2. Algemene bepalingen
- 2.1 Informatieplicht en geheimhouding
- 2.2 Kosten en verdeling
- 2.3 Resultaatverplichting
- 2.4 Geschillen en escalatie
- 2.5 SUWI Standaarden
- 2.5.1 SGR en SuwiML
- 2.5.2 Verantwoordingsrichtlijn en normenkader GeVS
- 2.5.3 Ketenarchitectuur
- 2.6 Beheerprocessen
- 2.6.1 Incidentbeheer
- 2.6.2 Wijzigings- en releasebeheer
- 2.6.3 Probleembeheer
- 2.6.4 Capaciteitsbeheer
- 2.6.5 Continuïteitsbeheer
- 2.6.6 Configuratiebeheer
- 2.7 Logging, monitoring en rapportage
2.1 Informatieplicht en geheimhouding
Partijen verplichten zich om elkaar tijdig alle informatie te verschaffen en medewerking te verlenen die noodzakelijk zijn voor het uitvoeren van de afspraken in de Keten SLA.
Alle in het kader van de Keten SLA ter beschikking gestelde of verkregen informatie over partijen, hun doelen en bedrijfsprocessen zal door de partijen strikt vertrouwelijk worden behandeld. Deze informatie zal niet worden aangewend voor andere doeleinden dan waarvoor deze is aangevraagd en verstrekt. Deze informatie wordt ook niet aangewend ten behoeve van derden zonder uitdrukkelijke en schriftelijke toestemming van betrokken partijen, tenzij juridisch vereist (bijvoorbeeld audits of toezichthouders).
2.2 Kosten en verdeling
Tenzij vooraf uitdrukkelijk anders wordt overeengekomen, dragen partijen elk zelf de kosten die voor hen aan de uitvoering van de Keten SLA zijn verbonden. Dit is conform de Wet SUWI.
2.3 Resultaatverplichting
De betrokken partijen rapporteren in de DIB aan elkaar over de algehele prestaties en de naleving van de binnen de keten geldende afspraken. BKWI rapporteert over de behaalde resultaten in de maandelijks op te leveren Service Level Rapportage aan de DIB. Waar nodig worden onderling de te nemen verbetermaatregelen benoemd en door de DIB belegd bij een eindverantwoordelijke. De DIB heeft hierin een coördinerende rol.
2.4 Geschillen en escalatie
Geschillen tussen partijen betreffende de Keten SLA en de uitvoering hiervan worden te allen tijde schriftelijk (e-mail) bij elkaar ingediend . De DIB wordt op de hoogte gebracht van het geschil. Vervolgens treden partijen in overleg in de DIB, waarbij de voorzitter van de DIB de coördinerende rol voor haar rekening neemt.
Wanneer uit overleg tussen de partijen blijkt dat geen overeenstemming over het geschil kan worden bereikt, wordt het geschil ter bespreking en besluitvorming voorgelegd aan de directeur BKWI, die conform het Instellingsbesluit DIB gedelegeerd verantwoordelijke is.
De afgesproken escalatieprocedure is uitgewerkt in het Keten DAP en beschrijft escalatie voor de volgende gevallen:
- (dreigende) overschrijding van oplostijden van incidenten
- (vermoeden van) beveiligingsincident(en) en eventuele datalekken
- niet of verkeerd uitvoeren van procedures
- niet nakomen van ketenafspraken en/of verplichtingen
Escalatie naar de Security Officer van de eigen organisatie is verplicht bij (vermoeden van) beveiligingsincidenten.
2.5 SUWI Standaarden
Binnen de GevS kennen wij verschillende standaarden, naast de Keten SLA zijn de volgende ketenstandaarden van toepassing op uitwisseling via de GeVS.:
- SGR/SuwiML
- Verantwoordingsrichtlijn en Normenkader GeVS
- Ketenarchitectuur Werk en Inkomen (KarWeI)
2.5.1 SGR en SuwiML
Elke uitwisseling van gegevens via de Suwinet Services dienen conform de afgesproken standaarden Suwi Gegevensregister (verder genoemd SGR) en SuwiML (Transactiestandaard en Berichtstandaard) te geschieden, met uitzondering van Suwinet-Mail, waarbij ongestructureerde berichten uitgewisseld worden.
Afwijkingen van de SGR- en SuwiML- standaarden resulteren - tenzij hierover nadere afspraken zijn gemaakt - in (centrale) afkeuring van het bericht en het stoppen van de doorlevering van het bericht aan afnemers en applicaties.
