Zeker- OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd).

Transcriptie

1 Zeker- OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd). V. 1.0 september 2013

2 Inhoudsopgave 1 Inleiding Doelstelling Kernboodschap De pijlers Inkadering en organisatie Inleiding Organisatie Definities Bijlage Statuten van de Stichting Bijlage Regelement van de Raad van Toezicht Deelnemers Inleiding Voorwaarden voor toelating als Deelnemer Reglement Raad van Deelnemers Aanvraagprocedure deelnemer Bijlagen Aanmeldformulier Deelnemer Stichting Zeker- OnLine Kwaliteitseisen en normenkader Inleiding Het stelsel van kwaliteitseisen Schematische weergave van het stelsel Dienst en applicatie Nader toelichting op het stelsel Verdere ontwikkeling Juridische infrastructuur Wet- en regelgeving Voorwaarden Privacy Gegevens Continuïteit Betrouwbaarheid en beveiliging Betrouwbaarheid en beveiliging Technische infrastructuur: IT- Beheer Planning en organisatie Aanschaf, ontwikkeling en implementatie Dienstaanbod en support Monitoren en evalueren Technische infrastructuur: beveiliging Netwerkbeveiliging Platformbeveiliging Applicatiebeveiliging Sessiebeheer Vertrouwelijkheid en onweerlegbaarheid Monitoring, auditing en alerting Applicatie structuur: generiek Scheiding van administraties Logische toegangsbeveiliging en autorisatiebeheer

3 5.6.3 Kritieke functies Gebruikersondersteuning Integriteit van de administratie Koppeling en integratie met externe systemen Logging en audit trail Rapportages Applicatie structuur: specifiek Financieel basis Auditfile Boeken en verwerken van transacties Overzichten en rapportages Inrichten en afsluiten van boekjaren en periodes Factureren (indien de applicatie een factureermodule heeft) BTW- aangifte Elektronisch bankieren en incasseren (indien de applicatie een desbetreffende module heeft) Audit protocol Inleiding Aanstellen onafhankelijke auditorganisatie/auditor Inkadering opdracht Opdracht aan auditor Werkzaamheden auditor Rapportering auditor Periodiciteit Kosten auditor Bijlage 6.1 Format inkennisstelling Bijlage 6.2 Voorbeeldrapportage cf COS Standaard 3402 type Bijlage 6.3 Format Quick Scan Bijlage 6.4 Voorbeeld format opgave maatregelen en documentatie

4 1 Inleiding Zeker- OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd). Het ontwikkelen van dit keurmerk vindt zijn oorsprong in een initiatief van de Belastingdienst, de aanbieders van online administratieve diensten en het Electronic Commerce Platform Nederland (ECP) om te komen tot een kwaliteitsgarantie voor gebruikers van administratieve dienstverlening. Op basis van dit initiatief zijn kwaliteitseisen gedefinieerd en deze zijn vastgelegd in een normenkader. Genoemde partijen hebben daarbij nauw samengewerkt en zijn ondersteund door een werkgroep van auditors. Dit alles is samengebracht in een juridische structuur, waarbij de Stichting Zeker- OnLine het keurmerk gaat verlenen. Met dit keurmerk wordt bijvoorbeeld zichtbaar welke aanbieders van online administratieve diensten deze diensten zodanig leveren dat wordt voldaan aan belangrijke online security vereisten. De beveiligingsrichtlijnen van het National Cyber Security Center hebben daarin een belangrijke rol gespeeld. Naast veiligheid zijn ook continuïteit, betrouwbaarheid en functionaliteit belangrijke kwaliteitsaspecten. Om in aanmerking te kunnen komen voor het Keurmerk Zeker- OnLine dienen de aanbieders van online administratieve diensten de deelnemers van de Stichting Zeker- OnLine - te voldoen aan hoge kwaliteitseisen die een betrouwbare en continue verwerking van transacties waarborgen. Deze kwaliteitseisen zijn vastgelegd in sectie 5 Kwaliteitseisen en normenkader. Hierbinnen zijn 3 kwaliteitsgebieden te onderscheiden:! Technische infrastructuur (IT Beheer en Beveiliging);! Applicatiestructuur (generieke en specifieke maatregelen in de applicatie);! Juridische infrastructuur; Op basis van de rapportage van een audit wordt vastgesteld of het product van de deelnemer voldoet aan de kwaliteitseisen. In dat geval zal het bestuur van de stichting Zeker- OnLine het keurmerk op de dienst kunnen uitreiken. Alle genoemde aspecten komen hierna uitgebreid aan de orde. Den Haag, 2013 Het bestuur van de Stichting Zeker- OnLine Drs L.F.G. Tuinsma RA, voorzitter W.G.M.A. Reijnders RE RA, secretaris/penningmeester 3

5 2. Doelstelling 2.1 Kernboodschap De doelstelling van het Keurmerk Zeker- OnLine is zekerheid geven aan de markt, zijnde de gebruikers van online administratieve diensten. Het keurmerk staat voor betrouwbaarheid, veiligheid, continuïteit, kwaliteit in functionaliteit en juridische zekerheid. fig. 1 Dat geldt niet alleen voor de applicatie die de administratieve gegevens verwerkt en waaruit financiële informatie voortkomt, maar ook voor het totaalpakket van de dienstverlening door de aanbieder die het keurmerk voor zijn oplossing heeft verworven. De klant mag erop vertrouwen dat hij eigenaar is van zijn gegevens, dat hij voortdurend zelfstandig hierover kan beschikken en dat de administratieve dienstverlening voldoet aan de relevante wet- en regelgeving. 2.2 De pijlers Het keurmerk is gebaseerd op vier pijlers:! de online administratieve dienstverlening zelf,! de samenwerking van de verschillende aanbieders ( community ),! de kwaliteitseisen en het normenkader en! een onafhankelijke en deskundige beoordeling ( audit ). In de eerste plaats is het de kwaliteit van de keurmerkoplossing zelf die het verschil maakt. De oplossing is betrouwbaar, veilig en voortdurend beschikbaar. Daarbij maken de aanbieders gebruik van moderne technologieën om de functionaliteit ten minste mee te laten groeien met de actuele en voorziene marktontwikkelingen. De samenwerking tussen de verschillende aanbieders van keurmerkoplossingen in een community is van belang om voldoende draagvlak binnen de branche te creëren en ook om good practices ten aanzien van de betrouwbaarheid, veiligheid en beschikbaarheid met elkaar te delen. Hier ligt een duidelijk gemeenschappelijk belang, namelijk het aanbieden van een infrastructuur die aan deze criteria tegemoet komt. Een zorgvuldig opgebouwd stelsel van kwaliteitseisen (vastgelegd in een normenkader), waarbij het accent veel meer op de criteria veiligheid, continuïteit en betrouwbaarheid dan op de specifieke functionaliteit is gericht, is daarbij een belangrijke randvoorwaarde. De klant is namelijk over het algemeen goed in staat om een oplossing te kiezen die het beste past bij zijn bedrijf. Functionaliteit en gebruikersvriendelijkheid kan hij zelf wel beoordelen. Ten aanzien van betrouwbaarheid, veiligheid 4

