Cloud-Afspraken. Versie: 1.62 dd. 15 maart Basis regels en voorwaarden voor de ontsluiting van clouddiensten
Maat: px
Weergave met pagina beginnen:

Download "Cloud-Afspraken. Versie: 1.62 dd. 15 maart Basis regels en voorwaarden voor de ontsluiting van clouddiensten"

Transcriptie

1 Realisatie Cloud-Afspraken Basis regels en voorwaarden voor de ontsluiting van clouddiensten Versie: 1.62 dd. 15 maart 2021 Aan deze publicatie kunnen geen rechten worden ontleend.

2 Colofon VNG Realisatie, GGI team Vereniging van Nederlandse Gemeenten, Den Haag, maart 2021 VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 2

3 Versie beheer Versie Datum Behandeling Initiële versie Toetsingskader en aanbestedingsrichtlijn Aanpassing afspraken Screening t.o.v. GIBIT Aanvulling bronverwijzingen Screening t.o.v. verwante documenten IBD Tekstuele verbeteringen (beperkt) Verwerken diverse commentaren Wijzingen n.a.v. interne commentaarronde Volgorde hoofdstukken gewijzigd, diverse begrippen toegevoegd 1.59X Tekstuele aanpassingen Toetsingskader bijgewerkt Update diverse links en verwijzingen VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 3

4 Inhoud Leeswijzer... 6 Inleiding... 7 De context... 7 Cloudcomputing... 7 Cloud-Afspraken... 8 Belang van leveranciers en providers Cloudcomputing Cloudcomputing in het gemeentelijk domein Cloudcomputing nader gedefinieerd Het onderscheid tussen Cloud Computing en de klassieke IT-outsourcing Cloudcomputing en Cloud-Afspraken Cloud-Afspraken Inleiding Doelstelling De scope en ontwikkeling Positionering Afspraken Algemeen Continuïteit dienstverlening Beveiliging en vertrouwelijkheid van gegevens Leveranciersmanagement Interoperabiliteit van diensten en portabiliteit van data Logging en monitoring Auditing en verantwoording GGI, Samen Organiseren en Common Ground Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) Samen Organiseren Common Ground Kwaliteitsbewaking, Compliancy en Verantwoording Kwaliteitsbewaking Rolverdeling gemeente, leverancier, VNG Realisatie Toetsing Gebruik toetsingskader Toetsingskader VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 4

5 4.5.1 Nadere uitwerking toetsingskader Nadere uitwerking Gemeentelijke kwaliteitsnormen Begrippenkader Cloudcomputing Governance en beheer van Cloud-Afspraken Aansluitprofielen en -modellen Bijlagen Bijlage 1. Ontwikkeling Cloud-Afspraken Bijlage 2: Toetsingskader, versie Bijlage 3. Aansluitvoorwaarden Diginetwerk Bijlage 4. Aanbestedingsrichtlijnen Bijlage 5. Overzicht SaaS aansluitprofielen Bijlage 6. Begrippen Bijlage 7. Bronnen VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 5

6 Leeswijzer Na de inleiding op het onderwerp wordt in hoofdstuk 1 een nadere omschrijving gegeven van cloudcomputing zoals dat wordt toegepast in het gemeentelijk domein. In hoofdstuk 2 worden de Cloud-Afspraken beschreven die van toepassing zijn op aanbieders en gebruikers van clouddiensten. In hoofdstuk 3 wordt nader ingegaan op de samenhang tussen Cloud-Afspraken, de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI), Samen Organiseren en Common Ground. In hoofdstuk 4 wordt nader ingegaan op de bewaking van kwaliteit, de compliance met betrekking tot onder andere BIO en de daarbij behorende verantwoording. In hoofdstuk 5 wordt de governance en het beheer van de Cloud-Afspraken uitgewerkt [wordt op een later moment toegevoegd] In hoofdstuk 6 worden de verschillende aansluitvoorwaarden en -modellen beschreven. In de bijlagen worden achtereenvolgens de verdere ontwikkeling van Cloud-Afspraken behandeld, wordt het Toetsingskader verder uitgewerkt, worden aanbestedingsrichtlijnen gegeven en worden de gehanteerde cloudbegrippen en bronnen uitgewerkt. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 6

7 Inleiding De context De primaire taak van gemeenten is het realiseren van dienstverlening aan inwoners en ondernemingen. Om die dienstverlening te kunnen realiseren ontwikkelen gemeenten steeds meer naar informatiegedreven organisaties. Het (h)erkennen van die ontwikkeling heeft onder andere als consequentie, dat steeds meer en hogere eisen worden gesteld aan de ICT-inspanningen die gemeenten moeten (laten) doen om hun taken moeten realiseren. De basis daarvoor is een goed doordachte en samenhangende visie op inrichting en het gebruik van ICT als integraal element bij de realisatie van de (maatschappelijke) dienstverlening van gemeenten. De ICT-inspanningen van gemeenten zijn in de afgelopen jaren in belang en omvang sterk toegenomen mede door de voortgaande digitalisering. Tegelijkertijd ondergaat de ICT-inspanning mede door de technologische ontwikkeling een ingrijpende metamorfose. Bij de gemeentelijke ICTinspanningen wordt steeds vaker gebruik gemaakt van cloudcomputing 1. Iedere gemeente en gemeentelijk samenwerkingsverband gebruikt verschillende omgevingen, waar gegevens worden verwerkt, opgeslagen en applicaties zijn geïnstalleerd. Een deel van die omgevingen bevindt zich (nog) op locatie (on premise) en een deel draait in de cloud. Er is een tendens naar verdere outsourcing bij gemeenten. Daaronder valt feitelijk ook de migratie van on premise naar cloud. De overgang van on premise geïnstalleerde applicaties en opgeslagen bestanden naar de cloud vraagt om een nieuwe aanpak v.w.b. inrichting, beheer en gebruik van de ICT-diensten. De overgang naar cloudcomputing vraagt ook om een gedegen voorbereiding en goed uitgewerkte aanpak. Daarbij moeten alle relevante aspecten en risico s, die verbonden zijn met een dergelijke migratie, worden geïnventariseerd en uitgewerkt. Dat is de basis voor dit document Cloud-Afspraken. Cloudcomputing Cloudcomputing is een methode voor het distribueren van ICT-dienstverlening. De diensten die zo worden gedistribueerd worden aangeduid als clouddiensten. De toepassing van clouddiensten past in de verschuiving van ICT-maatwerkdiensten naar meer gestandaardiseerde IT-diensten. Inmiddels is, mede door de voortgaande technologische ontwikkeling, een breed scala van clouddiensten voor gemeenten beschikbaar en in gebruik. De ontwikkeling naar cloudcomputing wordt vooral door leveranciers en providers beïnvloed. Daarbij zijn gemeenten afhankelijk van hoe deze leveranciers hun ICT-producten en-diensten aanbieden. Het is van belang dat gemeenten goed geïnformeerd zijn over de ontwikkeling op het gebied van cloudcomputing en zich tijdig voorbereiden op de mogelijke consequenties, die deze ontwikkeling heeft op de ICT-inspanning van de gemeente. Daarbij gaat het niet alleen over functionele en kostentechnische zaken maar ook steeds belangrijker wordende onderwerpen als informatiebeveiliging, privacy en beheer. Mede daarvoor hebben verschillende gemeenten eigen cloud beleid ontwikkeld. In Cloud-Afspraken wordt daarvan zoveel mogelijk gebruik gemaakt. Daarbij 1 Cloudcomputing is een model, dat voorziet in gemakkelijke, vraaggebaseerde netwerktoegang tot een gedeelde pool van configureerbare computer resources (bijvoorbeeld netwerken, servers, opslag, applicaties en services), die snel kunnen worden geïmplementeerd en uitgerold met minimale management inspanning. Bron: UBC VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 7

