Gezamenlijke elektronische Voorzieningen Suwi. Keten Service Level Agreement versie 9.0

Transcriptie

1 Gezamenlijke elektronische Voorzieningen Suwi Keten Service Level Agreement versie 9.0 Pagina 1 van 35

2 Inhoud 1. Over de GeVS Keten SLA Inleiding Leeswijzer Doel van de Keten SLA Suwipartijen en niet-suwipartijen Gemeenten als Suwipartij Positie van de Keten SLA Deelnemende organisaties Bereik van de Keten SLA Evaluatie, duur en wijziging van de Keten SLA Algemene bepalingen Informatieplicht en geheimhouding Kosten en verdeling Resultaatverplichting Geschillen over de Keten SLA SUWI Standaarden SGR en SuwiML Verantwoordingsrichtlijn en normenkader GeVS Ketenarchitectuur Logging, monitoring en rapportage Escalatie Uitwijk Afnemersdeel Keten SLA Inleiding Dienstverlening aan afnemers Suwinet-Inkijk Suwinet-Inlezen Suwinet-mijn gegevens (Klantbeeld) Suwinet-Correctie Suwinet-Mail Suwinet-Meldingen Suwinet-Autorisatie Pagina 2 van 35

3 3.2.8 Ketenbrede Testomgeving Incidentbeheer Servicedesks ten behoeve van medewerkers van de aangesloten partijen Wijziging- en releasebeheer Probleembeheer Capaciteitsbeheer afnemers Configuratiebeheer Beschikbaarheidsbeheer Logische toegangsbeveiliging Leveranciersdeel Keten SLA Inleiding Algemene beschikbaarheid (uptime) van het netwerk Incidentbeheer *Met reactietijd wordt bedoeld de tijd waarbinnen gestart wordt met het oplosproces Probleembeheer Wijziging- en releasebeheer Capaciteitsbeheer Configuratiebeheer Beschikbaarheidsbeheer Onderhoudstijden Escalatie Calamiteiten Inzichtelijkheid verversing afgeleide databases XML-diensten Ketentesten Beheer en beschikbaarstelling Keten brede Integratie Testomgeving (KIT) Suwinet-Mail Beheer en beschikbaarstelling Suwinet-Meldingen Afspraken per leverancier Toelichting bij de tabellen Technisch beheer centrale omgeving GeVS Beheer en beschikbaarstelling gebruikersadministratie Beheer en beschikbaarstelling van Suwinet-Inkijk Pagina 3 van 35

4 Beheer en beschikbaarstelling correctieservice Beheer en beschikbaarstelling filtermechanisme Beheer en beschikbaarstelling van Suwinet-Mail Beheer en Beschikbaarstelling van Suwinet- Mijn gegevens (Klantbeeld) Logische toegangsbeveiliging Bijlagen Managementrapportage Specifieke beheerrapportages Organigram overlegorganen Overlegstructuur Releasekalender Ondertekening... Fout! Bladwijzer niet gedefinieerd. Pagina 4 van 35

5 1. Over de GeVS Keten SLA 1.1 Inleiding Sinds 2004 wordt jaarlijks in Suwi verband een GeVS Keten Service Level Agreement (verder genoemd Keten SLA) opgesteld met de afspraken tussen de partijen die via de Gezamenlijke elektronische Voorzieningen Suwi (verder genoemd GeVS) gegevens uitwisselen over beschikbaarheid, responsetijden, openingstijden, oplostijden van incidenten en dergelijke. Deze versie van de Keten SLA kent een andere indeling dan voorheen. De Keten SLA is grofweg verdeeld in drie delen; een algemeen deel, een afnemers specifiek deel en een leveranciers specifiek deel (bron). Hiermee wordt meer inzichtelijk welke eisen afnemer en leverancier specifiek zijn. Deze Keten SLA (versie 9.0) vervangt versie 8.0 en bevat de gezamenlijke afspraken die gemaakt zijn tussen de partijen over de dienstverlening van de Gezamenlijke elektronische Voorzieningen Suwi. 1.2 Leeswijzer In hoofdstuk twee worden de algemene bepalingen beschreven welke gelden voor de Keten SLA. In hoofdstuk drie volgt het afnemersdeel van de Keten SLA en in hoofdstuk vier worden de leveranciers specifieke eisen beschreven. Voor partijen die zowel afnemer als leverancier van gegevens zijn, zijn dus beide hoofdstukken van toepassing. Hoofdstuk vijf bevat relevante bijlagen. 1.3 Doel van de Keten SLA De Keten SLA heeft als doel het vastleggen van concrete afspraken tussen de verschillende via de GeVS uitwisselende partijen, op basis waarvan de gezamenlijke prestaties gemeten kunnen worden. Met de vastlegging van deze afspraken kan worden geborgd, dat een bepaald niveau van dienstverlening door de verschillende partijen ook daadwerkelijk geleverd wordt. De Keten SLA gaat uit van resultaatverplichtingen. Over het nakomen van de afgesproken prestatienormen wordt maandelijks door BKWI gerapporteerd in een Service Level Rapportage (verder genoemde SLR), opdat gerichte bewaking, sturing en verbetering van de dienstverlening mogelijk zijn. Bewaking van de resultaten en activiteiten ter verbetering vinden plaats in of onder regie van de Domeingroep ICT Beheer (verder genoemd DIB). De Keten SLA is niet, zoals veelal gebruikelijk, een overeenkomst tussen één leverancier en één afnemer, maar is een gezamenlijke overeenkomst tussen de verschillende op de GeVS aangesloten partijen. 1.4 Suwipartijen en niet-suwipartijen Bij de uitvoering van de wettelijke taken binnen het domein Werk en Inkomen zijn meerdere uitvoeringsorganisaties betrokken. Dit zijn UWV, SVB en de gemeenten. Deze partijen worden in de Wet Suwi Suwipartijen genoemd. Het Inlichtingenbureau treedt op als bewerker en doorgever van de gegevens voor de gemeenten. Onder voorwaarden is de GeVS ook te gebruiken door zogenaamde niet- Suwipartijen. Voor aansluiting van deze partijen dient het Aansluitprotocol GeVS1 gevolgd te worden. Een niet- Suwipartij dient contact op te nemen met de leverancier van de gegevens (bronhouder), om te komen tot een eventuele gegevenslevering. Conform het Aansluitprotocol GeVS dienen niet- Suwipartijen zich in elk geval te conformeren aan de inhoud van de Keten SLA. 1 Bijlage III bij de Regeling Suwi: ab.nl/wetsuwior1rsbijlagen.htm Pagina 5 van 35

