2. Algemene bepalingen

2.1 Informatieplicht en geheimhouding

Partijen verplichten zich om elkaar tijdig alle informatie te verschaffen en medewerking te verlenen die noodzakelijk zijn voor het uitvoeren van de afspraken in de Keten SLA.

Alle in het kader van de Keten SLA ter beschikking gestelde of verkregen informatie over partijen, hun doelen en bedrijfsprocessen zal door de partijen strikt vertrouwelijk worden behandeld. Deze informatie zal niet worden aangewend voor andere doeleinden dan waarvoor deze is aangevraagd en verstrekt. Deze informatie wordt ook niet aangewend ten behoeve van derden zonder uitdrukkelijke en schriftelijke toestemming van betrokken partijen, tenzij juridisch vereist (bijvoorbeeld audits of toezichthouders).

2.2 Kosten en verdeling

Tenzij vooraf uitdrukkelijk anders wordt overeengekomen, dragen partijen elk zelf de kosten die voor hen aan de uitvoering van de Keten SLA zijn verbonden. Dit is conform de Wet SUWI.

2.3 Resultaatverplichting

De betrokken partijen rapporteren in de DIB aan elkaar over de algehele prestaties en de naleving van de binnen de keten geldende afspraken. BKWI rapporteert over de behaalde resultaten in de maandelijks op te leveren Service Level Rapportage aan de DIB. Waar nodig worden onderling de te nemen verbetermaatregelen benoemd en door de DIB belegd bij een eindverantwoordelijke. De DIB heeft hierin een coördinerende rol.

2.4 Geschillen en escalatie

Geschillen tussen partijen betreffende de Keten SLA en de uitvoering hiervan worden te allen tijde schriftelijk (e-mail) bij elkaar ingediend . De DIB wordt op de hoogte gebracht van het geschil. Vervolgens treden partijen in overleg in de DIB, waarbij de voorzitter van de DIB de coördinerende rol voor haar rekening neemt.

Wanneer uit overleg tussen de partijen blijkt dat geen overeenstemming over het geschil kan worden bereikt, wordt het geschil ter bespreking en besluitvorming voorgelegd aan de directeur BKWI, die conform het Instellingsbesluit DIB gedelegeerd verantwoordelijke is.

De afgesproken escalatieprocedure is uitgewerkt in het Keten DAP en beschrijft escalatie voor de volgende gevallen:

  • (dreigende) overschrijding van oplostijden van incidenten
  • (vermoeden van) beveiligingsincident(en) en eventuele datalekken
  • niet of verkeerd uitvoeren van procedures
  • niet nakomen van ketenafspraken en/of verplichtingen

Escalatie naar de Security Officer van de eigen organisatie is verplicht bij (vermoeden van) beveiligingsincidenten.

2.5 SUWI Standaarden

Binnen de GevS kennen wij verschillende standaarden, naast de Keten SLA zijn de volgende ketenstandaarden van toepassing op uitwisseling via de GeVS.:

  • SGR/SuwiML
  • Verantwoordingsrichtlijn en Normenkader GeVS
  • Ketenarchitectuur Werk en Inkomen (KarWeI)

2.5.1 SGR en SuwiML

Elke uitwisseling van gegevens via de Suwinet Services dienen conform de afgesproken standaarden Suwi Gegevensregister (verder genoemd SGR) en SuwiML (Transactiestandaard en Berichtstandaard) te geschieden, met uitzondering van Suwinet-Mail, waarbij ongestructureerde berichten uitgewisseld worden.

Afwijkingen van de SGR- en SuwiML- standaarden resulteren - tenzij hierover nadere afspraken zijn gemaakt - in (centrale) afkeuring van het bericht en het stoppen van de doorlevering van het bericht aan afnemers en applicaties.

De DIB kan in samenspraak met de Domeingroep Gegevens en Berichten (DGB) en de Domeingroep Privacy en Beveiliging (DPB) beslissen om afgekeurde berichten toch tijdelijk door te leveren aan afnemers en applicaties als hiermee anders het bedrijfsbelang onevenredig wordt geschaad. Hierbij moet worden vastgelegd gedurende welke reële termijn dit mag plaatsvinden. De termijn wordt bewaakt door de DIB.