8 wordt aanvullend gebruik gemaakt van kennis en inzicht vanuit de markt en vanuit andere overheden. Cloudcomputing is een containerbegrip. Onder deze noemer gaat een groot aantal verschijningsvormen, technologieën en werk- en distributievormen schuil. Veel bestaande publicaties gaan nog uit van enkelvoudige clouddiensten, waarbij een specifieke set data wordt verwerkt binnen één dienst. Vooral regelgeving en inkoopvoorwaarden zijn daarop gebaseerd. De werkelijkheid is echter dat enkelvoudige diensten eerder uitzondering dan regel zijn. De combinatie van verschillende clouddiensten, al dan niet (nog) verbonden met on premise diensten, is een vaker voorkomende verschijningsvorm. Beleid en afspraken zouden van die werkelijkheid uit moeten gaan. Dat is ook een van de uitgangspunten bij de uitwerking van Cloud-Afspraken. Cloud-Afspraken Onder de titel Cloud-Afspraken beoogt dit document gemeenten te ondersteunen bij het maken van afspraken met leveranciers ten aanzien van te leveren clouddiensten. De ambitie daarbij is dat de gemeente geholpen wordt om in het verlengde van haar eigen ICT-beleid sluitende afspraken met leveranciers en dienstverleners te maken. In dat opzicht is de scope van Cloud-Afspraken om uiteindelijk tot één uniforme set regels en richtlijnen te komen op basis waarvan concrete afspraken kunnen worden gemaakt en vastgelegd. Het werkingsgebied moet uiteindelijk het hele spectrum van clouddiensten omvatten, onafhankelijk van de daarbij gekozen infrastructuur (zowel internet als besloten netwerken, waaronder Diginetwerk). Cloud-Afspraken gaat uit van de 3 fasen in de levenscyclus van een clouddienst: de verwerving en inkoop, de operationalisering/gebruik en tenslotte de uitfasering/vervanging van de dienst. Voor ieder van deze fasen zijn bestaande (wettelijke) regels en voorschriften van toepassing. Wanneer een gemeente met een leverancier afspraken moet maken dan is zij vrijwel altijd gedwongen om een groot aantal regels en voorschriften te doorlopen alvorens er een passende set afspraken kan worden vastgelegd. Cloud-Afspraken is erop gericht om de verbinding te leggen tussen die verschillende regels en voorschriften, rekening houdend met de eerder genoemde levenscyclus. Het uitgangspunt is daarbij om zo min mogelijk te doubleren met de bestaande regels en voorschriften, maar soms is dat voor het goede begrip onvermijdelijk. Belang van leveranciers en providers Bij de toepassing van Cloud-Afspraken hebben ook leveranciers en providers een duidelijk belang. Niet alleen kan de levering en het beheer van clouddiensten eenduidiger verlopen, ook de vraag naar specifiek maatwerk wordt erdoor beperkt. Bovendien draagt de toepassing van Cloud-Afspraken ertoe bij dat leveranciers hun diensten leveren op een manier die gemeenten in staat stelt te voldoen aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO). Daarbij voorkomt Cloud- Afspraken dat leveranciers worden geconfronteerd met telkens andere eisen en wensen vanuit gemeentelijke opdrachtgevers. Het onderhouden van clouddiensten kan sneller en effectiever worden uitgevoerd en de voorwaarden voor levering en instandhouding zijn gestroomlijnd. Ook op dat punt dragen Cloud-Afspraken bij. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 8

9 1. Cloudcomputing In dit hoofdstuk wordt omschreven wat onder cloudcomputing in het gemeentelijk domein wordt verstaan. Tevens wordt het in dit verband te hanteren begrippenkader in hoofdlijnen uitgewerkt. De basis daarvoor wordt gevormd door het Uniform Begrippenkader Cloudcomputing (UBC) dat momenteel in ontwikkeling is. 1.1 Cloudcomputing in het gemeentelijk domein Cloudcomputing omvat het leveren van computerdiensten (servers, netwerkfuncties, software, opslag en daarmee verwante diensten) doorgaans via internet ( de cloud ). Cloudcomputing kan ervoor zorgen dat gegevens en applicaties gemakkelijker beschikbaar zijn, sneller kunnen worden aangepast en eenvoudiger kunnen worden beheerd. De gebruikte infrastructuur kan efficiënter worden benut en aangepast aan de behoefte van de gebruiker. Dit alles kan bijdragen tot een betere beheersing van de kosten. Onderstaande afbeelding geeft schematisch weer wat onder cloudcomputing wordt verstaan. Bron: Wikipedia Cloudcomputing heeft voor gemeenten impact op het voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) 2 omdat het afnemen van clouddiensten gevolgen heeft voor de plaats waar informatiebeveiligingsmaatregelen worden uitgevoerd en door welke beheerorganisatie dat gebeurt. Als een gemeente gebruik maakt van clouddiensten blijft de gemeente altijd verantwoordelijk voor de juiste beveiliging van haar gegevens en het waarborgen van de privacy. 2 VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 9

10 1.2 Cloudcomputing nader gedefinieerd 3 Cloudcomputing kan worden omschreven in 5 essentiële karakteristieke eigenschappen, 3 zogenaamde dienstverleningsmodellen en 4 zogenaamde verspreidingsmodellen. De 4 karakteristieke eigenschappen van cloudcomputing zijn: On demand selfservice; de clouddienst is (op afstand) te beheren door de gebruiker zelf; brede netwerk toegang; beschikbare capaciteiten en kwaliteiten zijn beschikbaar via standaard faciliteiten en voor een breed scala aan devices; Resource pooling; resources worden gepooled om zo een groot aantal verschillende gebruikers te kunnen bedienen, plaats- en device onafhankelijk; Snelle toegankelijkheid; resources zijn benaderbaar via regulier, algemeen aanvaarde en breed toegepaste webbrowsers en interfaces. Elasticiteit in gebruik; het beheersysteem controleert en optimaliseert automatisch het resourcegebruik (storage, processing, bandbreedte en actieve gebruikers) en verwerkt dit indien overeengekomen op basis van de afspraken die tussen Leverancier en Gemeente zijn overeengekomen; Measured services: overeengekomen diensten zijn voor gemeenten beschikbaar en worden gemonitord met het oog op gebruik van resources, verwachte aanpassingen en verrekening van kosten. De 3 dienstverleningsmodellen van Cloudcomputing zijn: Cloud Infrastructure as a Service (IaaS): IaaS is de meest elementaire categorie cloudcomputingservices. Met IaaS wordt een ITinfrastructuur (servers en virtuele machines (VM's), opslag, netwerken, besturingssystemen) tijdelijk verworven bij een cloudprovider in beginsel op basis van betalen per gebruik. Cloud Software as a Service (SaaS): SaaS is een methode voor de levering van softwaretoepassingen via internet. Dit gebeurt op aanvraag en doorgaans op basis van een abonnement. Met SaaS is een cloudserviceprovider in staat de softwaretoepassingen en de onderliggende infrastructuur te hosten en te beheren, en onderhoudstaken uit te voeren zoals het installeren van software-upgrades en beveiligingspatches. Gebruikers maken verbinding met de toepassing via internet, meestal met een webbrowser op hun telefoon, tablet of pc. Cloud Platform as a Service (PaaS): PaaS (Platform as a Service omvat de levering op aanvraag van een omgeving voor het ontwikkelen, testen, leveren en beheren van softwaretoepassingen. PaaS is primair ontworpen voor ontwikkelaars die eenvoudig en snel mobiele en web-apps willen maken, zonder dat ze zich bezig hoeven te houden met het opzetten of het beheren van de onderliggende infrastructuur van de servers, de opslag, het netwerk en de databases die nodig zijn voor de ontwikkeling van deze toepassingen. 3 Bron: NIST Publication , 2011 VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 10