6 Deze organisaties voeren elk een deel van de dienstverlening in het kader van Werk en Inkomen uit en hebben daartoe elk hun eigen, vanuit GeVS perspectief, decentrale, elektronische- voorzieningen ingericht. Het aansluitprotocol met hierin de verdere uitwerking van dit traject is te vinden op de website van het BKWI ( 1.5 Gemeenten als Suwipartij De gemeenten zijn betrokken bij de keten dienstverlening, in de rol van leverancier en afnemer. De gemeente is Suwipartij voor de taken benoemd in de Wet Suwi en WWB, voor overige taken is zij een niet- Suwipartij. 1.6 Positie van de Keten SLA De basis voor de afspraken in de Keten SLA is vastgelegd in de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet Suwi) en de nadere uitwerking in het Besluit Suwi en de Regeling Suwi. Enerzijds sluit de Keten SLA aan bij genoemde wetgeving en bij de afspraken die in bestaande Service Niveau Overeenkomsten (SNO s) tussen de verschillende partijen zijn vastgelegd en anderzijds stelt deze eisen aan de contracten die de verschillende partijen met hun ICT- leveranciers hebben afgesloten (in underpinning contracts). De afspraken van de Keten SLA zijn nader uitgewerkt in het Keten Dossier Afspraken & Procedures (Keten DAP). Het Keten DAP bevat ook een lijst met verschillende contactpersonen bij de verschillende deelnemende partijen. Het Keten DAP wordt door het Keten Incidenten en Problemen Overleg onderhouden en ter goedkeuring voorgelegd aan de DIB. 1.7 Deelnemende organisaties De Keten SLA is een overeenkomst tussen de volgende partijen in de volgende hoedanigheid. Organisatie Bureau Keten Informatisering Werk en Inkomen (BKWI)2 Centraal Administratie Kantoor (CAK) Zorginstituut Nederland (ZINL) Leverancier Afnemer Dienst Uitvoering Onderwijs (DUO) X X Immigratie en Naturalisatie Dienst (IND) Inspectie SZW (ISZW) Uitvoeringsinstituut Werknemers Verzekeringen (UWV) X X Dienst Justitiële uitvoeringsdienst Toetsing, Integriteit en Screening (Justis)3 Sociale Verzekeringsbank (SVB) X X Stichting Inlichtingenbureau (IB) 4 X X G4* (waarbij Wigo4it namens de G4 5 de dienstverlening van de SUWI- ketenpartners coördineert) X X X X X X X X 2 BKWI vervult de rol van leverancier voor de gegevens van Kadaster, Kamer van Koophandel (KVK) en Rijksdienst Wegverkeer (RDW) 3 Dienst Justis ten behoeve van Bureau BIBOB en TRACK 4 Achter het Inlichtingenbureau gaan de leverende gemeenten en gemeentelijke samenwerkingsverbanden schuil Pagina 6 van 35

7 bronnen en gebruikers bronnen Suwipartijen* niet Suwipartijen* UWV GSD (IB) SVB GBA RDW DUO KvK Kadaster Belasting dienst Binnen een paar seconden een digitaal klantdossier op maat * Suwipartijen raadplegen gegevens van Suwi- en niet-suwipartijen. * Niet-Suwipartijen raadplegen gegevens van Suwipartijen gebruikers Suwipartijen* UWV GSD SVB niet Suwipartijen* IND CAK Inspectie SZW dienst Justis Gemeentelijke Belastingdeur waarders CvZ IVT RMC SNG Burger zaken 1.8 Bereik van de Keten SLA In de Keten SLA zijn de afspraken vastgelegd, die gemaakt zijn tussen partijen met betrekking tot de Gezamenlijke elektronische Voorziening Suwi. De Gezamenlijke elektronische Voorzieningen Suwi (GeVS) is een verzameling van centrale en decentrale voorzieningen die zorgdragen voor de gegevensuitwisseling tussen gegevensaanbieders en afnemers in de keten Werk en Inkomen. Deze voorzieningen zijn vastgelegd in artikel 5.21 van het Besluit SUWI, inclusief de taken op het gebied van de inrichting en beheer. Een actuele lijst van de GeVS componenten kan gevonden worden in KArWeI. 1.9 Evaluatie, duur en wijziging van de Keten SLA De Keten SLA geldt vanaf het moment van tekenen en blijft geldig tot opzegging of vervanging door een nieuwe Keten SLA. De Keten SLA wordt minstens één keer per jaar geëvalueerd door de DIB. Tussentijdse aanpassingen worden - na afstemming met de andere domeingroepen 6 - vastgelegd in de afsprakenlijst van de notulen van de DIB en zijn vanaf dat moment geldend. De afspraken worden uiteindelijk verwerkt in de jaarlijks uit te brengen Keten SLA. 5 gemeenten Amsterdam, Rotterdam, Utrecht en Den Haag 6Architectuur, gegevens en berichten en privacy en beveiliging zijn aspecten die in de andere domeingroepen zijn belegd. Pagina 7 van 35

8 Wanneer één der partijen, buiten de jaarlijkse evaluatie om, een wijziging in of beëindiging van de Keten SLA wenst, dan treden de partijen in overleg en wordt de voorgenomen wijziging of beëindiging ter goedkeuring aan de DIB voorgelegd. Kleine wijzigingen (in bijvoorbeeld de rapportage of kleine infrastructurele wijzigingen) worden vastgelegd in een addendum op de Keten SLA en zijn van toepassing zodra deze zijn goedgekeurd door de DIB en waar nodig door de andere domeingroepen. De Keten SLA met eventuele addenda worden gepubliceerd op Pagina 8 van 35

