Gezamenlijke elektronische Voorzieningen Suwi Keten

DEFINITIEF GeVS Keten SLA 9.0
Gezamenlijke elektronische
Voorzieningen Suwi
Keten
Service Level Agreement
versie 9.0
Pagina 1 van 35 DEFINITIEF GeVS Keten SLA 9.0
Inhoud
1. Over de GeVS Keten SLA .................................................................. 5 1.1 Inleiding .................................................................................................................................... 5 1.2 Leeswijzer ................................................................................................................................ 5 1.3 Doel van de Keten SLA .......................................................................................................... 5 1.4 Suwipartijen en niet-Suwipartijen ......................................................................................... 5 1.5 Gemeenten als Suwipartij ..................................................................................................... 6 1.6 Positie van de Keten SLA ...................................................................................................... 6 1.7 Deelnemende organisaties ................................................................................................... 6 1.8 Bereik van de Keten SLA ...................................................................................................... 7 1.9 Evaluatie, duur en wijziging van de Keten SLA .................................................................. 7 2. Algemene bepalingen ........................................................................ 9 2.1 Informatieplicht en geheimhouding ...................................................................................... 9 2.2 Kosten en verdeling ................................................................................................................ 9 2.3 Resultaatverplichting .............................................................................................................. 9 2.4 Geschillen over de Keten SLA .............................................................................................. 9 2.5 SUWI Standaarden .............................................................................................................. 10 2.5.1 SGR en SuwiML ............................................................................................................ 10 2.5.2 Verantwoordingsrichtlijn en normenkader GeVS ...................................................... 11 2.5.3 Ketenarchitectuur .......................................................................................................... 13 2.6 Logging, monitoring en rapportage .................................................................................... 14 2.7 Escalatie ................................................................................................................................ 15 2.8 Uitwijk ..................................................................................................................................... 15 3. Afnemersdeel Keten SLA ................................................................. 16 3.1 Inleiding .................................................................................................................................. 16 3.2 Dienstverlening aan afnemers ................................................................................................. 16 3.2.1 Suwinet-Inkijk ................................................................................................................. 16 3.2.2 Suwinet-Inlezen ............................................................................................................. 16 3.2.3 Suwinet-mijn gegevens (Klantbeeld) .......................................................................... 16 3.2.4 Suwinet-Correctie .......................................................................................................... 16 3.2.5 Suwinet-Mail ................................................................................................................... 16 3.2.6 Suwinet-Meldingen ........................................................................................................ 17 3.2.7 Suwinet-Autorisatie ....................................................................................................... 17 Pagina 2 van 35 DEFINITIEF GeVS Keten SLA 9.0
3.2.8 Ketenbrede Testomgeving ........................................................................................... 17 3.2.9 Bijzonderheden .............................................................................................................. 17 3.3 Incidentbeheer ...................................................................................................................... 17 3.4 Servicedesks ten behoeve van medewerkers van de aangesloten partijen ................ 18 3.5 Wijziging- en releasebeheer ............................................................................................... 18 3.6 Probleembeheer ................................................................................................................... 19 3.7 Capaciteitsbeheer afnemers ............................................................................................... 19 3.8 Configuratiebeheer ............................................................................................................... 19 3.9 Beschikbaarheidsbeheer ..................................................................................................... 20 3.10 Logische toegangsbeveiliging .......................................................................................... 20 4. Leveranciersdeel Keten SLA ............................................................ 21 4.1 Inleiding .................................................................................................................................. 21 4.2 Algemene beschikbaarheid (uptime) van het netwerk .................................................... 21 4.3 Incidentbeheer ...................................................................................................................... 21 *Met reactietijd wordt bedoeld de tijd waarbinnen gestart wordt met het oplosproces. ........... 21 4.4 Probleembeheer ................................................................................................................... 21 4.5 Wijziging- en releasebeheer ............................................................................................... 22 4.6 Capaciteitsbeheer ................................................................................................................. 23 4.7 Configuratiebeheer ............................................................................................................... 23 4.8 Beschikbaarheidsbeheer ..................................................................................................... 23 4.9 Onderhoudstijden .................................................................................................................... 23 4.10 Escalatie ................................................................................................................................. 24 4.11 Calamiteiten ........................................................................................................................ 24 4.12 Inzichtelijkheid verversing afgeleide databases ............................................................. 24 4.13 XML-diensten ...................................................................................................................... 25 4.14 Ketentesten ......................................................................................................................... 25 4.14.1 Beheer en beschikbaarstelling Keten brede Integratie Testomgeving (KIT) ...... 25 4.15 Suwinet-Mail ........................................................................................................................ 26 4.16 Beheer en beschikbaarstelling Suwinet-Meldingen ...................................................... 26 4.17 Afspraken per leverancier ................................................................................................. 27 4.17.1 Toelichting bij de tabellen .......................................................................................... 27 4.17.2 Technisch beheer centrale omgeving GeVS ........................................................... 27 4.17.3 Beheer en beschikbaarstelling gebruikersadministratie ........................................ 27 4.17.4 Beheer en beschikbaarstelling van Suwinet-Inkijk ................................................. 28 Pagina 3 van 35 DEFINITIEF GeVS Keten SLA 9.0
4.17.5 Beheer en beschikbaarstelling correctieservice ..................................................... 28 4.17.6 Beheer en beschikbaarstelling filtermechanisme ................................................... 29 4.17.7 Beheer en beschikbaarstelling van Suwinet-Mail ................................................... 29 4.17.8 Beheer en Beschikbaarstelling van Suwinet- Mijn gegevens (Klantbeeld) ......... 29 4.17.9 Logische toegangsbeveiliging ................................................................................... 30 5. Bijlagen ............................................................................................ 31 5.1 Managementrapportage ...................................................................................................... 31 5.2 Specifieke beheerrapportages ................................................................................................. 31 5.3 Organigram overlegorganen ............................................................................................... 32 5.4 Overlegstructuur ................................................................................................................... 32 5.5 Releasekalender 2014 ......................................................................................................... 35 5.6 Ondertekening .................................................................. Fout! Bladwijzer niet gedefinieerd. Pagina 4 van 35 DEFINITIEF GeVS Keten SLA 9.0
1.
Over de GeVS Keten SLA
1.1
Inleiding
Sinds 2004 wordt jaarlijks in Suwi verband een GeVS Keten Service Level Agreement (verder genoemd Keten SLA) opgesteld met de afspraken tussen de partijen die via de Gezamenlijke elektronische Voorzieningen Suwi (verder genoemd GeVS) gegevens uitwisselen over beschikbaarheid, responsetijden, openingstijden, oplostijden van incidenten en dergelijke. Deze versie van de Keten SLA kent een andere indeling dan voorheen. De Keten SLA is grofweg verdeeld in drie delen; een algemeen deel, een afnemers specifiek deel en een leveranciers specifiek deel (bron). Hiermee wordt meer inzichtelijk welke eisen afnemer en leverancier specifiek zijn. Deze Keten SLA (versie 9.0) vervangt versie 8.0 en bevat de gezamenlijke afspraken die gemaakt zijn tussen de partijen over de dienstverlening van de Gezamenlijke elektronische Voorzieningen Suwi. 1.2
Leeswijzer
In hoofdstuk twee worden de algemene bepalingen beschreven welke gelden voor de Keten SLA. In hoofdstuk drie volgt het afnemersdeel van de Keten SLA en in hoofdstuk vier worden de leveranciers specifieke eisen beschreven. Voor partijen die zowel afnemer als leverancier van gegevens zijn, zijn dus beide hoofdstukken van toepassing. Hoofdstuk vijf bevat relevante bijlagen. 1.3
Doel van de Keten SLA
De Keten SLA heeft als doel het vastleggen van concrete afspraken tussen de verschillende via de GeVS uitwisselende partijen, op basis waarvan de gezamenlijke prestaties gemeten kunnen worden. Met de vastlegging van deze afspraken kan worden geborgd, dat een bepaald niveau van dienstverlening door de verschillende partijen ook daadwerkelijk geleverd wordt. De Keten SLA gaat uit van resultaatverplichtingen. Over het nakomen van de afgesproken prestatienormen wordt maandelijks door BKWI gerapporteerd in een Service Level Rapportage (verder genoemde SLR) , opdat gerichte bewaking, sturing en verbetering van de dienstverlening mogelijk zijn. Bewaking van de resultaten en activiteiten ter verbetering vinden plaats in of onder regie van de Domeingroep ICT Beheer (verder genoemd DIB). De Keten SLA is niet, zoals veelal gebruikelijk, een overeenkomst tussen één leverancier en één afnemer, maar is een gezamenlijke overeenkomst tussen de verschillende op de GeVS aangesloten partijen. 1.4
Suwipartijen en niet-Suwipartijen
Bij de uitvoering van de wettelijke taken binnen het domein Werk en Inkomen zijn meerdere uitvoeringsorganisaties betrokken. Dit zijn UWV, SVB en de gemeenten. Deze partijen worden in de Wet Suwi Suwipartijen genoemd. Het Inlichtingenbureau treedt op als bewerker en doorgever van de gegevens voor de gemeenten. Onder voorwaarden is de GeVS ook te gebruiken door zogenaamde niet-­‐Suwipartijen. Voor aansluiting van deze partijen dient het Aansluitprotocol GeVS1 gevolgd te worden. Een niet-­‐ Suwipartij dient contact op te nemen met de leverancier van de gegevens (bronhouder), om te komen tot een eventuele gegevenslevering. Conform het Aansluitprotocol GeVS dienen niet-­‐Suwipartijen zich in elk geval te conformeren aan de inhoud van de Keten SLA. 1
Bijlage III bij de Regeling Suwi: http://www.st-­‐ab.nl/wetsuwior1rsbijlagen.htm Pagina 5 van 35 DEFINITIEF GeVS Keten SLA 9.0
Deze organisaties voeren elk een deel van de dienstverlening in het kader van Werk en Inkomen uit en hebben daartoe elk hun eigen, vanuit GeVS perspectief, decentrale, elektronische-­‐voorzieningen ingericht. Het aansluitprotocol met hierin de verdere uitwerking van dit traject is te vinden op de website van het BKWI (http://www.bkwi.nl). 1.5
Gemeenten als Suwipartij
De gemeenten zijn betrokken bij de keten dienstverlening, in de rol van leverancier en afnemer. De gemeente is Suwipartij voor de taken benoemd in de Wet Suwi en WWB, voor overige taken is zij een niet-­‐Suwipartij. 1.6
Positie van de Keten SLA
De basis voor de afspraken in de Keten SLA is vastgelegd in de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet Suwi) en de nadere uitwerking in het Besluit Suwi en de Regeling Suwi. Enerzijds sluit de Keten SLA aan bij genoemde wetgeving en bij de afspraken die in bestaande Service Niveau Overeenkomsten (SNO’s) tussen de verschillende partijen zijn vastgelegd en anderzijds stelt deze eisen aan de contracten die de verschillende partijen met hun ICT-­‐leveranciers hebben afgesloten (in underpinning contracts). De afspraken van de Keten SLA zijn nader uitgewerkt in het Keten Dossier Afspraken & Procedures (Keten DAP). Het Keten DAP bevat ook een lijst met verschillende contactpersonen bij de verschillende deelnemende partijen. Het Keten DAP wordt door het Keten Incidenten en Problemen Overleg onderhouden en ter goedkeuring voorgelegd aan de DIB. 1.7
Deelnemende organisaties
De Keten SLA is een overeenkomst tussen de volgende partijen in de volgende hoedanigheid. Organisatie
Leverancier Afnemer
Bureau Keten Informatisering Werk en Inkomen (BKWI)2 X Centraal Administratie Kantoor (CAK) X Zorginstituut Nederland (ZINL) X Dienst Uitvoering Onderwijs (DUO) X X Immigratie en Naturalisatie Dienst (IND) X Inspectie SZW (ISZW) X X X Dienst Justitiële uitvoeringsdienst Toetsing, Integriteit en Screening (Justis)3 X Sociale Verzekeringsbank (SVB) X X Stichting Inlichtingenbureau (IB)4
X
X
G4* (waarbij Wigo4it namens de G45 de dienstverlening van de SUWI-­‐
ketenpartners coördineert)
X
X
Uitvoeringsinstituut Werknemers Verzekeringen (UWV) BKWI vervult de rol van leverancier voor de gegevens van Kadaster , Kamer van Koophandel (KVK) en Rijksdienst
Wegverkeer (RDW) 3 Dienst Justis ten behoeve van Bureau BIBOB en TRACK 4 Achter het Inlichtingenbureau gaan de leverende gemeenten en gemeentelijke samenwerkingsverbanden schuil 2
Pagina 6 van 35 DEFINITIEF GeVS Keten SLA 9.0
bronnen en gebruikers
bronnen
niet Suwipartijen*
Suwipartijen*
UWV
GSD
(IB)
GBA
SVB
RDW
DUO
KvK
Kadaster
Belasting
dienst
* Suwipartijen raadplegen gegevens
van Suwi- en niet-Suwipartijen.