11 Bij cloudcomputing worden 4 zogenaamde verspreidingsmodellen onderscheiden: Private cloud. De cloud infrastructuur wordt exclusief beschikbaar gesteld voor gebruik door één enkele Gemeente of organisatie, die eventueel kan bestaan uit meerdere gebruikers (zoals business units). Een private cloud kan in eigendom zijn, gemanaged en beheerd door de Gemeente of organisatie, een derde partij of combinatie en zijn geïnstalleerd on of off premise. Community cloud. De cloud infrastructuur wordt beschikbaar gesteld voor exclusief gebruik door een specifieke groep of community van gebruikers van organisaties die dezelfde belangen, overwegingen of doelstellingen hebben (zoals missie, beveiligingseisen, beleid en/of overwegingen m.b.t. standaardisatie en compliance). Een community cloud kan in eigendom zijn, gemanaged en beheerd door een of meer organisaties die deel uitmaken van de community, een derde partij of combinatie en zijn geïnstalleerd on of off premise. Public cloud. De cloud infrastructuur wordt beschikbaar gesteld voor open gebruik door het publiek, door een specifieke groep of community van gebruikers van organisaties die dezelfde belangen, overwegingen of doelstellingen hebben (zoals missie, beveiligingseisen, beleid en/of overwegingen m.b.t. standaardisatie en compliance). Een public cloud kan in eigendom zijn, gemanaged en beheerd door een commerciële organisatie, een kennisinstelling, overheidsorganisatie of combinatie van twee of meer van deze organisaties. De public cloud is geïnstalleerd on premise bij de cloud provider. Hybrid cloud. De cloud infrastructuur bestaat uit een samenstelling van twee of meer onderscheiden cloud infrastructuren (private, community, or public) die ieder voor zich hun unieke entiteit behouden, en die met elkaar zijn verbonden door middel van standaard of maatwerk technologie die data en applicatie portabiliteit mogelijk maakt (Bijvoorbeeld cloud bursting 4 in het kader van load balancing tussen cloud omgevingen). 1.3 Het onderscheid tussen Cloud Computing en de klassieke IToutsourcing Bij outsourcing worden werk-, productie- en bedrijfsprocessen van een organisatie geheel of gedeeltelijk overgebracht naar een externe dienstverlener. Vrijwel iedere gemeente heeft wel te maken met een of andere vorm van outsourcing. De klassieke vorm van IT-outsourcing vormt tegenwoordig een integraal onderdeel van het organisatiebeleid. Meestal wordt gekozen voor een aanpak waarbij een volledig deel van de gecontracteerde infrastructuur wordt gerealiseerd voor één specifieke klant, de zogenaamde Single Tenant Architecture, ook wanneer de betreffende leverancier meerdere andere klanten heeft. Een volgend kenmerk is dat outsourcingscontracten vaak een relatief lange looptijd hebben. Clouddiensten vertonen verschillende overeenkomsten met outsourcing van IT-dienstverlening, maar er is ook een aantal kenmerken die duidelijk verschillen van de klassieke outsourcing. De belangrijkste verschillen zijn: Gebruikers van clouddiensten maken in een cloud gebruik van een gemeenschappelijke infrastructuur die door meerdere klanten wordt gebruikt. 4 Zie ook: VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 11

12 Clouddiensten zijn dynamisch en bieden de mogelijkheid om in relatief korte tijd op te schalen of terug te schalen, afhankelijk van het vereiste gebruik. Op die manier kan de dienstverlening per klant telkens op maat worden geleverd. Het aanroepen of ontsluiten van een clouddienst kan doorgaans met een reguliere webbrowser worden gerealiseerd door de eindgebruiker zelf. Dat biedt ook de mogelijkheid om de aard en omvang van de dienstverlening door de gebruiker zelf te laten inrichten op basis van zijn/haar specifieke behoefte. Voorts biedt cloudcomputing de mogelijkheid om de IT-dienstverlening plaats onafhankelijk op een dynamische en tegelijk kosteneffectieve manier beschikbaar te maken. Het beheer en de administratie van gebruikte dienstverlening en resources kan eveneens via een reguliere webinterface plaatsvinden, waarbij doorgaans geen of weinig interacties met de provider of leverancier nodig is. 1.4 Cloudcomputing en Cloud-Afspraken Cloud-Afspraken bestrijkt in zijn finale vorm het gehele spectrum van cloudcomputing. De implementatie van Cloud-Afspraken zal in fasen verlopen. In eerste instantie is de scope van Cloud- Afspraken beperkt tot clouddiensten, die worden geleverd als SaaS diensten. In een later stadium zal de scope worden vergroot naar PaaS en IaaS en daarmee verwante clouddiensten. De toepassing van Cloud-Afspraken wordt op continue basis geëvalueerd. De uitkomst van deze evaluatie kan ertoe leiden dat de opzet en samenstelling van de Cloud-Afspraken tussentijds wordt aangepast. Daartoe wordt een nog nader te definiëren governance structuur voorzien, die zorg draagt voor een verantwoorde en transparante uitvoering van evaluatie en daarvan af te leiden eventuele aanpassingen. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 12