9 2. Algemene bepalingen 2.1 Informatieplicht en geheimhouding Partijen verplichten zich om elkaar tijdig alle informatie te verschaffen en medewerking te verlenen welke noodzakelijk zijn voor het uitvoeren van de afspraken in de Keten SLA. Alle in het kader van de Keten SLA ter beschikking gestelde of verkregen informatie over partijen, hun doelen en bedrijfsprocessen zal door de partijen strikt vertrouwelijk worden behandeld. Deze informatie zal niet worden aangewend voor andere doeleinden dan waarvoor deze is aangevraagd en verstrekt. Deze informatie wordt ook niet aangewend ten behoeve van derden zonder uitdrukkelijke en schriftelijke toestemming van betrokken partijen. De persoonsgegevens die partijen als leverancier via de GeVS ter beschikking stellen, stellen zij slechts ter beschikking voor zover deze gegevens noodzakelijk zijn voor de uitvoering van een opgedragen wettelijke taak en er een wettelijke basis voor is. Ruimer gebruik van de ter beschikking gestelde persoonsgegevens is niet toegestaan. Voor zover gebruik gemaakt wordt van tijdelijke opslag (cache) is de tijd van opslag van ontvangen persoonsgegevens beperkt tot maximaal 24 uur en mogen deze gegevens niet gebruikt worden voor andere doelen dan waarvoor deze zijn beschikbaar gesteld. 2.2 Kosten en verdeling Tenzij vooraf uitdrukkelijk anders wordt overeengekomen, dragen partijen elk zelf de kosten die voor hen aan de uitvoering van de Keten SLA zijn verbonden. 2.3 Resultaatverplichting De betrokken partijen rapporteren in de domeingroepen aan elkaar over de algehele prestaties en de naleving van de binnen de keten geldende afspraken. BKWI rapporteert via de vastgestelde paden over de gezamenlijk behaalde resultaten. Deze vastgestelde paden zijn te vinden in de Keten DAP. Waar nodig worden onderling de te nemen verbetermaatregelen benoemd en neergelegd bij een eindverantwoordelijke. De DIB volgt het verbetertraject en rapporteert hierover naar de keten. In het geval één der partijen structureel toerekenbaar tekort schiet in de nakoming van haar verplichtingen, zal de DIB het bestuur of de directie van de nalatige partij schriftelijk verzoeken passende maatregelen te treffen. De nalatige partij dient een onderbouwd actieplan te presenteren waarin aangeven wordt welke maatregelen zij treft om de problemen op te lossen en te voorkomen dat deze problemen zich in de toekomst weer voor zullen komen. Hierbij wordt aangegeven binnen welke termijn de tekortkoming wordt opgelost. In elk geval omvat het actieplan de volgende punten: welke actie wordt genomen; wanneer actie wordt genomen; wanneer de tekortkoming is verholpen; hoe voorkomen wordt dat eenzelfde tekortkoming nog eens optreedt. 2.4 Geschillen over de Keten SLA Geschillen tussen partijen betreffende de Keten SLA en de uitvoering hiervan worden te allen tijde schriftelijk bij elkaar ingediend en bevestigd. BKWI wordt op de hoogte gebracht van het geschil. Vervolgens treden partijen in overleg, waarbij BKWI de coördinerende rol voor haar rekening neemt. Wanneer uit overleg tussen de partijen blijkt dat geen overeenstemming over het geschil kan worden bereikt, wordt het geschil ter bespreking en besluitvorming geagendeerd op directieniveau. Pagina 9 van 35

10 2.5 SUWI Standaarden Binnen de GevS kennen wij verschillende standaarden, naast de Keten SLA zijn de volgende standaarden van toepassing op uitwisseling via de GeVS, die onderdeel uitmaken van deze Keten SLA: SGR en SuwiML Verantwoordingsrichtlijn en Normenkader GeVS Ketenarchitectuur SGR en SuwiML Elke uitwisseling van gegevens die plaatsvindt via de GeVS dient plaats te vinden conform de afgesproken standaarden Suwi Gegevens Register (verder genoemd SGR) en SuwiML (transactiestandaard en berichtenstandaard). Het SGR beschrijft de (cliënt)gegevens, die binnen de Suwiketen worden uitgewisseld. In het SGR wordt vastgelegd: de semantische definitie van de gegevens de "metagegevens" (formaat, structuur, waarde bereik) van een gegeven de wijze waarop de gegevens worden gecodeerd in de gemeenschappelijke taal voor elektronische uitwisseling in het Suwidomein, te weten SuwiML In het SGR wordt het waarde bereik van een bepaald gegeven opgenomen. De codes die regelmatig aan wijziging onderhevig zijn, worden opgenomen in zogenaamde "externe" codetabellen. De inhoud van deze "externe" codetabellen wordt beheerd en bepaald door de betrokken Suwipartijen en/of de basisregistraties/norminstanties zoals GBA, ISO en Vektis. BKWI krijgt van deze partijen de wijzigingen aangeleverd en legt deze vast in de bijbehorende codetabellen. Het SGR en de codetabellen worden door BKWI op haar website beschikbaar gesteld. Voor die gegevens die worden ontsloten vanuit basisregistraties/authentieke bronnen, worden de semantische definities en bijbehorende metagegevens van die basisregistraties/authentieke bronnen zoveel mogelijk ongewijzigd overgenomen in het SGR. Op het gebied van gegevens en berichten worden de goedgekeurde wijzigingsverzoeken (via het CMK) behandeld in de DGB en de bijbehorende werkgroepen. In de DGB zitten de vertegenwoordigers van de ketenpartijen die goedgekeurde wijzigingen verder intern afstemmen. De meeste partijen hebben immers een eigen gegevensregister (zoals UGR en GGR). Binnen de keten zijn afspraken gemaakt hoe elektronische berichten in het Suwi domein kunnen worden ingepakt (header, enveloppe, body, wsdl) en verstuurd. De standaard wordt gebruikt bij het online bevragen van gegevens en voor het doorgeven van gegevens in de vorm van meldingen volgens het store and forward principe. Uitwisseling tussen partijen moet plaatsvinden met in achtneming van de afspraken met betrekking tot de SuwiML Transactiestandaard. De actuele SuwiML Transactiestandaard is te vinden op de website van BKWI. Afwijkingen van de SGR- en SuwiML- standaard resulteren - tenzij hierover nadere afspraken zijn gemaakt - in (centrale) afkeuring van het bericht en het stoppen van de doorlevering van het bericht aan afnemers en applicaties. De DIB kan in samenspraak met de DGB en de DPB beslissen om afgekeurde berichten toch tijdelijk door te leveren aan afnemers en applicaties als hiermee anders het bedrijfsbelang onevenredig wordt geschaad. Hierbij moet worden vastgelegd gedurende welke termijn dit mag plaatsvinden.; welke termijn wordt bewaakt door de DIB. Pagina 10 van 35

