Gezamenlijke elektronische Voorzieningen Suwi Service Level Agreement 8.0 Overeenkomst tussen de volgende partijen: Inspectie Sociale Zaken en Werkgelegenheid (Inspectie SZW) Bureau Keteninformatisering Werk en Inkomen (BKWI) Centraal Administratie Kantoor (CAK) Dienst Uitvoering Onderwijs (DUO) Immigratie en Naturalisatie Dienst (IND) Dienst Justitiële uitvoeringsdienst Toetsing, Integriteit en Screening (Dienst Justis) Regionaal Meld- en Coördinatiepunt (RMC) Sociale Verzekeringsbank (SVB) Stichting Inlichtingenbureau (IB) Uitvoeringsinstituut Werknemers Verzekeringen (UWV) 1
Inhoudsopgave 1. Inleiding... 4 1.1 Doel van de GeVS Keten SLA...4 1.2 Suwipartijen en niet-suwipartijen... 4 1.3 Vertegenwoordigende partijen...4 1.4 Positie van de GeVS Keten SLA... 4 1.5 Leeswijzer... 5 2. Algemene bepalingen... 6 2.1 Partijen...6 2.2 Bereik van de GeVS Keten SLA...6 2.3 Duur en wijziging van de GeVS keten SLA... 7 2.4 Informatieplicht en geheimhouding...7 2.5 Kosten...8 2.6 Resultaatverplichting... 8 2.7 Geschillen... 8 2.8 Overleg... 9 3. Algemene beheer afspraken over de dienstverlening...12 3.1 Servicedesk ten behoeve van de burger...12 3.2 Servicedesks ten behoeve van medewerkers van de aangesloten partijen...12 3.3 Incidentbeheer... 13 3.4 Probleembeheer... 13 3.5 Wijziging- en releasebeheer... 14 3.6 Configuratiebeheer... 14 3.7 Beschikbaarheidbeheer... 15 3.8 Onderhoudstijden... 15 3.9 Beheer SGR en SuwiML...16 3.10 Privacy en beveiliging... 16 3.10.1 Logging en monitoring... 17 3.11 Ketenarchitectuur...17 3.12 Escalatie... 18 3.13 Uitwijk...18 3.14 Inzichtelijkheid verversing afgeleide databases... 18 4. Afspraken over specifieke diensten...19 4.1 Technisch beheer centrale omgeving GeVS...19 4.2 Beheer en beschikbaarstelling gebruikersadministratie...20 4.3 Logische toegangsbeveiliging... 20 4.4 Suwinet-Inlezen en XML-diensten...21 4.5 Beheer en beschikbaarstelling van Suwinet-Inkijk...22 4.6 Beheer en beschikbaarstelling Ketenbrede Integratie Testomgeving...22 4.7 Beheer en beschikbaarstelling van Suwinet-Mail...23 4.8 Beheer Electronische Keten Berichten (Suwinet-Meldingen)...23 4.9 Beheer en Beschikbaarstelling van DKD Klantportaal (Klantbeeld)...23 2
4.10 Correctieservice...24 4.11 Filtermechanisme...25 5. Bijlage I: Rapportage... 26 5.1 Managementrapportage... 26 5.2 Specifieke beheerrapportages...26 6. Bijlage II: Verklarende woordenlijst...27 7. Bijlage III: Illustraties... 30 7.1 Overlegstructuur... 30 7.2 Releasekalender 2012...30 3
1. Inleiding 1.1 Doel van de GeVS Keten SLA Deze GeVS Service Level Agreement 8.0 vervangt de GeVS keten SLA, versie 7.0 d.d. 29 juni 2010 en bevat de afspraken die gemaakt zijn tussen de verschillende partijen over de gezamenlijke dienstverlening omtrent de Gezamenlijke elektronische Voorzieningen Suwi, verder genoemd GeVS. De GeVS Keten SLA gaat uit van resultaatverplichtingen. Over het nakomen van de afgesproken prestatienormen wordt maandelijks door BKWI gerapporteerd in een Service Level Rapportage, zodat gerichte bewaking, sturing en verbetering van de dienstverlening mogelijk zijn. Bewaking hiervan vindt plaats in de Domeingroep ICT Beheer. De GeVS Keten SLA is niet, zoals veelal gebruikelijk, een overeenkomst tussen één leverancier en één afnemer. Het is een gezamenlijke overeenkomst tussen de verschillende op de GeVS aangesloten partijen. 1.2 Suwipartijen en niet-suwipartijen Onder voorwaarden is de GeVS ook te gebruiken door zogenaamde niet-suwi partijen. Voor aansluiting dient het aansluitingsprotocol gevolgd worden. Aangezien de in de deze GeVS Keten SLA opgenomen afspraken niet allemaal of slechts ten dele van toepassing zijn voor deze partijen, is er voor gekozen om waar nodig per partij een addendum toe te voegen aan deze GeVS Keten SLA, waarin de van toepassing zijnde onderdelen en eventuele aanvullende afspraken zijn opgenomen. 1.3 Vertegenwoordigende partijen De gemeenten zijn als Suwipartij betrokken bij de keten dienstverlening, in de rol van leverancier en afnemer. Toch tekenen de gemeenten de GeVS Keten SLA niet. De gemeenten worden waar mogelijk vertegenwoordigd door IB, bij besprekingen over de dienstverlening. Conform het aansluitprotocol van de GeVS of overeenkomsten dienen niet-suwi partijen zich te conformeren aan de inhoud van deze GeVS Keten SLA en deze ook te ondertekenen danwel schriftelijk te bevestigen kennis te hebben genomen van de inhoud van deze GeVS Keten SLA. 1.4 Positie van de GeVS Keten SLA De basis voor de afspraken in deze GeVS Keten SLA is vastgelegd in de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet Suwi) en de nadere uitwerking in het Besluit Suwi, de Regeling Suwi en de verschillende bijlagen. De GeVS Keten SLA sluit enerzijds aan bij de genoemde wetgeving en de afspraken die in de bestaande Service Niveau Overeenkomsten (SNO s) tussen de verschillende partijen zijn vastgelegd en stelt anderzijds eisen aan de onderhoud- en beheercontracten die de verschillende partijen met hun ICT-leveranciers hebben afgesloten. 4