Binnen een paar seconden
een digitaal klantdossier op maat
* Niet-Suwipartijen raadplegen
gegevens van Suwipartijen
Suwipartijen*
gebruikers
UWV
GSD
SVB
RMC
SNG
Burger
zaken
niet Suwipartijen*
IND
CAK
Inspectie
dienst
SZW
Justis
Gemeentelijke
Belastingdeur
waarders
CvZ
IVT
1.8
Bereik van de Keten SLA
In de Keten SLA zijn de afspraken vastgelegd, die gemaakt zijn tussen partijen met betrekking tot de Gezamenlijke elektronische Voorziening Suwi. De Gezamenlijke elektronische Voorzieningen Suwi (GeVS) is een verzameling van centrale en decentrale voorzieningen die zorgdragen voor de gegevensuitwisseling tussen gegevensaanbieders en afnemers in de keten Werk en Inkomen. Deze voorzieningen zijn vastgelegd in artikel 5.21 van het Besluit SUWI, inclusief de taken op het gebied van de inrichting en beheer. Een actuele lijst van de GeVS componenten kan gevonden worden in KArWeI. 1.9
Evaluatie, duur en wijziging van de Keten SLA
De Keten SLA geldt vanaf het moment van tekenen en blijft geldig tot opzegging of vervanging door een nieuwe Keten SLA. De Keten SLA wordt minstens één keer per jaar geëvalueerd door de DIB. Tussentijdse aanpassingen worden -­‐ na afstemming met de andere domeingroepen 6 -­‐vastgelegd in de afsprakenlijst van de notulen van de DIB en zijn vanaf dat moment geldend. De afspraken worden uiteindelijk verwerkt in de jaarlijks uit te brengen Keten SLA. 5
gemeenten Amsterdam, Rotterdam, Utrecht en Den Haag 6
Architectuur, gegevens en berichten en privacy en beveiliging zijn aspecten die in de andere domeingroepen zijn belegd. Pagina 7 van 35 DEFINITIEF GeVS Keten SLA 9.0
Wanneer één der partijen, buiten de jaarlijkse evaluatie om, een wijziging in of beëindiging van de Keten SLA wenst, dan treden de partijen in overleg en wordt de voorgenomen wijziging of beëindiging ter goedkeuring aan de DIB voorgelegd. Kleine wijzigingen (in bijvoorbeeld de rapportage of kleine infrastructurele wijzigingen) worden vastgelegd in een addendum op de Keten SLA en zijn van toepassing zodra deze zijn goedgekeurd door de DIB en waar nodig door de andere domeingroepen. De Keten SLA met eventuele addenda worden gepubliceerd op http://www.bkwi.nl Pagina 8 van 35 DEFINITIEF GeVS Keten SLA 9.0
2.
Algemene bepalingen
2.1
Informatieplicht en geheimhouding
Partijen verplichten zich om elkaar tijdig alle informatie te verschaffen en medewerking te verlenen welke noodzakelijk zijn voor het uitvoeren van de afspraken in de Keten SLA. Alle in het kader van de Keten SLA ter beschikking gestelde of verkregen informatie over partijen, hun doelen en bedrijfsprocessen zal door de partijen strikt vertrouwelijk worden behandeld. Deze informatie zal niet worden aangewend voor andere doeleinden dan waarvoor deze is aangevraagd en verstrekt. Deze informatie wordt ook niet aangewend ten behoeve van derden zonder uitdrukkelijke en schriftelijke toestemming van betrokken partijen. De persoonsgegevens die partijen als leverancier via de GeVS ter beschikking stellen, stellen zij slechts ter beschikking voor zover deze gegevens noodzakelijk zijn voor de uitvoering van een opgedragen wettelijke taak en er een wettelijke basis voor is. Ruimer gebruik van de ter beschikking gestelde persoonsgegevens is niet toegestaan. Voor zover gebruik gemaakt wordt van tijdelijke opslag (cache) is de tijd van opslag van ontvangen persoonsgegevens beperkt tot maximaal 24 uur en mogen deze gegevens niet gebruikt worden voor andere doelen dan waarvoor deze zijn beschikbaar gesteld. 2.2
Kosten en verdeling
Tenzij vooraf uitdrukkelijk anders wordt overeengekomen, dragen partijen elk zelf de kosten die voor hen aan de uitvoering van de Keten SLA zijn verbonden. 2.3
Resultaatverplichting
De betrokken partijen rapporteren in de domeingroepen aan elkaar over de algehele prestaties en de naleving van de binnen de keten geldende afspraken. BKWI rapporteert via de vastgestelde paden over de gezamenlijk behaalde resultaten. Deze vastgestelde paden zijn te vinden in de Keten DAP. Waar nodig worden onderling de te nemen verbetermaatregelen benoemd en neergelegd bij een eindverantwoordelijke. De DIB volgt het verbetertraject en rapporteert hierover naar de keten. In het geval één der partijen structureel toerekenbaar tekort schiet in de nakoming van haar verplichtingen, zal de DIB het bestuur of de directie van de nalatige partij schriftelijk verzoeken passende maatregelen te treffen. De nalatige partij dient een onderbouwd actieplan te presenteren waarin aangeven wordt welke maatregelen zij treft om de problemen op te lossen en te voorkomen dat deze problemen zich in de toekomst weer voor zullen komen. Hierbij wordt aangegeven binnen welke termijn de tekortkoming wordt opgelost. In elk geval omvat het actieplan de volgende punten: •
welke actie wordt genomen; •
wanneer actie wordt genomen; •
wanneer de tekortkoming is verholpen; •
hoe voorkomen wordt dat eenzelfde tekortkoming nog eens optreedt. 2.4
Geschillen over de Keten SLA
Geschillen tussen partijen betreffende de Keten SLA en de uitvoering hiervan worden te allen tijde schriftelijk bij elkaar ingediend en bevestigd. BKWI wordt op de hoogte gebracht van het geschil. Vervolgens treden partijen in overleg, waarbij BKWI de coördinerende rol voor haar rekening neemt. Wanneer uit overleg tussen de partijen blijkt dat geen overeenstemming over het geschil kan worden bereikt, wordt het geschil ter bespreking en besluitvorming geagendeerd op directieniveau. Pagina 9 van 35 DEFINITIEF GeVS Keten SLA 9.0
2.5
SUWI Standaarden
Binnen de GevS kennen wij verschillende standaarden, naast de Keten SLA zijn de volgende standaarden van toepassing op uitwisseling via de GeVS, die onderdeel uitmaken van deze Keten SLA: •
SGR en SuwiML •
Verantwoordingsrichtlijn en Normenkader GeVS •
Ketenarchitectuur 2.5.1 SGR en SuwiML
Elke uitwisseling van gegevens die plaatsvindt via de GeVS dient plaats te vinden conform de afgesproken standaarden Suwi Gegevens Register (verder genoemd SGR) en SuwiML (transactiestandaard en berichtenstandaard). Het SGR beschrijft de (cliënt)gegevens, die binnen de Suwiketen worden uitgewisseld. In het SGR wordt vastgelegd: • de semantische definitie van de gegevens • de "metagegevens" (formaat, structuur, waarde bereik) van een gegeven • de wijze waarop de gegevens worden gecodeerd in de gemeenschappelijke taal voor elektronische uitwisseling in het Suwidomein, te weten SuwiML In het SGR wordt het waarde bereik van een bepaald gegeven opgenomen. De codes die regelmatig aan wijziging onderhevig zijn, worden opgenomen in zogenaamde "externe" codetabellen. De inhoud van deze "externe" codetabellen wordt beheerd en bepaald door de betrokken Suwipartijen en/of de basisregistraties/norminstanties zoals GBA, ISO en Vektis. BKWI krijgt van deze partijen de wijzigingen aangeleverd en legt deze vast in de bijbehorende codetabellen. Het SGR en de codetabellen worden door BKWI op haar website beschikbaar gesteld. Voor die gegevens die worden ontsloten vanuit basisregistraties/authentieke bronnen, worden de semantische definities en bijbehorende metagegevens van die basisregistraties/authentieke bronnen zoveel mogelijk ongewijzigd overgenomen in het SGR. Op het gebied van gegevens en berichten worden de goedgekeurde wijzigingsverzoeken (via het CMK) behandeld in de DGB en de bijbehorende werkgroepen. In de DGB zitten de vertegenwoordigers van de ketenpartijen die goedgekeurde wijzigingen verder intern afstemmen. De meeste partijen hebben immers een eigen gegevensregister (zoals UGR en GGR). Binnen de keten zijn afspraken gemaakt hoe elektronische berichten in het Suwi domein kunnen worden ingepakt (header, enveloppe, body, wsdl) en verstuurd. De standaard wordt gebruikt bij het online bevragen van gegevens en voor het doorgeven van gegevens in de vorm van meldingen volgens het store and forward principe. Uitwisseling tussen partijen moet plaatsvinden met in achtneming van de afspraken met betrekking tot de SuwiML Transactiestandaard. De actuele SuwiML Transactiestandaard is te vinden op de website van BKWI. Afwijkingen van de SGR-­‐ en SuwiML-­‐ standaard resulteren -­‐ tenzij hierover nadere afspraken zijn gemaakt -­‐ in (centrale) afkeuring van het bericht en het stoppen van de doorlevering van het bericht aan afnemers en applicaties. De DIB kan in samenspraak met de DGB en de DPB beslissen om afgekeurde berichten toch tijdelijk door te leveren aan afnemers en applicaties als hiermee anders het bedrijfsbelang onevenredig wordt geschaad. Hierbij moet worden vastgelegd gedurende welke termijn dit mag plaatsvinden.; welke termijn wordt bewaakt door de DIB. Pagina 10 van 35 DEFINITIEF GeVS Keten SLA 9.0
