Outsourcing IT-infrastructuur- en beheerdiensten voor GGD Zuid-Limburg

In 2024 heeft Emtio een Europese aanbestedingsprocedure begeleid voor GGD Zuid-Limburg met als werktitel ‘ Outsourcing IT-infrastructuur en -beheerdiensten’.

In 2024 heeft Emtio een Europese aanbestedingsprocedure begeleid voor GGD Zuid-Limburg met als werktitel ‘Outsourcing IT-infrastructuur en -beheerdiensten’.

GGD Zuid-Limburg is de geneeskundige gezondheidsdienst met circa 650 medewerkers in vaste dienst en een flexibele schil van 100 tot 150 medewerkers. Afhankelijk van de functie en/of rol maken deze medewerkers in meer of mindere mate gebruik van de gevraagde oplossingen.

De GGD Zuid-Limburg heeft zes uitvoerende afdelingen:

  1. Jeugdgezondheidszorg (JGZ)
  2. Kennis & Innovatie (K&I)
  3. Gezondheid en Maatschappelijke Participatie (GMP)
  4. Seksuele Gezondheid, Infectieziekten en Milieu (SIM)
  5. Veilig Thuis (VT)
  6. Forensische Geneeskunde (FG)

Daarnaast zijn er de diensten bedrijfsvoering (PIOFA-functies) en het Directie- en Bestuursbureau. De GGD ZL voert werkzaamheden uit op 30 locaties: één hoofdlocatie, twee medium sublocaties en 27 kleine locaties. Op al deze locaties is volwaardige bereikbaarheid en communicatie noodzakelijk.

Aanleiding

GGD Zuid-Limburg onderhield een overeenkomst met Open Line Managed Services B.V., waarbij een groot deel van de IT-infrastructuur en het bijbehorende beheer was geoutsourcet. Deze overeenkomst zou per 31 mei 2025 eindigen.

Vanwege het aflopen van deze overeenkomst werd besloten om een Europese aanbesteding te starten voor hernieuwde outsourcing. Het moment van aanbesteden werd tevens aangegrepen om nieuwe state-of-the-art mogelijkheden te onderzoeken voor GGD Zuid-Limburg.

Bestaande situatie ten tijde van de voorbereiding

GGD Zuid-Limburg had de hosting van IT reeds enige jaren uitbesteed, op basis van een private-cloud/public-cloud (Azure)/SaaS-architectuur. De interne beheerorganisatie was beperkt in omvang en richtte zich vooral op regievoering en functionele ontwikkeling.

Het beheer was volledig uitbesteed aan de bestaande leverancier. Dit omvatte de 1e lijns servicedesk (SPOC), hosting van de serveromgeving, het netwerkbeheer en het technisch applicatiebeheer van een deel van de bedrijfsapplicaties (ontsloten via het startportaal en/of voorzien van Entra ID koppeling). Functioneel beheer werd door GGD zelf uitgevoerd. Alle infrastructuur was eigendom van de leverancier, behalve de werkplekapparatuur.

Internet

Vanuit het datacenter van de bestaande leverancier was een centrale internet feed beschikbaar.

GGD Zuid-Limburg maakte gebruik van IPv4 en IPv6 adresblokken. De Ip4v adressen waren van de bestaande leverancier. De IPv6 adressen zijn van GGD Zuid-Limburg (provider independent), echter in beheer bij de bestaande leverancier.

In geval van uitwijk kon binnen de gestelde RTO de connectiviteit naar alle locaties geregeld worden.

WAN

GGD Zuid-Limburg beschikte over 36 WAN verbindingen voor de diverse locaties. Het hoofdkantoor van GGD Zuid-Limburg te Heerlen was middels een dark fiber verbinding rechtstreeks verbonden met het primaire datacenter van de bestaande leverancier. De back-up verbinding naar het secundaire datacenter bestond uit een fysiek gescheiden glasvezelverbinding.  Daarnaast was deze locatie voorzien van een VDSL verbinding, primair bedoeld voor test doeleinden voor de ICT afdeling.