Bij deze GeVS Keten SLA hoort het Keten Dossier Afspraken & Procedures (GeVS Keten DAP). Het Keten DAP bevat een uitwerking van de afspraken in de GeVS Keten SLA en o.a. een lijst met verschillende contactpersonen bij de verschillende deelnemende partijen. Het Keten DAP wordt door het KOSS onderhouden en ter goedkeuring voorgelegd aan de Domeingroep ICT-Beheer (DIB). In het volgende figuur is de positie van de GeVS Keten SLA ten opzichte van andere afspraken weergegeven. Wetgeving Wet Suwi Besluit Suwi Regeling Suwi Overeenkomsten Business Service Niveau en Prestatie Niveau Overeenkomsten (SNO en PNO) UWV-Gemeenten Overeenkomst IT-dienstverlening GeVS SLA Keten DAP GeVS Onderhoud- en beheercontracten Onderliggende overeenkomsten Suwipartijen en leveranciers Figuur 1: Positie GeVS Keten SLA 1.5 Leeswijzer In hoofdstuk twee worden de algemene bepalingen beschreven die gelden voor deze GeVS Keten SLA. In hoofdstuk drie volgt een overzicht van de algemene afspraken en normen omtrent de dienstverlening die partijen aan elkaar leveren. Vervolgens zijn in hoofdstuk vier de specifieke diensten/onderdelen en verantwoordelijkheden omschreven. De in de hoofdstukken gebruikte begrippen wordt verklaard in de woordenlijst die als bijlage is toegevoegd. Als bijlage is ook een overzicht van de rapportages en een aantal illustraties opgenomen. 5
2. Algemene bepalingen 2.1 Partijen Deze GeVS Keten SLA is een overeenkomst tussen de volgende partijen in de volgende hoedanigheid. Partij Leverancier Afnemer Inspectie SZW 1 Bureau Keten Informatisering Werk en Inkomen (BKWI) X 2 Centraal Administratie Kantoor (CAK) College voor zorgverzekeringen (CVZ) Cultuur en Ondernemen (C&O) Dienst Uitvoering Onderwijs (DUO) X X 3 Immigratie en Naturalisatie Dienst (IND) Korps Landelijke Politiedienst (KLPD) 4 Dienst Justitiële uitvoeringsdienst Toetsing, Integriteit en Screening (Dienst Justis) 5 Regionaal Meld- en Coördinatiepunt (RMC) Sociale Verzekeringsbank (SVB) X X Stichting Inlichtingenbureau (IB) X X Uitvoeringsinstituut Werknemers Verzekeringen (UWV) X X X X X X X X X X 2.2 Bereik van de GeVS Keten SLA 1. In deze GeVS Keten SLA zijn de afspraken vastgelegd die gemaakt zijn tussen partijen met betrekking tot de Gezamenlijke elektronische Voorziening Suwi. 2. Deze GeVS Keten SLA bevat afspraken tussen partijen ten aanzien van de dienstverlening en treedt in de plaats van alle eerder gemaakte schriftelijke en mondelinge afspraken die partijen met elkaar gemaakt hebben inzake Suwinet en het DKD. 1 Inspectie SZW; de nieuwe naam van de inspectiedienst, waarin per 1 januari 2012 de Arbeidsinspectie en Sociale Inlichtingen- en Opsporingsbureau in zijn opgegaan 2 BKWI vervult de rol van leverancier namens o.a. RDW en Kadaster 3 DUO is afnemer in de zin dat zij gebruik maken van Suwinet voor de ontsluiting van o.a. Bv BSN /GBA 4 KLPD sluit in 2012 aan 5 Dienst Justis ten behoeve van bureau BIBOB en HTR 6
2.3 Duur en wijziging van de GeVS keten SLA Deze GeVS Keten SLA geldt vanaf het moment van tekenen en blijft geldig tot opzegging of vervanging door een nieuwe SLA. De GeVS Keten SLA wordt jaarlijks geëvalueerd.wijzigingen die het gevolg zijn van de evaluatie worden opgenomen in een nieuwe versie van deze GeVS Keten SLA. De nieuwe GeVS Keten SLA treedt in werking op een overeen te komen datum, volgend op de evaluatiedatum. Wanneer één der partijen, buiten de jaarlijkse evaluatie om, een wijziging in of beëindiging van de GeVS Keten SLA wenst, dan treden partijen in overleg en wordt de voorgenomen wijziging of beëindiging ter goedkeuring aan de Domeingroep ICT Beheer voorgelegd. Kleine wijzigingen (in bijvoorbeeld de rapportage of kleine infrastructurele wijzigingen) worden vastgelegd in een addendum op de GeVS Keten SLA en zijn van toepassing, nadat ze zijn goedgekeurd door de Domeingroep ICT Beheer en waar nodig door de andere domeingroepen. 2.4 Informatieplicht en geheimhouding 1. Partijen verplichten zich hierbij om elkaar tijdig alle nuttige en noodzakelijke informatie te verschaffen en medewerking te verlenen welke noodzakelijk is voor het uitvoeren van de afspraken in deze GeVS Keten SLA. 2. Alle in het kader van deze GeVS Keten SLA ter beschikking gestelde of verkregen informatie over partijen, hun doelen en bedrijfsprocessen zal door de partijen strikt vertrouwelijk worden behandeld. 3. De informatie zal niet worden aangewend voor andere doeleinden dan waarvoor deze aangevraagd en verstrekt is. 4. De informatie zal niet worden aangewend ten behoeve van derden zonder schriftelijke toestemming van partijen. 5. De persoonsgegevens die partijen als leverancier via de GeVS ter beschikking stellen, stellen zij slechts ter beschikking voor zover die persoonsgegevens noodzakelijk zijn bij de uitvoering van een opgedragen wettelijke taak. 6. De persoonsgegevens die partijen via de GeVS ter beschikking gesteld krijgen, zullen zij strikt vertrouwelijk behandelen en slechts verwerken voor zover noodzakelijk voor de uitvoering van een opgedragen wettelijke taak. 7. Persoonsgegevens worden niet opgeslagen, anders dan als bewijs voor genomen beslissingen. 8. Verkregen gegevens worden niet, zonder uitdrukkelijke toestemming van de registratiehouder, doorgeleverd aan derden. 9. Ruimer gebruik van ter beschikking gestelde persoonsgegevens is niet toegestaan. 7
