Basis ICT/IV Voorzieningen MSP en MSSP - GGD GHOR Nederland

Maart 2026 · TenderNed: TN 536788 · Deadline: 10 april 2026

GGD GHOR Nederland zoekt één leverancier voor hun complete IT-beheer én hun security operations center - werkplekbeheer, netwerk en firewalls aan de ene kant, SOC met SIEM en beveiligingsmonitoring aan de andere - onder één contract, bij één partij, met verplichte organisatorische scheiding. De partij die het netwerk configureert moet via een gescheiden team datzelfde netwerk bewaken, en incidenten escaleren die mogelijk door de eigen MSP-

collega's zijn veroorzaakt.

De slager keurt zijn eigen vlees, maar slager en keurmeester delen dezelfde kassa — en dat werkt alleen als de rapportagelijnen richting opdrachtgever volledig onafhankelijk lopen.

300 medewerkers, 260 werkplekken, landelijk werkgebied. Contractwaarde € 2,16 tot € 2,66 miljoen over vier jaar, met verlengingen tot maximaal twaalf jaar. EMVI-gunning, 70% kwaliteit en 30% prijs, beoordeeld op 1000 punten door minimaal zeven beoordelaars.

Drie Kamervragen die je go/no-go bepalen

1. Wat blijft er over van je marge?

De jaarlijkse contractwaarde voor MSP en MSSP samen bedraagt € 431.000 tot € 557.000 voor de kerndiensten. De MSP-component komt neer op € 110 tot € 132 per werkplek per maand — aan de onderkant van wat in de markt kostendekkend is. De MSSP-component is nog krapper: bij € 86.000 tot € 145.000 per jaar moet je een SOC bemensen voor 350 events per seconde en 300 use cases, en de combinatie van 350 EPS - zo'n 30 miljoen events per dag - met slechts 10 gigabyte logvolume suggereert dat een groot deel van de events buiten de SIEM-pipeline valt, een detail dat je calculatie fundamenteel beïnvloedt.

Het rendement zit niet in de jaarlijkse marge maar in de looptijd en de opties, wie twaalf jaar vasthoudt en de cloudhosting en data intelligence activeert, bouwt een substantieel contract op. Maar dat is een gok op verlengingen die de opdrachtgever niet hoeft te gunnen.

2. Wie kan dit leveren?

Kerncompetentie C vraagt aantoonbare MSSP-ervaring in de publieke gezondheid met gevoelige medische data, minimaal € 300.000 per jaar, maximaal drie jaar oud. Combineer dat met de drie andere kerncompetenties en vier verplichte certificeringen (ISO 9001, ISO 27001, NEN 7510, ISAE 3402) en het veld versmalt naar vermoedelijk drie tot vijf reële kandidaten in Nederland.

Voor wie de referentie heeft, is de concurrentie beperkt en de calculatieruimte groter dan het budget suggereert. Voor wie de referentie niet heeft, is dit een no-go.

3. Waarom telt 30% van je score voor iets dat misschien nooit wordt afgenomen?

Cloudhosting en data intelligence tellen samen 300 van de 1000 punten, maar zijn optionele diensten die GGD GHOR nooit hoeft af te nemen. De kansendossiers zijn geen opties maar een innovatieselectie vermomd als optionele dienst; wie ze halfslachtig invult, verliest een derde van zijn kwaliteitsscore.

Voor wie wel, voor wie niet

Kansrijk: MSP's met eigen SOC of structureel MSSP-partnership, Microsoft-partners met non-profit CSP-ervaring, partijen met zorg-referenties en alle vier de certificeringen, bereid om de eerste jaren op dunne marge te draaien voor langjarig verlengingspotentieel.

Niet geschikt: pure MSP's zonder security, pure MSSP's zonder werkplekbeheer, partijen zonder zorg-ervaring, partijen die het volume te klein vinden voor twee gescheiden operaties.

Wat deze analyse niet vertelt

Deze analyse vertelt je wat GGD GHOR zoekt, waar de spanning zit, en voor welk type bedrijf dit kansrijk is. Wat hij niet vertelt: of jouw specifieke referenties, certificeringen en teamcapaciteit sterk genoeg zijn om hier te winnen.

Die inschatting hangt af van je eigen profiel, je concurrentiepositie en je bereidheid om de eerste jaren op dunne marge te draaien — en dat is precies de vraag die een Tender DNA beantwoordt.

Eigen tender?

Heb je zelf een tender liggen waar je niet uitkomt? Stuur me een berichtje met de link. Binnen 48 uur weet je of het zin heeft.

Martin van Leeuwen Epikouros Consulting Company epikouros.biz · martin@epikouros.biz

Deze analyse is geen juridisch advies en geen vervanging voor eigen due diligence. Bij twijfel over juridische of procedurele stappen: raadpleeg een aanbestedingsadvocaat.