De diverse (vaste) nevenlocaties waren op basis van het Vodafone TNF MPLS netwerk middels IP-VPN gekoppeld met de datacenters van de bestaande leverancier. Om reden van performance en quality of service was gekozen voor glasvezelverbindingen. Als back-up van de glasvezelverbinding werd gebruik gemaakt van een 4G VodafoneZiggo verbinding.

Zowel het hoofdkantoor als de IP-VPN ontsloten locaties waren rechtstreeks met de datacenters van de bestaande leverancier verbonden en maakten gebruik van de centrale internet feed vanuit het datacenter. Er was geen lokale internet break-out beschikbaar.

Een tweetal (vaste) nevenlocaties (cellencomplexen) waren weliswaar voorzien van een werkplek, maar niet van een eigen WAN verbinding, omdat hier gebruik werd gemaakt van een verbinding van de Politie. De werkplek connecteerde op deze locaties middels Direct Access VPN.

De (redundante) WAN koppeling vanuit het datacenter van de bestaande leverancier met het JeugdzorgNet netwerk zou per 1 oktober 2024 vervallen vanwege het opheffen van de bijbehorende dienst.

De WAN verbinding op de Meldkamer locatie in Maastricht zou per 1 januari 2025 vervallen vanwege het afsplitsen van het bedrijfsonderdeel GHOR.

Eén WAN verbinding was enkel via 4G beschikbaar. Dit betrof een parkeerterrein (Pater Beatusstraat). Deze WAN verbinding werd rechtstreeks door GGD Zuid-Limburg afgenomen bij VodafoneZiggo, echter deze was wél op basis van dezelfde IP-VPN constructie verbonden met het datacenter van de bestaande leverancier, in verband met communicatie met de daar gehoste toegangscontrole server.

LAN/WLAN

Zowel het LAN als WLAN op de diverse locaties waren volledig gebaseerd op Cisco Meraki apparatuur. Deze apparatuur was in eigendom van de bestaande leverancier en werd als beheerde dienst aan GGD Zuid-Limburg ter beschikking gesteld, inclusief de benodigde licenties. Zie onderstaande figuur voor een overzicht van modellen en aantallen (191) Cisco Meraki apparaten in gebruik. Alle licenties hadden dezelfde einddatum (co-termination).

Netwerkverkeer voor data, voice (VOIP), printers, camera’s, intercoms, toegangscontrole, ketenpartners /huurders enz. werd middels VLAN configuraties gescheiden. Network Access Control was ingericht op basis van Microsoft Netwerk policy server. Op basis van certificaten en/of AD groepslidmaatschap werd dynamisch een VLAN toegekend.

Alle locaties waren voorzien van WLAN, ingemeten op voice. Er werd onderscheid gemaakt in WLAN netwerken (SSID’s) – met separate VLAN’s – voor o.a. corporate gebruik (WPA2-Enterprise met Radius), mobiel gebruik (WPA2-Enterprise met Radius), gast gebruik (open) en ketenpartners / huurders (WPA2-PSK).

Serverplatform

Om congestie op het netwerk tijdens collectief updaten van clients te voorkomen, werden op een tiental locaties fysieke servers geplaatst die dienst deden als SCCM distributiepunt.

Een tweetal servers (VM’s) werd gehost op het Azure platform. Deze servers waren middels S2S VPN verbonden met het datacenter van de bestaande leverancier en maakten deel uit van het domein van GGD Zuid-Limburg.

De ADFS server zou medio 2024 worden uitgefaseerd.

De uniFLOW test- en productie servers (servers 31 en 39 in de bijlage) zouden eind 2024 / begin 2025 worden uitgefaseerd als gevolg van een ‘Printen/scannen’ aanbesteding.

Storage/fileserver

Voor fileopslag werd gebruik gemaakt van een Windows File server. Fileopslag omvatte zowel applicatie data als documenten (persoonlijk en afdelingen). De bestaande rechten- en mappenstructuur was rol-georiënteerd (en ingericht conform AGDLP).