2.5 Kosten Tenzij vooraf uitdrukkelijk anders wordt overeengekomen, dragen partijen elk zelf de kosten welke voor hen aan de uitvoering van de GeVS Keten SLA zijn verbonden. 2.6 Resultaatverplichting De betrokken partijen rapporteren in de domeingroepen aan elkaar over de algehele prestaties en naleving van de binnen de keten geldende afspraken. BKWI rapporteert over de behaalde resultaten aan de Domeingroep ICT Beheer. Waar nodig worden onderling de te nemen verbetermaatregelen benoemd en georganiseerd. In het geval één der partijen structureel toerekenbaar tekort schiet in de nakoming van haar verplichtingen, zal de DIB het bestuur of de directie van de nalatige partij schriftelijk verzoeken passende maatregelen te treffen (met kopie aan de SKI). De nalatige partij dient een onderbouwd actieplan te presenteren aan de SKI, waarin aangeven wordt welke maatregelen zij treft om de problemen op te lossen en te voorkomen voor de toekomst. In elk geval omvat het actieplan de volgende punten: 2.7 Geschillen 1. welke actie wordt genomen; 2. wanneer actie wordt genomen; 3. wanneer de tekortkoming is verholpen; 4. hoe voorkomen wordt dat eenzelfde tekortkoming nog eens optreedt. 1. Geschillen tussen partijen betreffende deze GeVS Keten SLA worden te allen tijde schriftelijk bij elkaar ingediend en bevestigd. BKWI wordt op de hoogte gebracht van het geschil. Vervolgens treden partijen in overleg, waarbij BKWI de coördinerende rol voor haar rekening neemt. 2. Wanneer uit overleg tussen de partijen blijkt dat geen overeenstemming over het geschil kan worden bereikt, wordt het geschil ter bespreking en besluitvorming geagendeerd bij de SKI. 8
2.8 Overleg De dienstverlening zoals verwoord in deze GeVS Keten SLA komt aan de orde in onderstaande overlegvormen (zie illustratie overlegstructuur in bijlage III); Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Stuurgroep Ketenservices ICT (SKI) Strategisch Leden raad van bestuur en/of directeuren Maandelijks Regie op samenwerking in de keten van Werk en Inkomen Geschillen m.b.t. deze GeVS Keten SLA oplossen Formeel vaststellen nieuwe versie GeVS Keten SLA Domeingroep ICT Beheer (DIB) Tactisch ICT Service Managers Maandelijks Bewaken van het niveau van ICT- dienstverlening Beheer en evaluatie van de GeVS Keten SLA en de ketenbrede beheerprocessen Wijzigingsvoorstellen maken m.b.t. De GeVS Keten SLA Doet voorstellen bij nalatige partij om passende maatregelen te nemen Keten Overleg Service Support (KOSS) Operationeel Incident en/of Probleem managers Maandelijks Afstemming operationele beheerprocessen Beheer en evaluatie van de Keten DAP Knelpunten en wijzigingen in de dienstverlening signaleren Soort overleg Aard Deelnemers Frequentie Doel Keten Change Advisory Board (Keten CAB) Operationeel Wijzigingscoördinatoren Maandelijks Afstemmen en bewaken van voorgestelde wijzingen Beheer en evaluatie van de uitvoeringsafspraken ketenwijzigingen en releases Middels het CMK registreren en bewaken van wijzigingsverzoeken voor de keten van Werk en Inkomen Soort overleg Aard Deelnemers Frequentie Doel Functioneel Change Advisory Board (Fun CAB) Operationeel Business vertegenwoordigers Maandelijks Ketenwijzigingen functioneel ketenbreed afstemmen Besluiten nemen of ketenwijzigingen op basis van functionele impact en wenselijkheid wel of niet uitgevoerd moet worden Zorgdragen dat de gebruikersorganisatie van de partijen op een juiste wijze vertegenwoordigd wordt door het Functioneel CAB Rapporteert aan de DIB 9
Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Domeingroep Gegevens en Berichten (DGB) Tactisch Manager Informatiebeleid / Standaarden Productmanager Standaarden Adviseur Standaarden Jaarlijks Uitvoeren van het ketenprogramma/ketenplan en/of de delen daarvan op het gebied van Gegevens en Berichten; Mogelijk indirect adviseren SKI en het Ministerie met betrekking tot vast te stellen nieuwe versies van het SGR. Nieuwe versies van het SGR worden in hoogste instantie vastgesteld door middel van de ministeriele regeling. Overige producten met betrekking tot SuwiML worden vastgesteld door de Domeingroep Gegevens en Berichten; Beoordelen van de impact van nieuwe of gewijzigde wet- en regelgeving vanuit haar verantwoordelijkheid; Sturen en coördineren van de werkzaamheden van de WGB en WGX Zorgdragen voor het uitdragen van SGR/SuwiML. Werkgroep Gegevens en Berichten (WGB) Operationeel Gegevensmanagers