Afwijkingen van de SGR en SuwiML standaard worden als incident en beveiligingsincident gemeld bij de leverende partij die is verplicht deze standaard afwijkingen zo snel mogelijk maar uiterlijk binnen vier maanden op te lossen. Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht. Met implementatie van een nieuw bericht wordt bedoeld het moment dat het bericht geconfigureerd is en opvraagbaar is in een productionele omgeving. Voor het uitfaseren van een oud bericht dient de leverende partij een CMK in, waarbij het bericht na bekend making via het CMK nog maximaal een jaar lang ondersteund wordt. Na dit jaar vervallen alle rechten voor de afnemers en is de leverende partij gerechtigd het bericht technisch uit te faseren. Uitfaseren van het bericht kan eerder in overleg met de afnemers. Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Afwijkingen van de SGR en SuwiML standaard resulteren -­‐ tenzij hierover nadere afspraken zijn gemaakt -­‐ in (centrale) afkeuring van het bericht en het stoppen van de doorlevering van het bericht aan afnemers en applicaties Servicedesk registratiesysteem: handmatige meting Centrale afkeuring vindt plaats bij BKWI bij het validatieproces Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht Servicedesk registratiesysteem: handmatige meting Geen Afwijkingen van SGR en /of de SuwiML standaard worden als incident en beveiligingsincident gemeld bij de leverende partij. De leverende partij is verplicht deze afwijking van de standaard zo snel mogelijk te herstellen. Servicedesk registratiesysteem: handmatige meting Geen 2.5.2 Verantwoordingsrichtlijn en normenkader GeVS7
Partijen zijn zelf verantwoordelijk voor het borgen dat de bescherming van persoonsgegevens binnen de eigen bedrijfsprocessen en daarbij ook dat de bescherming van de Suwi-­‐gegeven en de beveiliging van de eigen delen van de GeVS minimaal voldoen aan het niveau dat hiervoor binnen de Suwiketen is vastgesteld8. Naast de wettelijke eisen, zoals opgenomen in de Wbp en Wet Suwi, zijn aanvullende eisen aangaande privacy en beveiliging verwerkt in het Normenader GeVS en in de Keten SLA. Iedere partij geeft in een beveiligingsplan aan op welke wijze zij hieraan invulling geeft; stelt (al dan niet beperkt tot Suwi) een functionaris aan belast met de coördinatie van en toezicht op de beveiliging (binnen de Suwiketen aangemerkt als Security Officer) en met een functionaris belast met (al dan niet beperkt tot de Suwi-­‐gegevens) de toezicht op het rechtmatig verwerken van de In de Verantwoordingsrichtlijn Suwi De beveiliging van de GeVS is ingericht op het niveau dat vereist is voor persoonsgegevens met een risicoklasse 2 conform AV23. Zie: http://www.cbpweb.nl/downloads_av/av23.pdf Deze eisen zijn nader uitgewerkt in het Normenkader GeVS. 7
8
Pagina 11 van 35 DEFINITIEF GeVS Keten SLA 9.0
persoonsgegevens (interne controle). Elke partij verplicht zich te voldoen aan de keten brede eisen aangaande privacy en beveiliging en doet jaarlijks verslag over de bescherming van de via de GeVS ontvangen gegevens en over de beveiliging van de eigen delen van de GeVS conform de vigerende versie van de Suwi Verantwoordingsrichtlijn9. De normen betreffende Privacy & Beveiliging zijn vastgelegd in de GeVS Verantwoordingsrichtlijn. De Security Officer van het BKWI stelt op basis van de aangeleverde rapportages, ter bevestiging van het (onderlinge) vertrouwen, een totaaloverzicht op van de beveiliging van de GeVS. Elke afnemer is verantwoordelijk voor de bescherming van de persoonsgegevens die via de GeVS worden uitgewisseld en binnen de eigen bedrijfsprocessen worden verwerkt. Partijen borgen dat de beveiliging van – de eigen delen van – de GeVS voldoet aan de gestelde eisen. De beheerorganisaties van de afzonderlijke partijen zijn vrij te kiezen welke beveiligingsmaatregelen worden ingezet, mits het niveau van beveiliging volstaat, en aan het classificatie niveau wordt voldaan. Elke partij verplicht zich te voldoen aan de keten brede eisen aangaande privacy en beveiliging en legt hier jaarlijks verantwoording over af. Naast de wettelijke eisen, zoals opgenomen in de WBP en Wet Suwi, zijn aanvullende eisen aangaande privacy en beveiliging verwerkt in de Verantwoordingsrichtlijn en bijbehorend Normenkader GeVS en in deze Keten SLA. Partijen zijn elk verantwoordelijk voor de bescherming van de privacy in relatie tot de persoonsgegevens die zij via de GeVS uitwisselen en/of verwerken. Iedere partij geeft in een beveiligingsplan aan op welke wijze zij hieraan invulling geeft en stelt een functionaris aan belast met de coördinatie van en toezicht op de beveiliging (voor de keten aangemerkt als Security Officer Suwinet) en interne controles. Partijen die gegevens uitwisselen via de GeVS voorzieningen dienen zich te houden aan de richtlijnen qua doelbinding en proportionaliteit. Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van de GeVS (processen, gegevens, infrastructuur en applicaties) zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden belegd. Handmatig via de contactenlijst in de Keten DAP. Geen De GeVS en via de GeVS uitgewisselde gegevens worden beschermd tegen ongeautoriseerde [logische] toegang en gebruik. De Suwi-partij autoriseert en registreert de gebruikers die toegang hebben tot de
Suwinet applicaties op basis van een formele procedure waarin is opgenomen.
• persoonsgegevens met risicoklasse 2 worden verstrekt op basis van het needto-know principe en met (door de registratiehouders) vastgestelde rollen;
• Het verlenen van toegang tot de benodigde gegevens op basis van de uit te
voeren functie / taken;
• Het uniek identificeren van elke gebruiker tot één persoon; • Het goedkeuren van de aanvraag voor toegangsrechten door de manager of 9
Deze versie is te vinden op de website van het BKWI, http://www.bkwi.nl/downloads/privacy-­‐en-­‐beveiliging/ Pagina 12 van 35 DEFINITIEF GeVS Keten SLA 9.0
Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden een gemandateerde; • Het tijdig wijzigen (dus ook intrekken) van de autorisatie bij functiewijziging of vertrek; • Het benaderen van de Suwi-­‐databestanden door gebruikers mag alleen plaatsvinden via applicatieprogrammatuur (tenzij sprake is van calamiteiten). Geconstateerde afwijkingen worden geregistreerd in de "Monitor", welke besproken wordt met de betreffende partij en indien nodig gebruikt wordt voor escalatie. Geen Elke organisatie is verantwoordelijk voor de toezicht op het rechtmatig verwerken van de persoonsgegevens. Het raadplegen van de persoonsgegevens wordt gelogd en partijen kunnen (door de hiertoe gemandateerde medewerkers) bij de Suwidesk rapportages opvragen waarmee BKWI deze interne controle ondersteunt. Geconstateerde afwijkingen worden geregistreerd in de "Monitor", welke besproken wordt met de betreffende partij en indien nodig gebruikt wordt voor escalatie. Geen De via de GeVS beschikbaar gestelde gegevens worden niet anders getransporteerd, dan over een infrastructuur welke bescherming biedt voor minimaal het niveau van persoonsgegevens met risicoklasse 2. Ook via het lokaal netwerk is ongeautoriseerde toegang tot de via de GeVS beschikbaar gestelde gegevens niet mogelijk De via de GeVS beschikbaar gestelde gegevens worden alleen getransporteerd via vaste lijnen zonder directe verbinding met internet. Geen Er vinden geen overschrijdingen plaats van de wettelijke en Keten brede eisen aangaande privacy en beveiliging.
Geconstateerde afwijkingen worden geregistreerd door de Servicedesks en als beveiligingsincident gemeld bij de Suwidesk. De Security Officer van het BKWI bewaakt (en coördineert) de voortgang van beveiligingsincidenten en rapporteert deze in de reguliere rapportage.