6 en beschikbaarheid ligt dit echter minder voor de hand. Hiervoor is specifieke deskundigheid nodig. [zie verder sectie 5] Daartoe dient ook de vierde pijler: de periodieke audit. De klant moet zeker weten dat een onafhankelijk deskundig auditteam de online administratieve dienstverlening beoordeelt, waarbij het uitvoerende auditteam over relevante ervaring en expertise beschikt op de verschillende gebieden van het normenkader. [zie verder sectie 6] De hoge eisen die het keurmerk stelt aan de online administratieve dienstverlening zelf, de community, de kwaliteitseisen en de audit hebben hun prijs, maar ze zijn ook nodig. De klant moet immers kunnen vertrouwen op de aspecten van veiligheid, kwaliteit, juridische zekerheid en continuïteit; te meer omdat per online oplossing sprake kan zijn van een concentratie van tienduizenden administraties met bedrijfskritische en vertrouwelijke gegevens. Met andere woorden, het keurmerk moet waarmaken wat het beoogt uit te stralen: betrouwbaarheid! 5

7 3. Inkadering en organisatie 3.1 Inleiding Het keurmerk Zeker- OnLine wordt verleend door de Stichting Zeker- OnLine, de eigenaar van het keurmerk. De Stichting maakt onderdeel uit van een organisatiestructuur zoals hierna verder uiteen wordt gezet. 3.2 Organisatie De organisatiestructuur is als volgt weer te geven: fig. 2 Stichting Zeker- OnLine De Stichting Zeker- Online, opgericht 16 april 2013, heeft als doel: 1. het opzetten en beheren van een keurmerk voor administratieve cloudoplossingen; 2. het verrichten van alle verdere handelingen, die met het vorenstaande in de ruimste zin verband houden of daartoe bevorderlijk kunnen zijn. De Stichting heeft een bestuur en is keurmerkeigenaar en keurmerkverlener. De statuten van de Stichting zijn opgenomen in 3.4 Bijlage Statuten van de Stichting De Stichting verleent het keurmerk aan aanbieders van online administratieve diensten (Administratieve cloud oplossingen) op basis van een door de aanbieder gedane aanvraag, waarbij o.a. een rapport van een audit wordt overlegd, waaruit blijkt dat de aanbieder voldoet aan de gestelde kwaliteitseisen. Zie verder hiervoor in sectie 5 (Kwaliteitseisen en normenkader) en sectie 6 (Audit protocol). De aanbieders van online administratieve diensten kunnen zich aanmelden als deelnemer van de Stichting. Zie verder hiervoor sectie 4 (Deelnemers). 6

8 Raad van Toezicht De Stichting Zeker- OnLine heeft een Raad van Toezicht. De Raad van Toezicht is belast met: a. het houden van toezicht en controle op de realisatie van de doelstellingen van de Stichting; b. het houden van toezicht en controle op de ontwikkeling, de compliance en de naleving van de normatiek; c. het houden van toezicht en controle op de bedrijfsvoering van de Stichting en de bestuurders daarvan (waaronder toezicht op eventuele belangenverstrengelingen); d. het formeel vaststellen van de normatiek volgens het voorstel van het bestuur van de Stichting. De RvT bestaat uit 4 leden. Het reglement van de RvT is opgenomen in 7

9 3.5 Bijlage Regelement van de Raad van Toezicht Raad van Deelnemers De Raad van Deelnemers is de vertegenwoordiging van de aanbieders van online administratieve diensten en is een belangrijk adviesorgaan voor de Stichting. De Raad van Deelnemers: a. staat het bestuur van de Stichting gevraagd en ongevraagd met raad terzijde op het terrein van de voorwaarden voor en de prijsstelling van registratie en voorts op die terreinen waar de Raad van Deelnemers zulks wenselijk acht. Zie verder sectie 4 (Deelnemers). b. kan een reglement vaststellen waarin onderwerpen, de Raad van Deelnemers betreffende, worden geregeld. Normcommissie De normcommissie is verantwoordelijk voor het opstellen en actueel houden van het stelsel van kwaliteitseisen, zoals dat is vastgelegd in sectie 5 Kwaliteitseisen en normenkader. De normcommissie bestaat uit vertegenwoordigers van de aanbieders, de Belastingdienst en externe deskundigen op het gebied van IT security en betrouwbaarheid van gegevensverwerking. Het door de normcommissie opgestelde normenkader wordt door de Raad van Toezicht formeel vastgesteld. Werkgroep Auditors De werkgroep auditors is samengesteld uit auditors van deelnemers en de Belastingsdienst en ondersteunt desgevraagd de normcommissie en het stichtingsbestuur en geeft gevraagd en ongevraagd advies op het gebied van de kwaliteitseisen en het normenkader; alsmede op het gebied van de uit te voeren audits. 3.3 Definities Hierna volgen enkele definities van termen die in de volgende hoofdstukken worden gebruikt: a. Audit: Een door een Auditor uitgevoerde toetsing van een Dienst van een Leverancier aan het normenkader uitmondend in een conclusie b. Auditors: De partijen die de toetsingswerkzaamheden op basis van de Normatiek uitvoeren in opdracht van de Deelnemer met als doel te komen tot een advies aan de Stichting op basis waarvan de Stichting kan komen tot een toe- of afwijzing van het Keurmerk. De auditors worden door de Deelnemer geselecteerd op basis van het auditersprotocol van de Stichting. De Directie van de Stichting is bevoegd dit protocol eenzijdig aan te passen. c. Deelnemer: Een natuurlijke of rechtspersoon die handelt in de hoedanigheid van een Leverancier van een Dienst. d. Deelnemersvoorwaarden: Onderhavige voorwaarden. e. Dienst: Administratieve software die webgebaseerd (cloud- based) wordt aangeboden. f. Directie: Het bestuur van de Stichting, bestaande uit één of meerdere natuurlijke personen. Directieleden zijn niet werkzaam bij een aangesloten Deelnemer. g. Gebruiker: De persoon of organisatie die de gebruik maakt van de Dienst. h. Keurmerk: Een uiting in de vorm van een logo welke wordt vermeld bij de Dienst. Het keurmerk geeft aan dat een Dienst voldoet aan een set van eisen (de Normatiek). Een Dienst mag 8