11 Afwijkingen van de SGR en SuwiML standaard worden als incident en beveiligingsincident gemeld bij de leverende partij die is verplicht deze standaard afwijkingen zo snel mogelijk maar uiterlijk binnen vier maanden op te lossen. Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht. Met implementatie van een nieuw bericht wordt bedoeld het moment dat het bericht geconfigureerd is en opvraagbaar is in een productionele omgeving. Voor het uitfaseren van een oud bericht dient de leverende partij een CMK in, waarbij het bericht na bekend making via het CMK nog maximaal een jaar lang ondersteund wordt. Na dit jaar vervallen alle rechten voor de afnemers en is de leverende partij gerechtigd het bericht technisch uit te faseren. Uitfaseren van het bericht kan eerder in overleg met de afnemers. Afwijkingen van de SGR en SuwiML standaard resulteren - tenzij hierover nadere afspraken zijn gemaakt - in (centrale) afkeuring van het bericht en het stoppen van de doorlevering van het bericht aan afnemers en applicaties Servicedesk registratiesysteem: handmatige meting Centrale afkeuring vindt plaats bij BKWI bij het validatieproces Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht Servicedesk registratiesysteem: handmatige meting Afwijkingen van SGR en /of de SuwiML standaard worden als incident en beveiligingsincident gemeld bij de leverende partij. De leverende partij is verplicht deze afwijking van de standaard zo snel mogelijk te herstellen. Servicedesk registratiesysteem: handmatige meting Verantwoordingsrichtlijn en normenkader GeVS 7 Partijen zijn zelf verantwoordelijk voor het borgen dat de bescherming van persoonsgegevens binnen de eigen bedrijfsprocessen en daarbij ook dat de bescherming van de Suwi- gegeven en de beveiliging van de eigen delen van de GeVS minimaal voldoen aan het niveau dat hiervoor binnen de Suwiketen is vastgesteld8. Naast de wettelijke eisen, zoals opgenomen in de Wbp en Wet Suwi, zijn aanvullende eisen aangaande privacy en beveiliging verwerkt in het Normenader GeVS en in de Keten SLA. Iedere partij geeft in een beveiligingsplan aan op welke wijze zij hieraan invulling geeft; stelt (al dan niet beperkt tot Suwi) een functionaris aan belast met de coördinatie van en toezicht op de beveiliging (binnen de Suwiketen aangemerkt als Security Officer) en met een functionaris belast met (al dan niet beperkt tot de Suwi- gegevens) de toezicht op het rechtmatig verwerken van de 7 In de Verantwoordingsrichtlijn Suwi 8 De beveiliging van de GeVS is ingericht op het niveau dat vereist is voor persoonsgegevens met een risicoklasse 2 conform AV23. Zie: Deze eisen zijn nader uitgewerkt in het Normenkader GeVS. Pagina 11 van 35

12 persoonsgegevens (interne controle). Elke partij verplicht zich te voldoen aan de keten brede eisen aangaande privacy en beveiliging en doet jaarlijks verslag over de bescherming van de via de GeVS ontvangen gegevens en over de beveiliging van de eigen delen van de GeVS conform de vigerende versie van de Suwi Verantwoordingsrichtlijn9. De normen betreffende Privacy & Beveiliging zijn vastgelegd in de GeVS Verantwoordingsrichtlijn. De Security Officer van het BKWI stelt op basis van de aangeleverde rapportages, ter bevestiging van het (onderlinge) vertrouwen, een totaaloverzicht op van de beveiliging van de GeVS. Elke afnemer is verantwoordelijk voor de bescherming van de persoonsgegevens die via de GeVS worden uitgewisseld en binnen de eigen bedrijfsprocessen worden verwerkt. Partijen borgen dat de beveiliging van de eigen delen van de GeVS voldoet aan de gestelde eisen. De beheerorganisaties van de afzonderlijke partijen zijn vrij te kiezen welke beveiligingsmaatregelen worden ingezet, mits het niveau van beveiliging volstaat, en aan het classificatie niveau wordt voldaan. Elke partij verplicht zich te voldoen aan de keten brede eisen aangaande privacy en beveiliging en legt hier jaarlijks verantwoording over af. Naast de wettelijke eisen, zoals opgenomen in de WBP en Wet Suwi, zijn aanvullende eisen aangaande privacy en beveiliging verwerkt in de Verantwoordingsrichtlijn en bijbehorend Normenkader GeVS en in deze Keten SLA. Partijen zijn elk verantwoordelijk voor de bescherming van de privacy in relatie tot de persoonsgegevens die zij via de GeVS uitwisselen en/of verwerken. Iedere partij geeft in een beveiligingsplan aan op welke wijze zij hieraan invulling geeft en stelt een functionaris aan belast met de coördinatie van en toezicht op de beveiliging (voor de keten aangemerkt als Security Officer Suwinet) en interne controles. Partijen die gegevens uitwisselen via de GeVS voorzieningen dienen zich te houden aan de richtlijnen qua doelbinding en proportionaliteit. De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van de GeVS (processen, gegevens, infrastructuur en applicaties) zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden belegd. Handmatig via de contactenlijst in de Keten DAP. De GeVS en via de GeVS uitgewisselde gegevens worden beschermd tegen ongeautoriseerde [logische] toegang en gebruik. De Suwi-partij autoriseert en registreert de gebruikers die toegang hebben tot de Suwinet applicaties op basis van een formele procedure waarin is opgenomen. persoonsgegevens met risicoklasse 2 worden verstrekt op basis van het needto-know principe en met (door de registratiehouders) vastgestelde rollen; Het verlenen van toegang tot de benodigde gegevens op basis van de uit te voeren functie / taken; Het uniek identificeren van elke gebruiker tot één persoon; Het goedkeuren van de aanvraag voor toegangsrechten door de manager of 9 Deze versie is te vinden op de website van het BKWI, en- beveiliging/ Pagina 12 van 35

13 een gemandateerde; Het tijdig wijzigen (dus ook intrekken) van de autorisatie bij functiewijziging of vertrek; Het benaderen van de Suwi- databestanden door gebruikers mag alleen plaatsvinden via applicatieprogrammatuur (tenzij sprake is van calamiteiten). Geconstateerde afwijkingen worden geregistreerd in de "Monitor", welke besproken wordt met de betreffende partij en indien nodig gebruikt wordt voor escalatie. Elke organisatie is verantwoordelijk voor de toezicht op het rechtmatig verwerken van de persoonsgegevens. Het raadplegen van de persoonsgegevens wordt gelogd en partijen kunnen (door de hiertoe gemandateerde medewerkers) bij de Suwidesk rapportages opvragen waarmee BKWI deze interne controle ondersteunt. Geconstateerde afwijkingen worden geregistreerd in de "Monitor", welke besproken wordt met de betreffende partij en indien nodig gebruikt wordt voor escalatie. De via de GeVS beschikbaar gestelde gegevens worden niet anders getransporteerd, dan over een infrastructuur welke bescherming biedt voor minimaal het niveau van persoonsgegevens met risicoklasse 2. Ook via het lokaal netwerk is ongeautoriseerde toegang tot de via de GeVS beschikbaar gestelde gegevens niet mogelijk De via de GeVS beschikbaar gestelde gegevens worden alleen getransporteerd via vaste lijnen zonder directe verbinding met internet. Er vinden geen overschrijdingen plaats van de wettelijke en Keten brede eisen aangaande privacy en beveiliging. Geconstateerde afwijkingen worden geregistreerd door de Servicedesks en als beveiligingsincident gemeld bij de Suwidesk. De Security Officer van het BKWI bewaakt (en coördineert) de voortgang van beveiligingsincidenten en rapporteert deze in de reguliere rapportage Ketenarchitectuur De ketenarchitectuur biedt toekomstvaste, gemeenschappelijke kaders, afspraken en een high- level design van de ketensamenwerking en de daarbinnen gebruikte standaarden en bouwstenen voor de gezamenlijke ontwikkeling van de keten. De ketenarchitectuur wordt concreet toegepast en aan de DA wordt inzicht gegeven op welke wijze dit gebeurt en vindt er vastlegging plaats in KarWeI. KarWeI beschrijft: de uitgangspunten voor het inrichten van de architectuur van de informatievoorzieningen van de organisaties die actief zijn binnen of rondom de keten; de afspraken die binnen de keten zijn gemaakt voor het uitvoeren van organisatie overstijgende processen ten behoeve van informatie uitwisseling en het inzetten van techniek; de samenstelling van en eisen aan de Gezamenlijke Elektronische Voorzieningen Suwi (GeVS); KarWeI geeft, in de vorm van afspraken, weer aan welke eisen de voorzieningen en de Pagina 13 van 35