13 2. Cloud-Afspraken In dit hoofdstuk worden de spelregels en voorwaarden beschreven die van toepassing zijn op aanbieders en gebruikers van clouddiensten in het gemeentelijk domein. 2.1 Inleiding Om gemeenten blijvend veilig en betrouwbaar te laten functioneren, gegeven de eerder beschreven ontwikkeling van cloudcomputing, zijn aanvullende spelregels en afspraken onontbeerlijk. Deze spelregels en afspraken zijn gebaseerd op bestaande en in veel gevallen verplichte regelgeving en standaarden en worden samengevat onder de noemer Cloud-Afspraken. Cloud-Afspraken heeft betrekking op clouddiensten. De Cloud-Afspraken beschrijven zo eenduidig en transparant mogelijk de gehanteerde begrippen. Voorts verwijzen ze naar de van toepassing zijnde regelgeving en vertalen ze deze in concrete toetsbare normen en voorwaarden. En tenslotte ondersteunen ze gemeenten en leveranciers bij het operationaliseren van de spelregels en voorwaarden bij verwerving en inkoop van diensten en faciliteiten. De Cloud-Afspraken omvatten een nadere detaillering en verbijzondering van de meer algemene en raamwerkafspraken zoals o.a. verwoord in de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). In onderstaand overzicht is de positionering van Cloud-Afspraken ten opzichte van vergelijkbare overeenkomsten en afspraken weergegeven. 2.2 Doelstelling Cloud-Afspraken draagt bij aan de realisatie van de volgende doelen: De toepassing van regels en voorwaarden 5, die worden gehanteerd door gemeenten en gemeentelijke samenwerkingsverbanden, die clouddiensten afnemen van externe leveranciers en/of providers, Ondersteunen van gemeenten bij het voldoen aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO). Daarvoor wordt een toetsingskader gehanteerd op basis waarvan objectief kan worden vastgesteld of een leverancier en de door hem aangeboden clouddienst(en) bijdragen tot de BIO compliance van de gemeente die deze dienst afneemt, Het ondersteunen van gemeenten en gemeentelijke samenwerkingsverbanden m.b.t. het hanteren van een eenduidig begrippenkader t.a.v. de toepassing van cloudcomputing, Het vaststellen van standaarden en de toepassing daarvan, Het ontwikkelen en toepassen van uniforme aansluitmodellen, De positionering en toepassing van GGI-Netwerk en GGI-Veilig bij de hierboven genoemde doelen. 5 Dit betreft de voorwaarden m.b.t. compliance t.a.v. (verplichte) standaarden, beveiliging(srichtlijnen), privacy eisen, geschiktheids- en betrouwbaarheidseisen te stellen aan de leverancier, te hanteren kwaliteitsstandaarden VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 13

14 2.3 De scope en ontwikkeling De invoering en ontwikkeling van Cloud-Afspraken zal geleidelijk plaatsvinden. Veel clouddiensten zijn al operationeel en worden ontsloten op basis van daarvoor geldende afspraken tussen gemeenten en leveranciers. Deze bestaande afspraken worden vooralsnog niet geraakt door Cloud- Afspraken. Bij nieuw te verwerven en te implementeren clouddiensten is het de bedoeling dat gemeenten Cloud-Afspraken als uitgangspunt nemen. Het werkingsgebied van Cloud-Afspraken omvat alle clouddiensten, onafhankelijk via welke infrastructuur (internet, besloten netwerken) ze worden gedistribueerd of ontsloten. 2.4 Positionering De overheid gebruikt Diginetwerk voor de beveiligde onderlinge uitwisseling van gegevens. Diginetwerk is een afsprakenstelsel voor het koppelen van besloten netwerken van de overheid. Door het besloten karakter is Diginetwerk een veiliger alternatief dan het open internet voor het uitwisselen van gegevens tussen overheidsorganisaties.. Diginetwerk zorgt ervoor dat de aangesloten organisaties via één koppeling met elkaar gegevens kunnen uitwisselen. Gemeenten maken steeds meer gebruik van de clouddiensten van (commerciële) leveranciers. Door gebruik te maken van Diginetwerk wordt het eenvoudiger om clouddiensten op een veilige manier te ontsluiten en een veilige verbinding te realiseren tussen gemeente, leverancier en andere op Diginetwerk aangesloten informatie-aanbieders. Gemeenten hebben met elkaar afgesproken om een eigen besloten netwerk te realiseren: GGI- Netwerk. Dat (gemeentelijk) koppelnetwerk maakt deel uit van het Diginetwerk via het zogenaamde Koppelpunt Publieke Sector (KPS). Binnen het GGI-Netwerk worden tevens specifieke diensten t.b.v. gemeenten ontplooid. Een van die diensten is GGI-Veilig. GGI-Veilig biedt gemeenten een portfolio van producten en diensten om hun digitale weerbaarheid te verhogen. Daarnaast biedt GGI-Veilig extra beveiliging voor alle diensten die via GGI-Netwerk ontsloten worden. 2.5 Afspraken Cloud-Afspraken omvat de voorwaarden en spelregels die van toepassing zijn op gebruikers en aanbieders van clouddiensten. Daarbij komen de volgende onderwerpen aan bod: Algemene regels en voorwaarden Continuïteit dienstverlening Beveiliging en vertrouwelijkheid van gegevens Leveranciersmanagement Interoperabiliteit van diensten en portabiliteit van data Logging en monitoring Auditing en verantwoording VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 14

15 Deze onderwerpen vormen primair een op cloudcomputing gerichte samenvatting van de meer generieke regels en voorwaarden zoals vermeld in o.a. GIBIT, de Handreiking Impact Cloudcomputing van de IBD 6, de BIO 7 en de Handleiding ENSIA 8 en geven daarnaast op onderdelen een nadere detaillering van deze regels en voorwaarden Algemeen De volgende algemene regels en voorwaarden zijn van toepassing: Het uitgangspunt bij de toepassing van Cloud-Afspraken is lifecycle management. Dit houdt in dat de afspraken betrekking hebben op de verwerving, het operationeel gebruik en de eventuele uitfasering of vervangen van de betreffende clouddienst. De van toepassing zijnde regels en voorwaarden uit Cloud-Afspraken worden vastgelegd in een overeenkomst, die is gebaseerd op GIBIT en de daarbij behorende, van toepassing zijnde Gemeentelijke ICT-Kwaliteitsnormen en indien aan de orde in een standaard verwerkersovereenkomst. Voor het beheer van de door de leverancier(s) beschikbaar gestelde clouddienst, wordt een Servicelevel agreement en eventueel een onderhoudsovereenkomst opgesteld, die voldoet aan de eisen die ter zake door de BIO worden gesteld. Voor de uitfasering of vervanging van een clouddienst zijn de daarvoor van toepassing zijnde (exit) bepalingen van GIBIT van toepassing, tenzij anders overeen gekomen Continuïteit dienstverlening 9 Voor de continuïteit van dienstverlening zijn gemeenten bij toepassing van clouddiensten vrijwel volledig afhankelijk van de maatregelen die de leverancier in dit verband heeft genomen. Daarvoor gelden de volgende minimale regels en voorwaarden: De leverancier treft maatregelen, die ervoor zorgen dat de aangeboden clouddienst is voorzien van voldoende redundantie voor wat betreft beschikbaarheid, levering en onderhoud. Dit houdt ook in dat eventueel herstel van data en clouddiensten is gefaciliteerd met infrastructuur en (ondersteunende) IT-diensten, die robuust en redundant zijn uitgevoerd en die periodiek en aantoonbaar worden getest. De leverancier treft maatregelen die ervoor zorgen dat gearchiveerde data en de op basis daarvan via de clouddienst gegenereerde documenten gedurende de overeengekomen bewaartermijn, technologie onafhankelijk, onveranderbaar, integer en raadpleegbaar worden opgeslagen en op aanwijzing van de gemeente/eigenaar van de data/eigenaar van de documenten worden vernietigd, dan wel overgedragen aan de betrokken eigenaar. De leverancier heeft een beveiligingsfunctie benoemd en een beveiligingsorganisatie ingericht, waarin de organisatorische positie, taken, verantwoordelijkheden en bevoegdheden van de betrokken functionarissen en de rapportagelijnen zijn vastgelegd. 6 Zie : 7 Zie : 8 Zie : 9 Zie ook: VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 15