10 uitsluitend van een Keurmerk worden voorzien na toekenning van het Keurmerk door de Stichting overeenkomstig artikel 5. i. Leverancier: Een Deelnemer die de Dienst ter beschikking stelt aan de Gebruiker. j. Normatiek: De normen die beschrijven welke eisen aan de Dienst worden gesteld (Normatiek Zeker Online van september 2013 versie 1.0). k. Raad van Toezicht: Stelt het aantal leden van de Directie vast en benoemt, schorst en ontslaat de leden van de Directie. l. Verantwoording: een financiele weergave uit het grootboek waarmee een gebruiker rekenschap afgeeft aan een derde partij. m. Web based: Software of applicatie die werkt op alleen internet via een internetbrowser. n. Webenabled:Software of applicatie die naast internet ook gebruik moet maken van een harde schijf om te functioneren. o. Website: online.nl 9

11 3.4 Bijlage Statuten van de Stichting Nog in te voegen worden separaat aangeboden tzt op de site. 10

12 3.5 Bijlage Regelement van de Raad van Toezicht Nog in te voegen worden separaat aangeboden tzt op de site. 11

13 4. Deelnemers 4.1 Inleiding Aanbieders van online administratieve diensten kunnen zich aanmelden bij de Stichting Zeker- OnLine, teneinde Deelnemer te worden als voorwaarde om vervolgens een aanvraag voor het Keurmerk te kunnen indienen. De aanbieder dient de aanmeldingsprocedure te doorlopen zoals vermeld in 4.4. De voorwaarden waaronder een aanbieder deelnemer kan worden zijn aangegeven in 4.2. Het deelnemersreglement is opgenomen in Voorwaarden voor toelating als Deelnemer 1 Aanmelding 1.1. Door aanmelding bij de Stichting Zeker- OnLine (in het vervolg Stichting), verklaart u Deelnemer te willen worden van de Stichting. Als Deelnemer van de Stichting dient u aanbieder van een Dienst te zijn Wanneer uw aanmelding is bevestigd door de Stichting en u de deelnemersbijdrage heeft voldaan, ontvangt u de status van Deelnemer. Deze bijdrage is jaarlijks verschuldigd Door aanmelding verklaart Deelnemer dat zij niet zal meewerken aan het leveren van Diensten waarbij gedrag van de Gebruiker wordt bewerkstelligd dat niet overeenstemt met de Deelnemersvoorwaarden en doelstellingen van de Stichting Aanmelding bij de Stichting is niet mogelijk voor aanbieders die onderwerp zijn van onderzoek door de Fiscale Inlichtingen- en Opsporings Dienst (FIOD) of een vergelijkbare organisatie of naar aanleiding van een dergelijk onderzoek worden vervolgd, alsook aanbieders die in het kader van een dergelijk onderzoek in de afgelopen 24 maanden schuldig zijn bevonden aan fraude Na aanmelding en bevestiging daarvan door de Stichting mag Deelnemer aan het publiek kenbaar maken dat zij Deelnemer is van de Stichting. Deelnemer doet dit enkel door de volgende tekst te vermelden (bijvoorbeeld op haar website); NAAM BEDRIJF is deelnemer van de Stichting Zeker- OnLine. Het is Deelnemer, zonder succesvolle voltooiing van een Audit en toekenning van het Keurmerk door de Stichting, nimmer toegestaan het Keurmerk te voeren. 2 Documenten en rangorde 2.1. De Deelnemer verklaart kennis te hebben genomen van en akkoord te zijn met de onderhavige Deelnemersvoorwaarden en de toepasselijke reglementen. Iedere Deelnemer is gehouden de inhoud van deze documenten te onderschrijven en te allen tijde na te leven In het geval van strijd tussen bepalingen uit de bovengenoemde documenten, geldt de volgende rangorde:! Statuten! Reglementen! Deelnemersvoorwaarden 3 Het Keurmerk, aanvraag en toetsing 3.1. Iedere Deelnemer kan een Keurmerk voor de Dienst aanvragen. De procedures voor aanvraag worden bij aanvraag aan deze Deelnemer verstrekt en zijn opgenomen in

14 3.2. Als onderdeel van de uitgifte van het Keurmerk dient er een Audit te worden uitgevoerd conform het audit protocol. Het audit protocol in opgenomen in sectie Indien de Audit succesvol is afgerond, wordt het Keurmerk toegekend. Toekenning van het Keurmerk wil zeggen dat het Keurmerk mag worden gevoerd bij de Diensten waar de aanvraag en de, met een positieve uitkomst afgeronde, Audit(s) betrekking op hebben Indien de Audit uitwijst dat de Dienst niet aan de kwaliteitseisen voldoet, zal Deelnemer de Dienst niet mogen voorzien van het Keurmerk Alle geldelijke- en tijdsinspanningen die met het deelnemerschap gemoeid zijn komen voor rekening van Deelnemer Indien Deelnemer willens en wetens onjuiste informatie aan de Auditors en/of de Stichting verstrekt en de onjuiste informatie ertoe leidt dat het Keurmerk ten onrechte wordt toegekend, is de Deelnemer zonder sommatie of ingebrekestelling een onmiddellijk opeisbare boete aan de Stichting verschuldigd van EUR 5.000,-. Indien de daadwerkelijke schade groter is dan het bedrag van de boete, kan de Stichting ook kiezen om volledige schadevergoeding te vorderen. 4 Gebruik Keurmerk 4.1. De namen en beeldmerken van de Stichting en het Keurmerk zijn (intellectueel) eigendom van de Stichting en mogen niet worden gevoerd zonder dat Deelnemer een bevestiging van het deelnemerschap en de toekenning van het Keurmerk van de Stichting heeft ontvangen Deelnemers die het Keurmerk hebben ontvangen, mogen het logo van het Keurmerk op de Dienst, de productpagina van de Dienst op hun website voeren en in reclame- uitingen van de betreffende Dienst meenemen. Indien alle Diensten van Deelnemer zijn voorzien van een Keurmerk is het Deelnemer tevens toegestaan om het Keurmerk op de hoofdpagina van zijn website te vermelden en mee te nemen in alle reclame- uitingen. Deelnemers dienen het logo op een website te linken naar de Website van de Stichting. De specifieke URL zal in de toekenningsbevestiging van het Keurmerk worden vermeld Het beeldmerk van het Keurmerk mag enkel worden gebruikt zoals ze in de toekenningsbevestiging staan afgebeeld. Gemodificeerde versies zijn niet toegestaan, tenzij met schriftelijke uitdrukkelijke instemming van de Directie. Het is wel toegestaan de beeldmerken als onderdeel van een groter geheel op te nemen, mits de afbeelding op zichzelf ongewijzigd blijft Onjuist of onterecht gebruik van het Keurmerk dient direct te worden gestaakt bij een verzoek vanuit de Stichting hierom. Indien de Deelnemer niet binnen een redelijke termijn aan het verzoek voldoet, kan de Stichting het gebruik van het Keurmerk intrekken of opschorten Indien Deelnemer willens en wetens een beeldmerk van de Stichting voert zonder daartoe gerechtigd te zijn, is Deelnemer zonder sommatie of ingebrekestelling een onmiddellijk opeisbare boete aan de Stichting verschuldigd van EUR 5.000,-. Indien de daadwerkelijke schade groter is dan het bedrag van de boete, kan de Stichting ook kiezen om volledige schadevergoeding te vorderen. 5 Slotbepalingen 5.1. De Stichting is gerechtigd om kosteloos namen en logo's van Deelnemers te vermelden op haar eigen website. 13