en Informatieadviseur Minimaal maandelijks Beoordelen van de impact op het SGR van nieuwe of gewijzigde wet- en regelgeving; Signaleren van ontwikkelingen binnen het Suwi-domein en het beoordelen van de impact hiervan op het SGR; Verantwoordelijk voor het beleid ten aanzien van de beschikbaarstelling en verspreiding van het SGR; Beoordelen van (de impact van) wijzigingsvoorstellen voor SGR; Opstellen van nieuwe releases van het SGR; Bevorderen van het gebruik van het SGR en bespreken van eventuele problemen in het gebruik van het SGR; Adviseren over gebruik en toepassing van het SGR; Volgen van externe ontwikkelingen op het gebied van gegevensregisters en berichtuitwisseling en deze vertalen in plannen. Werkgroep XML (WGX) Operationeel Managers berichtontwikkeling en ICT-architecten Adhoc Adviseren over het beheer van de XML-aspecten en technische aspecten van SuwiML, onder meer voor het SuwiML Basisschema, de richtlijnen voor berichtschema s en de SuwiML Transactiestandaard; Verantwoordelijk voor het beleid ten aanzien van het beheer en de beschikbaarstelling van de betrokken SuwiML standaarden; Bevorderen van de toepassing van SuwiML; Beoordelen van voorstellen voor berichtschema s op SuwiML-compliance; Volgen van de ontwikkelingen van de verschillende XML-standaards en deze vertalen naar SuwiML. 10
Soort overleg Aard Deelnemers Frequentie Doel Domeingroep Privacy en Beveiliging (DPB) Tactisch Security officers Maandelijks De behandeling van de organisatorische aspecten en afhandeling van beveiligingsincidentende controle op de beveiligingsmaatregelen De advisering over ontwikkeling van en onderhoud op beveiligingsbeleid De verzorging van rapportages aan de SKI en het ministerie van SZW Soort overleg Aard Deelnemers Frequentie Doel Domeingroep Architectuur (DA) Tactisch Architecten Adhoc De behandeling van architectuur issues en vastleggen van ketenbrede architectuur afspraken. 11
3. Algemene beheer afspraken over de dienstverlening In dit hoofdstuk worden de beheerafspraken tussen de partijen beschreven die gelden voor de dienstverlening met betrekking tot de GeVS. Aan het einde van iedere paragraaf is een tabel met prestatienormen en meetmethoden opgenomen. De periode waarover gemeten wordt, is steeds een maand. Over de beschreven prestaties wordt maandelijks gerapporteerd door BKWI. Alle onderdelen van de dienstverlening, zoals beschreven in deze GeVS Keten SLA, zijn minimaal beschikbaar op werkdagen van 8:30 uur tot 18:00 uur. Werkdagen zijn alle weekdagen, behalve zaterdagen, zondagen en erkende feestdagen. Onder werkuren wordt verstaan de uren die vallen binnen het gestelde servicewindow. 3.1 Servicedesk ten behoeve van de burger Burgers kunnen met vragen m.b.t. het DKD klantportaal (klantbeeld) terecht bij het UWV Klanten Contact Centrum (KCC). UWV KCC is verantwoordelijk voor eerstelijns ondersteuning voor de burger. Iedere op de GeVS aangesloten partij heeft een eigen Servicedesk die verantwoordelijk is voor de afhandeling van de vragen van de professionals van die specifieke partij, en als 2 e- lijns ondersteuning fungeert voor de burger. 3.1.1 Prestatienorm Werkelijke openstellingstijd KCC komt 100% overeen met afgesproken tijden 7:00-19:00 uur Meetmethode Geconstateerde afwijkingen worden gemeld bij de Suwidesk. 3.1.2 Prestatienorm KCC neemt de telefoon in 80% van de gevallen op binnen 30 seconden. Meetmethode Geconstateerde afwijkingen worden gemeld bij de Suwidesk. 3.1.3 Prestatienorm 80% van de e-mails wordt binnen 8 werkuren beantwoord. Meetmethode Geconstateerde afwijkingen worden gemeld bij de Suwidesk. 3.2 Servicedesks ten behoeve van medewerkers van de aangesloten partijen Iedere partij - met uitzondering van de Gemeenten - is zelf verantwoordelijk voor de eerstelijns ondersteuning van de eigen gebruikers. Gebruikers van de Gemeenten worden ondersteund door het Inlichtingenbureau. Iedere partij heeft één (of meerdere) servicedesks ingericht, dit is voor de gebruikers het single point of contact waar zij terecht kunnen voor: - het stellen van vragen - het melden van storingen of klachten - het indienen van verzoeken tot wijziging De Suwidesk van BKWI fungeert als tweedelijns Servicedesk, ter ondersteuning van de Servicedesken van de op de GeVS aangesloten partijen. De Suwidesk en Servicedesks van de partijen zijn minimaal bereikbaar op werkdagen van 8:30 uur tot 18:00 uur. De SVB kent afwijkende openstellingstijden op werkdagen van 8:30 uur tot 17:30 uur. 12
