Van tijd tot tijd krijgen we van een aanbestedende dienst het verzoek om een document van TenderNed te verwijderen omdat er vertrouwelijk informatie in staat. We honoreren zo’n verzoek, maar in de tussentijd kan de informatie wel al gedownload en verspreid zijn. We geven 3 voorbeelden van informatie die niet in de aankondiging of aanbestedingsstukken thuishoort.
1. Technische details van IT
Voor een kwaadwillende partij zijn technische details van gebruikte IT en in sommige gevallen ook OT (operationele technologie) bijzonder nuttig om een poging te doen om uw bedrijfsnetwerk binnen te dringen (initial access) of om hierdoorheen te bewegen (lateral movement). Dit geldt voor bijvoorbeeld:
- Typen, versies of namen van software en systemen
- De inrichting van een netwerk- of cloudomgeving
- IP-adressen, serverlijsten, architectuurplaten
- Al genomen securitymaatregelen
Het publiekelijk maken van dergelijke informatie maakt uw organisatie kwetsbaar voor cyberaanvallen.
2. Indeling van een bedrijfspand
Gedetailleerde tekeningen van uw bedrijfspand lijken misschien nuttig voor een aanbesteding voor schoonmaakdiensten, maar zijn ook zeer bruikbaar voor inbrekers. Denk goed na of de informatie die u deelt relevant is. Geef alleen informatie die inschrijvers nodig hebben om een passende offerte in te dienen, en niet meer dan dat.
3. Namen en adressen van personen
Leerlingenvervoer aanbesteden? Deel geen persoonsgegevens in de aanbestedingsstukken. De namen en adressen van leerlingen zijn alleen relevant voor de partij met de beste inschrijving.
Openbare documenten op TenderNed
Aanbestedende diensten publiceren veel openbare documenten in hun aanbestedingen. TenderNed controleert niet of hier vertrouwelijk informatie in staat. De verantwoordelijkheid voor de inhoud ligt bij de aanbestedende diensten. In de applicatie attenderen wij hen hier wel op.
Waarde van informatie beoordelen
Het is belangrijk dat organisaties zelf beoordelen wat de waarde van informatie is, dit vastleggen en beheren. De Factsheet Risico’s beheersen: de waarde van informatie als uitgangspunt van het Nationaal Cyber Security Centrum (NCSC) kan hen hierbij helpen.
Toch vertrouwelijke informatie gepubliceerd?
Gepubliceerde documenten kunt u niet zelf verwijderen. Staat er vertrouwelijke, privacy- of commercieel gevoelige informatie in of heeft u een andere zwaarwegende reden? Vul dan het formulier Verzoek verwijderen document in. Op werkdagen krijgt u binnen 24 uur antwoord van ons.
