de overeenkomst
3. Inhoudelijke toelichting- Algemeen- Aan de slag: Check a.d.h.v. bestaand contract- Op specifieke artikelen
4. Gebruik van de GIBIT- Aan de slag: hoe borging in de organisatie- Toelichting ondersteuning
5. Afsluiting
19
Afsluiting1. Kijk altijd op www.gibit.nl voor de meest actuele versie van de
Gemeentelijke ICT-kwaliteitsnormen en gebruik bijbehorende modelcontracten en hulpmiddelen
2. Borg het gebruik van de GIBIT door het op te nemen in het inkoopbeleid – en zorg dat het College van B&W dit beleid vaststelt
21
Juridische opzetGeïnspireerd op de ARBIT, maar diverse eigen keuzes gemaakt:
• Minder juridisch dan de ARBIT: meer aansluiting bij verloop project in plaats van wettelijk systeem;
• Meer inhoudelijk dan de ARBIT: koppeling aan concrete normen, concrete kaders voor onderhoud, voor exit, etc.
• Vangnet bepalingen
22
Life cycleComplete life cycle ICT product:• Selectie• Implementatie• Acceptatie• Onderhoud / gebruik• Afschaling• Exit/overstap
Voor alle fasen in die life cycle ‘vangnetbepalingen’ • … die de standaardoptie geven (‘default’); of• … die een kader geven voor partijen.
23
Zorgplicht leverancierDe (wettelijke) zorg- en informatieplichten zijn nader uitgewerkt:
• verplichting zich op de hoogte te stellen (artikel 3.2);
• verplichting navraag te doen bij onduidelijkheden (artikel 3.3);
• verplichting in aanbod rekening te houden met informatie (artikel 3.4);
• verplichting risicoanalyse uit te voeren (artikel 3.5).
24
Specificaties / Overeengekomen gebruikICT Prestatie moet voldoen aan Overeengekomen gebruik• Inhoud mede bepaald door zorgplichten en risicoanalyse leverancier
Daarnaast voldoen aan Gemeentelijke ICT-kwaliteitsnormen• deel standaard naar aard product;• overigens voor zover bepaald in Overeenkomst
Ook na Updates/Upgrades blijven voldoen aan het Overeengekomen gebruik (artikel 8.9 sub iv)
Garantie op voldoen aan Overeengekomen gebruik (artikel 10.1 sub i)
Gebruiksrecht correspondeert met Overeengekomen gebruik (artikel 17.3)
25
Risicoanalyse Introductie risicoanalyse: • vooraf bij doen van aanbod (artikel 3.5);
• na contractering en voor implementatie (artikel 4.2).• met recht van ontbinding door gemeente
Omvang risicoanalyse zal per project verschillen
Doelen:• naar voren halen discussies over scope, meerwerk, etc. • geïnformeerd besluit over projecten door gemeente borgen
26
Risicoanalyse Proof of the pudding: artikel 5.4• Voorzienbare aanpassingen applicatielandschap die niet in risicoanalyse
zijn geadresseerd, zijn voor rekening leverancier
Leveranciers zijn hierover kritisch• Logisch, want dit vereist dat kwaliteit verkoopproces omhoog moet • Bepaling niet te snel “weggeven”, juist deze bepaling zal zorgen voor
kwalitatief betere offertes/inschrijvingen
27
ImplementatieImplementatie is standaard onderdeel overeenkomst• Tenzij afgeweken
Implementatie is aanpassen van het product aan organisatie• Niet organisatie aan product (zie def.)
Optie om opstellen implementatieplan af te dwingen (artikel 5.2)• Belangrijk! Gebrek aan helderheid taak-/rolverdeling in implementatie
belangrijke oorzaak mislukkingen
Kader voor in implementatieplan te adresseren onderwerpen (artikel 5.3)• Bedoeld ter inspiratie/check, uiteraard zijn ook andere onderwerpen
denkbaar
Tussentijdse termijnen niet fataal, eindtermijn wel (artikel 5.5)• Ratio: gebruik product/dienst staat voorop, enkele overschrijding
tussentijdse termijn minder relevant
28
Gemeentelijke ICT-kwaliteitsnormenICT Prestatie moet voldoen aan de Gemeentelijke ICT-kwaliteitsnormen:1. deel standaard naar aard product (artikel 6.1 i);2. overigens voor zover bepaald in Overeenkomst (artikel 6.1 ii).
