GIBIT 2025
mei 2026
Nieuwe inkoopvoorwaarden voor gemeentelijke ICT. Wat verandert er met de GIBIT 2025 en wat betekent dit voor uw organisatie?
Sparren over de GIBIT 2025?
Vraag een vrijblijvend gesprek aan
Wat is de GIBIT?
De Gemeentelijke Inkoop bij IT Toolbox (GIBIT) is dé standaard set inkoopvoorwaarden die Nederlandse gemeenten hanteren bij de inkoop van ICT-producten en -diensten. De Vereniging Nederlandse Gemeenten (VNG) heeft deze voorwaarden opgesteld en beheert ze. In maart 2026 is de nieuwste versie, de GIBIT 2025, vastgesteld als opvolger van de GIBIT 2023.
Voor wie is de GIBIT van toepassing? De GIBIT 2025 is relevant voor iedereen die IT-gerelateerde diensten aanbiedt aan gemeenten, en voor gemeenten die deze diensten inkopen. De nieuwe voorwaarden vragen om een grondige analyse van ICT-contracten, leveranciersrelaties en interne processen.
De belangrijkste vernieuwingen op een rij
De GIBIT 2025 is geen cosmetische update. Op meerdere fronten zijn de voorwaarden inhoudelijk versterkt, gemoderniseerd of juist vereenvoudigd. Wij lichten de opvallendste veranderingen toe, gegroepeerd rond vier thema’s:
- Digitale innovatie: grip op AI en open source
AI, je ontkomt er niet aan, zo ook gemeenten niet. Gemeenten zetten steeds vaker AI in, maar de risico’s daarvan vragen om duidelijke kaders. De GIBIT 2025 introduceert een volledig nieuw artikel over AI-systemen (artikel 14) dat aansluit bij de Europese AI Act. Leveranciers van AI-systemen moeten garanderen dat AI-systemen nauwkeurig, robuust en cyberveilig zijn, en dat er voldoende mogelijkheden bestaan voor menselijk toezicht op geautomatiseerde besluitvorming. Voor AI-systemen met een hoog risicoprofiel gelden extra verplichtingen, zoals een verplichte conformiteitsbeoordeling, CE markering en een gedocumenteerd kwaliteitsbeheersysteem.Daarnaast wijzigt de GIBIT 2025 op het gebied van intellectueel eigendom: maatwerksoftware die in opdracht van een gemeente wordt ontwikkeld, moet voortaan in beginsel als open source worden gepubliceerd (artikel 21.5). Het idee hierachter is logisch: als meerdere gemeenten vergelijkbare functionaliteit nodig hebben, is het zonde als iedereen afzonderlijk het wiel uitvindt. De spelregels hiervoor zijn uitgewerkt in een nieuw hoofdstuk IV (artikelen 40-46), dat onder meer voorschrijft dat publicatie plaatsvindt onder de European Union Public Licence (EUPL).
- Cybersecurity en ketenbeheer
Gemeenten schakelen steeds vaker brokers en tussenpartijen in bij hun ICT-inkoop. Dat brengt risico’s met zich mee, want wie is er verantwoordelijk als het misgaat bij de achterliggende leverancier? De GIBIT 2025 pakt dit aan met nieuwe regels voor brokers (artikel 23.7), die ervoor moeten zorgen dat de GIBIT ook doorwerkt in de relatie met hun toeleveranciers.Verder worden leveranciers verplicht om een Software Bill of Materials (SBOM) te verstrekken (artikel 25), dat is een lijst van alle componenten, bibliotheken en frameworks die gebruikt worden in een specifiek softwareproduct. Zo weten gemeenten precies welke softwarecomponenten worden ingezet en waar kwetsbaarheden kunnen zitten.
Ook op het vlak van incidentrespons krijgt de Informatiebeveiligingsdienst (IBD) van de VNG een verankerde rol via het Computer Security Incident Response Team (CSIRT). Het CSIRT fungeert als centraal aanspreekpunt voor beveiligingsaudits, SBOM-beheer en incidentafhandeling. Bij een ernstig beveiligingsincident is de leverancier verplicht om direct contact op te nemen met het CSIRT, waarna gezamenlijk wordt opgetrokken bij het oplossen en rapporteren.
- Data-eigenaarschap en toegang
Als gevolg van de nieuwe Data Act is artikel 22 “Toegang tot Data en autorisaties” uitgebreid. Hierin staat onder andere dat indien de dienst data kan generen, de leverancier de Gemeente hierover op de hoogte moet stellen. Aanvullend staat beschreven op welke wijze de leverancier data ter beschikking moet stellen. - Balans tussen partijen
De GIBIT 2025 vereenvoudigt onduidelijke of onnodig ingewikkelde punten van de GIBIT 2023 door zinnen korter en helderder te maken.Tegelijkertijd erkent de GIBIT 2025 dat goede inkoopvoorwaarden niet eenzijdig mogen zijn. Leveranciers krijgen op een aantal punten meer ademruimte. Denk aan een vrije keuze tussen Gemeentelijke kwaliteitsnormen en Internationaal erkende ISO/NEN normen.
Wat moet uw organisatie nu doen?
Of u nu een gemeente bent die ICT-diensten inkoopt of een leverancier die aan gemeenten levert: het is van belang om de GIBIT 2025 tijdig te doorgronden en uw contracten en processen hierop aan te passen. Besteed daarbij in het bijzonder aandacht aan de nieuwe verplichtingen rondom AI-systemen, databeheer en de toeleveringsketen, en beoordeel of uw bestaande overeenkomsten in lijn zijn met de vernieuwde voorwaarden.
Vragen of behoefte aan juridisch advies over de GIBIT 2025?
De toepassing van de GIBIT 2025 vereist een grondige analyse van uw ICT-contracten, leveranciersrelaties en interne processen. Heeft u hier vragen over? Of wilt u sparren over de GIBIT 2025 en de gevolgen voor uw organisatie? Neem gerust contact op met een van onze specialisten:
Allard Koers
allard.koers@halsten.nl
Céline Teeuwen
celine.teeuwen@halsten.nl
Andere artikelen
-
AI-geletterdheid
-
EU Digital Decade: Cyber Resilience Act
-
Samen op de golfbaan
-
Beyond Ideas & Halsten: cybersecurity & legal
-
Proficiat
-
AI-gedreven juridische dienstverlening
-
EU Digital Decade: DORA
-
Cuccibu & Halsten: We bundelen onze krachten
-
Gefeliciteerd met CIPP/E
-
EU Digital Decade: de NIS2-richtlijn