De DIB kan in samenspraak met de Domeingroep Gegevens en Berichten (DGB) en de Domeingroep Privacy en Beveiliging (DPB) beslissen om afgekeurde berichten toch tijdelijk door te leveren aan afnemers en applicaties als hiermee anders het bedrijfsbelang onevenredig wordt geschaad. Hierbij moet worden vastgelegd gedurende welke reële termijn dit mag plaatsvinden. De termijn wordt bewaakt door de DIB.
Afwijkingen van het SGR en de SuwiML standaarden worden als beveiligingsincident gemeld bij de leverende partij die is verplicht deze afwijking(en) van de standaard zo snel mogelijk maar uiterlijk binnen vier maanden op te lossen.
Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht. Met implementatie van een nieuw bericht wordt bedoeld het moment dat het bericht geconfigureerd is en opvraagbaar is in de productieomgeving van BKWI.
Voor het uitfaseren van een oud bericht dient de leverende partij van dit bericht een CMK (wijzigingsverzoek via het Centraal Meldpunt Ketenwijzigingen) in, waarbij het bericht na bekendmaking via het CMK nog minimaal een jaar lang ondersteund wordt. Na dit jaar vervallen alle rechten voor de afnemers en is de leverende partij gerechtigd het bericht technisch uit te faseren. Uitfaseren van het bericht kan eerder in overleg met de afnemers.
De uitfaseringstermijn voor een bericht wordt in het Keten CAB gezamenlijk vastgesteld en vastgelegd in de CMK applicatie. Vastlegging vindt plaats in het ingediende CMK voor de uitfasering van het desbetreffende bericht.
Prestatienorm | Afwijkingen van de SGR en SuwiML standaarden resulteren -tenzij hierover gezamenlijk nadere afspraken over zijn gemaakt- in (centrale) afkeuring van het bericht en het stoppen van dedoorlevering van het bericht aan afnemers en (inlezende) applicaties |
Bijzonderheden |
Centrale afkeuring vindt in het validatieproces bij BKWI plaats. Bij berichten die rechtstreeks tussen twee ketenpartijen uitgewisseld worden is de ontvangende partij/applicatie verantwoordelijk voor de validatie. |
|
|
Prestatienorm |
Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht. |
Bijzonderheden |
Eventuele discussies of een bericht een nieuwe versie van een bericht is of een compleet nieuw bericht worden in de Werkgroep Gegevens en Berichten beslecht. |
|
|
Prestatienorm |
Afwijkingen van SGR en de SuwiML standaard worden als beveiligingsincident gemeld bij de leverende partij. De leverende partij is verplicht deze afwijking van de standaard zo snel mogelijk te herstellen, maar uiterlijk binnen vier maanden. |
Bijzonderheden |
Geen |
2.5.2 Verantwoordingsrichtlijn en normenkader GeVS
Partijen zijn verantwoordelijk voor privacybescherming en informatiebeveiliging. De privacybescherming wordt in de eerste plaats geregeld in de AVG. Dat is een Europese verordening, dus die is vanzelf van toepassing.
Op grond van de Verantwoordingsrichtlijn moeten partijen verder voldoen aan het in hun sector gebruikelijke normenkader – meestal de BIR of de BIG – en als ze afnemer of beheerder van Suwinet (om precies te zijn, de GeVS) zijn ook aan het voor hen geldende Specifieke SUWI-normenkader (er is een versie voor afnemers en een voor beheerders).
De partijen moeten ook verantwoording afleggen over de naleving van de SUWI-normen, zoals beschreven in de Verantwoordingsrichtlijn GeVS 2019. Als gemeenten de ENSIA- systematiek volgen, houden zich daarmee aan de Verantwoordingsrichtlijn.
De Security Officer van het BKWI bewaakt (en coördineert) de afhandeling van ketenbrede beveiligingsincidenten.
2.5.3 Ketenarchitectuur
De ketenarchitectuur biedt gemeenschappelijke kaders, afspraken en een high-level design van de ketensamenwerking en de daarbinnen gebruikte standaarden en bouwstenen voor de gezamenlijke ontwikkeling van de keten. Partijen werken onder Architectuur en houden zich aan de afspraken en principes uit KArWeI.
2.6 Beheerprocessen
2.6.1 Incidentbeheer
Op keten niveau zijn afspraken gemaakt ten behoeve van het incidentbeheerproces. Afwijkend hierin is de geldende Wet Meldplicht Datalekken, waarbij geldt dat (mogelijke) datalekken binnen 72 uur gemeld moeten worden bij de Autoriteit Persoonsgegevens.