Afwijkingen van het SGR en de SuwiML standaarden worden als beveiligingsincident gemeld bij de leverende partij die is verplicht deze afwijking(en) van de standaard zo snel mogelijk maar uiterlijk binnen vier maanden op te lossen.

Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht. Met implementatie van een nieuw bericht wordt bedoeld het moment dat het bericht geconfigureerd is en opvraagbaar is in de productieomgeving van BKWI.

Voor het uitfaseren van een oud bericht dient de leverende partij van dit bericht een CMK (wijzigingsverzoek via het Centraal Meldpunt Ketenwijzigingen) in, waarbij het bericht na bekendmaking via het CMK nog minimaal een jaar lang ondersteund wordt. Na dit jaar vervallen alle rechten voor de afnemers en is de leverende partij gerechtigd het bericht technisch uit te faseren. Uitfaseren van het bericht kan eerder in overleg met de afnemers.

De uitfaseringstermijn voor een bericht wordt in het Keten CAB gezamenlijk vastgesteld en vastgelegd in de CMK applicatie. Vastlegging vindt plaats in het ingediende CMK voor de uitfasering van het desbetreffende bericht.

Prestatienorm Afwijkingen van de SGR en SuwiML standaarden resulteren -tenzij hierover gezamenlijk nadere afspraken over zijn gemaakt- in (centrale) afkeuring van het bericht en het stoppen van dedoorlevering van het bericht aan afnemers en (inlezende) applicaties

Bijzonderheden

Centrale afkeuring vindt in het validatieproces bij BKWI plaats.

Bij berichten die rechtstreeks tussen twee ketenpartijen uitgewisseld worden is de ontvangende partij/applicatie verantwoordelijk voor de validatie.

 

 

Prestatienorm

Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van  een nieuwere versie van het bericht.

Bijzonderheden

Eventuele discussies of een bericht een nieuwe versie van een bericht is of een compleet nieuw bericht worden in de Werkgroep Gegevens en Berichten beslecht.

 

 

Prestatienorm

Afwijkingen van SGR en de SuwiML standaard worden als beveiligingsincident gemeld bij de leverende partij. De leverende partij is verplicht deze afwijking van de standaard zo snel mogelijk te herstellen, maar uiterlijk binnen vier maanden.

Bijzonderheden

Geen

 

2.5.2 Verantwoordingsrichtlijn en normenkader GeVS

Partijen zijn verantwoordelijk voor privacybescherming en informatiebeveiliging. De privacybescherming wordt in de eerste plaats geregeld in de AVG. Dat is een Europese verordening, dus die is vanzelf van toepassing.

Op grond van de Verantwoordingsrichtlijn moeten partijen verder voldoen aan het in hun sector gebruikelijke normenkader – meestal de BIR of de BIG – en als ze afnemer of beheerder van Suwinet (om precies te zijn, de GeVS) zijn ook aan het voor hen geldende Specifieke SUWI-normenkader (er is een versie voor afnemers en een voor beheerders).

De partijen moeten ook verantwoording afleggen over de naleving van de SUWI-normen, zoals beschreven in de Verantwoordingsrichtlijn GeVS 2019. Als gemeenten de ENSIA- systematiek volgen, houden zich daarmee aan de Verantwoordingsrichtlijn.

De Security Officer van het BKWI bewaakt (en coördineert) de afhandeling van ketenbrede beveiligingsincidenten.

2.5.3 Ketenarchitectuur

De ketenarchitectuur biedt gemeenschappelijke kaders, afspraken en een high-level design van de ketensamenwerking en de daarbinnen gebruikte standaarden en bouwstenen voor de gezamenlijke ontwikkeling van de keten. Partijen werken onder Architectuur en houden zich aan de afspraken en principes uit KArWeI.

2.6 Beheerprocessen

2.6.1 Incidentbeheer

Op keten niveau zijn afspraken gemaakt ten behoeve van het incidentbeheerproces. Afwijkend hierin is de geldende Wet Meldplicht Datalekken, waarbij geldt dat (mogelijke) datalekken binnen 72 uur gemeld moeten worden bij de Autoriteit Persoonsgegevens.

Binnen de keten maken we verschil tussen beschikbaarheid en ondersteuning:

  • Beschikbaarheid van een dienst: het tijdsvenster waarin een dienst beschikbaar wordt gesteld aan de
  • Ondersteuning van een dienst: het tijdsvenster waarin helpdesk(en) actief meldingen ontvangen en in behandeling nemen.