14 participerende organisaties moeten voldoen. KarWeI richt zich op de samenwerking waarvoor gegevensuitwisseling, koppelvlakken, standaarden en voorzieningen beschreven moeten worden en op de aansluiting tussen organisaties; daar- naast richt zij zich op gemeenschappelijke ontwikkelingen. Het doel van de architectuur is de ketendienstverlening aan de gemeenschappelijke afnemer effectiever en efficiënter te laten verlopen. De ketenarchitectuur dient als: 1) Stuurinstrument Architecturen geven inzicht en richting, zodat oplossingsrichtingen en prioriteiten mede aan de hand ervan kunnen worden bepaald met als doel dat op elkaar aansluiten makkelijker wordt. 2) Communicatie- instrument De gemeenschappelijke beelden en afspraken kunnen eenduidig worden gecommuniceerd. Parallelle ontwikkeltrajecten maken gebruik van een en dezelfde verzameling kaders, afspraken en begrippen. 3) Toetsinstrument De ketenpartners kunnen de eigen plannen en keuzen toetsen aan de gemaakte keten- afspraken. Externe partijen kunnen ketenarchitectuur gebruiken als hulpmiddel om te toetsen of zij binnen de afgesproken context ontwikkelactiviteiten ontplooien. 2.6 Logging, monitoring en rapportage Vanuit de Regeling Suwi geldt de verplichting dat alle gebruikershandelingen vastgelegd worden en herleidbaar zijn naar een natuurlijk persoon, zodat eventueel misbruik gedetecteerd kan worden en opdat deze informatie kan worden gebruikt als bewijslast. BKWI verstrekt regulier rapportages, vanuit de Suwinet- Broker en de inkijklogging, op basis waarvan de op de GeVS aangesloten organisaties oneigenlijk gebruik en misbruik kunnen detecteren, daarnaast verstrekt BKWI partijen op verzoek specifieke rapportages aangaande het gebruik van de GeVS. Partijen (zowel afnemer als leverancier) voeren een actief beleid aangaande onderzoek naar oneigenlijk gebruik en misbruik. De servers, die onderdeel uitmaken van de centrale omgeving, bevatten, buiten de logbestanden en het cache, geen persoonsgegevens. Tijdelijke gegevens op servers (cache) of in netwerkapparatuur, worden slechts gedurende een maximale periode van 8 uur bewaard. Verdere afspraken en procedures zijn vastgelegd in het Keten DAP. Reguliere rapportages worden geleverd voor de 15e van de maand. Handmatig Specifieke rapportages worden geleverd binnen 1 week. Handmatig Loggings hebben een bewaartermijn van het lopende jaar plus het jaar ervoor. Handmatig Pagina 14 van 35

15 2.7 Escalatie De afgesproken escalatieprocedure is opgenomen in het Keten DAP en beschrijft escalatie voor volgende gevallen: - (dreigende) overschrijding van oplostijden van incidenten - (vermoeden van) beveiligingsincident(en) - niet of verkeerd uitvoeren van procedures - niet nakomen van ketenafspraken en/of verplichtingen Escalatie naar de Security Officer van de eigen organisatie is verplicht bij (vermoeden van) beveiligingsincidenten. 2.8 Uitwijk Er is een uitwijkprocedure voor de GeVS afgesproken en deze is opgenomen in het Keten DAP. Een incident met hoge prioriteit en naar verwachting een oplostijd van langer dan vier uur kan aanleiding zijn voor het uitwijken van de centrale omgeving van Suwinet. Het besluit uit te wijken wordt genomen door hoofd BKWI- Beheer en Ondersteuning. Hoofd BKWI- Beheer en Ondersteuning beoordeelt wanneer terugkeer gewenst en mogelijk is. In het algemeen zal dit buiten kantoortijden zijn. De medewerker Suwidesk informeert de ketenpartners via mail over de terugkeer van uitwijk- naar productieomgeving. De contactpersonen van de partijen brengen zelf hun gebruikers op de hoogte. De uitwijkserver van de centrale omgeving is gelijk aan de server van de testomgeving. Dat wil zeggen dat de testomgeving tijdens uitwijkperioden niet beschikbaar is. BKWI test twee keer per jaar de werking van het uitwijkmechanisme. Voor zowel uitwijk als inwijk. Pagina 15 van 35

16 3. Afnemersdeel Keten SLA 3.1 Inleiding In dit deel van de Keten SLA worden de rechten en plichten van de afnemers van de GeVS beschreven. 3.2 Dienstverlening aan afnemers Binnen de GeVS worden aan de afnemers de volgende diensten en dienstverlening geleverd: Suwinet-Inkijk De voorziening waarmee een virtueel dossier van een klant, bestaande uit gegevens van één of meer leveranciers digitaal wordt getoond. De overzichtspagina s waarop het virtuele dossier wordt getoond is afnemer specifiek. Het betreft hier een set van gegevens die op maat is en waarbij vooraf is bepaald dat deze gegevens binnen de juridisch toegestane set van gegevens van deze partij vallen. Voor pagina's welke gegevens tonen vanuit meerdere bronnen, is de zoeksleutel het BSN; voor pagina's welke gegeven tonen vanuit een enkele bron, zijn mogelijk andere/meerdere zoeksleutels beschikbaar Suwinet-Inlezen De voorziening waarmee professionals van overheidsorganisaties de mogelijkheid hebben om gegevens van diverse bronnen /leveranciers vanuit de bedrijfseigen applicaties te raadplegen. Het betreft hier een set van gegevens die op maat is en waarbij vooraf is bepaald dat deze gegevens set valt binnen de juridisch toegestane set van gegevens van deze partij vallen. Op berichtniveau worden doelbinding en proportionaliteit op organisatieniveau ingericht. Elke organisatie moet zelf proportionaliteit op functie/medewerkersniveau nader uitwerken Suwinet-mijn gegevens (Klantbeeld) De voorziening die burgers de mogelijkheid biedt om een deel van de eigen (persoons)gegevens welke uitgewisseld worden via de GeVS in te zien. Dit kan o.a. via werk.nl en mijnoverheid.nl en voor de authenticatie wordt gebruik gemaakt van DIGID Suwinet-Correctie De voorziening die zowel aan burgers (via Klantbeeld) als professionals de mogelijk biedt aanpassingen op geregistreerde gegevens door te geven aan de registratiehouder(s). Voor burgers worden dit correctieverzoeken genoemd en voor professionals wordt dit terugmelding genoemd. Deze voorziening is bedoeld om de kwaliteit van de geregistreerde gegevens te verbeteren en het proces van aanpassingen te stroomlijnen en daarmee laagdrempelig te maken Suwinet-Mail De voorziening die op het Suwinet (netwerk) aangesloten partijen de mogelijkheid biedt om ongestructureerde berichten met hierin vertrouwelijke informatie over een besloten netwerk te verzenden en ontvangen via hun eigen bestaande mailvoorziening. Aangezien deze voorziening gebruik maakt van het besloten Suwinet netwerk, is het versturen van mailberichten veiliger dan via het publieke internet. Pagina 16 van 35