3.2.1 Prestatienorm Werkelijke openstellingtijden Servicedesks en Suwidesk komen 100% overeen met afgesproken tijden 8:30-18:00 uur Meetmethode Geconstateerde afwijkingen worden genoteerd door Servicedesks en Suwidesk en gemeld bij de Suwidesk. 3.2.2 Prestatienorm Iedere servicedesk neemt de telefoon in 95% van de gevallen op binnen 20 seconden. Meetmethode Geconstateerde afwijkingen worden genoteerd door Servicedesks en Suwidesk en gemeld bij de Suwidesk. 3.3 Incidentbeheer De Suwidesk en Servicedesks zijn, onder coördinatie van de DIB, verantwoordelijk voor het aanmelden, routeren, oplossen en afmelden van ketenbrede incidenten volgens de procedure in het Keten DAP. De volgende oplostijden (in werkuren) gelden voor ketenbrede incidenten: Prioriteit Omschrijving Maximale oplostijd 1 Incidenten waarbij de dienst(en) in het geheel niet meer 4 werkuren functione(e)r(en)t. 2 Incidenten waarbij de functionaliteit zodanig is afgenomen dat de 8 werkuren dienst niet meer geheel functioneert. 3 Incidenten waarbij de dienst(en) gedeeltelijk niet meer 24 werkuren functione(e)r(en)t, maar waarbij het met de overgebleven functionaliteit toch redelijk mogelijk blijft om te kunnen functioneren. 4 Overige incidenten. Volgens afspraak De Sociale Verzekeringsbank streeft ernaar te voldoen aan bovengenoemde maximale oplostijden, echter kan deze niet garanderen. SVB kent een maximale oplostijd van 36 werkuren. 3.3.1 Prestatienorm De Suwidesk geeft een binnengekomen incident binnen 10 minuten door aan een oplosgroep. Meetmethode Tool Assyst: tijd tussen registratie en toewijzen van incidenten. 3.3.2 Prestatienorm Iedere partij lost incidenten binnen de afgesproken oplostijden op. Meetmethode Tool Assyst: tijd tussen registratie en oplossen van incidenten. 3.3.3 Prestatienorm Elk vermoeden van een inbreuk op de privacy of op de beveiliging van de GeVS dient direct gemeld te worden aan de eigen Security Officer. Meetmethode Handmatig 3.4 Probleembeheer In het Keten Overleg Service Support (KOSS) worden problemen geïdentificeerd en geprioriteerd. Het KOSS bepaalt wie verantwoordelijk is voor het oplossen van het probleem en of er een oplosgroep voor het benodigde onderzoek wordt samengesteld. De Suwidesk registreert problemen, bewaakt de voortgang en informeert de partijen hierover. Uitwerking van probleembeheer is te vinden in de GeVS Keten DAP. 3.4.1 Prestatienorm KOSS belegt probleem binnen drie werkdagen na het onderkennen van een probleem. Meetmethode Tool Assyst: verschil tussen registratiedatum en datum toewijzen. 13
3.4.2 Prestatienorm Een probleem wordt afgesloten als zijnde niet oplosbaar (besloten op basis van kosten baten), opgelost met behulp van met name te noemen wijziging(en). Meetmethode Handmatig 3.5 Wijziging- en releasebeheer Het Centraal Meldpunt Ketenwijzigingen (CMK) is voor alle Suwipartijen ingericht. Partijen dragen zorg voor de aanmelding van Ketenbrede wijzigingen aan het CMK door vaste contactpersonen (wijzigingscoördinatoren) van de partijen. Onderscheid wordt gemaakt tussen ketenwijzigingen en ketencomponent wijzigingen. Voor iedere soort wijziging is een procedure afgesproken in het, op dat moment geldende, document Uitvoeringsafspraken Ketenwijzigingen en releases. Dit document maakt deel uit van de GeVS Keten DAP en wordt jaarlijks geupdate. Het CMK is verantwoordelijk voor het registreren, routeren en publiceren van de ketenwijzigingen. Iedere partij heeft één of meerdere wijzigingscoördinatoren, die de ketenbrede wijzigingen afstemmen, inhoudelijk en qua planning. Jaarlijks worden de ketenrelease momenten vastgesteld voor het volgende jaar. Er worden maximaal vier ketenreleases geïmplementeerd per jaar. De releasemomenten worden gepubliceerd op de BKWI website en zijn als bijlage bij deze GeVS Keten SLA gevoegd. Niet Suwi-partijen die gebruik maken van de GeVS infrastructuur hebben een meldingsplicht (via het CMK) van wijzigingen die invloed (kunnen) hebben op de gezamenlijke infrastructuur. Zij worden via het CMK ook geïnformeerd over wijzigingen die de GeVS raken, echter ze zijn niet verplicht impactbepalingen te leveren op wijzigingen. Dit in tegenstelling tot de Suwi-partijen zelf. 3.5.1 Prestatienorm Minimaal 90% van de ketenwijzigingen worden conform planning geïmplementeerd. Meetmethode Tool Assyst-CMK: aantal wijzigingen totaal en aantal waarbij afsluitdatum eerder is dan geplande implementatiedatum 3.5.2 Prestatienorm Er worden geen ongeautoriseerde 6 wijzigingen uitgevoerd. Meetmethode Geconstateerde afwijkingen worden gerapporteerd door het CMK 3.5.3 Prestatienorm Er volgen geen incidenten naar aanleiding van het doorvoeren van een wijziging. Meetmethode Handmatig: aantal incidenten gerelateerd aan een wijziging 3.6 Configuratiebeheer Iedere op de GeVS aangesloten partij is zelf verantwoordelijk voor de inrichting van configuratiebeheer. Ter ondersteuning van de verschillende beheerprocessen stelt het BKWI, onder coordinatie van de DIB, op het Centraal Meldpunt Ketenwijzigingen (CMK) een recente lijst met ketencomponenten beschikbaar. 3.6.1 Prestatienorm Incidenten, problemen en wijzigingen worden aan de juiste componenten gekoppeld. Meetmethode Handmatig 6 Ongeautoriseerde wijzigingen, zijn alle wijzigingen die niet (geheel) conform de Uitvoeringsafspraken Ketenbreed Wijzigingsbeheer zijn uitgevoerd. 14