Er werd daarnaast steeds meer gebruik gemaakt van OneDrive, Teams en SharePoint Online voor documentopslag en -deling.

Back-up

Voor het uitvoeren van periodieke back-up taken van onder andere de virtuele servers, mailboxen (O365) en file shares werd gebruik gemaakt van VEEAM. De bestaande retentietijd (beschikbaarheid) van de back-ups was daarbij als volgt:

  • Dagelijkse back-up: 2 weken
  • Wekelijkse back-up: 1 maand
  • Maandelijkse back-up: 1 jaar
  • Jaarlijkse back-up: 20 jaar

N.B. Een aanzienlijk deel aan back-up historie bevond zich in de oplossing Avamar, welke voorheen werd gebruikt.

Eindgebruikers konden daarnaast tot vijf dagen zelfstandig verwijderde mappen en bestanden herstellen op basis van “shadow copies”, welke op de Windows Fileserver werden opgeslagen.

SOC

De bestaande leverancier leverde ook SOC dienstverlening. Het door het SOC gebruikte risk-based SIEM werd naast, in samenspraak met GGD Zuid-Limburg, geconfigureerde logbronnen verrijkt met IOC informatie uit het Z-CERT Zorg Detectie Netwerk (ZDN).
Opvolging van SIEM alerts door SOC analisten en consultants uit het eigen klantenteam gebeurde via het reguliere incidentproces in het ITSM-systeem van de leverancier, waartoe ook GGD Zuid-Limburg toegang had.

Telefonie (vast/mobiel)

De bestaande telefonieoplossing was ondergebracht bij de dezelfde bestaande leverancier met onderaanneming door een gespecialiseerde telecom partner.

De oplossing was gebaseerd op het Telepo platform (DSTNY) en, voor beperkte callcenter functionaliteit, UCCX toepassingen van de gespecialiseerde telecom partner.
Het merendeel van de medewerkers maakte gebruik van een Apple smartphone met softphone app. Voor callcenter-functionaliteit werd gebruikt gemaakt van de softphone app op de laptop en er waren nog ongeveer tien vaste Mitel 9620 toestellen in gebruik. Er werd gebruik gemaakt van vast-mobiel integratie van Odido, op basis van een 088-nummerplan.

De telefonieomgeving werd deels parallel in een separate Europese procedure (TenderNed referentie 457043) aanbesteed. De onderhavige aanbesteding van de outsourcing van de IT-infrastructuur- en beheerdiensten kende hierdoor een afhankelijkheid van de uitkomst van de aanbesteding van de telefonie. Lees meer over deze klantcase.

Werkplekken

GGD Zuid-Limburg was eigenaar van de werkplek-devices, voerde hier technisch beheer op en zorgde voor uitrol van images. De inrichting van deze werkplekimages was uitbesteed.

De basis werd gevormd door HP EliteBook 840 serie (G3 en nieuwer) laptops (~635 stuks) en een klein aantal HP EliteDesk desktops (~7 stuks). De werkplek-devices werden met behulp van SCCM voorzien van een voor geconfigureerde Windows 10 Enterprise 22H2 installatie en basis software (Microsoft Office 2016 o.b.v. M365 subscriptie, Adobe Reader, 7-zip, VLC player e.d.). Aanvullende lokale software werd op basis van autorisaties via SCCM packages beschikbaar gesteld aan de eindgebruiker.

Alle werkplek-devices waren Microsoft Entra hybrid joined. Er was geen co-management met Microsoft Intune.

De werkplekken op de diverse locaties van GGD Zuid-Limburg waren voorzien van USB-C dockings en (grotendeels) dubbele beeldschermen. De werkplek-devices van de medewerkers werden hier op aangesloten.