17 3.2.6 Suwinet-Meldingen De voorziening die digitale overdracht tussen systemen mogelijk maakt door middel van standaardberichten over het besloten Suwinet netwerk Suwinet-Autorisatie De voorziening waarin de toegangsrechten voor (autorisaties) Suwinet- Inkijk zijn vastgelegd. Deze voorziening is ook te gebruiken als autorisatievoorziening voor applicaties van de Suwipartijen Ketenbrede Testomgeving De ketenpartijen bieden een testomgeving aan ten behoeve van de afnemers voor het uitvoeren van ketentesten. Deze omgeving fungeert in noodgevallen als uitwijkomgeving Voor de diensten Suwinet Inkijk, Suwinet- Inlezen en Suwinet- mijn gegevens geldt dat de partijen hebben afgesproken dat de applicaties en gegevensleverende systemen een openstelling kennen van 8:30 tot 18:00 uur. Gebruik buiten de opstellingstijden kan resulteren in mogelijke onvolledige resultaten. Voor afnemers geldt dat de gegevensset geleverd wordt gemiddeld in 7 seconden. Bij zeer grote gegevensleveringen (veel historie) kan de responsetijd oplopen tot maximaal 20 seconden. Voor alle diensten geldt dat er een noodvoorziening /uitwijk gerealiseerd is. 3.3 Incidentbeheer Voor keten brede incidenten gelden de volgende oplostijden (in werkuren): Prioriteit Omschrijving Reactietijd* Maximale oplostijd 1 Incidenten waarbij de dienst of bron in het geheel niet meer functioneert (functioneren). 2 Incidenten waarbij de functionaliteit zodanig is afgenomen dat de dienst niet meer geheel functioneert. 3 Incidenten waarbij de dienst gedeeltelijk niet meer functioneert (functioneren)., maar waarbij het met de overgebleven functionaliteit toch redelijk mogelijk blijft om te kunnen functioneren. Direct 70 % binnen 6 werkuren 1 uur 80 % binnen 12 werkuren nvt 24 werkuren 4 Overige incidenten. In overleg In overleg De servicedesks van de partijen zijn elk zelf verantwoordelijk voor het proces van aanmelden, routeren, oplossen en afmelden van keten brede incidenten volgens de afgesproken procedure in het Keten DAP. : De oplostijd geldt voor het moment dat het incident bij de oplossende partij is binnengekomen. Dat betekent dat incidenten vanuit gebruikersperspectief een langere oplostijd kennen dan in de tabel opgenomen, vanwege de overdracht tussen de verschillende servicedesks en oplosgroepen. De percentages gelden op jaarbasis. Pagina 17 van 35

18 3.4 Servicedesks ten behoeve van medewerkers van de aangesloten partijen Iedere partij - met uitzondering van de gemeenten - is zelf verantwoordelijk voor de eerstelijns ondersteuning van de eigen gebruikers. Iedere partij heeft één (of meerdere) servicedesks ingericht, dit is voor de gebruikers het single point of contact waar zij terecht kunnen voor: - het stellen van algemene vragen - het melden van storingen of het indienen van klachten - het indienen van verzoeken tot wijziging aan de gezamenlijke voorzieningen Gebruikers van de Gemeenten worden ondersteund door het Inlichtingenbureau. De Suwidesk van BKWI fungeert als tweedelijns (of derdelijns) Servicedesk, ter ondersteuning van de Servicedesken van de op de GeVS aangesloten partijen. De Suwidesk en Servicedesks van de partijen zijn minimaal bereikbaar op werkdagen van 8:30 uur tot 18:00 uur. Werkelijke openstellingtijden servicedesks (inclusief de Suwidesk) komen 100% overeen met afgesproken tijden 8:30-18:00 uur. Partijen leveren maandelijks overzichten aan met de geleverde openstellingstijden, partijen kiezen zelf de gehanteerde meetmethode. De SVB kent afwijkende openstellingstijden op werkdagen van 8:30 uur tot 17:30 uur 3.5 Wijziging- en releasebeheer Ten behoeve van het keten brede wijzigingsbeheerproces is een Centraal Meldpunt Ketenwijzigingen (CMK) ingericht voor alle aan de GeVS deelnemende partijen. De partijen zijn verplicht en dragen zelf zorg voor de aanmelding van Keten brede wijzigingen aan het CMK door vaste contactpersonen (wijzigingscoördinatoren) van de partijen. Deze wijzigingscoördinatoren zijn vastgelegd in het Keten DAP. Niet- Suwipartijen die gebruik maken van de GeVS infrastructuur hebben ook een meldingsplicht (via het CMK) van wijzigingen die invloed (kunnen) hebben op de gezamenlijke infrastructuur. Zij worden via het CMK en/of de accountmanagers BKWI ook geïnformeerd over wijzigingen die de GeVS raken, echter ze zijn niet verplicht impactbepalingen te leveren op wijzigingen. Dit in tegenstelling tot de Suwipartijen zelf. Het CMK is verantwoordelijk voor het registreren, routeren en publiceren van de ketenwijzigingen en regelt de uitgifte van CMK- accounts, verwerken van impactbepalingen en het aanbieden van de wijzigingen aan het Keten CAB. Jaarlijks worden de ketenrelease momenten vastgesteld voor het volgende jaar in het Keten CAB. Elke release kan worden uitgebreid met een zogenaamde nazorgrelease. Deze zijn primair bedoeld om eventuele tekortkomingen uit de release op te lossen. De releasemomenten worden gepubliceerd op de BKWI website en zijn als bijlage bij de Keten SLA gevoegd. Suwipartijen zijn verplicht om impactbepalingen te leveren binnen 14 dagen na beschikbaarstelling van de wijziging via de CMK applicatie. Partijen die deze verplichting niet nakomen worden geacht akkoord te zijn met de wijziging en accepteren alle risico's die aan de uitvoer van deze wijziging liggen. Partijen kunnen via de voorzitter van het Keten CAB verzoeken om de impactbepalingstermijn te verlengen. Pagina 18 van 35