Geen
2.5.3 Ketenarchitectuur
De ketenarchitectuur biedt toekomstvaste, gemeenschappelijke kaders, afspraken en een high-­‐level design van de ketensamenwerking en de daarbinnen gebruikte standaarden en bouwstenen voor de gezamenlijke ontwikkeling van de keten. De ketenarchitectuur wordt concreet toegepast en aan de DA wordt inzicht gegeven op welke wijze dit gebeurt en vindt er vastlegging plaats in KarWeI. KarWeI beschrijft: • de uitgangspunten voor het inrichten van de architectuur van de informatievoorzieningen van de organisaties die actief zijn binnen of rondom de keten; • de afspraken die binnen de keten zijn gemaakt voor het uitvoeren van organisatie overstijgende processen ten behoeve van informatie uitwisseling en het inzetten van techniek; • de samenstelling van en eisen aan de Gezamenlijke Elektronische Voorzieningen Suwi (GeVS); KarWeI geeft, in de vorm van afspraken, weer aan welke eisen de voorzieningen en de Pagina 13 van 35 DEFINITIEF GeVS Keten SLA 9.0
participerende organisaties moeten voldoen. KarWeI richt zich op de samenwerking waarvoor gegevensuitwisseling, koppelvlakken, standaarden en voorzieningen beschreven moeten worden en op de aansluiting tussen organisaties; daar-­‐ naast richt zij zich op gemeenschappelijke ontwikkelingen. Het doel van de architectuur is de ketendienstverlening aan de gemeenschappelijke afnemer effectiever en efficiënter te laten verlopen. De ketenarchitectuur dient als: 1) Stuurinstrument Architecturen geven inzicht en richting, zodat oplossingsrichtingen en prioriteiten mede aan de hand ervan kunnen worden bepaald met als doel dat op elkaar aansluiten makkelijker wordt. 2) Communicatie-­‐instrument De gemeenschappelijke beelden en afspraken kunnen eenduidig worden gecommuniceerd. Parallelle ontwikkeltrajecten maken gebruik van een en dezelfde verzameling kaders, afspraken en begrippen. 3) Toetsinstrument De ketenpartners kunnen de eigen plannen en keuzen toetsen aan de gemaakte keten-­‐ afspraken. Externe partijen kunnen ketenarchitectuur gebruiken als hulpmiddel om te toetsen of zij binnen de afgesproken context ontwikkelactiviteiten ontplooien. 2.6
Logging, monitoring en rapportage
Vanuit de Regeling Suwi geldt de verplichting dat alle gebruikershandelingen vastgelegd worden en herleidbaar zijn naar een natuurlijk persoon, zodat eventueel misbruik gedetecteerd kan worden en opdat deze informatie kan worden gebruikt als bewijslast. BKWI verstrekt regulier rapportages, vanuit de Suwinet-­‐Broker en de inkijklogging, op basis waarvan de op de GeVS aangesloten organisaties oneigenlijk gebruik en misbruik kunnen detecteren, daarnaast verstrekt BKWI partijen op verzoek specifieke rapportages aangaande het gebruik van de GeVS. Partijen (zowel afnemer als leverancier) voeren een actief beleid aangaande onderzoek naar oneigenlijk gebruik en misbruik. De servers, die onderdeel uitmaken van de centrale omgeving, bevatten, buiten de logbestanden en het cache, geen persoonsgegevens. Tijdelijke gegevens op servers (cache) of in netwerkapparatuur, worden slechts gedurende een maximale periode van 8 uur bewaard. Verdere afspraken en procedures zijn vastgelegd in het Keten DAP. Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Reguliere rapportages worden geleverd voor de 15e van de maand. Handmatig Geen Specifieke rapportages worden geleverd binnen 1 week. Handmatig Geen Loggings hebben een bewaartermijn van het lopende jaar plus het jaar ervoor. Handmatig Geen Pagina 14 van 35 DEFINITIEF GeVS Keten SLA 9.0
2.7
Escalatie
De afgesproken escalatieprocedure is opgenomen in het Keten DAP en beschrijft escalatie voor volgende gevallen: - (dreigende) overschrijding van oplostijden van incidenten - (vermoeden van) beveiligingsincident(en) - niet of verkeerd uitvoeren van procedures - niet nakomen van ketenafspraken en/of verplichtingen Escalatie naar de Security Officer van de eigen organisatie is verplicht bij (vermoeden van) beveiligingsincidenten. 2.8
Uitwijk
Er is een uitwijkprocedure voor de GeVS afgesproken en deze is opgenomen in het Keten DAP. Een incident met hoge prioriteit en naar verwachting een oplostijd van langer dan vier uur kan aanleiding zijn voor het uitwijken van de centrale omgeving van Suwinet. Het besluit uit te wijken wordt genomen door hoofd BKWI-­‐Beheer en Ondersteuning. Hoofd BKWI-­‐Beheer en Ondersteuning beoordeelt wanneer terugkeer gewenst en mogelijk is. In het algemeen zal dit buiten kantoortijden zijn. De medewerker Suwidesk informeert de ketenpartners via mail over de terugkeer van uitwijk-­‐ naar productieomgeving. De contactpersonen van de partijen brengen zelf hun gebruikers op de hoogte. De uitwijkserver van de centrale omgeving is gelijk aan de server van de testomgeving. Dat wil zeggen dat de testomgeving tijdens uitwijkperioden niet beschikbaar is. BKWI test twee keer per jaar de werking van het uitwijkmechanisme. Voor zowel uitwijk als inwijk. Pagina 15 van 35 DEFINITIEF GeVS Keten SLA 9.0
3.
Afnemersdeel Keten SLA
3.1
Inleiding
In dit deel van de Keten SLA worden de rechten en plichten van de afnemers van de GeVS beschreven. 3.2
Dienstverlening aan afnemers
Binnen de GeVS worden aan de afnemers de volgende diensten en dienstverlening geleverd: 3.2.1 Suwinet-Inkijk
De voorziening waarmee een virtueel dossier van een klant, bestaande uit gegevens van één of meer leveranciers digitaal wordt getoond. De overzichtspagina’s waarop het virtuele dossier wordt getoond is afnemer specifiek. Het betreft hier een set van gegevens die op maat is en waarbij vooraf is bepaald dat deze gegevens binnen de juridisch toegestane set van gegevens van deze partij vallen. Voor pagina's welke gegevens tonen vanuit meerdere bronnen, is de zoeksleutel het BSN; voor pagina's welke gegeven tonen vanuit een enkele bron, zijn mogelijk andere/meerdere zoeksleutels beschikbaar. 3.2.2 Suwinet-Inlezen
De voorziening waarmee professionals van overheidsorganisaties de mogelijkheid hebben om gegevens van diverse bronnen /leveranciers vanuit de bedrijfseigen applicaties te raadplegen. Het betreft hier een set van gegevens die op maat is en waarbij vooraf is bepaald dat deze gegevens set valt binnen de juridisch toegestane set van gegevens van deze partij vallen. Op berichtniveau worden doelbinding en proportionaliteit op organisatieniveau ingericht. Elke organisatie moet zelf proportionaliteit op functie/medewerkersniveau nader uitwerken. 3.2.3 Suwinet-mijn gegevens (Klantbeeld)
De voorziening die burgers de mogelijkheid biedt om een deel van de eigen (persoons)gegevens welke uitgewisseld worden via de GeVS in te zien. Dit kan o.a. via werk.nl en mijnoverheid.nl en voor de authenticatie wordt gebruik gemaakt van DIGID. 3.2.4 Suwinet-Correctie
De voorziening die zowel aan burgers (via Klantbeeld) als professionals de mogelijk biedt aanpassingen op geregistreerde gegevens door te geven aan de registratiehouder(s). Voor burgers worden dit “correctieverzoeken” genoemd en voor professionals wordt dit “terugmelding” genoemd. Deze voorziening is bedoeld om de kwaliteit van de geregistreerde gegevens te verbeteren en het proces van aanpassingen te stroomlijnen en daarmee laagdrempelig te maken. 3.2.5 Suwinet-Mail
De voorziening die op het Suwinet (netwerk) aangesloten partijen de mogelijkheid biedt om ongestructureerde berichten met hierin vertrouwelijke informatie over een besloten netwerk te verzenden en ontvangen via hun eigen bestaande mailvoorziening . Aangezien deze voorziening gebruik maakt van het besloten Suwinet netwerk, is het versturen van mailberichten veiliger dan via het publieke internet. Pagina 16 van 35 DEFINITIEF GeVS Keten SLA 9.0
3.2.6 Suwinet-Meldingen
De voorziening die digitale overdracht tussen systemen mogelijk maakt door middel van standaardberichten over het besloten Suwinet netwerk. 3.2.7 Suwinet-Autorisatie
De voorziening waarin de toegangsrechten voor (autorisaties) Suwinet-­‐Inkijk zijn vastgelegd. Deze voorziening is ook te gebruiken als autorisatievoorziening voor applicaties van de Suwipartijen. 3.2.8 Ketenbrede Testomgeving
De ketenpartijen bieden een testomgeving aan ten behoeve van de afnemers voor het uitvoeren van ketentesten. Deze omgeving fungeert in noodgevallen als uitwijkomgeving. 3.2.9 Bijzonderheden
Voor de diensten Suwinet –Inkijk, Suwinet-­‐Inlezen en Suwinet-­‐mijn gegevens geldt dat de partijen hebben afgesproken dat de applicaties en gegevensleverende systemen een openstelling kennen van 8:30 tot 18:00 uur. Gebruik buiten de opstellingstijden kan resulteren in mogelijke onvolledige resultaten. Voor afnemers geldt dat de gegevensset geleverd wordt gemiddeld in 7 seconden. Bij zeer grote gegevensleveringen (veel historie) kan de responsetijd oplopen tot maximaal 20 seconden. Voor alle diensten geldt dat er een noodvoorziening /uitwijk gerealiseerd is. 3.3
Incidentbeheer
Voor keten brede incidenten gelden de volgende oplostijden (in werkuren): Prioriteit Omschrijving Reactietijd* Maximale oplostijd 1 Incidenten waarbij de dienst of bron in het geheel niet meer functioneert (functioneren). Direct 70 % binnen 6 werkuren 2 Incidenten waarbij de functionaliteit zodanig is afgenomen dat de dienst niet meer geheel functioneert. 1 uur 80 % binnen 12 werkuren 3 Incidenten waarbij de dienst gedeeltelijk niet meer functioneert (functioneren)., maar waarbij het met de overgebleven functionaliteit toch redelijk mogelijk blijft om te kunnen functioneren. nvt 24 werkuren 4 Overige incidenten. In overleg In overleg De servicedesks van de partijen zijn elk zelf verantwoordelijk voor het proces van aanmelden, routeren, oplossen en afmelden van keten brede incidenten volgens de afgesproken procedure in het Keten DAP. Bijzonderheden: De oplostijd geldt voor het moment dat het incident bij de oplossende partij is binnengekomen. Dat betekent dat incidenten vanuit gebruikersperspectief een langere oplostijd kennen dan in de tabel opgenomen, vanwege de overdracht tussen de verschillende servicedesks en oplosgroepen. De percentages gelden op jaarbasis. Pagina 17 van 35 DEFINITIEF GeVS Keten SLA 9.0
3.4 Servicedesks ten behoeve van medewerkers van de aangesloten
partijen
Iedere partij -­‐ met uitzondering van de gemeenten -­‐ is zelf verantwoordelijk voor de eerstelijns ondersteuning van de eigen gebruikers. Iedere partij heeft één (of meerdere) servicedesks ingericht, dit is voor de gebruikers het single point of contact waar zij terecht kunnen voor: - het stellen van algemene vragen - het melden van storingen of het indienen van klachten - het indienen van verzoeken tot wijziging aan de gezamenlijke voorzieningen Gebruikers van de Gemeenten worden ondersteund door het Inlichtingenbureau. De Suwidesk van BKWI fungeert als tweedelijns (of derdelijns) Servicedesk, ter ondersteuning van de Servicedesken van de op de GeVS aangesloten partijen. De Suwidesk en Servicedesks van de partijen zijn minimaal bereikbaar op werkdagen van 8:30 uur tot 18:00 uur. Prestatienorm
Meetmethode
Bijzonderheden
3.5
Werkelijke openstellingtijden servicedesks (inclusief de Suwidesk) komen 100% overeen met afgesproken tijden 8:30-­‐18:00 uur.