Voor keten brede incidenten gelden de volgende oplostijden (in werkuren):

Prioriteit

Omschrijving

Reactietijd4

Maximale oplostijd5

1

Incidenten waarbij de dienst of bron in het geheel niet meer functioneert

Direct

70 % binnen 6 uur binnen de ondersteuningstijd

2

Incidenten waarbij de functionaliteit dusdanig is afgenomen dat de dienst niet meer geheel functioneert.

1 uur

80 % binnen 12 uur binnen de ondersteuningstijd

3

Incidenten waarbij de dienst gedeeltelijk niet meer functioneert, maar waarbij met de overgebleven functionaliteit nog redelijk te werken is.

2 uur

24 uur binnen de ondersteuningstijd

4

Overige incidenten met minimale verlies van functionaliteit.

In overleg

In overleg

 

Vanaf 1 januari 2016 geldt de Wet Meldplicht Datalekken, waarbij geldt dat (mogelijke) datalekken binnen 72 uur gemeld moeten worden bij de Autoriteit Persoonsgegevens.

Voor de demo- en testomgeving geldt dat incidenten behandeld worden als een prioriteit drie incident, waarbij geldt dat de reactie en maximale oplostijd streeftijden betreffen.

In onderstaand plaatje wordt aangegeven hoe de oplostijd wordt gemeten. Hierbij wordt gerapporteerd over de oplostijd die bij BKWI wordt geregistreerd.

Overzicht van hoe de oplostijd wordt gemeten

Voor de oplostijd geldt dat dit de tijd is tussen registratie van het incident (melding Suwidesk) en de afmelding aan de oorspronkelijke aanmelder. Dat betekent dat incidenten vanuit gebruikersperspectief een langere oplostijd kunnen hebben dan in de tabel opgenomen, vanwege de overdracht tussen de verschillende servicedesks en oplosgroepen. De percentages worden op jaarbasis berekend.

Prestatienorm

Partijen houden zich aan de maximale oplostijden.

Meetmethode

Incidentregistratietool: tijd tussen ontvangst van het incident en het oplossen van het incident.

Meetperiode

Maandelijks wordt over deze norm gerapporteerd in de GeVS Managementrapportage. Voor de prioriteiten 1, 2 en 3 worden de percentages op jaarbasis berekend.

Bijzonderheden

geen

Prestatienorm

Elk – vermoeden van een – inbreuk op de privacy of op de beveiliging van de GeVS dient direct gemeld te worden aan de eigen Security en/of Privacy Officer.

Meetmethode

Handmatig; geconstateerde afwijkingen worden gemeld bij de Suwidesk.

Bijzonderheden

Geen

Prestatienorm

Elk incident met gevolgen voor ketenpartijen dient direct gemeld te worden bij de Suwidesk.

Meetmethode

Handmatig

Bijzonderheden

Geen

2.6.2 Wijzigings- en releasebeheer

Ten behoeve van het ketenbrede wijzigingsbeheerproces is een Centraal Meldpunt Ketenwijzigingen (CMK) ingericht voor de Suwipartijen en eventuele andere ketenpartijen. De partijen zijn verplicht en dragen zelf zorg voor de aanmelding van ketenbrede wijzigingen aan het CMK door vaste contactpersonen (wijzigingscoördinatoren) van de partijen.

Het CMK is verantwoordelijk voor het registreren, routeren en publiceren van de ketenwijzigingen en regelt de uitgifte van CMK-accounts, verwerken van impactbepalingen en het aanbieden van de wijzigingen aan het Keten CAB. Jaarlijks worden de ketenrelease momenten vastgesteld voor het volgende jaar in het Keten CAB.

  • Suwi-partijen

Suwi-partijen zijn verplicht om impactbepalingen te leveren binnen 14 dagen na beschikbaarstelling van de wijziging via de CMK applicatie. Partijen die deze verplichting niet nakomen worden geacht akkoord te zijn met de wijziging en accepteren alle risico's die aan de uitvoer van deze wijziging liggen. Partijen kunnen via de voorzitter van het Keten CAB verzoeken om de impactbepalingstermijn te verlengen.