Op (neven)locaties van GGD Zuid-Limburg waren de werkplek-devices verbonden met het LAN en via de onder het kopje WAN beschreven internet feed vanuit het datacenter met internet. Op mobiele locaties en thuis werkplekken werden de werkplek-devices verbonden op basis van Microsoft DirectAccess VPN (N.B. medio 2024 vervangen door Microsoft Always On VPN). De beveiliging van de werkplekken was ingericht op basis van Cisco Secure Client (AMP).

Nadat een eindgebruiker zich had aangemeld op zijn werkplek-device, werd automatisch de internetbrowser gestart met het Workspace 365 startportaal als beginpagina. Dit startportaal toonde de eindgebruiker voornamelijk tegels, gebaseerd op de toegekende autorisaties, voor het kunnen starten van applicaties. Hierbij betrof het zowel lokaal op het werkplek-device geïnstalleerde, als vanuit het datacenter geleverde, als SaaS applicaties. Zelf tegels (als snelkoppeling) toevoegen was ook mogelijk.

Naast het gebruik van de (applicatie)tegels had de eindgebruiker toegang tot cloud-documenten (OneDrive) en documenten op de fileserver.

Het startportaal was door de eindgebruiker ook vanaf een BYOD te benaderen. In dat geval was er uiteraard geen Single Sign On beschikbaar, maar moest worden ingelogd met het persoonlijke account i.c.m. 2FA/MFA.

Een deel van de via het startportaal aangeboden SaaS applicaties was aan Entra ID gekoppeld voor een naadloze Single Sign On ervaring, waar nodig (risicoprofiel) echter alsnog met 2FA/MFA verificatie afgeschermd middels gebruik van conditional access policies.

Ten tijde van de voorbereiding had heeft GGD Zuid-Limburg naast SaaS- ook nog enkele zogenoemde (legacy) client-server applicaties (zoals Exact Globe Next, MS Access applicaties) die vanuit het datacenter werden aangeboden op basis van Microsoft Remote Desktop Server. Uitgangspunt was echter dat deze (legacy) client-server applicaties zoveel mogelijk vervangen zouden worden door SaaS-applicaties.

Het applicatie landschap van GGD Zuid-Limburg bevatte:

  • ~30 lokale applicaties (grotendeels packaged via SCCM);
  • ~30 on-prem applicaties (zowel (legacy)client-server via RDS als in het datacenter gehoste (interne) webbased applicaties);
  • ~100 SaaS applicaties (EPD’s, HR-systeem, maar ook beheerportalen/-tooling).

GGD Zuid-Limburg kende een persona “Onderzoekers”, die veelal gebruik maakt van software die lokaal geïnstalleerd moest worden. In de bestaande situatie was het een uitdaging om deze software tijdig beschikbaar te maken zonder op beheer van de geïnstalleerde software concessies te hoeven doen.

Bij wijze van proef werd door één onderzoeker gebruik gemaakt van een virtuele cloud desktop (Windows 365 Business licentie), die echter niet was opgenomen in het domein van GGD Zuid-Limburg en/of beheerd wordt middels Microsoft Intune.

Smartphone/Tablets

GGD Zuid-Limburg maakte gebruik van Apple smartphones (~ 675 stuks) en tablets (~60 stuks), in eigendom. Alle smartphones en tablets waren geregistreerd in Apple Business Manager en werden beheerd vanuit Microsoft Intune.

Wat beheer betreft verzorgde GGD Zuid-Limburg in samenwerking met de bestaande leverancier de inrichting/configuratie van Microsoft Intune (enrollment profiles, configuration- en compliance policies, VPP tokens enz.).
Op basis van deze inrichting voerde GGD Zuid-Limburg zelf het fysieke werkplekbeheer uit (uitgifte/retourname apparatuur, wissen apparatuur enz.).

Smartphones en tablets konden via een apart WLAN SSID (apart VLAN) verbinding maken met het corporate netwerk.

Printen/scannen

Het print/scan contract voor GGD Zuid-Limburg werd gelijktijdig separaat aanbesteed (TenderNed referentie 456652) met de onderhavige aanbesteding. De uitgangspunten voor deze aanbesteding kenden hierdoor een afhankelijkheid van de uitkomst van de aanbesteding van de print/scan.