15 5.2. Op eventuele conflicten die verband houden met de Stichting, deze Deelnemersvoorwaarden of de reglementen is Nederlands recht van toepassing en eventuele geschillen dienen te worden voorgelegd aan de bevoegde rechter te Den Haag Alle in deze Deelnemersvoorwaarden genoemde geldbedragen zijn exclusief BTW en eventuele overige toepasselijke door de overheid opgelegde heffingen Wijzigingen aan deze Deelnemersvoorwaarden treden in werking na goedkeuring door de Directie en de Raad van Toezicht van de Stichting De Stichting kan niet aansprakelijk worden gehouden voor schade die de Deelnemer lijdt als gevolg van het al dan niet verlenen of intrekken van het Keurmerk. Alle aansprakelijkheid van de Stichting, uit welke hoofde dan ook, waaronder in ieder geval wanprestatie en onrechtmatige daad, is beperkt tot eenmaal de jaarlijkse daadwerkelijk betaalde deelnemersbijdrage. Vergoeding van gevolgschade door de Stichting aan Deelnemer is uitgesloten Deelnemer vrijwaart de Stichting van alle claims/schades van derden en van door de Deelnemer ingeschakelde partijen Deelnemer kan haar toetreding tot de Stichting beëindigen. De Stichting zal niet overgaan tot restitutie van betaalde en/of te vorderen bedragen Betalingen door Deelnemer dienen binnen 14 dagen aan de Stichting te worden voldaan Deelnemer zal het Keurmerk niet langer voeren na:! schriftelijke beëindiging van deelname aan de Stichting door de Deelnemer;! intrekking of opschorting van de deelname van Deelnemer door de Stichting;! het niet tijdig voldoen van de kosten voor de hercontrole, dan wel de jaarlijkse bijdrage aan de Stichting;! het handelen van een Deelnemer in strijd met deze voorwaarden. 14

16 4.3 Reglement Raad van Deelnemers 1. De stichting kent een Raad van Deelnemers. De Raad van Deelnemers vertegenwoordigt alle deelnemers van de Stichting en zal maximaal 7 leden hebben. 2. Deelnemer van de Stichting is hij, die als zodanig bij de stichting staat geregistreerd. 3. Een deelnemer van de Stichting kan zich kandideren voor het lidmaatschap van de Raad van Deelnemers bij het bestuur van de Stichting. 4. De samenstelling van de Raad van Deelnemers zal door het bestuur van de Stichting - op zodanige wijze worden vormgegeven dat er een evenwichtige vertegenwoordiging is van zowel kleine als grote dienstverleners. 5. De Raad van Deelnemers benoemt uit zijn midden een voorzitter, hierna te noemen: Voorzitter Raad van Deelnemers. 6. De Raad van Deelnemers staat de directie gevraagd en ongevraagd met raad ter zijde op het terrein van de voorwaarden voor en de prijsstelling van registratie en voorts op die terreinen waar de Raad van Deelnemers zulks wenselijk acht. 7. Het bestuur van de Stichting mag bij iedere vergadering aanwezig zijn. 8. Een lid van de Raad van Deelnemers wordt benoemd voor de duur van minimaal 12 maanden. 9. Bij de benoeming van de leden van de Raad van Deelnemers, worden voor de benoeming en eventuele herbenoeming de data gehanteerd die corresponderen met het rooster van aftreden. 10. De Raad van Deelnemers kan een reglement vaststellen waarin onderwerpen, de Raad van Deelnemers betreffende, worden geregeld. Een dergelijk reglement mag niet in strijd zijn met de wet, niet met deze statuten noch met de door de raad van toezicht vastgestelde reglementen. 11. Vergaderingen van de Raad van Deelnemers worden gehouden zo dikwijls de Voorzitter Raad van Deelnemers of ten minste zes leden van de Raad van Deelnemers zulks wensen, doch ten minste eenmaal per jaar. 12. De bijeenroeping van een vergadering van de Raad van Deelnemers geschiedt door de Voorzitter Raad van Deelnemers of zes leden van de Raad van Deelnemers en wel schriftelijk dan wel per e- mail onder opgaaf van de te behandelen onderwerpen, op een termijn van ten minste zeven werkdagen, de dag van de oproeping en die van de vergadering niet meegerekend. 13. Vergaderingen van de Raad van Deelnemers worden gehouden ter plaatse te bepalen door degene die de vergadering bijeenroept. 14. Toegang tot de vergaderingen hebben de deelnemers alsmede zij die door de ter vergadering aanwezigen worden toegelaten. Deelnemers kunnen zich ter vergadering krachtens schriftelijke, naar het oordeel van de Voorzitter Raad van Deelnemers van de vergadering voldoende, volmacht doen vertegenwoordigen. 15. Iedere deelnemer heeft één stem. Alle besluiten van de Raad van Deelnemers worden genomen met volstrekte meerderheid van de geldig uitgebrachte stemmen. Blanco stemmen worden beschouwd als niet te zijn uitgebracht. Staken de stemmen bij een stemming, dan heeft de Voorzitter Raad van Deelnemers een doorslaggevende stem. 16. Alle stemmingen geschieden mondeling tenzij bij reglement, vastgesteld door de Raad van Deelnemers, anders is bepaald, dan wel een deelnemer schriftelijke stemming verlangt. 17. De vergaderingen worden geleid door de Voorzitter Raad van Deelnemers. Bij zijn afwezigheid voorziet de vergadering zelf in haar leiding. 15