19 Voor het wijzigingsbeheer houden betrokken partijen zich aan de oorspronkelijk vastgestelde releasekalender. Handmatige meting naar aanleiding van een bijeenkomst van het Keten CAB 3.6 Probleembeheer In het Keten Incidenten en Problemen Overleg (KIPO) worden problemen geïdentificeerd en geprioriteerd. In het KIPO zitten zijn de leveranciers van gegevens vertegenwoordigd. Het KIPO bepaalt wie verantwoordelijk is voor het oplossen van het probleem en of er een oplosgroep voor het benodigde onderzoek wordt samengesteld. De Suwidesk registreert problemen, bewaakt de voortgang en informeert de partijen hierover. Uitwerking van probleembeheer is te vinden in de GeVS Keten DAP. Het KIPO belegt problemen binnen drie werkdagen bij de oplosgroep van een partij. Handmatige meting naar aanleiding van een bijeenkomst van het KIPO Een probleem wordt binnen twee dagen afgesloten als zijnde niet oplosbaar (besloten door de DIB op basis van kosten/ baten/ prioriteit) dan wel (wordt) opgelost met behulp van met name te noemen wijziging(en). Handmatige meting KIPO belegt probleem binnen drie werkdagen na het onderkennen van een probleem. Handmatige meting naar aanleiding van een bijeenkomst van het KIPO 3.7 Capaciteitsbeheer afnemers Afnemers zijn verplicht om inschattingen te maken van substantiële veranderingen in het gebruik van de producten en diensten die onderdeel uitmaken van de scope van de Keten SLA. Deze veranderingen dienen tijdig gemeld te worden bij de Suwidesk. Er moet nog genoeg tijd zijn voor de leverancier om maatregelen te kunnen nemen. De Suwidesk informeert de DIB die vervolgens actiehouder zijn om de impact hiervan te (laten) bepalen. Verschillen in inzicht qua doorlooptijd en besluitvorming worden voorgelegd aan de DIB. Het gebruik van de voorzieningen vindt plaats op basis van fair use policy. 3.8 Configuratiebeheer Afnemers zijn zelf verantwoordelijk voor het configuratiebeheer binnen de eigen organisatie. Dit onderdeel valt buiten de scope van de Keten SLA. Pagina 19 van 35

20 3.9 Beschikbaarheidsbeheer Afnemers zijn zelf verantwoordelijk voor de beschikbaarheid van de eigen infrastructuur (netwerk) en componenten (inlezende applicaties etc.). Dit onderdeel valt buiten de scope van de Keten SLA Logische toegangsbeveiliging Logische Toegangsbeveiliging is het geheel van maatregelen om de toegang tot gegevens en systemen te beheersen Personeelsmutaties die invloed hebben op autorisaties worden zo snel mogelijk verwerkt in de autorisaties voor Suwinet- Inkijk. Handmatig Pagina 20 van 35

21 4. Leveranciersdeel Keten SLA 4.1 Inleiding In dit deel van de Keten SLA wordt beschreven aan welke eisen de leveranciers zich dienen te houden. 4.2 Algemene beschikbaarheid (uptime) van het netwerk Partijen zorgen voor een uptime van minimaal 99,6 % van hun deel van het netwerk waarover de partijen gegevens met elkaar uitwisselen. 4.3 Incidentbeheer De partijen zijn zelf verantwoordelijk voor het proces van aannemen, aanmelden, routeren, oplossen en afmelden van keten brede incidenten volgens de afgesproken procedure in het Keten DAP.De volgende oplostijden (in werkuren) gelden voor keten brede incidenten: Prio Omschrijving Reactietijd* Maximale oplostijd 1 Incidenten waarbij de dienst of bron in het geheel niet meer functioneert (functioneren). 2 Incidenten waarbij de functionaliteit zodanig is afgenomen dat de dienst niet meer geheel functioneert. 3 Incidenten waarbij de dienst gedeeltelijk niet meer functioneert (functioneren)., maar waarbij het met de overgebleven functionaliteit toch redelijk mogelijk blijft om te kunnen functioneren. Direct 70 % binnen 6 werkuren 1 uur 80 % binnen 12 werkuren nvt 24 werkuren 4 Overige incidenten. In overleg In overleg *Met reactietijd wordt bedoeld de tijd waarbinnen gestart wordt met het oplosproces. Partijen houden zich aan de maximale oplostijden. Incidentregistratietool van de oplossende partij: tijd tussen ontvangst van het incident en het oplossen van het incident. Meetperiode Maandelijks wordt over deze norm gerapporteerd. Voor de prioriteiten 1 en 2 worden de percentages op jaarbasis berekend. geen Elk vermoeden van een inbreuk op de privacy of op de beveiliging van de GeVS dient direct gemeld te worden aan de eigen Security Officer. Handmatig; geconstateerde afwijkingen worden gemeld bij de Suwidesk. 4.4 Probleembeheer In het Keten Incidenten en Problemen Overleg (KIPO) worden problemen geïdentificeerd en geprioriteerd. Het KIPO bepaalt wie verantwoordelijk is voor het oplossen van het probleem en of er een oplosgroep voor het benodigde onderzoek wordt samengesteld. De Suwidesk registreert problemen, bewaakt de voortgang en informeert de partijen hierover. Uitwerking van probleembeheer is te vinden in de GeVS Keten DAP. Pagina 21 van 35