Binnen de keten maken we verschil tussen beschikbaarheid en ondersteuning:
- Beschikbaarheid van een dienst: het tijdsvenster waarin een dienst beschikbaar wordt gesteld aan de
- Ondersteuning van een dienst: het tijdsvenster waarin helpdesk(en) actief meldingen ontvangen en in behandeling nemen.
Voor keten brede incidenten gelden de volgende oplostijden (in werkuren):
Prioriteit |
Omschrijving |
Reactietijd4 |
Maximale oplostijd5 |
1 |
Incidenten waarbij de dienst of bron in het geheel niet meer functioneert |
Direct |
70 % binnen 6 uur binnen de ondersteuningstijd |
2 |
Incidenten waarbij de functionaliteit dusdanig is afgenomen dat de dienst niet meer geheel functioneert. |
1 uur |
80 % binnen 12 uur binnen de ondersteuningstijd |
3 |
Incidenten waarbij de dienst gedeeltelijk niet meer functioneert, maar waarbij met de overgebleven functionaliteit nog redelijk te werken is. |
2 uur |
24 uur binnen de ondersteuningstijd |
4 |
Overige incidenten met minimale verlies van functionaliteit. |
In overleg |
In overleg |
Vanaf 1 januari 2016 geldt de Wet Meldplicht Datalekken, waarbij geldt dat (mogelijke) datalekken binnen 72 uur gemeld moeten worden bij de Autoriteit Persoonsgegevens.
Voor de demo- en testomgeving geldt dat incidenten behandeld worden als een prioriteit drie incident, waarbij geldt dat de reactie en maximale oplostijd streeftijden betreffen.
In onderstaand plaatje wordt aangegeven hoe de oplostijd wordt gemeten. Hierbij wordt gerapporteerd over de oplostijd die bij BKWI wordt geregistreerd.
Voor de oplostijd geldt dat dit de tijd is tussen registratie van het incident (melding Suwidesk) en de afmelding aan de oorspronkelijke aanmelder. Dat betekent dat incidenten vanuit gebruikersperspectief een langere oplostijd kunnen hebben dan in de tabel opgenomen, vanwege de overdracht tussen de verschillende servicedesks en oplosgroepen. De percentages worden op jaarbasis berekend.
Prestatienorm |
Partijen houden zich aan de maximale oplostijden. |
Meetmethode |
Incidentregistratietool: tijd tussen ontvangst van het incident en het oplossen van het incident. |
Meetperiode |
Maandelijks wordt over deze norm gerapporteerd in de GeVS Managementrapportage. Voor de prioriteiten 1, 2 en 3 worden de percentages op jaarbasis berekend. |
Bijzonderheden |
geen |
Prestatienorm |
Elk – vermoeden van een – inbreuk op de privacy of op de beveiliging van de GeVS dient direct gemeld te worden aan de eigen Security en/of Privacy Officer. |
Meetmethode |
Handmatig; geconstateerde afwijkingen worden gemeld bij de Suwidesk. |
Bijzonderheden |
Geen |
Prestatienorm |
Elk incident met gevolgen voor ketenpartijen dient direct gemeld te worden bij de Suwidesk. |
Meetmethode |
Handmatig |
Bijzonderheden |
Geen |
2.6.2 Wijzigings- en releasebeheer
Ten behoeve van het ketenbrede wijzigingsbeheerproces is een Centraal Meldpunt Ketenwijzigingen (CMK) ingericht voor de Suwipartijen en eventuele andere ketenpartijen. De partijen zijn verplicht en dragen zelf zorg voor de aanmelding van ketenbrede wijzigingen aan het CMK door vaste contactpersonen (wijzigingscoördinatoren) van de partijen.
Het CMK is verantwoordelijk voor het registreren, routeren en publiceren van de ketenwijzigingen en regelt de uitgifte van CMK-accounts, verwerken van impactbepalingen en het aanbieden van de wijzigingen aan het Keten CAB. Jaarlijks worden de ketenrelease momenten vastgesteld voor het volgende jaar in het Keten CAB.
- Suwi-partijen
Suwi-partijen zijn verplicht om impactbepalingen te leveren binnen 14 dagen na beschikbaarstelling van de wijziging via de CMK applicatie. Partijen die deze verplichting niet nakomen worden geacht akkoord te zijn met de wijziging en accepteren alle risico's die aan de uitvoer van deze wijziging liggen. Partijen kunnen via de voorzitter van het Keten CAB verzoeken om de impactbepalingstermijn te verlengen.