17 18. Van het verhandelde in de vergadering worden notulen opgemaakt. De notulen worden vastgesteld en getekend door degene die in de vergadering als Voorzitter Raad van Deelnemers heeft gefungeerd. 19. In alle geschillen omtrent stemmingen beslist de Voorzitter Raad van Deelnemers. 20. In alle geschillen omtrent de uitvoering van het reglement zoals bedoeld in lid 9 beslist de Voorzitter Raad van Deelnemers. 4.4 Aanvraagprocedure deelnemer Een aanbieder van een online administratieve dienstverlening (de dienst) kan zich aanmelden als Deelnemer van de Stichting Zeker- OnLine bij het bestuur van de Stichting, onder overlegging van de volgende informatie: 1. Naam, adres, woonplaats van de dienstverlener; 2. Kopie inschrijving bij de Kamer van Koophandel; 3. Beschrijving van de dienstverlener en zijn organisatie; 4. Naam van de dienst waarvoor een keurmerk (in de toekomst) zal worden aangevraagd; 5. Gedetailleerde omschrijving van de dienst; 6. Akkoordverklaring met het gestelde in: a. Sectie 4 Deelnemers ; b. Sectie 5 Kwaliteitseisen en normenkader ; c. Sectie 6 Audit protocol ; 7. Akkoordverklaring met betrekking tot de financiële bijdrage; 8. Ondertekening door de directie van de dienstverlener. De aanvraag kan geschieden per e- mail, waarbij de hiervoor genoemde informatie c.q. documenten als bijlage zijn bijgevoegd. Het aanmeldformulier is opgenomen als bijlage

18 Bijlagen Aanmeldformulier Deelnemer Stichting Zeker- OnLine 1 Naam organisatie Adres Postcode en Vestigingsplaats Postbus nr. Postcode en plaats Inschrijvings nr. KvK " Kopie inschrijving is bijgevoegd E- mail adres Telefoonnummer Naam van de dienst/product/merk Let op: één dienst, product of merk is één keurmerk. Indien u meer dan één dienst/product of merk heeft, worden er aanvullende kosten in rekening gebracht. De aanvrager gaat akkoord - de deelnemersvoorwaarden (opgenomen in sectie 4) 2 ; met: - de kwaliteitseisen en normenkader (opgenomen in sectie 5); - het audit protocol (opgenomen in sectie 6) van het Document Keurmerk Zeker- OnLine. De aanvrager gaat akkoord met de financiële bijdrage (aanvinken welke categorie van toepassing is) en zal tijdig aan de betalingsverplichtingen voldoen. De volgende bijlagen dienen te zijn bijgevoegd. Jaarlijkse bijdrage aan de Stichting Zeker- OnLine: " per jaar indien de omzet groter dan of gelijk is dan 1mln. " per jaar indien de omzet lager is dan 1mln. Aanmeldbijdrage aan de Stichting Zeker- OnLine: na acceptatie van de aanmelding door het bestuur van de Stichting Zeker- Online; " eenmalig indien de omzet groter dan of gelijk is dan 1 mln. " eenmalig indien de omzet lager is dan 1 mln - Beschrijving van de dienstverlener en zijn organisatie. - Gedetailleerde omschrijving van de dienst waarvoor een keurmerk (in de toekomst) zal worden aangevraagd. - Website(s) waarop de dienst/product wordt getoond. Wilt uw organisatie in aanmerking komen voor een plaats in de Raad van Deelnemers? Ondertekening Naam ondertekenaar Functie Datum Handtekening " Ja " Nee Wij verklaren ons akkoord met bovenstaande. 1 Uw deelnemerschap is pas definitief indien deze door Stichting Zeker- OnLine is bevestigd. 2 De deelnemersvoorwaarden van Zeker- OnLine zijn van toepassing op alle rechtsverhoudingen tussen Deelnemer en Stichting Zeker- OnLine. Deelnemer verklaart door ondertekening van dit aanmeldformulier kennis te hebben van de deelnemersvoorwaarden en akkoord te zijn met de inhoud daarvan. 17

19 5. Kwaliteitseisen en normenkader 5.1 Inleiding Ter verkrijging van het keurmerk worden hoge eisen gesteld aan de betrouwbaarheid van de dienstverlening door de deelnemer. Het keurmerk staat voor betrouwbaarheid, veiligheid, continuïteit, kwaliteit in functionaliteit en juridische zekerheid. Op basis van deze uitgangspunten is een stelsel van kwaliteitseisen en normen ontwikkeld. Deze zijn vastgelegd in deze sectie 5 Kwaliteitseisen en normenkader. Hierbinnen zijn 3 kwaliteitsgebieden te onderscheiden:! Technische infrastructuur (IT Beheer en Beveiliging);! Applicatie structuur (generieke en specifieke maatregelen in de applicatie);! Juridische infrastructuur. Voor elk van deze deelgebieden zijn normen vastgesteld. De samenhang tussen de deelgebieden is uitgewerkt in het raamwerk, het conceptuele model. De kern van het stelsel is dat de omgeving centraal staat. Immers een betrouwbare en veilige infrastructuur staat voorop. De functionaliteit is dan niet van doorslaggevende betekenis. Binnen die infrastructuur zijn verschillende online administratieve diensten te bouwen en kunnen gegevens doelmatig worden uitgewisseld. Het stelsel is daarom een schaalbaar concept, dat in de nabije toekomst nog kan worden uitgebouwd. Hoe snel dat gaat en welke richting gekozen gaat worden is afhankelijk van de marktontwikkelingen. Natuurlijk spelen hier ook de wensen van de community en van de klanten een belangrijke rol. Het normenkader evolueert met het raamwerk mee. Er is, met andere woorden, sprake van een dynamisch geheel. De ontwikkelingen in the cloud zijn immers van dien aard dat voortdurende vernieuwing nodig zal blijken. Het stelsel wil innovatie aanmoedigen, maar is tegelijkertijd robuust en sluit waar mogelijk aan op bestaande en breed geaccepteerde standaarden. Dit geldt daarmee ook voor het normenkader. Niettemin is dat qua samenstelling uniek, omdat er nog geen vergelijkbare concepten bestaan en omdat het de verschillende deelgebieden verbindt. Waar mogelijk is het stelsel principle based, maar met name bij de technische beveiligingsmaatregelen krijgt het meer een rule based - karakter. Basis is immers het zorgen voor een vergelijkbaar beveiligingsniveau en een toetsbare norm. Nergens schrijft het normenkader echter het gebruik van specifieke technologieën voor. 18