22 Een probleem wordt binnen twee dagen afgesloten als zijnde niet oplosbaar (besloten door de DIB op basis van kosten/ baten/ prioriteit) dan wel (wordt) opgelost met behulp van met name te noemen wijziging(en). Handmatige meting KIPO belegt probleem binnen drie werkdagen na het onderkennen van een probleem. Handmatige meting naar aanleiding van een bijeenkomst van het KIPO 4.5 Wijziging- en releasebeheer Ten behoeve van het keten brede wijzigingsbeheerproces is een Centraal Meldpunt Ketenwijzigingen (CMK) ingericht voor alle aan de GeVS deelnemende partijen. De partijen zijn verplicht en dragen zelf zorg voor de aanmelding van keten brede wijzigingen aan het CMK door vaste contactpersonen (wijzigingscoördinatoren) van de partijen. Het CMK is verantwoordelijk voor het registreren, routeren en publiceren van de ketenwijzigingen. Iedere partij heeft één of meerdere wijzigingscoördinatoren, die de keten brede wijzigingen afstemmen, inhoudelijk en qua planning. Jaarlijks worden de ketenrelease momenten vastgesteld voor het volgende jaar in het Keten CAB. Er worden maximaal vier ketenreleases geïmplementeerd per jaar. Elke release kan worden uitgebreid met een zogenaamde nazorgrelease. Deze zijn primair bedoeld om eventuele tekortkomingen uit de release op te lossen. De releasemomenten worden gepubliceerd op de BKWI website en zijn als bijlage bij de Keten SLA gevoegd. Suwipartijen zijn verplicht om impactbepalingen te leveren binnen 14 dagen na beschikbaarstelling van de wijziging via de CMK applicatie. Partijen die deze verplichting niet nakomen worden geacht akkoord te zijn met de wijziging en accepteren alle risico's die aan de uitvoer van deze wijziging liggen. Partijen kunnen via de voorzitter van het Keten CAB verzoeken om de impactbepalingstermijn te verlengen. Suwipartijen zijn verplicht om impactbepalingen te leveren binnen 14 dagen na beschikbaarstelling van de wijziging via het CMK. Partijen die deze verplichting niet nakomen worden geacht akkoord te zijn met de wijziging en accepteren alle risico's die aan de uitvoer van deze wijziging liggen. Niet- Suwipartijen worden in staat gesteld om de wijzigingen te voorzien van impactbepalingen, maar zijn niet verplicht impact te leveren. Voor het wijzigingsbeheer houden betrokken partijen zich aan de oorspronkelijk vastgestelde releasekalender. Handmatige meting naar aanleiding van een bijeenkomst van het Keten CAB Alle wijzigingen (ook partij eigen wijzigingen) die invloed kunnen hebben op een juiste werking van de GeVS, dienen zo snel mogelijk als ketenwijziging gemeld te worden via het CMK. Handmatige meting op basis van incidenten en ad hoc informatie Pagina 22 van 35

23 Er worden geen wijzigingen uitgevoerd die niet volledig conform het ketenbrede wijzigingsproces zijn gelopen. Handmatig Er volgen geen incidenten naar aanleiding van het doorvoeren van een wijziging. Handmatig: aantal incidenten gerelateerd aan een specifieke geregistreerde wijziging. Deze worden verzameld na elke release specifieke evaluatie of uit onderzoek van de oorzaak van een opgetreden incident. Suwipartijen zijn verplicht om binnen 14 dagen impactbepalingen te leveren op wijzigingen die via het CMK zijn gepubliceerd, dan wel uitstel te vragen indien de wijziging dusdanig complex is dat een impact binnen 14 dagen redelijkerwijs niet leverbaar is. CMK applicatie; maandelijks overzicht. 4.6 Capaciteitsbeheer Iedere op de GeVS aangesloten partij monitort zelf actief de capaciteit van de infrastructuur waarover de gegevens worden getransporteerd en verwerkt. Vooraf maken partijen een inschatting van substantiële toename of afname van gebruik (zie afnemersdeel van de Keten SLA). Op basis hiervan verplichten de partijen zich er zorg voor te dragen dat gebruikte infrastructuur en hard- en software van voldoende niveau blijft om de normen in de Keten SLA te behalen. 4.7 Configuratiebeheer Iedere op de GeVS aangesloten partij is zelf verantwoordelijk voor de inrichting van het eigen configuratiebeheer. 4.8 Beschikbaarheidsbeheer Iedere op de GeVS aangesloten partij is zelf verantwoordelijk voor de beschikbaarheid van de eigen infrastructuur (netwerk) en componenten (webservices e.d.). Onderscheid wordt gemaakt in beschikbaarheid ten behoeve van de eigen organisatie en beschikbaarheid waarbij andere organisaties afhankelijk zijn van deze beschikbaarheid. De eerste valt buiten de scope van de Keten SLA. De beschikbaarheidseisen van de verschillende diensten zijn terug te vinden bij de detaillering later in dit hoofdstuk. Hierover wordt maandelijks gerapporteerd. Hierin wordt ook door elke partij proactief op gemonitord en op geacteerd. 4.9 Onderhoudstijden Gepland onderhoud, uitgevoerd door (één van) de partijen, aan (een onderdeel van) de diensten vindt uitsluitend plaats buiten de afgesproken openstellingstijden. Hiervan mag enkel afgeweken worden met goedkeuring van de (voorzitter van de) DIB. Vastlegging hiervan vindt plaats in de notulen van de DIB of per mail. De in de keten vastgestelde releasemomenten zijn terug te vinden in de bijlage bij de Keten SLA. Pagina 23 van 35

24 Onderhoud vindt alleen binnen de, in de Keten SLA vastgelegde onderhoudstijden, plaats. Geconstateerde afwijkingen worden genoteerd door partijen en volgens de procedure in het DAP gemeld bij de Suwidesk. Maandelijks wordt hierover gerapporteerd. Tijdens de onderhoudsmomenten kan de beschikbaarheid van de diensten niet worden gegarandeerd. Partijen dienen rekening te houden met de volgende onderhoudsmomenten: UWV: Onderhoudsmomenten vinden plaats iedere derde volle weekend van de maand. SVB: Onderhoudsmomenten worden in de weekenden gepland, maar staan over het algemeen los van de beschikbaarheid voor Suwinet Inkijk. Over alle weekenden van het jaar berekend levert SVB 85% beschikbaarheid in de weekenden. DUO: Onderhoudsmomenten elke 2e zondag van de maand tussen en of tussen en uur. Verwachting is dat vier maal per jaar het verlengde onderhoudswindow benodigd is. BKWI: Ieder eerste weekend van de maand. Overige partijen: bijzonderheden. Partijen die buiten de eerder vastgestelde onderhoudsmomenten werkzaamheden willen uitvoeren, melden dit zo snel mogelijk bij de Suwidesk, die dit vervolgens communiceert naar de afnemers. Handmatig 4.10 Escalatie De afgesproken escalatieprocedure is opgenomen in het Keten DAP en beschrijft escalatie voor volgende gevallen: - (dreigende) overschrijding van oplostijden van incidenten - (vermoeden van) beveiligingsincident(en) - het niet volgen van (afgesproken) procedures - niet nakomen van ketenafspraken en/of verplichtingen Escalatie naar de Security Officer is verplicht bij (vermoeden van) beveiligingsincidenten. Voor alle andere gevallen dient eerst bekeken te worden of via de reguliere wegen tot een oplossing gekomen kan worden Calamiteiten Iedere partij maakt na het optreden van een calamiteit binnen afzienbare tijd inzichtelijk wat de gevolgen hiervan zijn voor de afnemers. Communicatie verloopt via de Suwidesk Inzichtelijkheid verversing afgeleide databases Elke partij die gebruik maakt van gegevenslevering aan de keten via een tussenbestand (database), dragen op verzoek zorg voor inzichtelijkheid van de actualiteit van de verversing van deze tussenbestanden. Te allen tijde wordt getracht de verversing zo actueel mogelijk te houden. De partijen hebben hiervoor een inspanningsverplichting. Pagina 24 van 35