Microsoft 365

De M365 inrichting werd hoofdzakelijk gebruikt voor Office Online, OneDrive, PowerBI, Intune (smartphones, tablets, Teams Rooms devices) en Microsoft Teams voor online vergaderen en gedeeltelijk voor samenwerking in documenten.

Tevens werd gebruik gemaakt van Microsoft Entra ID (P1 licentie) voor beheer van guest user accounts, M365 groepen, dynamic membership security groepen, enterprise applications, app consent aanvragen, MFA en conditional access policies.

User provisioning

Microsoft Active Directory was leidend voor het opvoeren van user accounts. De accounts worden gesynchroniseerd met Entra ID. Het opvoeren van accounts wordt uitgevoerd door de leverancier volgens een afgestemd proces waarbij GGD Zuid-Limburg middels een formulier de autorisaties voor het account doorgeeft.

Het aantal accounts bedraagt ongeveer 750.

Microsoft Azure resources

GGD Zuid-Limburg maakte gebruik van Azure resources (VM’s) ten behoeve van een datawarehouse oplossing. Deze Azure resources (VM) waren middels S2S VPN verbonden met het datacenter van de huidige leverancier, die tevens het beheer van deze Azure resources (VM) voor zijn rekening nam.

E-mail

Het betrof een hybride configuratie bestaande uit een on-prem Cisco IronPort ESA, een on-prem Exchange 2016 server en Exchange Online. Alle mailboxen, naast persoonlijke mailboxen 230 gedeelde mailboxen, stonden in Microsoft Exchange Online.

Voor veilig mailen werd op moment van schrijven gebruik gemaakt van zowel de Zorgmail Safe Relay dienst van Enovation als de Beveiligde E-mail dienst via JeugdzorgNet van Jeugdzorg Nederland, op basis van een on-prem gehost samengesteld domeinboek.

Laatstgenoemde dienst zou echter per 1 oktober 2024 vervallen, waardoor de bestaande e-mail configuratie in de voorliggende periode nog aan verandering onderhevig zou zijn (o.a. aanpassing e-mail routering, update Zorgmail add-in voor Outlook, evt. NTA 7516 implementatie en evt. vereenvoudigen / de-hybridiseren configuratie).

De opdracht

Naar aanleiding van het bovenstaande is de volgende ‘opdracht’ geformuleerd:

  1. Transitie van de bestaande naar de nieuwe IT-omgeving zoals aangeboden door de nieuwe leverancier.
  2. Ondersteuning en begeleiding van eindgebruikers bij ingebruikname, op basis van een gezamenlijk opgesteld adoptieplan.
  3. Levering en beheer van een flexibele, schaalbare en toekomstgerichte IT-infrastructuur, afgestemd op de werkzaamheden, processen en informatiebehoefte van GGD Zuid-Limburg.
  4. Volledig systeem- en netwerkbeheer, inclusief technisch applicatiebeheer en een 1e lijns helpdesk. Werkplekbeheer op locatie blijft buiten scope.
  5. Levering en beheer van verbindingen tussen alle locaties en datacenters, inclusief regie op aanvragen en beëindiging van verbindingen.
  6. Beschikbaar stellen en beheren van LAN/WLAN-apparatuur, met WLAN-configuratie op basis van on-site metingen.
  7. Levering en beheer van datastorage, back-up en archivering.
  8. Overname van beheer van bestaande Azure resources en Microsoft 365 tenant.
  9. Regievoering en eigenaarschap door leverancier op incidenten en wijzigingen, met proactieve communicatie richting andere betrokken partijen namens GGD Zuid-Limburg.
  10. Aanbieden van een beheeromgeving voor (pre-)configuratie, beheer en wissen van devices, bruikbaar door zowel leverancier als GGD Zuid-Limburg, volgens afgesproken beheerafbakening.
  11. Levering van alle benodigde licenties (OS, infrastructuurtools, Microsoft), met hergebruik van bestaande licenties waar mogelijk.
  12. Actieve begeleiding en advisering over technologische ontwikkelingen en toepassingsmogelijkheden.
  13. Opleveren van een plan van aanpak waarin binnen twee jaar na migratie het gebruik van Microsoft 365 verder wordt geconcretiseerd en geadopteerd volgens inhoudelijke planning.
  14. Projecten en niet-standaard wijzigingen vallen binnen scope, maar worden op basis van meerwerk of RFC uitgevoerd.
  15. De leverancier past blijvend de opgedane kennis van systemen en omgeving toe, in een mix van uitvoering door leverancier en regierol door GGD.
  16. Toepassing van een sourcingstrategie die zoveel mogelijk gebruikmaakt van SaaS-oplossingen. Voor een deel van de primaire applicaties is dit reeds het geval.