16 2.5.4 Beveiliging en vertrouwelijkheid van gegevens Voor de beveiliging en vertrouwelijkheid van gemeentelijke gegevens die worden gebruikt of verwerkt door middel van clouddiensten is een groot aantal voorschriften en handreikingen van toepassing. Deels in aanvulling en deels refererend aan deze voorschriften en handreikingen gelden de volgende meer gedetailleerde regels en voorwaarden bij clouddiensten: Wanneer een leverancier clouddiensten levert aan een gemeente, dan blijft de gemeente altijd verantwoordelijk voor de juiste beveiliging van haar gegevens en het waarborgen van de privacy. Daartoe kan zij in voorkomend geval, al dan niet in aanvulling op de standaard leveringsvoorwaarden van de leverancier, aanvullende eisen stellen. De leverancier volgt de veiligheidseisen die de gemeenten stelt. Dit houdt onder meer in dat hij zorgdraagt dat de gegevens van de gemeente tijdens transport, bewerking en opslag duurzaam zijn geïsoleerd van beheerfuncties en data van andere dienstverlening aan andere gemeenten/ opdrachtgevers, die de leverancier in beheer heeft. De koppelvlakken in de keten van de gemeente naar de leverancier behoren te worden bewaakt en beheerst om de risico s van beveiligingsincidenten te beperken. De verantwoordelijkheid daarvoor ligt bij de gemeente als opdrachtgever. De door de leverancier gebruikte cloudinfrastructuur is zo ingericht, dat de dienstverlening aan gebruikers van informatiediensten, afkomstig uit verschillende organisaties, gescheiden is. Gebruikers kunnen alleen toegang krijgen tot de IT-diensten en data waarvoor zij specifiek geautoriseerd zijn. Gevoelige gegevens worden conform het overeengekomen beleid (o.a. vanuit de BIO en andere relevante (overheids)regelgeving) inzake cryptografische maatregelen, tijdens transport via netwerken en opslag bij de leverancier versleuteld. Bij multi-tenancy worden de data van de gemeente binnen clouddiensten, die door meerdere gemeenten worden afgenomen, versleuteld en gescheiden verwerkt op gehardende (virtuele) machines. Bij eventuele inbreuken op de veiligheid draagt de leverancier er zorg voor dat een ter zake deskundige en gemandateerde functionaris bereikbaar is op 24/7 basis 10. In het geval van een incident bij de leverancier van een clouddienst, waarbij er mogelijk invloed/aantasting kan zijn op de dienstverlening en/of de data van de gemeentelijke organisatie, dient de leverancier dit per direct aan de gemeente te melden. Het bedenken en realiseren van de structurele mitigerende maatregelen ter voorkoming resp. oplossing van incidenten blijft te allen tijde de verantwoordelijkheid van de leverancier van de clouddienst. Acute acties om het incident zo snel mogelijk te stoppen kunnen direct door de leverancier genomen worden, maar dienen daarna wel gemeld te worden aan de gemeente die als afnemer optreedt Leveranciersmanagement Eén van de effecten van cloudcomputing is, dat de door de leverancier aangeboden clouddiensten een generiek karakter hebben, dat wil zeggen dat de dienst in beginsel uniform voor meerdere opdrachtgevers (gemeenten) wordt toegepast. Daarmee wordt enerzijds de efficiency en effectiviteit 10 Van belang is dat bij veiligheidsincidenten altijd een contactpersoon met voldoende bevoegdheden aanspreekbaar is. Het staat de leverancier vrij om te bepalen welke functionaris dat is. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 16

17 vergroot en anderzijds het beheer en de instandhouding vereenvoudigd. In dit verband moet echter gewaakt worden voor het (ongewild) ontstaan van een zogenaamde vendor lock-in. Om dit te voorkomen gelden de volgende regels en voorwaarden, verbijzonderd vanuit de GIBIT: Eventuele generieke leverings- en ondersteuningsvoorwaarden van de leverancier kunnen slechts worden toegepast indien deze in voldoende mate voldoen aan de eisen die de gemeente als afnemer stelt. In voorkomend geval kan dit betekenen dat aanvullende voorwaarden moeten worden afgesproken. De overeenkomst, die tussen de leverancier en de gemeente wordt gesloten bevat bepalingen (exit strategie) op basis waarvan de gemeente, met inachtneming van de overeengekomen contractvoorwaarden, te allen tijde, zonder problemen en nadere kosten de verbintenis met de leverancier kan beëindigen. Daarbij worden alle door of namens de gemeente ter beschikking gestelde gegevens (zowel basis- als metagegevens), direct en zonder voorbehoud in een tussen leverancier en gemeente vooraf overeengekomen formaat ter beschikking gesteld. De leverancier voorziet de gemeente van een systeembeschrijving waarin de aangeboden clouddienst inzichtelijk en transparant wordt gespecificeerd en waarbij de van toepassing zijnde jurisdictie, onderzoeksmogelijkheden en certificaten desgewenst worden overlegd. De leverancier heeft een actuele architectuur van de clouddiensten vastgelegd, waaruit de onderlinge samenhang en de afhankelijkheden van de IT-functionaliteiten die deel uitmaken van de clouddienst duidelijk wordt. De leverancier past aantoonbaar relevante, nationale en internationale standaarden (waaronder in ieder geval de standaarden op de zogenaamde Pas-toe-of-leg-uit-lijst) toe voor de opzet en exploitatie van de diensten en de interactie met de gemeente Interoperabiliteit van diensten en portabiliteit van data Voor een effectieve en betrouwbare werking van clouddiensten in relatie tot andere clouddiensten en on premise diensten, is de interoperabiliteit van de te leveren dienst op basis van geldende standaarden onontbeerlijk. Ook is het van belang dat de gemeente te allen tijde toegang heeft tot haar (al dan niet vertrouwelijke) gegevens en dat zij deze gegevens in andere door haar te bepalen applicaties kan invoeren, verwerken en uitvoeren. Daartoe gelden de volgende nader gedetailleerde regels en voorwaarden: De door de leverancier aangeboden clouddiensten zijn zonder aanvullende maatregelen bruikbaar op verschillende gebruikersomgevingen en kunnen op basis van standaarden verschillende IT-platforms met elkaar verbinden waarbij ongehinderde data overdracht kan plaatsvinden. De gemeente moet als eigenaar van de data de mogelijkheid hebben om op basis van toegekende autorisatie te bepalen welke data met welke andere clouddiensten worden uitgewisseld. De data, die in een door de leverancier aangeboden clouddienst worden verwerkt en/of bewerkt, kunnen zonder aanvullende maatregelen worden overgedragen en uitgewisseld met andere clouddiensten van andere leveranciers (portabiliteit). Beide voorgaande punten gelden nadrukkelijk ook in een situatie waarin sprake is van een multicloud inrichting en/of gegevensuitwisseling met on premise diensten (interoperabiliteit). Bovendien geldt deze regel ook bij zogenaamde meta- en verrijkte data (data die op basis van de oorspronkelijke gegevens zijn gegenereerd). VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 17