Ad 1: als bijlage bij de GIBIT worden op www.gibit.nl de Gemeentelijke ICT-kwaliteitsnormen gepubliceerd. Hierin zijn de normen vanuit wettelijke bepalingen en landelijke afspraken opgenomen. Voor de verplichte normen is hiermee geborgd dat ze gelden
Ad 2: naast bovengenoemde normen zijn er aanvullende normen. Aan Opdrachtgever is het om in de uitvraag / programma van eisen / bestek reeds aan te geven welke extra normen verplicht worden gesteld voor de specifieke aanvraag
Artikel 8.9 iii bepaald dat Leverancier blijvend moet voldoen aan de Gemeentelijke ICT-kwaliteitsnormen, ook in geval hier extra normen gepubliceerd worden. Overigens kunnen hier kosten voor worden berekend (conform artikel 8.1)
29
Preventieve testenVoorafgaand aan Acceptatie voert Leverancier preventieve testen op
voorgeschreven normen en standaarden uit
Tenzij Leverancier bewijs van eerder uitgevoerde preventieve test kan laten zien
Ratio: voorkomen is beter dan genezen, maar voor reeds geteste (volwassen) producten is extra test wat overdreven
Tijdens acceptatieprocedure worden ook alle koppelingen met applicatielandschap getest (artikel 6.5)
Leverancier coördineert werkzaamheden alle betrokken leveranciers, gemeente zorgt dat partijen aan tafel zitten (artikel 6.6)
Regeling voor niet-slagen ketentest• toerekenbaar aan leverancier: Gebrek• niet-toerekenbaar aan leverancier: overlegplicht
30
AcceptatieOnderdeel van Implementatie is Acceptatie (zie def.)• Acceptatie dus in beginsel standaard onderdeel overeenkomst
Optie om opstellen testprotocol af te dwingen (artikel 7.1)
Bij gebreke van andersluidende afspraken standaard kader GIBIT voor acceptatietesten:
• na iedere (deel)levering testen;• leverancier verantwoordelijk voor (planning voor) tijdig herstel
geconstateerde gebreken;• na deeltesten ook altijd integrale test;• na 2x doorlopen test zonder goed resultaat recht op ontbinding,
schadevergoeding of voorwaardelijke acceptatie• Gebreken die niet aan gebruik in de weg staan geen grond voor niet-
acceptatie (maar dienen wel hersteld te worden);• ingebruikname terwijl ook geen acceptatieprocedure is afgesproken
impliceert acceptatie • Gemeenten moeten dus zelf ook blijven opletten!
31
Onderhoud Onderhoud is standaard en omvat standaard• Correctief Onderhoud;• Preventief Onderhoud;• Innovatief Onderhoud;• Gebruikersondersteuning.
Keuze omdat in veel gevallen onderhoud must zal zijn. • Hiervan afwijken in overeenkomst in andere gevallen!• Optie om later alsnog onderhoud af te nemen (artikel 8.14)
SLA:• Mogelijkheid afdwingen SLA met service levels (artikel 8.6)• Herhaald niet halen service level in ieder geval ontbindingsrecht (artikel
8.7)
32
Onderhoud Innovatief onderhoud omvat blijven voldoen aan:• wet- en regelgeving;• interoperabiliteitseisen;• Gemeentelijke ICT-kwaliteitsnormen;• overeengekomen performance en gebruik.
Lat ligt hoog. Bewuste keuze, want leverancier is vaak feitelijk enige die dit kan borgen
• Potentieel wel prijsopdrijvend, dus van afwijken in kleine projecten
Mogelijkheid implementatie updates/upgrades te laten verzorgen (artikel 8.10)
Genuanceerde regeling over mee moeten in laatste updates/upgrades:• in beginsel ruimte om tot 24 maanden achter te lopen;• een gebrek is echter geen gebrek indien in een update/upgrade hersteld
33
VergoedingenBetalingsregeling waarbij voor meeste vergoedingen 30% wordt
vastgehouden tot na (integrale) acceptatie• Prikkel tot nakoming voor leverancier
Prijsverhogingen gelimiteerd tot CBS-cijfers, behoudens derdenprogrammatuur
34
ProductmanagementArtikel 12• Recht op informatie over roadmap (lid 1)
• Recht op toegang tot platform voor overleg met andere klanten (lid 2)
• Mogelijkheid aanvullingen op programmatuur aan andere klanten ter beschikking te stellen en toe te voegen aan product (lid 3)
35
Aansprakelijkheid Gelijk aan ARBIT gekozen voor 4x de vergoeding als hoogte voor
aansprakelijkheid, maar met maximum
Onderscheid tussen (abstract omschreven) soorten schade verlaten. In plaats daarvan redelijk concrete lijst aan schadeposten
Let wel, lijst is vrij uitvoerig en omvat daarmee ook posten van meer indirecte aard. Eventueel in onderhandelingen bepaalde posten “weggeven”.