20 5.2 Het stelsel van kwaliteitseisen Schematische weergave van het stelsel Hiervoor zijn de deelgebieden genoemd die bij online administratieve dienstverlening onderkennen. Voor elk van deze deelgebieden zijn kwaliteitseisen vastgesteld en is een normenkader ontwikkeld, waarmee een van de belangrijke pijlers voor het keurmerk Zeker- OnLine is gerealiseerd. Een schematische weergave van het stelsel, het zogenaamde lagenmodel met de deelgebieden in hun onderlinge samenhang, ziet er als volgt uit: fig. 3 De juridische infrastructuur omvat het juridische deel van de kwaliteitseisen. Behalve good practices uit accountancy, IT- audit en informatiebeveiliging zijn immers ook de aspecten van belang die de dienstaanbieder en zijn klanten een duidelijke rechtspositie verschaffen. Daarom is de juridische infrastructuur de basis van het stelsel. De juridische normen schragen immers de andere deelgebieden die we voor de online administratieve dienstverlening onderkennen. Het onderscheid tussen de technische infrastructuur en de applicatiestructuur is gebaseerd op het onderscheid binnen de online administratieve dienstverlening tussen de Dienst en de Applicatie (de administratieve toepassing). Met het aanbieden van de applicatie binnen een totaalpakket onderscheidt die online administratieve dienstverlening zich van een installeerbaar softwarepakket. De online oplossing omvat immers, naast de applicatie, ook het hele scala van IT- beheer door specialisten en de technische infrastructuur Dienst en applicatie De dienst (technische infrastructuur) Binnen de dienst zijn twee deelgebieden te onderscheiden, namelijk het IT- beheer en de technische beveiligingsmaatregelen. Bij IT- beheer ligt de focus op het IT- beleid en de organisatorische aspecten. Met behulp van technische maatregelen in hardware en infrastructuur en door veilige internetverbindingen wordt het IT- beheer - zo veel als technisch en economisch verantwoord is - afgedwongen. In de IT- terminologie wordt dat hardening genoemd. Opzet en werking van het IT- beheer moeten goed zijn. Het samenstel van organisatorische en technische maatregelen zorgt voor een betrouwbare, veilige en 19

21 continu beschikbare dienst. Vanuit dit perspectief krijgen IT- beheer en technische beveiligingsmaatregelen hun plek in (de schematische weergave van) het raamwerk. Zij vormen immers weer het fundament waarop de applicatie goed genoeg kan werken. De applicatie (administratieve structuur) Bij de applicatie staat de softwaretoepassing centraal. De wijze waarop de klant die ervaart is essentieel. De applicatie omvat de programmatuur en de functionele helpdesk. Hier worden eveneens twee deelgebieden onderkend die aandacht vragen, namelijk de generieke functionaliteit en de specifieke functionaliteit. Alle algemene maatregelen die betrekking hebben op de softwaretoepassing worden gerangschikt onder de generieke functionaliteit. Bij de specifieke maatregelen is de focus gericht op de mogelijkheden die de softwaretoepassing zelf biedt of, met andere woorden, op wat de klant met de toepassing kan doen. fig. 4 In het raamwerk steunt de generieke functionaliteit op de juridische infrastructuur, het IT- beheer en de technische beveiligingsmaatregelen en ondersteunt ze op haar beurt de specifieke maatregelen in de applicatie. Impact op het keurmerk In de vorige paragraaf is aangegeven dat de online administratieve dienstverlening uit de dienst en de applicatie bestaat. Echter, de scheidslijn tussen beide onderdelen kan niet altijd even scherp kan worden getrokken. Voor de praktijk is dit echter minder relevant. Het keurmerk wordt immers alleen afgegeven op het samenstel van de onderdelen, met andere woorden voor de volledige online administratieve dienstverlening en per aangeboden dienst. Aanbieder 1 Aanbieder 2 Applicatie A Applicatie A Dienst X Dienst Y Figuur 5 Als twee verschillende online administratieve diensten waarin eenzelfde applicatie actief is beide een keurmerk wensen, dan zal er dus twee maal een keurmerk moeten worden aangevraagd. Immers de omgeving staat centraal en niet de functionaliteit. In figuur 5 ziet u dit schematisch weergegeven: 20

22 Aanbieder 1 kan een "eigen" administratieve cloudoplossing aanbieden door gebruik te maken van (white label) oplossing en een hosting dienst. Het eigen is hier de naam/website waaronder de dienst wordt aangeboden. De (white label) oplossing kan hierbij door een externe software ontwikkelaar zijn geprogrammeerd. Bijvoorbeeld door ontwikkelaar A. De hosting dienst kan door aanbieder 1 zelf worden beheerd; ook is het mogelijk dat gebruik wordt gemaakt van een gespecialiseerde derde partij. Bijvoorbeeld hosting partij X. De (white label) oplossing van X wordt in figuur 5 ook gebruikt als dienst die wordt aangeboden door Aanbieder 2. Het is mogelijk dat een deel van de audit niet twee maal uitgevoerd hoeft te worden. Er kan immers gebruik gemaakt worden van eerder uitgevoerde werkzaamheden, waardoor er toch een kostenvoordeel ontstaat. Gelijke instances in applicatie en dienst, die door of namens één dienstaanbieder worden beheerst, worden gezien als één omgeving. Naast de multitenancy- oplossing is er dus ook ruimte voor multi- instancing. Omwille van de herkenbaarheid en transparantie vindt de community het niet wenselijk dat één dienstaanbieder onder dezelfde merknaam zowel een keurmerkoplossing als een ander product aanbiedt. Het motto luidt hier: Één merk, één keurmerk. Het raamwerk biedt wel de mogelijkheid dat dezelfde applicatie door verschillende aanbieders in een administratieve cloudoplossing onder hun eigen merknaam wordt aangeboden. De bouwer van die applicatie brengt ze dan uit als white label. Als deze applicatie kwalificeert en de aanbieder zorgt ervoor dat ze in een betrouwbare, veilige en continu beschikbare omgeving wordt opgenomen, dan kan hij voor een keurmerk in aanmerking komen. Zo ondersteunt het Zeker- Online- concept de verwachte specialisatie bij het ontwikkelen van applicaties en het aanbieden van clouddiensten Nader toelichting op het stelsel Algemeen Het stelsel gaat uit van verantwoordelijkheden. Voor de beheermaatregelen met betrekking tot de dienst (IT- beheer en technische beveiligingsmaatregelen) is de dienstaanbieder verantwoordelijk. Dat geldt bijvoorbeeld voor het verlenen van toegang aan (gedelegeerde) gebruikers tot de juiste administratie binnen een multitenancy- omgeving. De klant blijft echter verantwoordelijk voor zijn eigen administratie. Daarom is de delegatie van bevoegdheden binnen zo n administratie dan ook belegd bij de klant zelf. Waar werkzaamheden door de dienstaanbieder worden uitbesteed aan derden blijft de dienstaanbieder wel verantwoordelijk voor de totale online administratieve dienstverlening (cloudoplossing). Uitbesteden mag er bijvoorbeeld niet toe leiden dat de auditor de oplossing niet als geheel zou kunnen beoordelen. Bij de selectie van zijn leveranciers moet de dienstaanbieder hier dus rekening mee houden. IT- beheer Uitgangspunt is dat de dienstaanbieder de IT steeds afstemt op de dienstverlening aan de klant. Die dienstverlening richt zich op het helpen van de klant bij zijn bedrijfsprocessen en de administratieve vastleggingen die daarmee te maken hebben. Hiervoor moet de dienstaanbieder goed weten welke wensen en eventuele problemen de klant heeft. Het goed inrichten van het IT- beheerproces is de expliciete verantwoordelijkheid van het management van de dienstaanbieder. Ook in dit opzicht 21