18 De Leverancier maakt op verzoek van de gemeente zijn change- en releasebeleid bekend wanneer het product of de dienst, die door hem wordt geleverd/ondersteund, onderdeel is van een keten van andere producten of diensten. In dat geval stemt hij indien noodzakelijk af met andere leveranciers om gegevens blijvend te kunnen uitwisselen met ketenpartners. Wijzigingen mogen slechts worden doorgevoerd indien deze de ketensamenwerking niet negatief beïnvloeden Logging en monitoring Indien de gemeente daarvoor kiest worden de voor de clouddienst gebruikt ICT-componenten gemonitord door middel van daartoe in te richten (security) monitoring- en bewakingssystemen. Voor een adequate werking van deze systemen vormen logging gegevens in veel gevallen de basis. Op grond daarvan gelden de volgende aanvullende regels en voorwaarden: Indien de door de leverancier geleverde clouddienst wordt ontsloten via GGI-Netwerk, dan treft de Leverancier maatregelen waardoor de werking van de SIEM 11 voorziening op GGI-Netwerk kan worden voorzien van actuele en juiste informatie m.b.t. de werking van de betreffende dienst(en), waaronder toegang en gebruik van relevante logging gegevens. Specificaties m.b.t. deze logging zullen in een aparte bijlage bij een te sluiten leveringsovereenkomst worden uitgewerkt. Logbestanden omvatten actuele gegevens, waarin gebeurtenissen met betrekking tot beschikbaarheid van de clouddienst, beschikbaarheid van verbindingen en/of koppelingen, gebruikersactiviteiten. Incidenten met betrekking tot informatiebeveiliging worden geregistreerd en zijn voor de gemeente als opdrachtgever raadpleegbaar. De hiervoor vermelde gegevens dienen te worden aangemaakt en toegankelijk gemaakt voor raadpleging door of namens de gemeente. Deze gegevens dienen adequaat te worden opgeslagen en worden periodiek beoordeeld Auditing en verantwoording De auditing en verantwoording over de beveiligings- en continuïteitsmaatregelen, die de leverancier neemt, dienen te voldoen aan de hiervoor geldende erkende standaarden, zoals NEN-ISO/IEC 27001:2017, NEN-ISO/IEC 27002:2017 en vergelijkbaar 12. De volgende aanvullende regels en voorwaarden zijn van toepassing: De leverancier staat toe, dat in het kader van de verantwoording periodiek audits worden uitgevoerd. Deze audits dienen er voor om de gemeente, die de dienst afneemt, in staat te stellen te voldoen aan de verantwoordingsplicht conform BIO. 11 SIEM= Security Information and Event Management: een proces dat (alle) security gerelateerde informatie en gebeurtenissen in een ICT infrastructuur (logdata) verzamelt, op basis van ingevoerde logica (rulebase) de logdata kan interpreteren en analyseren en op basis van deze analyses meldingen/dreigingen/rapportages kan genereren en noodzakelijke responses kan initiëren of uitvoeren. Voor de specifieke monitoring en response van GGI-Netwerk wordt als onderdeel van de SIEM oplossing een zogenaamde Cloud Access Security Broker ingezet. Zie ook: 12 De leverancier hoeft niet te beschikken over een ISO certificaat maar dient wel in voorkomen geval te kunnen aantonen dat hij overeenkomstig de ISO eisen handelt. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 18

19 Er wordt naar gestreefd om door middel van certificering en/of verlening van TPM s 13 de uitvoering van deze verantwoordingsactiviteit zoveel mogelijk uniform en collectief te laten plaatsvinden. De afspraken ter zake zullen bilateraal worden vastgelegd in een overeenkomst tussen de Leverancier en de gemeente. De leverancier controleert regelmatig de naleving van de met de gemeenten overeengekomen beveiligingsmaatregelen met betrekking tot de clouddiensten. De naleving hiervan kan worden gecontroleerd door een onafhankelijke partij waarvan het verslag jaarlijks aan de gemeente wordt uitgebracht. Auditing wordt ingericht volgens de Eenduidige Normatiek Single Information Audit (ENSIA). 13 TPM= Third Party Memorandum of derdenverklaring, een door een onafhankelijke auditor uitgegeven verklaring waarin wordt bevestigd dat een bepaalde dienst en haar leverancier voldoen aan de voorgeschreven eisen m.b.t. kwaliteit, beveiliging, continuïteit, betrouwbaarheid en compliance op voorgeschreven standaarden. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 19

20 3. GGI, Samen Organiseren en Common Ground 3.1 Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) De Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) is een veilige, samenhangende digitale infrastructuur die de samenwerking tussen gemeenten onderling en met andere overheden beter veiliger en gemakkelijker maakt. De GGI wordt gerealiseerd op basis van Diginetwerk 14. GGI-Netwerk is het gemeentelijke datanetwerk dat onderdeel is van Diginetwerk en dat kan worden beschouwd als de basis voor een gemeentelijke community cloud. Bij een community cloud wordt gebruik gemaakt van een cloud infrastructuur, die exclusief beschikbaar is voor een specifieke groep of community van gebruikers, die dezelfde belangen, overwegingen of doelstellingen hebben (zoals missie, beveiligingseisen, beleid en/of overwegingen m.b.t. standaardisatie en compliance). Het gebruik van GGI door gemeenten veronderstelt, dat deze hun beleid met betrekking tot cloud strategie en cloudcomputing uitwerken, passend en congruent met de lijn die via GGI wordt ingezet. Leveranciers, die diensten leveren aan gemeenten die op GGI zijn aangesloten, kunnen ervan uitgaan, dat deze gemeenten aan deze voorwaarde voldoen. Het beoogde verloop van de ontwikkeling is in het hierna volgende schema weergegeven. 14 Diginetwerk is een afsprakenstelsel voor het koppelen van besloten netwerken van de overheid. Via deze gekoppelde netwerken kunnen overheidsorganisaties onderling gegevens uitwisselen. Door het besloten karakter is Diginetwerk een veiliger alternatief dan het open internet voor het uitwisselen van gegevens tussen overheidsorganisaties. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 20

