Inleiding
De digitale infrastructuur van gemeenten is de afgelopen jaren steeds complexer geworden. Gemeenten maken intensief gebruik van cloudoplossingen, data-uitwisseling tussen systemen, algoritmen en steeds vaker ook kunstmatige intelligentie. Tegelijkertijd groeit de afhankelijkheid van IT-leveranciers en neemt het belang van cybersecurity, transparantie en databeheer toe.
Binnen deze context speelt de GIBIT (Gemeentelijke Inkoop bij IT Toolbox) een centrale rol. De GIBIT vormt al jaren het standaard contractuele kader voor IT-inkoop door gemeenten. Met de introductie van GIBIT 2025 heeft de Vereniging van Nederlandse Gemeenten de voorwaarden opnieuw aangepast aan de huidige digitale realiteit.
De nieuwe versie is meer dan een eenvoudige actualisatie. De voorwaarden zijn inhoudelijk uitgebreid en aangescherpt op een aantal belangrijke thema’s, waaronder AI, open source, data, interoperabiliteit en security. Tegelijkertijd is geprobeerd de balans tussen opdrachtgever en leverancier te behouden.
Deze whitepaper beschrijft belangrijke veranderingen in GIBIT 2025 en plaatst deze in perspectief: wat betekenen ze voor gemeenten en wat betekenen ze voor gemeentelijke IT-leveranciers?
De GIBIT groeit mee met de digitale overheid
De afgelopen GIBIT 2023 was een praktische set voorwaarden voor de inkoop van ICT-producten en -diensten. In de praktijk bleek echter dat gemeentelijke IT-projecten vaak complexer zijn dan traditionele softwareleveringen. Systemen moeten samenwerken met bestaande applicaties, data moet veilig worden beheerd en organisaties willen niet vastzitten aan één leverancier.
De nieuwe versie van de GIBIT probeert beter aan te sluiten bij deze realiteit. In plaats van alleen regels te stellen over levering en onderhoud van software, richt GIBIT 2025 zich sterker op de brede digitale ecosystemen waarin gemeentelijke systemen functioneren.
Een belangrijk voorbeeld hiervan is het begrip applicatielandschap: het geheel van systemen, databronnen, koppelingen en infrastructuur waarbinnen een ICT-oplossing moet functioneren. Door dit expliciet te benoemen wordt duidelijk dat een IT-oplossing nooit op zichzelf staat, maar altijd onderdeel is van een groter geheel.
Voor gemeenten betekent dit een sterkere positie bij het integreren van nieuwe systemen. Voor leveranciers biedt het juist duidelijkheid over de context waarin hun oplossingen moeten functioneren.
De komst van AI in gemeentelijke systemen
Een van de meest zichtbare vernieuwingen in GIBIT 2025 is de expliciete aandacht voor algoritmische toepassingen en AI-systemen.
Waar eerdere versies van de GIBIT vooral gericht waren op traditionele software, erkent de nieuwe versie dat systemen steeds vaker gebruik maken van geavanceerde algoritmen en kunstmatige intelligentie. Daarom zijn nieuwe definities toegevoegd voor zowel algoritmische toepassingen als AI-systemen, waarbij de definitie van AI-systemen aansluit bij de Europese AI-verordening.
Dit is een belangrijke stap. Gemeenten gebruiken algoritmen bijvoorbeeld bij risicoanalyses, handhaving of besluitondersteuning. Daarmee ontstaan nieuwe vragen over transparantie, verantwoordelijkheid en controle.
Door AI expliciet in de contractvoorwaarden op te nemen ontstaat een duidelijker kader voor beide partijen. Gemeenten krijgen meer mogelijkheden om eisen te stellen aan transparantie en verantwoording. Tegelijkertijd weten leveranciers beter welke verwachtingen bestaan wanneer zij systemen ontwikkelen waarin algoritmen een rol spelen.
Data en interoperabiliteit centraal
Een tweede belangrijke ontwikkeling in GIBIT 2025 is de sterkere focus op data en interoperabiliteit.
Digitale dienstverlening binnen gemeenten bestaat vaak uit een netwerk van systemen die data met elkaar uitwisselen. Wanneer systemen niet goed kunnen samenwerken ontstaan inefficiëntie, risico’s en afhankelijkheden.
Daarom is in de nieuwe GIBIT onder meer het begrip data expliciet opgenomen en zijn definities rondom migratie, conversie en koppelingen aangescherpt.
Ook wordt nadrukkelijk gekeken naar de eisen die aan een systeem gesteld moeten worden om samen te werken met andere onderdelen van het applicatielandschap. Hiermee wordt voorkomen dat nieuwe systemen geïsoleerde oplossingen worden.
Voor gemeenten draagt dit bij aan een flexibeler en beter beheersbaar IT-landschap. Leveranciers profiteren doordat de verwachtingen over integratie en interoperabiliteit duidelijker worden vastgelegd.
Minder afhankelijkheid van leveranciers
Een terugkerend thema in gemeentelijke IT-projecten is vendor lock in: de situatie waarin een organisatie zo afhankelijk wordt van een leverancier dat overstappen vrijwel onmogelijk wordt.
GIBIT 2025 probeert deze afhankelijkheid te verkleinen. Een belangrijk instrument hiervoor is het exit-plan. Hoewel de term al eerder werd gebruikt, is deze nu formeel gedefinieerd en uitgewerkt.
Een exit-plan beschrijft hoe partijen omgaan met de beëindiging van een overeenkomst en welke stappen nodig zijn om systemen, data en kennis over te dragen.
Voor gemeenten betekent dit dat zij beter voorbereid zijn op toekomstige veranderingen in hun IT-landschap. Voor leveranciers zorgt het voor meer duidelijkheid over wat er verwacht wordt wanneer een contract eindigt.
Meer transparantie over softwarecomponenten
In moderne software wordt vaak gebruik gemaakt van componenten van verschillende leveranciers, waaronder open source software. Dit maakt het soms lastig om inzicht te krijgen in de exacte samenstelling van een systeem.
GIBIT 2025 introduceert daarom het concept van een Software Bill of Materials (SBOM). Hiermee wordt vastgelegd welke softwarecomponenten onderdeel zijn van een oplossing.
Dit sluit aan bij internationale ontwikkelingen op het gebied van cybersecurity en software supply chain management. Door meer inzicht te hebben in de gebruikte componenten kunnen kwetsbaarheden sneller worden opgespoord en opgelost.
Voor gemeenten betekent dit meer grip op veiligheid en afhankelijkheden. Voor leveranciers helpt het om transparantie te bieden over hun software-architectuur.
Open source als volwaardig onderdeel van gemeentelijke IT
Een andere opvallende verandering in GIBIT 2025 is dat open source software een eigen hoofdstuk heeft gekregen.
Dit weerspiegelt een bredere beweging binnen de overheid om open source oplossingen vaker toe te passen. Open source kan bijdragen aan transparantie, innovatie en het verminderen van afhankelijkheid van leveranciers.
Door open source expliciet te behandelen in de contractvoorwaarden worden onderwerpen zoals licenties, onderhoud en repositorybeheer duidelijker geregeld.
Voor gemeenten maakt dit het eenvoudiger om open source oplossingen te gebruiken. Voor leveranciers creëert het een duidelijk kader voor samenwerking rond open source projecten.
Sterkere nadruk op security en governance
Tot slot besteedt GIBIT 2025 meer aandacht aan informatiebeveiliging en governance. Zo wordt bijvoorbeeld het begrip CSIRT (Computer Security Incident Response Team) geïntroduceerd.
Dit sluit aan bij de groeiende aandacht voor cybersecurity binnen de overheid. Gemeenten moeten snel kunnen reageren op beveiligingsincidenten en verwachten dat leveranciers hieraan meewerken.
Door deze onderwerpen expliciet op te nemen in de voorwaarden ontstaat een duidelijker kader voor samenwerking bij incidenten en audits.
Wat verandert er voor IT-leveranciers?
Hoewel de GIBIT primair wordt gebruikt door gemeenten als standaardvoorwaarden voor IT-inkoop, is het belangrijk te benadrukken dat de nieuwe versie niet uitsluitend in het belang van gemeenten is ontwikkeld. Veel van de wijzigingen zijn juist bedoeld om de samenwerking tussen gemeenten en leveranciers professioneler en transparanter te maken.
In de praktijk werken gemeenten en IT-leveranciers vaak jarenlang samen aan complexe digitale systemen. Heldere afspraken over verantwoordelijkheden, risico’s en samenwerking zijn daarom essentieel voor het succes van dergelijke projecten. GIBIT 2025 probeert deze balans explicieter te maken.