3.7 Beschikbaarheidbeheer Iedere op de GeVS aangesloten partij is verantwoordelijk voor de beschikbaarheid van de eigen infrastructuur (netwerk) en componenten (webservices e.d.). Onderscheid wordt gemaakt in beschikbaarheid ten behoeve van de eigen organisatie en beschikbaarheid waarbij andere organisaties afhankelijk zijn van deze beschikbaarheid. De eerste valt buiten de scope van de GeVS Keten SLA. De beschikbaarheid waarvan derden afhankelijk zijn blijft verantwoordelijkheid van de eigen organisatie, echter partijen zijn bij tekortkomingen hierop aan te spreken. De beschikbaarheidseisen van de verschillende diensten zijn terug te vinden in hoofdstuk 4. Hierover wordt maandelijks gerapporteerd. Partijen moeten zelf maatregelen nemen om aan de gestelde normen te kunnen voldoen. Hierin wordt ook door elke partij proactief op gemonitored en op geacteerd. 3.7.1 Prestatienorm Partijen voldoen aan de keteneisen voor wat betreft beschikbaarheid. Afwijkingen worden gedetecteerd en besproken in de Domeingroep ICT Beheer. Meetmethode Tool Assyst; in managementrapportage 3.8 Onderhoudstijden Gepland onderhoud, uitgevoerd door (één van) de partijen, aan (een onderdeel van) de diensten (omschreven in hoofdstuk 4), vindt uitsluitend plaats buiten de afgesproken openstellingstijden. Hiervan mag enkel afgeweken worden met goedkeuring van de Domeingroep ICT Beheer. Vastlegging hiervan vindt plaats in de notulen van de DIB of per mail. De in de keten vastgestelde releasemomenten zijn terug te vinden in de bijlage bij deze GeVS Keten SLA. 3.8.1 Prestatienorm Onderhoud vindt alleen binnen de, in deze GeVS Keten SLA vastgelegde onderhoudstijden, plaats. Meetmethode Geconstateerde afwijkingen worden genoteerd door Servicedesken en Suwidesk en gemeld bij de Suwidesk. Bijzonderheden met betrekking tot de onderhoudsmomenten, waarin beschikbaarheid van de diensten zeker niet gegarandeerd kan worden: Partij UWV SVB DUO BKWI Bijzonderheden Onderhoudsmomenten vinden plaats iedere derde volle weekend van de maand Onderhoudsmomenten worden in de weekenden gepland, maar staan over het algemeen los van de beschikbaarheid voor Suwinet Inkijk. Over alle weekenden van het jaar berekend levert SVB 85% beschikbaarheid in de weekenden. Onderhoudsmomenten elke 2e zondag van de maand tussen 07.00 en 10.00 of tussen 07.00 en 12.00 uur. Verwachting is dat vier maal per jaar het verlengde onderhoudswindow benodigd is. Ieder eerste weekend van de maand. Voor de overige partijen zijn geen bijzonderheden. 15
3.9 Beheer SGR en SuwiML Elke uitwisseling van gegevens die plaatsvindt via de GeVS dient zich te conformeren aan het SGR en SuwiML. Het SGR beschrijft de (cliënt)gegevens, die binnen de Suwiketen worden uitgewisseld. In het register wordt de semantische definitie van de gegevens vastgelegd, de "metagegevens" (formaat, structuur, waardebereik) van een gegeven, evenals de wijze waarop de gegevens worden gecodeerd in de gemeenschappelijke taal voor elektronische uitwisseling in het Suwidomein, te weten SuwiML. In het SGR wordt het waardebereik van een bepaald gegeven opgenomen. De codes die regelmatig aan wijziging onderhevig zijn, worden opgenomen in zogenaamde "externe" codetabellen. De inhoud van deze "externe" codetabellen wordt beheerd en bepaald door de betrokken Suwipartijen en/of de basisregistraties/norminstanties zoals GBA, ISO en Vektis. BKWI krijgt van deze partijen de wijzigingen aangeleverd en legt deze vast in de bijbehorende codetabellen. Het SGR en de codetabellen worden door BKWI op haar website beschikbaar gesteld. Indien de gegevens die binnen de Suwiketen worden uitgewisseld zijn ontsloten vanuit basisregistraties/authentieke bronnen, dan worden de semantische definities en de bijbehorende metagegevens van die basisregistraties/authentieke bronnen zoveel mogelijk ongewijzigd overgenomen in het SGR. Op het gebied van gegevens en berichten worden de goedgekeurde wijzigingsverzoeken (via het CMK) behandeld in de Domeingroep Gegevens & Berichten en de bijbehorende werkgroepen. In de DGB zitten de vertegenwoordigers van de ketenpartijen die goedgekeurde wijzigingen verder intern afstemmen. Iedere partij heeft immers een eigen gegevensregister (CGR, UGR, GGR). Binnen de keten zijn afspraken gemaakt hoe elektronische berichten in het Suwi domein kunnen worden ingepakt (header, enveloppe, body, wsdl) en verstuurd. De standaard wordt gebruikt bij het online bevragen van gegevens in Suwinet-inkijk en voor het doorgeven van gegevens in de vorm van meldingen volgens het store and forward prinicpe.uitwisseling tussen partijen moet dan ook gebeuren met in achtneming van de afspraken met betrekking tot de SuwiML Transactiestandaard. De actuele SuwiML Transactiestandaard is te vinden op de website van BKWI. 3.10 Privacy en beveiliging Elke partij is zelf verantwoordelijk voor de bescherming van de persoonsgegevens die via de GeVS worden uitgewisseld en binnen de eigen