- Niet Suwi-partijen
Ook niet Suwi-partijen die gebruik maken van de GeVS infrastructuur hebben een meldingsplicht (via het CMK) van wijzigingen die invloed (kunnen) hebben op de GeVS. Zij worden via het CMK en/of de relatiebeheerder van BKWI geïnformeerd over aankomende wijzigingen die de GeVS raken, echter de niet Suwi-partijen zijn niet verplicht altijd impactbepalingen te leveren op wijzigingen. Dit in tegenstelling tot de Suwipartijen zelf.
Prestatienorm |
Iedere organisatie is verplicht om wijzigingen die de werking van (een deel van) de GeVS kan beïnvloeden aan te melden via het Centraal Meldpunt Ketenwijzigingen. |
Meetmethode |
Handmatig op basis van signalering uit het Incidentbeheer (via KIPO) en wijzigingsbeheerproces (Keten CAB) |
Prestatienorm |
Ketenpartijen leveren uiterlijk binnen veertien dagen na de eerst komende donderdag na indienen van de wijziging impact op ingediende ketenwijzigingen. |
Meetmethode |
Handmatig op basis van evaluaties uit het Keten CAB en de CMK applicatie |
Bijzonderheden |
Partijen kunnen verzoeken om uitstel voor de levering van impactbepaling. |
2.6.3 Probleembeheer
In het Keten Incidenten en Problemen Overleg (KIPO) worden op basis van het incidentbeheerproces en andere signalen problemen geïdentificeerd en geprioriteerd. In het KIPO zijn in elk geval de Suwipartijen als gegevensleverende partij vertegenwoordigd. Het KIPO bepaalt wie verantwoordelijk is voor het oplossen van het probleem en of er een oplosgroep voor het benodigde onderzoek wordt samengesteld.
De Suwidesk registreert problemen, bewaakt de voortgang en informeert de partijen over de voortgang. Uitwerking van het probleembeheer proces is te vinden in de GeVS Keten DAP.
Prestatienorm |
Het KIPO belegt geconstateerde problemen binnen drie werkdagen bij een oplosgroep. |
Meetmethode |
Handmatige meting naar aanleiding van een bijeenkomst van het KIPO |
Bijzonderheden |
Geen |
2.6.4 Capaciteitsbeheer
Iedere organisatie richt binnen de eigen organisatie capaciteitsbeheer in. De organisaties waarborgen dat de systeemcapaciteit voldoende afgestemd is op het te verwachten gebruik. Substantiële veranderingen in het gebruik worden in het aansluit- of wijzigingsproces gedetecteerd.
2.6.5 Continuïteitsbeheer
Partijen dragen zorg voor garanties van de continuïteit van de dienstverlening. Partijen zijn vrij hier zelf invulling aan te geven, onder voorwaarden dat beschikbaarheid van de voorzieningen gewaarborgd blijft conform de beschikbaarheidsnormen van deze Keten SLA.
2.6.6 Configuratiebeheer
Organisaties zijn zelf verantwoordelijk voor het configuratiebeheer binnen de eigen organisatie en dragen er zorg voor dat dit afdoende wordt uitgevoerd ter ondersteuning van andere beheerprocessen.
2.7 Logging, monitoring en rapportage
De verplichting geldt dat alle gebruikers- en beheerhandelingen vastgelegd worden en herleidbaar zijn naar een natuurlijk persoon, zodat eventueel misbruik gedetecteerd kan worden en deze informatie gebruikt kan worden als bewijslast.
BKWI logt en rapporteert op applicatie- en afnemerniveau de levering van berichten.
BKWI verstrekt regulier rapportages, op basis waarvan de op de GeVS aangesloten organisaties oneigenlijk gebruik en misbruik kunnen detecteren, daarnaast verstrekt BKWI partijen op verzoek specifieke rapportages aangaande het gebruik van de GeVS.
Partijen voeren een actief beleid aangaande onderzoek naar oneigenlijk gebruik en misbruik.
Prestatienorm |
Reguliere rapportages worden geleverd voor de 15e van de daaropvolgende maand. |
Bijzonderheden |
Geen |
Prestatienorm |
Specifieke rapportages worden geleverd binnen 1 week na opvragen bij de Suwidesk |
Bijzonderheden |
Geen |
Prestatienorm |
Loggings hebben een bewaartermijn van maximaal 18 maanden |
Bijzonderheden |
Geen |