  • Niet Suwi-partijen

Ook niet Suwi-partijen die gebruik maken van de GeVS infrastructuur hebben een meldingsplicht (via het CMK) van wijzigingen die invloed (kunnen) hebben op de GeVS. Zij worden via het CMK en/of de relatiebeheerder van BKWI geïnformeerd over aankomende wijzigingen die de GeVS raken, echter de niet Suwi-partijen zijn niet verplicht altijd impactbepalingen te leveren op wijzigingen. Dit in tegenstelling tot de Suwipartijen zelf.

 

Prestatienorm

Iedere organisatie is verplicht om wijzigingen die de werking van (een deel van) de GeVS kan beïnvloeden aan te melden via het Centraal Meldpunt Ketenwijzigingen.

Meetmethode

Handmatig op basis van signalering uit het Incidentbeheer (via KIPO)

en wijzigingsbeheerproces (Keten CAB)

Prestatienorm

Ketenpartijen leveren uiterlijk binnen veertien dagen na de eerst komende donderdag na indienen van de wijziging impact op

ingediende ketenwijzigingen.

Meetmethode

Handmatig op basis van evaluaties uit het Keten CAB en de CMK

applicatie

Bijzonderheden

Partijen kunnen verzoeken om uitstel voor de levering van

impactbepaling.

 

2.6.3 Probleembeheer

In het Keten Incidenten en Problemen Overleg (KIPO) worden op basis van het incidentbeheerproces en andere signalen problemen geïdentificeerd en geprioriteerd. In het KIPO zijn in elk geval de Suwipartijen als gegevensleverende partij vertegenwoordigd. Het KIPO bepaalt wie verantwoordelijk is voor het oplossen van het probleem en of er een oplosgroep voor het benodigde onderzoek wordt samengesteld.

De Suwidesk registreert problemen, bewaakt de voortgang en informeert de partijen over de voortgang. Uitwerking van het probleembeheer proces is te vinden in de GeVS Keten DAP.

Prestatienorm

Het KIPO belegt geconstateerde problemen binnen drie werkdagen bij een oplosgroep.

Meetmethode

Handmatige meting naar aanleiding van een bijeenkomst van het KIPO

Bijzonderheden

Geen

2.6.4 Capaciteitsbeheer

Iedere organisatie richt binnen de eigen organisatie capaciteitsbeheer in. De organisaties waarborgen dat de systeemcapaciteit voldoende afgestemd is op het te verwachten gebruik. Substantiële veranderingen in het gebruik worden in het aansluit- of wijzigingsproces gedetecteerd.

2.6.5 Continuïteitsbeheer

Partijen dragen zorg voor garanties van de continuïteit van de dienstverlening. Partijen zijn vrij hier zelf invulling aan te geven, onder voorwaarden dat beschikbaarheid van de voorzieningen gewaarborgd blijft conform de beschikbaarheidsnormen van deze Keten SLA.

2.6.6 Configuratiebeheer

Organisaties zijn zelf verantwoordelijk voor het configuratiebeheer binnen de eigen organisatie en dragen er zorg voor dat dit afdoende wordt uitgevoerd ter ondersteuning van andere beheerprocessen.

2.7 Logging, monitoring en rapportage

De verplichting geldt dat alle gebruikers- en beheerhandelingen vastgelegd worden en herleidbaar zijn naar een natuurlijk persoon, zodat eventueel misbruik gedetecteerd kan worden en deze informatie gebruikt kan worden als bewijslast.

BKWI logt en rapporteert op applicatie- en afnemerniveau de levering van berichten.

BKWI verstrekt regulier rapportages, op basis waarvan de op de GeVS aangesloten organisaties oneigenlijk gebruik en misbruik kunnen detecteren, daarnaast verstrekt BKWI partijen op verzoek specifieke rapportages aangaande het gebruik van de GeVS.

Partijen voeren een actief beleid aangaande onderzoek naar oneigenlijk gebruik en misbruik.

Prestatienorm

Reguliere rapportages worden geleverd voor de 15e van de daaropvolgende maand.

Bijzonderheden

Geen

Prestatienorm

Specifieke rapportages worden geleverd binnen 1 week na opvragen bij de Suwidesk

Bijzonderheden

Geen

Prestatienorm

Loggings hebben een bewaartermijn van maximaal 18 maanden

Bijzonderheden

Geen