bedrijfsprocessen worden verwerkt. Partijen zorgen voor de beveiliging van de eigen delen van de GeVS. De beheerorganisaties van de afzonderlijke partijen zijn vrij te kiezen welke beveiligingsmaatregelen worden ingezet, mits het niveau van beveiliging volstaat, en aan het classificatie niveau wordt voldaan. Elke organisatie verplicht zich te voldoen aan de ketenbrede eisen aangaande privacy en beveiliging en legt hier jaarlijks verantwoording over af. Naast de wettelijke eisen, zoals opgenomen in de WBP en Wet Suwi, zijn aanvullende eisen aangaande privacy en beveiliging na vaststelling door de SKI verwerkt in het Normenader GeVS en in de GeVS Keten SLA. Partijen zijn elk verantwoordelijk voor de bescherming van de privacy in relatie tot de persoonsgegevens welke zij via de GeVS uitwisselen en/of verwerken. 16
Iedere partij geeft in een beveiligingsplan aan op welke wijze zij hieraan invulling geeft en stelt een functionaris aan belast met de coördinatie van en toezicht op de beveiliging (voor de keten aangemerkt als Security Officer Suwinet) en interne controles. Jaarlijks vindt er een audit plaats op basis van het vastgestelde normenkader, hierover wordt gerapporteerd. Normen betreffende Privacy & Beveiliging zijn vastgelegd in de verantwoordingsrichtlijnen. 3.10.1 Prestatienorm Er vinden geen overschrijdingen plaats van de wettelijke en Ketenbrede eisen aangaande privacy en beveiliging. Meetmethode Geconstateerde afwijkingen worden geregistreerd door de Servicedesken en Suwidesk en als beveiligingsincident gemeld bij de Suwidesk. De Security Officer van het BKWI bewaakt (en coördineert) de voortgang van beveiligingsincidenten en rapporteert deze in de reguliere rapportage aan het SKI. 3.10.1 Logging en monitoring Vanuit de Regeling Suwi geldt de verplichting dat alle gebruikershandelingen vastgelegd worden, zodat eventueel misbruik gedetecteerd kan worden en opdat deze informatie kan worden gebruikt als bewijslast. BKWI verstrekt regulier rapportages, vanuit de Suwibroker en de inkijklogging, op basis waarvan de op de GeVS aangesloten organisaties oneigenlijk gebruik en misbruik kunnen detecteren, daarnaast verstrekt BKWI partijen op verzoek specifieke rapportages aangaande het gebruik van de GeVS. Afspraken en procedures zijn vastgelegd in het document Informatie over logging gebruik GeVS. Dit document is opgenomen in de GeVS Keten DAP. De servers, die onderdeel uitmaken van de centrale omgeving, bevatten, buiten de logbestanden, geen persoonsgegevens. Tijdelijke gegevens op servers (cache) of in netwerkapparatuur, worden slechts gedurende een maximale periode van 8 uur bewaard. 3.10.2 Prestatienorm Aantal reguliere rapportages geleverd voor de 10e van de maand. Meetmethode Handmatig 3.10.3 Prestatienorm Aantal specifieke rapportages geleverd binnen 1 week Meetmethode Handmatig 3.11 Ketenarchitectuur De ketenarchitectuur biedt toekomstvaste, gemeenschappelijke kaders voor de gezamenlijke ontwikkeling van de keten. De architectuur wordt concreet toegepast in de uitwerking in projecten. 17
De ketenarchitectuur richt zich in eerste instantie op de aansluiting tussen organisaties; daarnaast richt zij zich op gemeenschappelijke ontwikkelingen. Het doel van de architectuur is de ketendienstverlening aan de gemeenschappelijke klant effectiever en efficiënter te laten verlopen. De ketenarchitectuur dient als: 1) Stuurinstrument Architecturen geven inzicht en richting, zodat oplossingsrichtingen en prioriteiten mede aan de hand ervan kunnen worden bepaald. 2) Communicatie-instrument De gemeenschappelijke beelden en afspraken kunnen eenduidig worden gecommuniceerd. Parallelle ontwikkeltrajecten maken gebruik van een en dezelfde verzameling kaders, afspraken en begrippen. 3) Toetsinstrument De ketenpartners kunnen de eigen plannen en keuzen toetsen aan de gemaakte ketenafspraken. Externe partijen kunnen ketenarchitectuur gebruiken als hulpmiddel om te toetsen of zij binnen de afgesproken context ontwikkelactiviteiten ontplooien. 3.12 Escalatie De afgesproken escalatieprocedure is opgenomen in het GeVS Keten DAP en beschrijft escalatie voor volgende gevallen; - dreigende overschrijding van oplostijden van incidenten - (vermoeden) van een beveiligingsincident - niet of verkeerd uitvoeren van procedures - niet nakomen van ketenafspraken en/of verplichtingen 3.13 Uitwijk De ketenbrede integratietestomgeving (KIT) wordt tevens gebruikt als uitwijkomgeving. Er is een uitwijkprocedure voor de GeVS afgesproken en opgenomen in het GeVS Keten DAP. Eventuele afwijkingen worden in de DIB besproken, waarvan verslag wordt gemaakt (notulen). Daarnaast wordt hierover gerapporteerd in de reguliere DIB rapportages. 3.14 Inzichtelijkheid verversing afgeleide databases Elke partij die gebruik maakt van gegevenslevering aan de keten via een tussenbestand (database), dragen zorg voor de inzichtelijkheid van de verversing van deze tussenbestanden. Te aller tijden wordt getracht de verversing zo actueel mogelijk te houden. De partijen kennen hiervoor een inspanningsverplichting. 18