23 mogen we van het management voorbeeldgedrag verwachten. Het inrichten en beheersen van de organisatie en de processen hoort daarbij. De dienstverlening moet ertoe leiden dat hetgeen met de klant werd afgesproken ook daadwerkelijk voortdurend wordt geleverd. Bij het opstellen van de normen voor IT- beheer heeft de werkgroep COBIT als basis genomen. Voor Zeker- Online is dit breed geaccepteerde normenkader toegespitst op het specifieke karakter van een administratieve cloudoplossing. fig. 5 Beveiliging De dienstaanbieder moet gebruik maken van up- to- date en veilige IT- oplossingen, die in lijn zijn met het IT- beheer. Omdat de techniek zich voortdurend ontwikkelt, heeft de Normcommisie gezocht naar een dynamisch normenkader. De normcommisie heeft dit gevonden bij de ICT- beveiligingsrichtlijnen van het National Cyber Security Center. Daarmee sluit het normenkader van de Stichting goed aan bij een gezaghebbend en praktisch haalbaar normenkader en is ook het toekomstig onderhoud goed geborgd. Het normenkader Zeker- Online en de ICT- beveiligingsrichtlijnen versterken elkaar. Generieke functionaliteit Alle algemene maatregelen die betrekking hebben op de softwaretoepassing zijn gerangschikt onder de generieke functionaliteit. Dit wordt daarmee een breed aandachtsgebied. Onderwerpen die aan de orde komen zijn onder andere logische toegangsbeveiliging, isolatie van data, verwerken en bewaren van aangeboden transacties, zorgen voor data- integriteit, bewerkstellingen van een adequate audit trail, logging door de gebruiker, het creëren van mogelijkheden om het verwerkingsproces te monitoren, change- management en documentatie. Daarnaast zijn de maatregelen die toezien op de de wijze waarop koppelingen met externe systemen, zoals andere cloudoplossingen, worden gerealiseerd en over de documenten en de rapporten die kunnen worden gemaakt onderdeel van de audit. 22

24 Specifieke functionaliteit De specifieke functionaliteit betreft de mogelijkheid die de softwaretoepassing zelf biedt of, met andere woorden, over datgene wat de klant met de toepassing kan doen. Voorbeelden van specifieke functionaliteit zijn boekhouden of het elektronisch aanmaken, inlezen en verwerken van facturen of het automatisch inlezen en verwerken van bankafschriften. Om te komen tot een betrouwbare administratie is software nodig waarmee de gebruiker transacties juist, volledig en tijdig kan vastleggen. Specifieke applicatieve maatregelen zorgen ervoor dat dit ook feitelijk gebeurt. De kwaliteit van de data en compliance aan wet- en regelgeving staan daarbij centraal Verdere ontwikkeling Vooralsnog richt Zeker- OnLine zich op de kernfunctionaliteit van de financiële administratie. De community, het samenwerkingsverband van aanbieders van online administratieve diensten, bepaalt in onderling overleg de volgorde en het tempo van de normontwikkeling voor andere en/of nieuwe functionaliteit. Het is een dynamisch proces, dat als volgt schematisch kan worden uitgetekend: 23

25 Aangezien de infrastructuur centraal staat en niet de functionaliteit, kunnen ook andere web based- cloudoplossingen dan alleen financieel- administratieve in de nabije toekomst ook in aanmerking komen voor het keurmerk. Voorbeelden zijn e- factureren, e- bankieren,web based- salarisverwerkingsdienst of een online kassasysteem. Het Zeker- Online- platform biedt zo een basis voor een naadloze samenwerking tussen verschillende administratieve cloudoplossingen en moedigt innovatie aan. 24

26 5.3 Juridische infrastructuur Wet- en regelgeving De dienstaanbieder waarborgt dat de Nederlandse wet- en regelgeving worden toegepast. 1. De dienstaanbieder verklaart het Nederlands recht van toepassing op zijn diensten en op eventuele conflicten met ondernemers die verband houden met die diensten. 2. De dienstaanbieder voldoet aan de wettelijke verplichtingen, waaronder de informatieverplichtingen van artikel 3:15d BW, 6:227b BW en 6:227c BW. 3. De dienstaanbieder biedt zijn diensten op een zodanige wijze aan dat ondernemers kunnen voldoen aan artikelen 47 t/m 53 van de Algemene wet inzake rijksbelastingen Voorwaarden De dienstaanbieder draagt er zorg voor dat zijn klant kennis kan nemen van de voorwaarden die hij hanteert. 1. De dienstaanbieder publiceert de voorwaarden die op zijn diensten betrekking hebben op zijn website en verstrekt deze voorwaarden tijdig en op een juiste wijze aan de ondernemer. 2. De dienstaanbieder past een adequaat versiebeheer toe op de voorwaarden die op zijn diensten betrekking hebben. De dienstaanbieder publiceert de verschillende versies, met een vermelding van versienummer en - datum, op zijn website. 3. De dienstaanbieder hanteert een notice- en takedownbeleid volgens de gedragscode Notice- and- Take- Down van ECP 3 voor de omgang met onrechtmatige content en content die anderszins inbreuk maakt op rechten van derden. 4. De dienstaanbieder neemt in de voorwaarden die op zijn diensten betrekking hebben een deugdelijke geheimhoudingsclausule op Privacy De dienstaanbieder respecteert en waarborgt de privacyrechten van zijn klant. 1. De dienstaanbieder plaatst op zijn website een privacyverklaring. 2. De dienstaanbieder benoemt in die privacyverklaring de doeleinden waarvoor hij gegevens van ondernemers en derden verwerkt. 3. De dienstaanbieder vermeldt in die privacyverklaring hoe ondernemers en derden hun persoonsgegevens kunnen inzien, corrigeren en verwijderen. 4. De dienstaanbieder sluit met alle toeleveranciers waaraan persoonsgegevens worden verstrekt waarvoor hij verantwoordelijk is een bewerkersovereenkomst in de zin van de Wet bescherming persoonsgegevens