Uitgangspunten

Als ‘bron’ voor de functionele behoeftestellling zijn een aantal ‘kaderende uitgangspunten’ geformuleerd in de aanbesteding:

  • Organisatie uitgangspunten
  • Cloud uitgangspunten
  • Functionele uitgangspunten
  • Werkplek uitgangspunten
  • Security uitgangspunten
  • Implementatie uitgangspunten
  • Beheer uitgangspunten

De aanbestedingsprocedure

De aanbesteding is uitgevoerd via een ‘mededingingsprocedure met onderhandelingen’. De aanbesteding bestond in onze aanpak uit twee informele en twee formele fasen:

  1. Voorbereidingsfase (informeel)
    In deze fase werden de voorbereidingen getroffen voor de aanbesteding.
  2. Selectiefase (formeel)
    In deze fase werden drie leveranciers geselecteerd waarmee de inlichtingenfase werd doorlopen.
  3. Inlichtingenfase (informeel)
    In deze fase beantwoordden de geselecteerde leveranciers mondeling (middels een interactieve presentatie) en schriftelijk een aantal zorgvuldig geformuleerde vragen omtrent de voorlopige behoeftestelling van GGD Zuid-Limburg. Er kon vrij worden gediscussieerd en de organisatie en stakeholders van de gemeente werden actief betrokken.
  4. Onderhandelingsfase (formeel)
    In deze fase brachten de geselecteerde leveranciers hun voorlopige inschrijving of offerte uit. Er vond nadere afstemming plaats over de voorgestelde oplossingen. Ook in deze fase was ruimte voor discussie en betrokkenheid van de organisatie en stakeholders van GGD Zuid-Limburg. Vervolgens werkten de leveranciers hun definitieve inschrijving of offerte uit en dienden zij deze in, inclusief de prijsstelling. Pas in deze fase werd het aanbestedingsproces strikt geformaliseerd en vond de beoordeling en uiteindelijke gunning plaats.

Planning

De aanbestedingsprocedure is geheel volgens planning doorlopen:

Datum Activiteit
8 mei 2024 Aankondiging op TenderNed
19 juni 2024 Deadline aanmeldingen
9 juli 2024 Verzending ‘voorlopig’ beschrijvend document
11 en 12 sept 2024 Inlichtingenronden met drie aanbieders
1 oktober 2024 Verzending ‘definitief’ beschrijvend document
28 oktober 2024 Deadline indienen ‘voorlopige’ offertes
8 november 2024 Verduidelijkingsgesprekken
18 november 2024 Deadline indienen ‘definitieve’ offertes
26 november 2024 Voorlopig gunningsbesluit
19 december 2024 Definitieve gunning

De aanbestedingsprocedure is succesvol afgerond met de gunning van de opdracht aan Open Line Managed Services B.V.

Kwalitatieve inzet vanuit Emtio

De werkzaamheden namens Emtio zijn uitgevoerd door Joop Schuilenburg (IT- en aanbestedingsjurist) en Ernst Vetketel (IT-specialist). Lees meer over Emtio.