Partijen leveren maandelijks overzichten aan met de geleverde openstellingstijden, partijen kiezen zelf de gehanteerde meetmethode.
De SVB kent afwijkende openstellingstijden op werkdagen van 8:30 uur tot 17:30 uur
Wijziging- en releasebeheer
Ten behoeve van het keten brede wijzigingsbeheerproces is een Centraal Meldpunt Ketenwijzigingen (CMK) ingericht voor alle aan de GeVS deelnemende partijen. De partijen zijn verplicht en dragen zelf zorg voor de aanmelding van Keten brede wijzigingen aan het CMK door vaste contactpersonen (wijzigingscoördinatoren) van de partijen. Deze wijzigingscoördinatoren zijn vastgelegd in het Keten DAP. Niet-­‐Suwipartijen die gebruik maken van de GeVS infrastructuur hebben ook een meldingsplicht (via het CMK) van wijzigingen die invloed (kunnen) hebben op de gezamenlijke infrastructuur. Zij worden via het CMK en/of de accountmanagers BKWI ook geïnformeerd over wijzigingen die de GeVS raken, echter ze zijn niet verplicht impactbepalingen te leveren op wijzigingen. Dit in tegenstelling tot de Suwipartijen zelf. Het CMK is verantwoordelijk voor het registreren, routeren en publiceren van de ketenwijzigingen en regelt de uitgifte van CMK-­‐accounts, verwerken van impactbepalingen en het aanbieden van de wijzigingen aan het Keten CAB. Jaarlijks worden de ketenrelease momenten vastgesteld voor het volgende jaar in het Keten CAB. Elke release kan worden uitgebreid met een zogenaamde “nazorgrelease”. Deze zijn primair bedoeld om eventuele tekortkomingen uit de release op te lossen. De releasemomenten worden gepubliceerd op de BKWI website en zijn als bijlage bij de Keten SLA gevoegd. Suwipartijen zijn verplicht om impactbepalingen te leveren binnen 14 dagen na beschikbaarstelling van de wijziging via de CMK applicatie. Partijen die deze verplichting niet nakomen worden geacht akkoord te zijn met de wijziging en accepteren alle risico's die aan de uitvoer van deze wijziging liggen. Partijen kunnen via de voorzitter van het Keten CAB verzoeken om de impactbepalingstermijn te verlengen. Pagina 18 van 35 DEFINITIEF GeVS Keten SLA 9.0
Prestatienorm Voor het wijzigingsbeheer houden betrokken partijen zich aan de oorspronkelijk vastgestelde releasekalender. Meetmethode Handmatige meting naar aanleiding van een bijeenkomst van het Keten CAB 3.6
Probleembeheer
In het Keten Incidenten en Problemen Overleg (KIPO) worden problemen geïdentificeerd en geprioriteerd. In het KIPO zitten zijn de leveranciers van gegevens vertegenwoordigd. Het KIPO bepaalt wie verantwoordelijk is voor het oplossen van het probleem en of er een oplosgroep voor het benodigde onderzoek wordt samengesteld. De Suwidesk registreert problemen, bewaakt de voortgang en informeert de partijen hierover. Uitwerking van probleembeheer is te vinden in de GeVS Keten DAP. Prestatienorm Het KIPO belegt problemen binnen drie werkdagen bij de oplosgroep van een partij. Meetmethode Handmatige meting naar aanleiding van een bijeenkomst van het KIPO Bijzonderheden Geen Prestatienorm Een probleem wordt binnen twee dagen afgesloten als zijnde niet oplosbaar (besloten door de DIB op basis van kosten/ baten/ prioriteit) dan wel (wordt) opgelost met behulp van met name te noemen wijziging(en). Meetmethode Handmatige meting Bijzonderheden Geen Prestatienorm KIPO belegt probleem binnen drie werkdagen na het onderkennen van een probleem. Meetmethode Handmatige meting naar aanleiding van een bijeenkomst van het KIPO Bijzonderheden
Geen
3.7
Capaciteitsbeheer afnemers
Afnemers zijn verplicht om inschattingen te maken van substantiële veranderingen in het gebruik van de producten en diensten die onderdeel uitmaken van de scope van de Keten SLA. Deze veranderingen dienen tijdig gemeld te worden bij de Suwidesk. Er moet nog genoeg tijd zijn voor de leverancier om maatregelen te kunnen nemen. De Suwidesk informeert de DIB die vervolgens actiehouder zijn om de impact hiervan te (laten) bepalen. Verschillen in inzicht qua doorlooptijd en besluitvorming worden voorgelegd aan de DIB. Het gebruik van de voorzieningen vindt plaats op basis van fair use policy. 3.8
Configuratiebeheer
Afnemers zijn zelf verantwoordelijk voor het configuratiebeheer binnen de eigen organisatie. Dit onderdeel valt buiten de scope van de Keten SLA. Pagina 19 van 35 DEFINITIEF GeVS Keten SLA 9.0
3.9
Beschikbaarheidsbeheer
Afnemers zijn zelf verantwoordelijk voor de beschikbaarheid van de eigen infrastructuur (netwerk) en componenten (inlezende applicaties etc.). Dit onderdeel valt buiten de scope van de Keten SLA. 3.10 Logische toegangsbeveiliging
Logische Toegangsbeveiliging is het geheel van maatregelen om de toegang tot gegevens en systemen te beheersen Prestatienorm
Meetmethode
Bijzonderheden Personeelsmutaties die invloed hebben op autorisaties worden zo snel mogelijk verwerkt in de autorisaties voor Suwinet-­‐Inkijk. Handmatig
Geen Pagina 20 van 35 DEFINITIEF GeVS Keten SLA 9.0
4.