27 5. In de bewerkersovereenkomst staan bepalingen die de dienstaanbieder het recht verschaffen om audits uit te voeren bij de toeleveranciers waaraan persoonsgegevens worden verstrekt. 6. De persoonsgegevens worden uitsluitend binnen de Europese Unie opgeslagen dan wel verwerkt Gegevens De dienstaanbieder waarborgt dat de klant eigenaar is en blijft van de gegevens die in het kader van de online administratieve dienstverlening met betrekking tot zijn organisatie worden ingevoerd en verzameld. In geval van het beëindigen van de overeenkomst tussen dienstaanbieder en klant zijn er afspraken gemaakt over het gegevensbeheer en de bewaartermijn. 1. De dienstaanbieder neemt in de voorwaarden die op zijn diensten betrekking hebben op, dat ondernemers eigenaar blijven van alle voor/door hem ingevoerde gegevens. 2. De dienstaanbieder biedt de mogelijkheid om de gegevens in een gangbaar formaat te exporteren. 3. De dienstaanbieder wijst de ondernemer vóór het beëindigen van de overeenkomst expliciet op diens verplichtingen in het kader van het bewaren van de gegevens. Hij doet hem daarbij een aanbod om de gegevens te bewaren en te archiveren dan wel ze aan hem over te dragen alvorens deze te verwijderen. 4. De dienstaanbieder archiveert de gegevens van de ondernemer gedurende een termijn van tenminste zes maanden als de overeenkomst door faillissement van de ondernemer wordt beëindigd. Tijdens deze termijn hebben alleen daartoe bevoegde (opsporings- )ambtenaren en de curator toegang tot de gegevens. In de overeenkomst neemt de dienstaanbieder een bepaling op die dit regelt. 5. Wijzigingen van de gegevens zijn traceerbaar en worden bewaard, zodat altijd kan worden nagegaan wie de gegevens heeft gewijzigd en wanneer dat is gebeurd Continuïteit De dienstaanbieder waarborgt een continue beschikbaarheid van de desbetreffende online administratieve dienstverlening. 1. De intellectuele rechten van de applicatie zijn in eigendom van een andere entiteit dan de werkmaatschappij van de dienstaanbieder of er is een andere voorziening getroffen die de continue beschikbaarheid van de online administratieve dienstverlening waarborgt. 2. De dienstaanbieder draagt zorg voor het treffen van zodanige voorzieningen dat in geval van faillissement, of in geval van een andere situatie die tot gevolg heeft dat de dienstaanbieder zijn dienst niet kan continueren, de diensten gedurende zes maanden na een dergelijke gebeurtenis beschikbaar blijven. Deze voorzieningen zijn bedoeld om de ondernemer in staat te stellen om zijn administratie over te zetten naar een andere dienstaanbieder 3. De dienstaanbieder vermeldt in de voorwaarden die op zijn diensten betrekking hebben, dat hij zijn diensten slechts eenzijdig kan beëindigen met inachtneming van een opzegtermijn van zes maanden, tenzij er sprake is van tekortkomingen van de kant van de gebruiker van de administratieve dienstverlener. 4 Een nadere detaillering van deze norm is te vinden in 5.6 over Generieke functionaliteit. 26

28 5.3.6 Betrouwbaarheid en beveiliging De dienstaanbieder waarborgt een betrouwbare en veilige werking van de online administratieve dienstverlening, waarbij voldaan wordt aan de wettelijke vereisten die hij als administratieplichtige heeft De dienstaanbieder treft passende technische en organisatorische maatregelen om de gegevens te beveiligen tegen verlies, diefstal en inzage door personen die daartoe niet bevoegd zijn. 2. De dienstaanbieder zorgt voor de betrouwbaarheid van de dienst, waaronder de opslag van gegevens en rapportages die op die gegevens gebaseerd zijn en andere functionaliteiten, zodat de ondernemer die van de dienst gebruik maakt conform de wettelijke vereisten kan administreren. 5 Ook voor deze norm volgt een nadere detaillering hoofdstuk 5.6 over Generieke functionaliteit. 27

29 5.4 Technische infrastructuur: IT- Beheer Planning en organisatie Vastleggen van het dienstverleningsproces, de organisatie en de afhankelijkheden: De dienstaanbieder heeft processen, administratieve richtlijnen en procedures gedefinieerd voor alle functies. In het bijzonder heeft hij daarbij aandacht voor de beheersing, het waarborgen van het kwaliteitsniveau, risicobeheer, informatiebeveiliging, gegevensbeheer, systeembeheer en functiescheiding. Om het gewenste niveau van de dienstverlening te waarborgen is het management van de afdeling die verantwoordelijk is voor dienstverlening betrokken bij de besluitvorming hierover. De dienstaanbieder moet zorgen voor het adequaat inrichten van zijn organisatie en het formeel en eenduidig beleggen van verantwoordelijkheden. Het moet duidelijk zijn welke rechten en verantwoordelijkheden eenieder binnen de organisatie heeft. 1. Het management van de dienstaanbieder is eindverantwoordelijk voor en eigenaar van de risico s die met de dienst verband houden. 2. Binnen de organisatie zijn de verantwoordelijkheden voor het risicobeheer, informatiebeveiliging en compliance eenduidig belegd. 3. De organisatie kent een beleid voor risicobeheer, informatiebeveiliging en compliance. Het beleid is gedocumenteerd en wordt door het management actief uitgedragen. 4. De dienstaanbieder legt rollen en verantwoordelijkheden die met de dienst verband houden eenduidig vast en communiceert hierover binnen de organisatie. 5. Taken en bevoegdheden zijn duidelijk omschreven, zodat medewerkers ongehinderd hun functie kunnen uitvoeren. 6. Wijzigingen in de organisatie leiden tot het overeenkomstig aanpassen van rollen, verantwoordelijkheden, taken en bevoegdheden. Ten minste eenmaal per jaar wordt vastgesteld dat de formele vastlegging overeenkomt met de praktische gang van zaken. 7. De taken en bevoegdheden zijn zo verdeeld, dat de kans op verstoring of misbruik door een individuele medewerker van een kritiek proces minimaal is. Het management stelt periodiek voor de kritieke processen vast, dat de medewerkers handelen binnen hun bevoegdheden. 8. Sleutelfunctionarissen voor de dienstverlening zijn geïdentificeerd. De afhankelijkheid van individuen is zo gering mogelijk Risicobeheer De dienstaanbieder hanteert risicobeheer om adequaat op gebeurtenissen in de dienstverlening te kunnen reageren. Het risicobeheer is er op gericht om de klanten zo ongehinderd mogelijk de dienst te laten gebruiken. De aard en omvang van de risico s die de klanten kunnen lopen zijn duidelijk, met maatregelen ingeperkt tot een acceptabel niveau en goed begrepen door het management. Iedere potentiële inbreuk op de dienstverlening is vastgesteld, geanalyseerd en beoordeeld. Om dit te bereiken moet de 28