36
Intellectuele eigendomArtikel 17:• Standaard geen overdracht rechten, maar een licentie overeenkomstig
overeengekomen gebruik
• Aanvullingen op standaardprogrammatuur ook geen overdracht rechten, maar kosteloos aanbieden aan andere gebruikers (zie artikel 12.3)
• Zelfstandig functionerend maatwerk wel overdracht rechten, met bereidheid gemeente over (terug)overdracht te bespreken
37
Derdenprogrammatuur Genuanceerde regeling (artikel 19):• Specificatieplicht, waaronder licentievoorwaarden (lid 1)• Verkrijgbaarheid elders kenbaar maken (lid 2)• Afhankelijkheid specificeren (lid 3)• Tijdig updates/upgrades uitbrengen voor software die afhankelijk is (lid
4)• Gebrek in derdenprogrammatuur niet toerekenbaar aan leverancier,
maar moet wel worden opgelost (lid 5 en 6)• Indien leverancier niet aan specificatieplicht voldoet, dan geldt escape
van lid 5/6 niet.
38
BeëindigingOpzegtermijn overeenkomst onbepaalde tijd (20.2)
Selectief opzeggen samenhangende overeenkomsten (20.3)
Recht op tussentijdse opzegging tegen vergoeding (20.4-20.6) bij:• overgang onder algemene titel• uitbesteding gemeenschappelijke regeling• onvoorziene landelijke voorziening die alternatief vormt
Ontbinding op reguliere gronden, alsmede:• negatief advies BIBOB;• uitsluitingsgronden Aw;• langdurige overmacht.
39
Exit / overstapOp verzoek opstellen Exit-plan (22.1)
Verschillende opties:• Exit-scenario, gericht op overdracht aan derde of voortzetting door
gemeente zelf;• Inruil ICT Prestatie voor beperktere licenties en onderhoud;• Overdracht aan GR;• Data-portabiliteit.
Indien exit-plan niet tijdig is afgerond wordt ICT Prestatie voortgezet (22.10).
40
Toegang tot dataAltijd recht op toegang tot data en instellingen (artikel 18.1)
Kan worden verschaft middels koppelingen (18.2)• Voorkeur, want structurele oplossing
Zorgplicht leverancier indien beveiligingen omzeild worden (18.3)
Gebruik van verkregen gegevens voor risico gemeente (18.4)
41
Hoofdstuk IIUitgebreide regeling omtrent alles dat met verwerking gegevens te maken
heeft
Artikel 24 – 27 vormen in feite een bewerkersovereenkomst• Gelet op abstracte karakter zal er in de praktijk vaak nog wel een
concrete bijlage / bewerkersovereenkomst worden gesloten
Artikel 28 geeft specifieke normen over archivering• Overlap met andere regelingen omtrent toegang tot data.
42
Hoofdstuk IIEnkele aandachtspunten:• Recht op inschakelen sub-bewerkers (artikel 24.4)
• Verbod op verwerking in niet-veilig land (artikel 25.6)
• Vertrouwelijkheid – en daarmee ook boetebeding – van artikel 15 van overeenkomstige toepassing (artikel 25.7)
• Verbod op contact met betrokkene (artikel 25.9)
• Verplichting tot herstel beveiligingsincident (artikel 27.1)
• Kosteloos verrichten werkzaamheden datalekken behoudens overmacht (artikel 27.4)
• Genuanceerde vrijwaring voor opgelegde boetes
43
Hoofdstuk IIIHoofdstuk is van toepassing op alle situaties die vallen onder begrip
“Hosting”. • Let op ruime strekking van dat begrip. Niet alleen hosting van een
website, maar in feite alle ICT dienstverlening op afstand.
Opschorting zeer sterk aan banden gelegd (artikel 29.2)• Gelet op grote afhankelijkheid bij Hosting
Opslag gegevens eigen verantwoordelijkheid gemeente, leverancier zal in beginsel niet overgaan tot verwijdering gegevens (artikel 30)
44
Hoofdstuk IIIBasis beschikbaarheidslevel van 98% op werkdagen tussen 0800-1800h
(artikel 31.2)
Leverancier installeert Updates/Upgrades
Geen recht op achterlopen in versies (artikel 31.4)• Past niet bij generieke Hosting. Bij specifieke maatwerkafspraken hiervan
afwijken in contract
Optie om continuiteitsafspraken te maken (artikel 32)
Let op: afspraken moeten vooraf gemaakt worden. Vandaar ook het in te roepen recht in de GIBIT.
• Is leverancier eenmaal failliet, dan ben je te laat! • De curator zal hier niet of alleen tegen forse kosten aan mee werken.
45
Q&A
46
Dank voor uw aandacht!