Voor IT-leveranciers betekent dit dat de nieuwe voorwaarden niet alleen extra verplichtingen introduceren, maar vooral ook meer duidelijkheid en voorspelbaarheid bieden in gemeentelijke IT-projecten.
Meer duidelijkheid over verwachtingen
Een belangrijk voordeel van GIBIT 2025 voor leveranciers is dat de voorwaarden explicieter beschrijven wat van beide partijen wordt verwacht.
Een goed voorbeeld is de bepaling over de risicoanalyse in de precontractuele fase. Leveranciers moeten zich vooraf verdiepen in de doelstellingen van de opdrachtgever en de ICT-omgeving waarin de oplossing wordt geïmplementeerd. Dit concretiseert de zorgplicht die al in het contractenrecht bestond.
Hoewel dit op het eerste gezicht een extra verplichting lijkt, helpt het in de praktijk om risico’s en afhankelijkheden vroegtijdig te bespreken. Daardoor ontstaan minder verrassingen tijdens de implementatie en kunnen projecten realistischer worden gepland.
Minder discussie over verantwoordelijkheden
Veel IT-projecten lopen niet vast op technologie, maar op onduidelijkheid over verantwoordelijkheden. GIBIT 2025 probeert dit te voorkomen door onderwerpen zoals derdenprogrammatuur en afhankelijkheden explicieter te regelen.
Leveranciers moeten duidelijk aangeven wanneer een oplossing afhankelijk is van software van derden en welke voorwaarden daarop van toepassing zijn. Hierdoor ontstaat transparantie over de keten van afhankelijkheden en wordt voorkomen dat leveranciers verantwoordelijk worden gehouden voor onderdelen waar zij feitelijk geen controle over hebben.
Realistischere implementaties
Door meer nadruk te leggen op het applicatielandschap en interoperabiliteit wordt duidelijker dat implementaties plaatsvinden in een complexe technische omgeving.
Dit helpt leveranciers om al in een vroeg stadium duidelijk te maken welke integraties nodig zijn en welke technische randvoorwaarden gelden. Hierdoor ontstaat een realistischer beeld van de implementatie en kunnen verwachtingen beter worden gemanaged.
Een kader voor innovatieve technologie
De introductie van bepalingen over AI en algoritmen biedt leveranciers ook een duidelijk kader voor het aanbieden van innovatieve oplossingen.
Door expliciet vast te leggen welke informatie nodig is over dergelijke systemen ontstaat meer duidelijkheid over transparantie, verantwoordelijkheid en governance. Dit helpt leveranciers om nieuwe technologie op een verantwoorde manier binnen de publieke sector te implementeren.
Betere samenwerking bij security en continuïteit
Met de groeiende aandacht voor cybersecurity worden ook afspraken over incidentmanagement en beveiliging steeds belangrijker.
Door rollen zoals het CSIRT en afspraken rond security expliciet op te nemen ontstaat een duidelijk kader voor samenwerking bij incidenten. Dit voorkomt ad-hoc beslissingen in crisissituaties en maakt samenwerking tussen gemeenten en leveranciers voorspelbaarder.
Conclusie
GIBIT 2025 laat zien hoe het contractuele kader voor gemeentelijke IT zich verder ontwikkelt. Waar eerdere versies vooral gericht waren op de levering van software en diensten, richt de nieuwe versie zich nadrukkelijk op het beheer van een complex digitaal ecosysteem waarin systemen, data en organisaties met elkaar verbonden zijn.
Thema’s zoals AI, data-uitwisseling, open source, cybersecurity en vendor lock-in spelen daarbij een centrale rol. Door deze onderwerpen expliciet te regelen ontstaat een moderner en toekomstbestendig contractueel kader.
Voor gemeenten betekent dit meer grip op hun digitale infrastructuur, meer transparantie over technologie en een betere basis om hun IT-landschap flexibel en veilig te organiseren.
Voor IT-leveranciers biedt GIBIT 2025 vooral duidelijkheid en voorspelbaarheid. Door verwachtingen explicieter te maken, risico’s eerder bespreekbaar te maken en nieuwe technologieën een duidelijke plek te geven, ontstaat een stabieler kader voor samenwerking en innovatie.
Daarmee is GIBIT 2025 niet alleen een actualisatie van bestaande voorwaarden, maar vooral een stap richting een professioneler samenwerkingsmodel tussen gemeenten en IT-leveranciers, waarin transparantie, verantwoordelijkheid en gezamenlijke waardecreatie centraal staan.