21 GGI-Netwerk is binnen de GGI een op Diginetwerk gebaseerd koppelnetwerk dat uitsluitend voor gemeenten en gemeentelijke samenwerkingsverbanden beschikbaar is. Via het afsprakenstelsel Diginetwerk zijn landelijke voorzieningen en (basis)registraties van de overheid én applicatiediensten van commerciële partijen voor de aangesloten gemeenten beschikbaar. Binnen de infrastructuur zijn diverse voorzieningen opgenomen, te beginnen met operationele informatiebeveiliging. Cloud-Afspraken zijn van toepassing op de leveranciers die clouddiensten leveren aan gemeenten. Zoals eerder aangegeven is het uiteindelijke werkingsgebied van Cloud-Afspraken alle infrastructuur waarover leveranciers clouddiensten aan gemeenten aanbieden. De GGI valt binnen dit werkingsgebied. 3.2 Samen Organiseren Gemeenten delen steeds meer informatie, niet alleen met inwoners en ondernemingen, maar ook met andere overheden en collega-organisaties. Daarbij moet worden voldaan aan eisen met betrekking tot informatiebeveiliging en privacy, maar ook met betrekking tot beschikbaarheid, tijdigheid en juistheid. De diversiteit van diensten en leveranciers, die hierbij betrokken zijn, maakt het beheer en verder ontwikkelen van de ICT-inspanning van de gemeente tot een forse uitdaging. Om meer grip te krijgen op deze situatie is inmiddels een aantal initiatieven genomen. Zo is op initiatief van een aantal gemeenten de beweging Samen Organiseren ontstaan. Deze beweging beoogt om ICT-diensten, die door of op initiatief van gemeenten zijn ontwikkeld, op een laagdrempelige manier landelijk te delen en toe te passen. Onder de vlag van Samen Organiseren is de beweging Common Ground op gang gekomen. De ontwikkeling van de GGI sluit aan op de beweging van Samen Organiseren en de daarbinnen lopende ontwikkeling van Common Ground. In de praktijk betekent dit dat van gemeenten wordt verwacht dat zij de principes van Common Ground toepassen en met hun Leveranciers ten uitvoer brengen. In dit verband zijn inmiddels afspraken gemaakt over de samenwerking tussen gemeenten en leveranciers, o.a. in het kader van het Groeipact Common Ground. 3.3 Common Ground De ontwikkeling van Common Ground is er onder andere op gericht om een hervorming van de gemeentelijke informatievoorziening te realiseren. Dat gebeurt bijvoorbeeld door op een andere manier om te gaan met (de uitwisseling van) gegevens. Daarbij is het principe, dat gegevens worden losgekoppeld van werkprocessen en bewerkingen. Bovendien wordt er naar gestreefd om gegevens op te vragen bij de bron, in plaats van ze veelvuldig te repliceren en op te slaan. Deze herschikking van de informatievoorziening bij gemeenten is ingrijpend, maar leidt er toe dat de dienstverlening en de bedrijfsvoering van de gemeente kunnen worden verbeterd en versneld. Bij de realisatie van de gemeentelijke ICT-inspanning speelt de ICT-infrastructuur een belangrijke rol. De overgang naar clouddiensten heeft ook effect op de ICT-infrastructuur van gemeenten: er zijn veel verschillende diensten, geleverd en beheerd door een breed scala aan leveranciers en providers, ieder met onderscheiden visies en belangen. Waar Common Ground vooral is gericht op het ontsluiten en be- en verwerken van gegevens levert GGI daarvoor een passende ICT-infrastructuur. Daarbij geldt het principe dat vertrouwelijke gegevens uitsluitend over een beveiligde infrastructuur, bij voorkeur gebaseerd op Diginetwerk, zouden moeten worden uitgewisseld. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 21

22 Vanuit de optiek van de gemeente hebben Common Ground en GGI vergelijkbare en ten opzichte van elkaar complementaire doelstellingen: Het eerste doel is het reduceren van de complexiteit en daarmee het versterken van het management en beheer van de gemeentelijke ICT-inspanningen. Het tweede doel is het verbeteren en versnellen van de gegevensuitwisseling tussen gemeenten onderling, met ander overheden, maar ook met inwoners en ondernemingen. Het derde doel is om de balans in de relatie tussen gemeenten en marktpartijen bij de realisatie en ontwikkeling van de gemeentelijke ICT-inspanningen te verbeteren. Op deze manier ontstaan nieuwe kansen en mogelijkheden voor een verantwoorde en veilige ICTinfrastructuur, effectievere (ICT-)bedrijfsvoering, snellere verbetering en vernieuwing van werkprocessen en de daarmee verbonden ICT-ondersteuning en vermindering van de complexiteit van de ICT-inspanning van gemeenten. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 22

23 4. Kwaliteitsbewaking, Compliancy en Verantwoording In dit hoofdstuk wordt beschreven hoe de kwaliteit van de te leveren producten en diensten wordt bewaakt, hoe zeker wordt gesteld dat de levering, het gebruik en het onderhoud van deze producten en diensten in overeenstemming is met de geldende wet- en regelgeving. Belangrijk aandachtspunt is daarbij de compliance ten opzichte van de BIO met inbegrip van de daarbij behorende verantwoording. 4.1 Kwaliteitsbewaking Met alle voordelen die de toepassing van clouddiensten biedt, is er ook een aantal aandachtspunten die vanuit de optiek van de gemeente als afnemer van de clouddiensten, bijzondere aandacht vereisen. Hierbij speelt het feit dat veel activiteiten in het kader van verworven clouddiensten, buiten zicht van de gemeente plaatsvinden. Bovendien worden data in vrijwel alle gevallen bij externe partijen opgeslagen, hetgeen eveneens vraagt om concrete afspraken. De bewaking van de kwaliteit van de te leveren diensten is een primaire verantwoordelijkheid van de gemeente in samenspraak met de betrokken leverancier. De basis daarvoor wordt gelegd in algemene overeenkomsten die worden gesloten op basis van GIBIT en in de standaard VWO. Bij deze overeenkomsten worden tevens kwaliteitsvoorwaarden vastgelegd aan de hand waarvan de gemeente kan controleren of de leverancier zijn verplichtingen nakomt en de leverancier kan vaststellen aan welke eisen met betrekking tot kwaliteit de te leveren clouddiensten moet voldoen. 4.2 Rolverdeling gemeente, leverancier, VNG Realisatie Afspraken met betrekking tot beschikbaarheid, betrouwbaarheid en veiligheid van via cloudcomputing ontsloten producten en diensten, worden primair gemaakt tussen de betrokken gemeente en leverancier. VNG Realisatie kan op verzoek van de gemeenten daarvoor kaders opstellen, waarbinnen gemeenten en leveranciers detailafspraken maken [vergelijk: GIBIT en Gemeentelijke ICT Kwaliteitsnormen]. De verantwoordelijkheid voor de naleving van de gemaakte afspraken ligt primair bij de gemeenten en leveranciers. De feitelijke afspraken en de vastlegging daarvan is een verantwoordelijkheid van gemeenten en leveranciers. 4.3 Toetsing Gemeenten zijn gehouden om periodiek verantwoording af te leggen over de door hen bij leveranciers afgenomen producten en diensten. Dat geldt ook voor de clouddiensten, die van externe leveranciers worden betrokken. Het streven is om de toetsing van Cloud-Afspraken zo te organiseren, dat de uitvoering ervan enerzijds voldoet aan de wettelijke eisen en voorwaarden en anderzijds de belasting voor zowel de gemeenten als de leverancier tot een verantwoord minimum wordt beperkt. Dat kan worden gerealiseerd met een toetsingskader dat integraal deel uitmaakt van de Cloud-Afspraken en past binnen de ENSIA-systematiek. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 23

24 4.4 Gebruik toetsingskader De toetsing of een clouddienst voldoet aan de Cloud-Afspraken wordt in eerste aanleg via een zelfevaluatie uitgevoerd door de leverancier. Vervolgens kan een objectieve toetsing door een nader aan te wijzen instantie/functionaris worden uitgevoerd. Die verleent op basis van een positief toetsingsresultaat een Third Party Mededeling (TPM) aan de betreffende leverancier voor de aangeboden clouddienst. Voor de toetsing wordt gebruik gemaakt van een specifiek toetsingskader dat door VNG Realisatie wordt gepubliceerd. 4.5 Toetsingskader Het toetsingskader voor Cloud-Afspraken gaat uit van een initiële set toetsingscriteria, die tijdens het gebruik zullen worden geëvalueerd. Op basis van de resultaten van de evaluatie kan de set toetsingscriteria worden aangepast. De basis voor het toetsingskader wordt gevormd door de cloud definities van NIST, de GEMMA Referentiearchitectuur 15 (Referentiecomponenten), de Gemeentelijke ICT-kwaliteitsnormen Deze elementen worden hierna op hoofdlijnen uitgewerkt Nadere uitwerking toetsingskader Bij de toepassing van de criteria volgens de BIO en AVG wordt uitgegaan van de uitwerking die daarvoor door de IBD wordt gehanteerd. In het toetsingskader komen de volgende aspecten aan de orde: Compliance met bestaande wet- en regelgeving Beschikbaarheid Integriteit Vertrouwelijkheid Privacy Per aspect wordt vanaf de eerste implementatiefase van Cloud-Afspraken gewerkt met een beperkte set meetpunten. De bijbehorende meetpunten worden in overleg met de IBD geselecteerd en gepubliceerd door VNG Realisatie (meetpunten staan al in de GAP analyse BIO). De meetpunten zijn gegroepeerd uit de GAP analyse BIO en het Borgingsdocument gegevensbescherming 18 : Privacy Informatiebeveiligingsbeleid Organisatie van informatiebeveiliging Veilig personeel Beheer van bedrijfsmiddelen Toegangsbeveiliging Cryptografie 15 Bron: 16 Bron: 17 Bron: en 18 Zie : VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 24