Leveranciersdeel Keten SLA
4.1
Inleiding
In dit deel van de Keten SLA wordt beschreven aan welke eisen de leveranciers zich dienen te houden. 4.2
Algemene beschikbaarheid (uptime) van het netwerk
Partijen zorgen voor een uptime van minimaal 99,6 % van hun deel van het netwerk waarover de partijen gegevens met elkaar uitwisselen. 4.3
Incidentbeheer
De partijen zijn zelf verantwoordelijk voor het proces van aannemen, aanmelden, routeren, oplossen en afmelden van keten brede incidenten volgens de afgesproken procedure in het Keten DAP.De volgende oplostijden (in werkuren) gelden voor keten brede incidenten: Prio Omschrijving Reactietijd* Maximale oplostijd 1 Incidenten waarbij de dienst of bron in het geheel niet meer functioneert (functioneren). Direct 70 % binnen 6 werkuren 2 Incidenten waarbij de functionaliteit zodanig is afgenomen dat de dienst niet meer geheel functioneert. 1 uur 80 % binnen 12 werkuren 3 Incidenten waarbij de dienst gedeeltelijk niet meer functioneert (functioneren)., maar waarbij het met de overgebleven functionaliteit toch redelijk mogelijk blijft om te kunnen functioneren. nvt 24 werkuren 4 Overige incidenten. In overleg In overleg *Met reactietijd wordt bedoeld de tijd waarbinnen gestart wordt met het oplosproces. Prestatienorm Meetmethode Meetperiode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden 4.4
Partijen houden zich aan de maximale oplostijden. Incidentregistratietool van de oplossende partij: tijd tussen ontvangst van het incident en het oplossen van het incident. Maandelijks wordt over deze norm gerapporteerd. Voor de prioriteiten 1 en 2 worden de percentages op jaarbasis berekend. geen Elk – vermoeden van een – inbreuk op de privacy of op de beveiliging van de GeVS dient direct gemeld te worden aan de eigen Security Officer. Handmatig; geconstateerde afwijkingen worden gemeld bij de Suwidesk. Geen Probleembeheer
In het Keten Incidenten en Problemen Overleg (KIPO) worden problemen geïdentificeerd en geprioriteerd. Het KIPO bepaalt wie verantwoordelijk is voor het oplossen van het probleem en of er een oplosgroep voor het benodigde onderzoek wordt samengesteld. De Suwidesk registreert problemen, bewaakt de voortgang en informeert de partijen hierover. Uitwerking van probleembeheer is te vinden in de GeVS Keten DAP. Pagina 21 van 35 DEFINITIEF GeVS Keten SLA 9.0
Prestatienorm Een probleem wordt binnen twee dagen afgesloten als zijnde niet oplosbaar (besloten door de DIB op basis van kosten/ baten/ prioriteit) dan wel (wordt) opgelost met behulp van met name te noemen wijziging(en). Meetmethode Handmatige meting Bijzonderheden Geen Prestatienorm KIPO belegt probleem binnen drie werkdagen na het onderkennen van een probleem. Meetmethode Handmatige meting naar aanleiding van een bijeenkomst van het KIPO Bijzonderheden
Geen
4.5
Wijziging- en releasebeheer
Ten behoeve van het keten brede wijzigingsbeheerproces is een Centraal Meldpunt Ketenwijzigingen (CMK) ingericht voor alle aan de GeVS deelnemende partijen. De partijen zijn verplicht en dragen zelf zorg voor de aanmelding van keten brede wijzigingen aan het CMK door vaste contactpersonen (wijzigingscoördinatoren) van de partijen. Het CMK is verantwoordelijk voor het registreren, routeren en publiceren van de ketenwijzigingen. Iedere partij heeft één of meerdere wijzigingscoördinatoren, die de keten brede wijzigingen afstemmen, inhoudelijk en qua planning. Jaarlijks worden de ketenrelease momenten vastgesteld voor het volgende jaar in het Keten CAB. Er worden maximaal vier ketenreleases geïmplementeerd per jaar. Elke release kan worden uitgebreid met een zogenaamde “nazorgrelease”. Deze zijn primair bedoeld om eventuele tekortkomingen uit de release op te lossen. De releasemomenten worden gepubliceerd op de BKWI website en zijn als bijlage bij de Keten SLA gevoegd. Suwipartijen zijn verplicht om impactbepalingen te leveren binnen 14 dagen na beschikbaarstelling van de wijziging via de CMK applicatie. Partijen die deze verplichting niet nakomen worden geacht akkoord te zijn met de wijziging en accepteren alle risico's die aan de uitvoer van deze wijziging liggen. Partijen kunnen via de voorzitter van het Keten CAB verzoeken om de impactbepalingstermijn te verlengen. Suwipartijen zijn verplicht om impactbepalingen te leveren binnen 14 dagen na beschikbaarstelling van de wijziging via het CMK. Partijen die deze verplichting niet nakomen worden geacht akkoord te zijn met de wijziging en accepteren alle risico's die aan de uitvoer van deze wijziging liggen. Niet-­‐Suwipartijen worden in staat gesteld om de wijzigingen te voorzien van impactbepalingen, maar zijn niet verplicht impact te leveren. Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Voor het wijzigingsbeheer houden betrokken partijen zich aan de oorspronkelijk vastgestelde releasekalender. Handmatige meting naar aanleiding van een bijeenkomst van het Keten CAB Geen Alle wijzigingen (ook partij eigen wijzigingen) die invloed kunnen hebben op een juiste werking van de GeVS, dienen zo snel mogelijk als ketenwijziging gemeld te worden via het CMK. Handmatige meting op basis van incidenten en ad hoc informatie Pagina 22 van 35 DEFINITIEF GeVS Keten SLA 9.0
Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden 4.6
Geen Er worden geen wijzigingen uitgevoerd die niet volledig conform het ketenbrede wijzigingsproces zijn gelopen. Handmatig Geen Er volgen geen incidenten naar aanleiding van het doorvoeren van een wijziging. Handmatig: aantal incidenten gerelateerd aan een specifieke geregistreerde wijziging. Deze worden verzameld na elke release specifieke evaluatie of uit onderzoek van de oorzaak van een opgetreden incident. Geen Suwipartijen zijn verplicht om binnen 14 dagen impactbepalingen te leveren op wijzigingen die via het CMK zijn gepubliceerd, dan wel uitstel te vragen indien de wijziging dusdanig complex is dat een impact binnen 14 dagen redelijkerwijs niet leverbaar is. CMK applicatie; maandelijks overzicht. Geen Capaciteitsbeheer
Iedere op de GeVS aangesloten partij monitort zelf actief de capaciteit van de infrastructuur waarover de gegevens worden getransporteerd en verwerkt. Vooraf maken partijen een inschatting van substantiële toename of afname van gebruik (zie afnemersdeel van de Keten SLA). Op basis hiervan verplichten de partijen zich er zorg voor te dragen dat gebruikte infrastructuur en hard-­‐ en software van voldoende niveau blijft om de normen in de Keten SLA te behalen. 4.7
Configuratiebeheer
Iedere op de GeVS aangesloten partij is zelf verantwoordelijk voor de inrichting van het eigen configuratiebeheer. 4.8
Beschikbaarheidsbeheer
Iedere op de GeVS aangesloten partij is zelf verantwoordelijk voor de beschikbaarheid van de eigen infrastructuur (netwerk) en componenten (webservices e.d.). Onderscheid wordt gemaakt in beschikbaarheid ten behoeve van de eigen organisatie en beschikbaarheid waarbij andere organisaties afhankelijk zijn van deze beschikbaarheid. De eerste valt buiten de scope van de Keten SLA. De beschikbaarheidseisen van de verschillende diensten zijn terug te vinden bij de detaillering later in dit hoofdstuk. Hierover wordt maandelijks gerapporteerd. Hierin wordt ook door elke partij proactief op gemonitord en op geacteerd. 4.9
Onderhoudstijden
Gepland onderhoud, uitgevoerd door (één van) de partijen, aan (een onderdeel van) de diensten vindt uitsluitend plaats buiten de afgesproken openstellingstijden. Hiervan mag enkel afgeweken worden met goedkeuring van de (voorzitter van de) DIB. Vastlegging hiervan vindt plaats in de notulen van de DIB of per mail. De in de keten vastgestelde releasemomenten zijn terug te vinden in de bijlage bij de Keten SLA. Pagina 23 van 35 DEFINITIEF GeVS Keten SLA 9.0
Prestatienorm Onderhoud vindt alleen binnen de, in de Keten SLA vastgelegde onderhoudstijden, plaats. Meetmethode Geconstateerde afwijkingen worden genoteerd door partijen en volgens de procedure in het DAP gemeld bij de Suwidesk. Maandelijks wordt hierover gerapporteerd. Bijzonderheden Tijdens de onderhoudsmomenten kan de beschikbaarheid van de diensten niet worden gegarandeerd. Partijen dienen rekening te houden met de volgende onderhoudsmomenten: UWV: Onderhoudsmomenten vinden plaats iedere derde volle weekend van de maand. SVB: Onderhoudsmomenten worden in de weekenden gepland, maar staan over het algemeen los van de beschikbaarheid voor Suwinet Inkijk. Over alle weekenden van het jaar berekend levert SVB 85% beschikbaarheid in de weekenden. DUO: Onderhoudsmomenten elke 2e zondag van de maand tussen 07.00 en 10.00 of tussen 07.00 en 12.00 uur. Verwachting is dat vier maal per jaar het verlengde onderhoudswindow benodigd is. BKWI: Ieder eerste weekend van de maand. Overige partijen: Geen bijzonderheden. Prestatienorm Partijen die buiten de eerder vastgestelde onderhoudsmomenten werkzaamheden willen uitvoeren, melden dit zo snel mogelijk bij de Suwidesk, die dit vervolgens communiceert naar de afnemers. Meetmethode Handmatig 4.10
Escalatie
De afgesproken escalatieprocedure is opgenomen in het Keten DAP en beschrijft escalatie voor volgende gevallen: - (dreigende) overschrijding van oplostijden van incidenten - (vermoeden van) beveiligingsincident(en) - het niet volgen van (afgesproken) procedures - niet nakomen van ketenafspraken en/of verplichtingen Escalatie naar de Security Officer is verplicht bij (vermoeden van) beveiligingsincidenten. Voor alle andere gevallen dient eerst bekeken te worden of via de reguliere wegen tot een oplossing gekomen kan worden. 4.11 Calamiteiten
Iedere partij maakt na het optreden van een calamiteit binnen afzienbare tijd inzichtelijk wat de gevolgen hiervan zijn voor de afnemers. Communicatie verloopt via de Suwidesk. 4.12 Inzichtelijkheid verversing afgeleide databases
Elke partij die gebruik maakt van gegevenslevering aan de keten via een tussenbestand (database), dragen op verzoek zorg voor inzichtelijkheid van de actualiteit van de verversing van deze tussenbestanden. Te allen tijde wordt getracht de verversing zo actueel mogelijk te houden. De partijen hebben hiervoor een inspanningsverplichting. Pagina 24 van 35 DEFINITIEF GeVS Keten SLA 9.0
4.13 XML-diensten
Omschrijving dienst Eigenaar dienst Beheerder Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Suwinet
Inlezen Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Partijen stellen een interface beschikbaar waarmee het mogelijk is om op basis van de standaard SuwiML, een vastgestelde set van gegevens op te halen uit de gegevensverzamelingen van partijen en in te lezen in de eigen applicatie of deze gegevens te tonen in Suwinet Inkijk/Klantbeeld.
Alle leverende partijen Alle leverende partijen Berichten worden uitgewisseld conform de overeenkomsten tussen registratiehouders en afnemers. Berichten mogen enkel uitgewisseld worden onder voorwaarden dat de registratiehouder hiermee akkoord is.
Beschikbaarheid XML-­‐diensten bij de verschillende partijen tijdens de openstellingstijden (8:30 tot 18:00 uur). Storingen die de beschikbaarheid van de XML-­‐diensten aantasten worden geregistreerd. Foutmeldingen worden geanalyseerd. Op basis daarvan worden de storingen die de beschikbaarheid van gegevens aantasten geregistreerd. Kwaliteit van de gegevens blijft buiten beschouwing. Geen Responsetijd XML-­‐diensten: minder dan 6 seconden voor 95% van de bevragingen. Responsetijd wordt gemeten vanuit de Suwinet-­‐broker. In de responsetijd zit een verwaarloosbaar tijd deel van leverende XML-­‐dienst naar de Suwi-­‐Broker. Het Inlichtingenbureau is niet verantwoordelijk voor de beantwoording van de XML services van individuele gemeenten. Inlezende activiteiten worden gevalsgewijs uitgevoerd. Partijen houden zich aan de vooraf afgesproken hoeveelheden bevragingen Handmatig; geconstateerde afwijkingen worden gemeld bij de Suwidesk. Geen •
•
Het op reguliere basis compleet bevragen van een grote populatie is enkel toegestaan na het maken van concrete afspraken met de Suwidesk. Handmatig; geconstateerde afwijkingen worden gemeld bij de Suwidesk. Geen 4.14 Ketentesten
4.14.1 Beheer en beschikbaarstelling Keten brede Integratie Testomgeving (KIT)
Omschrijving Beheren en beschikbaar stellen van de infrastructuur en bijbehorende services Pagina 25 van 35 DEFINITIEF GeVS Keten SLA 9.0
dienst Eigenaar dienst Beheerder Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden van de keten brede testomgeving, inclusief data om te kunnen testen voor Suwinet-­‐Inkijk, Suwinet-­‐Inlezen en Suwinet-­‐Meldingen. Alle partijen voor eigen onderdelen Iedere partij voor eigen onderdeel Afspraken over het beheer van de KIT zijn in het Keten DAP opgenomen. Het testen met productiedata in de testomgeving is niet toegestaan. Partijen zijn verplicht om op verzoek van ketenpartijen testdata beschikbaar te stellen, waarmee de ketenpartij in staat is om te testen. Partijen dienen de testomgeving te reserveren bij de Suwidesk en dienen aan te geven wat zij gaan testen en welke onderdelen van de testomgeving gebruikt gaan worden (gegevens van partij, welke overzichtspagina’s, belasting etc.) Gebruik van de testomgeving zonder reservering is mogelijk, echter de resultaten kunnen door andere testwerkzaamheden beïnvloed worden. SVB en DUO hebben thans nog geen permanente testomgeving (onderdeel van de KIT) beschikbaar. Beschikbaarheid KIT: 95% Storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend. Bij uitwijk wordt gebruik gemaakt van de KIT, de KIT is dan niet beschikbaar voor testen. Dit wordt niet als niet onbeschikbaarheid van de KIT meegerekend. De KIT is niet beschikbaar als de centrale productieomgeving is uitgeweken Deze norm wordt pas actueel na afronden van het 2014 ketenproject "Inrichten Ketenbrede Testomgeving" Beschikbaarheid testdata op de KIT: 100%. Geconstateerde afwijkingen worden genoteerd door de Servicedesks en gemeld bij de Suwidesk voor rapportage. Deze norm wordt pas actueel na afronden van het 2014 ketenproject "Inrichten Ketenbrede Testomgeving" 4.15 Suwinet-Mail
Prestatienorm Meetmethode Bijzonderheden Beschikbaarheid Suwinet-­‐Mail: 99% De beschikbaarheid wordt gemeten o.b.v. 24 uur/7dagen per week. Geen 4.16 Beheer en beschikbaarstelling Suwinet-Meldingen
Omschrijving dienst Eigenaar dienst Beheerder Bijzonderheden Prestatienorm Meetmethode De voorziening waarmee Suwinet-­‐Meldingen verstuurd worden. Alle partijen die Suwinet-­‐Meldingen beschikbaar stellen. Alle partijen die Suwinet-­‐Meldingen beschikbaar stellen. Geen Beschikbaarheid centrale deel Suwinet-­‐Meldingen: 99% Storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend. Pagina 26 van 35 DEFINITIEF GeVS Keten SLA 9.0
Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Geen Partijen maken onderling afspraken Partijen maken onderling afspraken Geen 4.17 Afspraken per leverancier
4.17.1 Toelichting bij de tabellen
Omschrijving dienst Eigenaar dienst Beheerder dienst Bijzonderheden Prestatienorm Meetmethode Bijzonderheden korte omschrijving van de dienst. welke organisatie en/of functionaris is verantwoordelijk voor het leveren van de dienst. welke organisatie en/of functionaris beheert de dienst. uitzonderingen op de algemene dienstverlening en eventueel aanvullende opmerkingen. opsomming van meetbare prestaties die tussen de partijen zijn afgesproken, zoals responsetijd en beschikbaarheid. methode die gebruikt wordt om de prestaties te meten, zodat er gerapporteerd kan worden over de dienstverlening. Geen 4.17.2 Technisch beheer centrale omgeving GeVS
Omschrijving dienst Eigenaar dienst Beheerder Bijzonderheden Het beheren van de centrale omgeving van de GeVS, zodat gegevensverkeer tussen de partijen kan plaatsvinden. BKWI BKWI De centrale omgeving bestaat uit het netwerk, inkijkservers, Suwi-­‐broker, load balancers, (reverse) proxy’s, gebruikersadministratie, beveiliging en authenticatie software, Suwinet-­‐Inkijk, Suwinet-­‐Inlezen, Suwinet-­‐Mail, Suwinet-­‐
Mijn Gegevens, Suwinet-­‐Meldingen en Suwinet-­‐Autorisatie Prestatienorm Meetmethode Bijzonderheden Beschikbaarheid centrale omgeving zeven dagen in de week, 24 uur per dag: 99,9%. De beschikbaarheid wordt gemeten o.b.v. 24 uur voor 7dagen per week; hierover wordt maandelijks gerapporteerd in de SLR. De vaste onderhoudsmomenten en aangekondigd ad hoc onderhoud geldt niet als non-­‐beschikbaarheid. 4.17.3 Beheer en beschikbaarstelling gebruikersadministratie
Omschrijving dienst In de gebruikersadministratie wordt per organisatie bijgehouden welke top-­‐
level beheerder welke autorisaties en eigenschappen heeft voor Suwinet-­‐Inkijk. Aangesloten partijen zijn autonoom wat betreft het voor de toegewezen rollen autoriseren van het eigen personeel. Op verzoek van geautoriseerde medewerkers van de aangesloten organisatie(s) maakt de Suwidesk (BKWI) een top-­‐level beheerder aan of wijzigt zijn/haar Pagina 27 van 35 DEFINITIEF GeVS Keten SLA 9.0
Eigenaar dienst Beheerder Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden autorisaties. BKWI BKWI Randvoorwaarde: het verzoek tot het aanmaken van een autorisatie wordt in behandeling genomen wanneer dat door een daartoe bevoegde functionaris is gedaan. Zie hiervoor de contactpersonenlijst uit het Keten DAP. Het toekennen van rechten aan gebruikers is een taak van iedere partij afzonderlijk. BKWI heeft hierin een adviserende rol. Onder voorwaarde dat registratiehouder(s) met de wijziging akkoord is/zijn, maakt of wijzigt BKWI een rol of profiel binnen 5 werkdagen. Servicedesk registratiesysteem: tijd tussen registratie aanvraag en afsluiten call. Geen BKWI verwerkt een autorisatieverzoeken voor top-­‐level-­‐beheerders binnen 8 werkuur na ontvangst. Servicedesk registratiesysteem: tijd tussen registratie aanvraag en afsluiten call Geen Beschikbaarheid Gebruikersadministratie is 7 x 24 uur, met uitzondering van vooraf aangekondigde onderhouds-­‐ en releasemomenten en eventueel spoed ad hoc werkzaamheden. Buiten de openstellingstijden van Suwinet Inkijk is er echter geen ondersteuning beschikbaar. Servicedesk registratiesysteem: storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend. Geen 4.17.4 Beheer en beschikbaarstelling van Suwinet-Inkijk
Omschrijving dienst Eigenaar dienst Beheerder Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Beheren en beschikbaar stellen van Suwinet-­‐Inkijk applicatie. BKWI BKWI Geen Beschikbaarheid Suwinet-­‐Inkijk applicatie van 99% op werkdagen van 7:30 uur tot 19:00 uur . Storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend en gerapporteerd in de maandelijkse SLR. Geen 4.17.5 Beheer en beschikbaarstelling correctieservice
Omschrijving dienst Eigenaar dienst Beheerder Bijzonderheden De service waarmee een burger of professional eenvoudige digitaal een organisatie kan laten weten dat de geregistreerde gegevens (mogelijk) onjuist zijn. BKWI BKWI Organisaties die gebruik maken van de correctieservice zijn zelf verantwoordelijk voor de wijze van inrichting van de correctieservice en de Pagina 28 van 35 DEFINITIEF GeVS Keten SLA 9.0
afhandeling van de correctieverzoeken (vanuit burgers) en terugmeldingen (vanuit professionals) binnen de eigen organisatie. Prestatienorm Meetmethode Bijzonderheden Beschikbaarheid correctieservice: 99% Storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend en gerapporteerd in de maandelijkse SLR. Geen 4.17.6 Beheer en beschikbaarstelling filtermechanisme
Omschrijving dienst Eigenaar dienst Beheerder Afnemers Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Voorziening waarmee, voor bepaalde afnemers, gegevens alleen beschikbaar gesteld worden van een vooraf gedefinieerde populatie. BKWI BKWI Gemeentelijke Deurwaarders Regionaal Meld-­‐ en Coördinatiepunt De partijen die gebruik maken van het filtermechanisme dienen zelf zorg te dragen voor de vulling van het filter met BSN's. Een BSN wordt fysiek uit het filter verwijderd een jaar na de einddatum. Dit geschiedt via een automatisch proces dat dagelijks wordt uitgevoerd. Logging van alle activiteiten die invloed hebben op de vulling van het filtermechanisme met BSN's wordt 18 maanden bewaard. Van dit mechanisme kan in principe door iedere partij gebruik worden gemaakt. Beschikbaarheid filtermechanisme 99% Storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend en maandelijks wordt hierover gerapporteerd in de SLR. Geen 4.17.7 Beheer en beschikbaarstelling van Suwinet-Mail
Omschrijving dienst Eigenaar dienst Beheerder Bijzonderheden Beheren en beschikbaar stellen van de voorziening waarmee ongestructureerde berichten over een intern en besloten netwerk verstuurd kunnen worden. BKWI BKWI Geen 4.17.8 Beheer en Beschikbaarstelling van Suwinet- Mijn gegevens (Klantbeeld)
Omschrijving dienst Eigenaar dienst Beheerder dienst Beheer en beschikbaar stellen van Klantbeeld ten behoeve van burgers Klantbeeld portlet BKWI Portaal voor beschikbaarheid Klantbeeld Werk.nl UWV Mijnoverheid.nl Logius Klantbeeld portlet BKWI Portaal voor beschikbaarheid Klantbeeld Werk.nl UWV Pagina 29 van 35 DEFINITIEF GeVS Keten SLA 9.0
Gebruikers Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Prestatienorm Meetmethode Bijzonderheden Mijnoverheid.n Logius Alle klanten en professionals Geen Beschikbaarheid Klantbeeldportlet 99% (7 dagen per week/24 uur per dag) Storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend. Geen Responsetijd klantbeeld Responsetijd wordt gemeten vanuit de Suwi-­‐broker en maandelijks over gerapporteerd in de SLR. Geen 4.17.9 Logische toegangsbeveiliging
Omschrijving dienst Eigenaar dienst Beheerder Bijzonderheden Prestatienorm Meetmethode Bijzonderheden BKWI zorgt voor adequate logische toegangsbeveiliging en onderhoudt deze door tijdig essentiële updates door te voeren. BKWI BKWI Geen Beschikbaarheid van de logische toegangsbeveiliging is zeven dagen van 24 uur voor minimaal 99,9%, met uitzondering van vastgestelde onderhoudsmomenten. Technische meting door APG; maandelijkse rapportage door toeleverancier APG. Geen Pagina 30 van 35 DEFINITIEF GeVS Keten SLA 9.0
5.
Bijlagen
5.1
Managementrapportage
Maandelijks levert BKWI een rapportage over het behaalde niveau van dienstverlening met betrekking tot de GeVS. In deze Service Level Rapportage wordt gerapporteerd op basis van de prestatienormen die zijn vastgelegd in de Keten SLA. Deze rapportage wordt uiterlijk in de derde week van de maand opgesteld en wordt per mail verstuurd aan betrokkenen: - leden van de DIB - leden van het KIPO - andere geïnteresseerden De rapportage is afgestemd op de indeling van de Keten SLA en heeft de volgende inhoud: Inleiding Een algemene inleiding waarin doel van de rapportage wordt toegelicht 1.
Managementsamenvatting Een samenvatting van de resultaten en bijzonderheden. 2.
Prestaties ICT-­‐beheer Een uitgebreide rapportage over de afgesproken prestaties zoals omschreven in hoofdstuk 3 van de Keten SLA. Daarnaast aanvullende informatie over dienstverlening waarvoor (nog) geen concrete normen zijn afgesproken. Voorbeeld is rapportage over de oplostijd van problemen. 3.
Prestaties specifieke diensten Een uitgebreide rapportage over de afgesproken normen zoals omschreven in hoofdstuk 4 van de Keten SLA. Het BKWI levert ieder half jaar een rapportage aan het ministerie van SZW. In deze rapportage wordt gebruik gemaakt van de informatie uit de managementrapportages. Verzoeken ten aanzien van inhoud en vormgeving van de rapportage kunnen worden ingediend bij de Suwidesk van het BKWI. 5.2
Specifieke beheerrapportages BKWI levert maandelijks per partij de volgende specifieke beheerrapportages: • Gebruik GeVS Services in de vorm van een periodieke lograpportage • Totaaloverzicht Gebruikersadministratie • Alle geregistreerde gebruikers • Hoeveelheid berichten per organisatie en geraadpleegde BSN's per partij Voor de onderwerpen van de Keten SLA en aanverwante onderwerpen zijn diverse rapportages op aanvraag leverbaar. Verzoeken voor een rapportage kunnen worden ingediend bij de Suwidesk van het BKWI. Pagina 31 van 35 DEFINITIEF GeVS Keten SLA 9.0
5.3
Organigram overlegorganen
5.4
Overlegstructuur
De dienstverlening zoals verwoord in de Keten SLA komt aan de orde in onderstaande overlegvormen (zie illustratie overlegstructuur in 5.3); Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Werkgroep Informatisering en Shared Services Strategisch Leden raad van bestuur en/of directeuren Maandelijks Regie op samenwerking in de keten van Werk en Inkomen; Geschillen m.b.t. de Keten SLA oplossen; Formeel vaststellen nieuwe versie Keten SLA. Domeingroep ICT Beheer (DIB) Tactisch ICT Service Managers 6-­‐8 keer per jaar Bewaken van het algehele niveau van ICT-­‐ dienstverlening; Beheer en evaluatie van de Keten SLA en de keten brede beheerprocessen; Wijzigingsvoorstellen maken m.b.t. de Keten SLA; Voorstellen doen bij nalatige partij om passende maatregelen te nemen. Pagina 32 van 35 DEFINITIEF GeVS Keten SLA 9.0
Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Keten Incidenten en Problemen Overleg (KIPO) Operationeel Incident en/of Probleem managers Maandelijks indien noodzakelijk Afstemming Incidenten en Problemen; Beslissen over de promotie van incidenten naar problemen; Beheer en evaluatie van de GeVS Keten DAP; Knelpunten in de Incident afhandelingen oplossen. Keten Change Advisory Board (Keten CAB) Operationeel Wijzigingscoördinatoren 6-­‐ 8 keer per jaar Afstemmen en bewaken van voorgestelde wijzingen; Beheer en evaluatie van de “uitvoeringsafspraken ketenwijzigingen en releases”; Middels het CMK registreren en bewaken van wijzigingsverzoeken voor de keten van Werk en Inkomen. Functioneel Change Advisory Board (Fun CAB) Operationeel Business vertegenwoordigers Maandelijks Ketenwijzigingen functioneel keten breed afstemmen; Besluiten nemen of ketenwijzigingen op basis van functionele impact en wenselijkheid wel of niet uitgevoerd moet worden; Zorgdragen dat de gebruikersorganisatie van de partijen op een juiste wijze vertegenwoordigd wordt door het Functioneel CAB; Rapporteert aan de DIB. Domeingroep Gegevens en Berichten (DGB) Tactisch Manager Informatiebeleid / Standaarden Productmanager Standaarden Adviseur Standaarden Jaarlijks Uitvoeren van het ketenprogramma/ketenplan en/of de delen daarvan op het gebied van Gegevens en Berichten; Mogelijk indirect adviseren met betrekking tot vast te stellen nieuwe versies van het SGR. Nieuwe versies van het SGR worden in hoogste instantie vastgesteld door middel van de ministeriele regeling. Overige producten met betrekking tot Suwi worden vastgesteld door de DGB; Beoordelen van de impact van nieuwe of gewijzigde wet-­‐ en regelgeving vanuit haar verantwoordelijkheid; Sturen en coördineren van de werkzaamheden van de WGB en WGX; Zorgdragen voor het uitdragen van SGR/SuwiML. Werkgroep Gegevens en Berichten (WGB) Operationeel Gegevensmanagers en Informatieadviseur Pagina 33 van 35 DEFINITIEF GeVS Keten SLA 9.0
Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Soort overleg Aard Deelnemers Frequentie Doel Minimaal maandelijks Beoordelen van de impact op het SGR van nieuwe of gewijzigde wet-­‐ en regelgeving; Signaleren van ontwikkelingen binnen het Suwi-­‐domein en het beoordelen van de impact hiervan op het SGR; Verantwoordelijk voor het beleid ten aanzien van de beschikbaarstelling en verspreiding van het SGR; Beoordelen van (de impact van) wijzigingsvoorstellen voor SGR; Opstellen van nieuwe releases van het SGR; Bevorderen van het gebruik van het SGR en bespreken van eventuele problemen in het gebruik van het SGR; Adviseren over gebruik en toepassing van het SGR. Werkgroep XML (WGX) Operationeel Managers berichtontwikkeling en ICT-­‐architecten Ad hoc Adviseren over het beheer van de XML-­‐aspecten en technische aspecten van SuwiML, onder meer voor het SuwiML Basisschema, de richtlijnen voor berichtschema’s en de SuwiML Transactiestandaard; Verantwoordelijk voor het beleid ten aanzien van het beheer en de beschikbaarstelling van de betrokken SuwiML standaarden; Bevorderen van de toepassing van SuwiML; Beoordelen van voorstellen voor berichtschema’s op SuwiML-­‐compliance; Volgen van de ontwikkelingen van de verschillende XML-­‐standaards en deze vertalen naar SuwiML. Domeingroep Privacy en Beveiliging (DPB) Tactisch Security Officers Maandelijks Behandelen van de organisatorische aspecten van de bescherming van de privacy en van de beveiliging van de GeVS; Behandeling van de afhandeling van beveiligingsincidenten; Behandeling van de controle op de beveiligingsmaatregelen; Advisering over ontwikkeling van en onderhoud op beveiligingsbeleid; Verzorging van rapportages. Domeingroep Architectuur (DA) Adviserend aan het strategisch niveau Architecten Maandelijks De behandeling van architectuur issues en ontwikkelen van een binnen de keten gedeelde architectuurvisie en vastleggen van keten brede architectuur afspraken. Daarnaast geeft de DA advies omtrent de vertaling naar ICT van veranderende wet-­‐ en regelgeving, functionele behoeften van deelnemende partijen en actuele gebeurtenissen. Pagina 34 van 35 DEFINITIEF GeVS Keten SLA 9.0
5.5
Releasekalender 2014
Release Datum Deadline voor de release 14.03 27 maart 2014 15 januari 2014 Nazorg
10 april 2014
nvt
14.06 26 juni 2014 16 april 2014 Nazorg
10 juli 2014
nvt
14.09 25 september 2014 16 juli 2014 Nazorg
9 oktober 2014
nvt
14.12 11 december 2014 15 oktober 2014 Nazorg 8 januari 2015 nvt Met de deadline voor de release wordt bedoeld de termijn waar binnen voor de wijzigingen het voortraject (dat wil zeggen, de impactbepalingen van de ketenpartijen moet volledig zijn, zonder beperkingen) doorlopen moet hebben, om nog mee te kunnen in deze release. Het halen van de deadline voor de release biedt geen garantie dat de wijziging ook daadwerkelijk mee gaat in de eerstvolgende release. Binnen het Keten CAB wordt uiteindelijk de prioriteit bepaald van de wijzigingen. Pagina 35 van 35