4. Afspraken over specifieke diensten In hoofdstuk drie zijn de algemene afspraken omtrent de dienstverlening beschreven. In dit hoofdstuk worden specifieke diensten in een aantal tabellen uitgewerkt. Eventuele uitzonderingen en aanvullingen op de algemene afspraken en de verdeling van verantwoordelijkheden wordt per dienst aangegeven. Aan het einde van iedere tabel zijn prestatienormen en meetmethoden opgenomen. De periode waarover gemeten wordt, is steeds een maand. (Onderdelen van) diensten die in eigen beheer zijn bij de partijen en alleen bestemd zijn voor eigen gebruik, zijn niet in dit hoofdstuk opgenomen. In Bijlage III is ter illustratie de scope van de Suwinet-Infrastructuur weergegeven en een illustratie van de wijze waarop beschikbaarheid en responsetijden worden gemeten. Toelichting bij onderstaande tabellen Omschrijving dienst Eigenaar dienst Beheerder Samenvatting activiteiten Bijzonderheden korte omschrijving van de dienst welke functionaris van de dienstverlenende partij is verantwoordelijk voor het leveren van de dienst wie beheert de dienst en is contactpersoon voor inhoudelijke vragen (via de Suwidesk of Servicedesk) korte opsomming van activiteiten die bij de dienst zijn inbegrepen en eventueel welke niet uitzonderingen op de algemene dienstverlening zoals omschreven in hoofdstuk 3 en aanvullende opmerkingen Nr. Prestatienorm opsomming van meetbare prestaties die tussen de partijen zijn afgesproken, zoals responsetijd en beschikbaarheid Meetmethode methode die gebruikt wordt om de prestaties te meten, zodat er gerapporteerd kan worden over de dienstverlening 4.1 Technisch beheer centrale omgeving GeVS Omschrijving dienst Eigenaar dienst Beheerder Samenvatting activiteiten Bijzonderheden Het beheren van de centrale omgeving van de GeVS, zodat gegevensverkeer tussen Suwipartijen kan plaatsvinden (zie illustratie in bijlage III). BKWI BKWI - Beheren van de centrale services, servers en componenten 7 dagen per week en 24 uur per dag. - Bewaken van en adviseren over de beschikbare capaciteit - Preventief en perfectief onderhoud - Garanderen beschikbaarheid uitwijkvoorziening Geen 19
4.1.1 Prestatienorm Beschikbaarheid centrale omgeving 24 uur per dag: 99,9% N.B. preventief en perfectief onderhoud wordt uitgevoerd op maandag van 0.00-4:00 uur. Dit geldt niet als non-beschikbaarheid. Meetmethode De beschikbaarheid wordt gemeten o.b.v. 24 uur/7dagen per week; 4.1.2 Prestatienorm Beschikbaarheid DNS-servers 24 uur per dag: 99% Meetmethode Beschikbaarheid wordt door Watchmouse (website en server monitoring tool) gemeten. 4.2 Beheer en beschikbaarstelling gebruikersadministratie Omschrijving dienst Eigenaar dienst Beheerder Samenvatting activiteiten Bijzonderheden In de gebruikersadministratie wordt per organisatie bijgehouden welke top-level beheerder welke autorisaties en eigenschappen heeft voor Suwinet-Inkijk. Aangesloten partijen zijn autonoom wat betreft het voor de toegewezen rollen autoriseren van het eigen personeel. BKWI BKWI - Beschikbaar stellen van de tool voor gebruikersadministratie - Aanmaken en/of wijzigen rollen of profielen - Aanmaken en/of wijzigen autorisaties van top-level beheerders en wijzigen eigenschappen van autorisaties van top-level beheerders - Registreren van de Suwinet-Inkijk gebruikers en de bijbehorende rollen* - Rapporteren over het aantal gebruikers dat is ingelogd op Suwinet- Inkijk op basis van de logfiles Randvoorwaarde: het verzoek tot het aanmaken van een autorisatie wordt in behandeling genomen wanneer dat door een daartoe bevoegde functionaris is gedaan. * Het toekennen van rechten aan gebruikers is een taak van iedere Suwipartij afzonderlijk 4.2.1 Prestatienorm Onder voorwaarde dat registratiehouders met de wijziging akkoord zijn, maakt of wijzigt BKWI een rol of profiel binnen 5 werkdagen Meetmethode Tool Assyst: tijd tussen registratie aanvraag en afsluiten call 4.2.2 Prestatienorm BKWI verwerkt een autorisatieverzoek binnen 8 uur na ontvangst Meetmethode Tool Assyst: tijd tussen registratie aanvraag en afsluiten call 4.2.3 Prestatienorm Beschikbaarheid Gebruikersadministratie is 7 x 24 uur, met uitzondering van vooraf aangekondigde onderhouds- en releasemomenten. Buiten de openstellingstijden van Suwinet Inkijk is er echter geen ondersteuning beschikbaar. Meetmethode Tool Assyst: Storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend 4.3 Logische toegangsbeveiliging Omschrijving dienst Beveiliging van de toegang tot Suwinet-Inkijk met behulp van Enforcer en Validator, onderdelen van de logische toegang beveiligingsapplicatie SelectAccess. Eigenaar dienst BKWI Beheerder Enforcer Functioneel Beheer: BKWI Enforcer Technisch Beheer: BKWI, Inlichtingenbureau Validator Functioneel Beheer: BKWI Validator Technisch Beheer: BKWI 20