Als ondernemers een offerte indienen via TenderNed, dan komt die in een digitale kluis. Daar blijft hij zitten tot de deadline verstreken is. Daarna kunnen twee medewerkers van de aanbestedende dienst samen de kluis openen, waarvoor ze beiden een TAN-code moeten invullen. Dit proces wordt op meerdere manieren beveiligd.
Voor het versleutelen gebruiken we bijvoorbeeld een 'sleutelkastje', waarin twee sleutels zitten waarmee de inschrijvingen en documenten daarbij worden versleuteld. De sleutelkast is op zijn beurt weer versleuteld met een derde sleutel, de zogeheten ‘hoofdsleutel’. Met deze methode ondersteunen we een veilig, eerlijk en betrouwbaar aanbestedingsproces.
De kluis in TenderNed dient 2 doelen
- Voorkomen dat aanbestedende diensten de inschrijvingen kunnen bekijken, voordat de procedure verstreken is.
- Met een handtekening via een TAN-code, verzekeren dat de inschrijving die in de kluis zit ook daadwerkelijk de inschrijving is die de ondernemer heeft ingediend.
Goed beveiligd met 3 sleutels
TenderNed versleutelt met de twee encryptiesleutels elke inschrijving die door de ondernemer is ingediend en alle bewijsdocumenten die door de ondernemer zijn geüpload.
Het openen van de kluis gebeurt door twee mensen van de aanbestedende dienst. Zij moeten allebei met een 2-factor TAN-authenticatie akkoord geven dat de inschrijvingen en bewijsdocumenten ontsleuteld mogen worden.
Vervolgens wordt met de ‘hoofdsleutel’ het kastje geopend, waarna met de twee encryptiesleutels de inschrijvingen en bewijsdocumenten worden ontsleuteld. Het versleutelen en ontsleutelen moet dus altijd met de combinatie van drie sleutels gebeuren.
Methodes van TenderNed correct en doeltreffend
EZK hanteert een beleid voor het versleutelen en beveiligen van data voor alle applicaties die bij EZK/LNV draaien. Daarnaast wordt vanuit de Baseline Informatiebeveiliging Overheid (BIO) gelet op een correct en doeltreffend gebruik van cryptografie.
In maart 2021 is na een nieuw onderzoek geconcludeerd dat de algoritmes en sleutels die TenderNed gebruikt, nog steeds afdoende zijn voor het doel waarvoor TenderNed wordt gebruikt: het veilig en betrouwbaar ondersteunen van aanbestedingsprocedures.