Terwijl veel IT-leveranciers al richting de kerstvakantie afschakelen, herschrijven gemeenten ondertussen rustig de spelregels. Deze spelregels staan in de praktijk beter bekend als de Gemeentelijke Inkoopvoorwaarden bij IT, oftewel de GIBIT. Contracteer je als IT-leverancier onder de GIBIT? Dan is dit blog voor jou.
In ons vorige blog behandelden we de nieuwe NLdigital Voorwaarden 2025. Vandaag? De GIBIT 2025! Dit zijn een set voorwaarden die gemeenten in Nederland helpen bij het inkopen van IT-diensten. De laatste versie komt uit 2023. Het IT-landschap van gemeenten is echter snel veranderd, waardoor de voorwaarden aan vernieuwing toe zijn. De bedoeling was om dit in 2025 rond te krijgen, maar op dit moment is enkel de consultatieversie nog beschikbaar.
Hoewel we ons dus nog afvragen of het de GIBIT 2025 lukt om voor kerst naar huis te rijden, zijn de belangrijkste wijzigingen in de consultatieversie al duidelijk. Deze wijzigingen zijn niet alleen voor gemeenten relevant, maar ook voor de IT-leveranciers waar ze mee samenwerken. In dit blog zetten we de belangrijkste wijzigingen voor je op een rij, zodat je voldoende gesprekstof hebt op de aankomende kerst- en nieuwjaarsborrels.
Open source
De piek op de GIBIT-kerstboom is de toevoeging van een nieuw hoofdstuk over open source. Bij open source wordt de broncode van de software vrij beschikbaar gesteld, zodat iedereen de software kan bekijken, kopiëren en aanpassen. Het hoofdstuk bepaalt dat open source bij maatwerksoftware het nieuwe uitgangspunt is, tenzij er duidelijke redenen zijn om hiervan af te wijken. Verder moet de software op naam van de gemeente worden gepubliceerd op een platform, zoals GitHub. Op het moment van publicatie komen de intellectuele eigendomsrechten bij de gemeente te liggen. Ook schrijft het hoofdstuk het gebruik van open source-licenties voor, zoals de European Union Public Licence.
Dit alles sluit aan bij de wens van gemeenten om software te laten ontwikkelen die herbruikbaar is voor andere gemeenten, omdat het te duur is om software telkens opnieuw te ontwikkelen. Ook zorgt het ervoor dat gemeenten niet afhankelijk zijn van één IT-leverancier, oftewel het voorkomt een zogenaamde vendor lock-in. Daarmee is open source essentieel geworden voor het IT-landschap van de overheid.[1]
Artificiële intelligentie
In de GIBIT 2025 krijgt ook Artificiële Intelligentie (AI) een duidelijke plek onder de GIBIT-kerstboom. Voor de IT-leverancier brengt dit concrete verplichtingen met zich mee, waarvan het verstandig is dat hij hier tijdig bewust van is.
Waar de GIBIT 2023 al een definitie kende van algoritmische toepassingen, voegt de versie uit 2025 hier de definitie voor ‘AI-systeem’ aan toe. Deze definitie is rechtstreeks uit de AI Act overgenomen. Ook de definitie van algoritmische toepassingen is uitgebreid, zodat alle AI-systemen eronder vallen. Let op! Andersom hoeft dit niet zo te zijn: niet elke algoritmische toepassing is automatisch een AI-systeem.
Verder rusten er dus een aantal belangrijke verplichtingen op de IT-leverancier. Zo moet hij kunnen uitleggen hoe het AI-systeem werkt en ligt de verantwoordelijkheid voor de risicoclassificatie van het AI-systeem bij hem. Als het een hoog-risico AI-systeem betreft, moet de IT-leverancier garanderen dat het AI-systeem voldoet aan de eisen van de AI Act. In het verlengde daarvan moet hij voorkomen dat een gemeente onbedoeld als aanbieder van het AI-systeem wordt gezien. Daarnaast worden bepaalde verplichtingen voor IT-leveranciers uit de AI Act contractueel vastgelegd, waaronder de plicht om mee te werken aan Fundamental Rights Impact Assessment.
Tot slot zijn de regels voor datagebruik in algoritmische toepassingen aangescherpt. Data die bij AI-toepassingen worden verwerkt, mogen niet voor eigen doeleinden van de IT-leverancier worden gebruikt, tenzij deze volledig geanonimiseerd zijn. Dit is overigens niet de enige verandering rondom data.
Data
Als klapper op de vuurpijl zijn de regels rondom data ingrijpend veranderd om in te spelen op nieuwe wetgeving, zoals de Data Act. Het uitgangspunt is dat gemeenten hun data moeten kunnen behouden bij beëindiging van het contract met hun IT-leverancier. Het gaat zowel om data die gegenereerd worden door software als door fysieke producten, zoals slimme camera’s. Ook moet een IT-leverancier de gemeente op de hoogte stellen dat er data worden verwerkt. Partijen moeten echter afspreken of, en hoe, deze data gedeeld worden. Omdat de IT-leverancier de gegevens verwerkt in opdracht van de gemeente mag hij niet zonder toestemming de data verwijderen, tenzij dit technisch onmogelijk is of in strijd met de wet.
Voor cloud- en hostingdiensten is de kern dat data-beschikbaarheid en migratie gewaarborgd moeten zijn. Zo krijgen gemeenten vergaande mogelijkheden om over te stappen van cloud- of hostingdienst. Bij een dergelijke overstap, moet de gemeente tijdelijk kunnen blijven werken met het bestaande systeem. Ook moet op verzoek van de gemeente een exit-plan worden opgesteld. Het uitgangspunt is dat dit periodiek gebeurt, omdat een actuele exit-regeling voor beide partijen van belang is.
Conclusie
De consultatieversie van de GIBIT 2025 laat weinig twijfel bestaan over de richting die gemeenten op willen. Meer regie over software en data, minder afhankelijkheid van individuele leveranciers en een duidelijke verankering van nieuwe wetgeving zoals de AI Act en de Data Act. Open source is niet langer een sympathieke optie, maar het uitgangspunt. AI wordt niet alleen technisch, maar ook juridisch strak ingekaderd. En data? Die blijft, ook bij het einde van het contract, nadrukkelijk van de gemeente.
Voor IT-leveranciers betekent dit dus dat de GIBIT 2025 niet louter een cosmetische update is. De voorwaarden raken direct aan verdienmodellen, IP-structuren, datatoegankelijkheid en verantwoordelijkheden rondom AI. Wie met gemeenten werkt, doet er verstandig aan deze consultatieversie nu al serieus te nemen en intern het gesprek te voeren over wat dit betekent voor bestaande en toekomstige contracten.
Of de definitieve GIBIT 2025 nog vóór kerst onder de boom ligt, blijft even afwachten. Met de consultatieversie kan je in ieder geval beginnen met het treffen van voorbereidingen in het nieuwe jaar. Heb je hier hulp bij nodig? Wij denken graag met je mee.
Contact opnemen
[1] https://www.open-overheid.nl/actueel/nieuws/2024/6/4/open-source-onmisbaar-voor-overheid-van-de-toekomst.