25 Fysieke beveiliging en beveiliging van de omgeving Beveiliging bedrijfsvoering Communicatiebeveiliging Acquisitie, ontwikkeling en onderhoud van informatiesystemen Leverancier relaties (indien aan de orde) Beheer van informatiebeveiligingsincidenten Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Naleving Daarnaast worden op basis van het Borgingsdocument gegevensbescherming criteria ten aanzien van Privacy toegevoegd. In bijlage 2 is de eerste set meetpunten voor het toetsingskader uitgewerkt. Deze set zal periodiek worden geëvalueerd en indien noodzakelijk aangepast en dient als basis voor onafhankelijke auditors om zogenaamde TPM s af te geven aan leveranciers, die clouddiensten aanbieden aan gemeenten Nadere uitwerking Gemeentelijke kwaliteitsnormen Voor wat betreft de Gemeentelijke ICT-kwaliteitsnormen wordt uitgegaan van het annex bij de GIBIT, met mogelijk een aantal cloud-gerelateerde nadere uitwerkingen. De Gemeentelijke ICTkwaliteitsnormen zijn een bijlage op de GIBIT en bevatten een gebundelde verzameling van normen en standaarden voor ICT-producten en -diensten. In de uitgave van 2020 worden geen specifiek cloud gerelateerde kwaliteitsnormen beschreven. Dit betekent dat aanvullend op de algemene normen die gelden op basis van GIBIT, waar nodig aanvullende kwaliteitsnormen dienen te worden benoemd met betrekking tot de levering, het onderhoud en de instandhouding van clouddiensten. In onderstaande opsomming is, op basis van het document Gemeentelijke ICT-kwaliteitsnormen per norm de specifieke cloud-aanvulling vermeld. Architectuur: o zie actuele ICT-kwaliteitsnormen o per clouddienst benoemen welke GEMMA referentiecomponent wordt geraakt door de betreffende clouddienst Interoperabiliteit o zie actuele ICT-kwaliteitsnormen o per clouddienst benoemen aan welke verplichte en/of aanbevolen standaarden compliance geregeld moet zijn Informatiebeveiliging en privacy o zie actuele ICT-kwaliteitsnormen o BIO is van toepassing o Alle data worden tijdens transport, opslag versleuteld op basis van norm/standaard o indien er sprake is van be-, of verwerking van vertrouwelijke persoonsgegevens dan is een zogenaamde verwerkersovereenkomst verplicht. Dit geldt nadrukkelijk ook indien er sprake is van on premise-cloud en cloud-cloud toepassingen. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 25

26 Data portabiliteit: o zie actuele ICT-kwaliteitsnormen o Indien er sprake is van koppeling met andere cloud- en/of on premise applicaties dient aangegeven te worden aan welke standaarden de koppelingen moeten voldoen. Toegankelijkheid: o Europese norm EN van toepassing o Toegankelijkheid is uitsluitend beschikbaar voor daartoe geautoriseerde en bevoegde personen/functionarissen Archivering: o Zie actuele ICT-Kwaliteitsnormen Infrastructuur: o Indien gebruik wordt gemaakt van Diginetwerk: aansluitvoorwaarden Diginetwerk van toepassing o Netwerkverbindingen en -componenten dienen IPv6 compliant te zijn volgende RIPE Documentatie: o Zie actuele ICT-Kwaliteitsnormen 4.6 Begrippenkader Cloudcomputing Bij de verantwoording van de kwaliteit van een clouddienst is het van belang inzicht te hebben in welk soort clouddienst wordt geleverd. Daarbij wordt uitgegaan van de indeling zoals die door NIST 20 is ontwikkeld en door TNO bevestigd. Van een clouddienst wordt als het ware een profiel gemaakt waaruit blijkt welke variant wordt gebruikt: SaaS, PaaS, IaaS, Function as a Service (FaaS) et cetera en in welke mate wordt voldaan aan de specifieke karakteristieken van een clouddienst zoals: on demand selfservice, resource pooling, rapid deployment, et cetera. Door zorg van VNG Realisatie zal een Uniform Begrippenkader Cloudcomputing (UBC) 21 worden uitgewerkt waarin de betekenis en toepassing van de meest gebruikelijke begrippen in het kader van cloudcomputing worden vastgelegd Bron: NIST , NIST , 21 Zie: bron wordt nog toegevoegd zodra UBC is gepubliceerd. VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 26

27 5. Governance en beheer van Cloud- Afspraken In dit hoofdstuk wordt beschreven hoe de governance en het beheer van de Cloud-Afspraken is ingericht. [DIT HOOFDSTUK WORDT LATER IN 2021 NADER UITGEWERKT] VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 27

28 6. Aansluitprofielen en -modellen In dit hoofdstuk worden de verschillende aansluitvoorwaarden en -modellen beschreven, die van toepassing zijn bij de ontsluiting van SaaS diensten. Er wordt naar gestreefd om de ontsluiting van SaaS diensten en producten zoveel mogelijk te laten plaatsvinden via gestandaardiseerde aansluitprofielen. Het gebruik van gestandaardiseerde aansluitprofielen zorgt voor meer transparantie en draagt bij aan het verminderen van de beheerlast, zowel bij de initiële aansluiting als het onderhoud daarvan. In onderstaand diagram zijn de opties die in een aansluitprofiel aan de orde kunnen komen weergegeven. Het is de bedoeling dat voor iedere te ontsluiten SaaS-dienst een aansluitprofiel wordt opgesteld op basis van de hiervoor aangegeven aansluitprofielen. Gemeenten en leveranciers kunnen aan de hand van het aansluitprofiel op hoofdlijnen nagaan welke acties moeten worden ondernomen om een aansluiting te realiseren. In de eerste fase van de realisatie kan het voorkomen dat een SaaS-dienst niet volledig past binnen de bestaande aansluitprofielen. In dat geval zijn er twee mogelijkheden: 1. De dienst wordt binnen een overeen te komen periode zo aangepast dat deze wel past binnen een van de bestaande aansluitprofielen, dan wel 2. Een of meer bestaande aansluitprofielen worden aangepast zodat ook de nieuwe dienst past binnen een van de dan aangepaste aansluitprofielen Indien de eerste situatie zich voordoet, dan zal VNG Realisatie resp. de gemeente, die als opdrachtgever van de dienst fungeert, afspraken maken t.a.v. - Welke afwijkingen t.o.v. bestaande aansluitprofielen aan de orde zijn, VNG-Realisatie Cloud -Afspraken [concept versie 1.62] 28

Vergelijkbare documenten
2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback