Ketenafspraken ICT Beheer GeVS Keten SLA 14.0

De Keten SLA heeft als doel het vastleggen van concrete afspraken tussen de verschillende via de GeVS uitwisselende ketenpartijen, op basis waarvan de gezamenlijke prestaties gemeten en beoordeeld kunnen worden.

Gezamenlijke elektronische Voorzieningen Suwi (GeVS) Keten Service Level Agreement 14.0

1  Over de GeVS Keten SLA

1.1       Inleiding

1.2       Doel van de Keten SLA

1.3       Leeswijzer

1.4       SUWI-partijen en niet SUWI-partijen

1.5       BKWI en Inlichtingenbureau

1.6       Positie van de Keten SLA

1.7       Deelnemende organisaties

1.8       Bereik van de Keten SLA

1.9       Vastelling, publicatie, evaluatie, duur en wijziging van de Keten SLA

2. Algemene bepalingen

2.1       Informatieplicht en geheimhouding

2.2       Kosten en verdeling

2.3       Resultaatverplichting

2.4       Geschillen en escalatie

2.5       SUWI Standaarden

2.5.1        SGR en SuwiML

2.5.2        Verantwoordingsrichtlijn Informatiebeveiliging GeVS

2.5.3        Aansluitvoorwaarden Diginetwerk

2.5.4        Ketenarchitectuur

2.6       Beheerprocessen

2.6.1        Incidentbeheer en service requests

2.6.2        Wijzigings- en releasebeheer

2.6.3        Probleembeheer

2.6.4        Capaciteitsbeheer

2.6.5        Continuïteitsbeheer

2.6.6        Configuratiebeheer

2.6.7        Beschikbaarheidsbeheer

2.7       Logging, monitoring en rapportage

2.8       Releases en onderhoudsmomenten

2.9       Calamiteiten

2.10     Inzichtelijkheid verversing afgeleide databases

3. XML-diensten voor ketendiensten

3.1       Gegevenslevering

3.2       Beheer en beschikbaarstelling Testomgeving

4. Afspraken met betrekking tot de Centrale omgeving (BKWI)

4.1       Technisch beheer centrale omgeving GeVS

4.1.1        Beheer en beschikbaarstelling gebruikersadministratie

4.1.2        Logische toegangsbeveiliging

4.2       GeVS Managementrapportage

4.2.1    Specifieke beheerrapportages

Bijlage 1 – Beheerafspraken afnemers GeVS diensten en dienstverlening

Inleiding

2          Diensten

2.1           Suwinet-Inkijk

2.2           Suwinet-Inlezen

2.4           Suwinet-Mail

2.6           Suwinet-Meldingen

2.7           Suwinet-Autorisatie

2.8           Federatieve authenticatie service

2.9           Suwinet filtermechanisme (whitelist/werkvoorraad)

2.10         Ketenbrede Testomgeving

2.11         Suwinet Inkijk demo-omgeving

3          Dienstverlening van afnemers aan de keten

3.1           Servicedesk t.b.v. medewerkers van de aangesloten partijen

3.2           Wijziging- en releasebeheer

3.3           Logische toegangsbeveiliging

3.4           Logging, monitoring en rapportage

Bijlage 2 – Overlegvormen in de keten.

1. Over de GeVS Keten SLA

1.1      Inleiding

Sinds 2004 wordt jaarlijks de GeVS Keten Service Level Agreement (Keten SLA) opgesteld met de afspraken tussen de SUWI-partijen die de Gezamenlijke elektronische Voorzieningen SUWI (GeVS) in standhouden en gegevens uitwisselen. In deze overeenkomst worden o.a. normen vastgesteld met betrekking tot beschikbaarheid, responstijden, openingstijden van systemen en oplostijden van incidenten.  Deze Keten SLA (versie 14.0) vervangt versie 13.0.

1.2      Doel van de Keten SLA

De Keten SLA heeft als doel het vastleggen van concrete afspraken tussen de verschillende via de GeVS uitwisselende ketenpartijen, op basis waarvan de gezamenlijke prestaties gemeten en beoordeeld kunnen worden. De Keten SLA gaat uit van resultaatverplichtingen.

Met de vastlegging van deze afspraken en met behulp van een Service Level Rapportage (GeVS Management Rapportage) kan geborgd en aangetoond worden dat een bepaald niveau van dienstverlening door de verschillende bronnen en de beheerder van de GeVS geleverd wordt. Bewaking van de resultaten en activiteiten ter verbetering vinden plaats in of onder regie van de Domeingroep ICT Beheer (DIB).

Daarnaast beschrijft de Keten SLA ook de specifieke beheerafspraken voor afnemers van GeVS diensten. Deze beheerafspraken zijn beschreven in bijlage 1 van deze Keten SLA. Deze bijlage bevatten afspraken waar de afnemers aan moeten voldoen en rechten waar zij als afnemers op mogen rekenen. De afspraken in deze bijlage zijn van toepassing op zowel SUWI-partijen als niet SUWI-partijen.

1.3      Leeswijzer

De Keten SLA is verdeeld in drie delen; een algemeen deel, een ketendiensten deel (bron) en een centrale omgeving Suwinet Services deel.

Hoofdstuk één bevat de algemene inleiding over deze Keten SLA. In hoofdstuk twee worden de algemene bepalingen beschreven. Hoofdstuk 3 beschrijft de normen die op gegevensdiensten van toepassing zijn.  Hoofdstuk vier bevat de afspraken en normen die gelden voor de centrale omgeving Suwinet die in beheer is bij het Bureau Keteninformatisering Werk en Inkomen (BKWI). In bijlage 1 staan de beheerafspraken die gelden voor de verschillende voorzieningen en de dienstverleningsafspraken van de beheerder.

De Keten SLA wordt vastgesteld in het Ketenoverleg en wordt niet door de verschillende partijen ondertekend. Daarmee is de Keten SLA is een set van gezamenlijke overeengekomen afspraken tussen de ketenpartijen SVB, UWV, gemeenten (vertegenwoordigd door VNG Realisatie en Stichting Inlichtingenbureau) en het BKWI als beheerder. In bijlage 2 wordt weergegeven hoe de ketenpartijen vertegenwoordigd zijn in verschillende overleggen.

1.4      SUWI-partijen en niet SUWI-partijen

Met de invoering van de Wet SUWI in 2002 en de uit de Wet SUWI voortgekomen Regeling SUWI is een samenhangend stelselontwerp ontstaan voor de elektronische voorzieningen, verantwoordelijkheden, afspraken, uitgangspunten en ketenproducten die nodig zijn voor digitale dossiervorming en gegevensuitwisseling in het domein Werk en Inkomen.

UWV, SVB en de gemeenten (m.b.t. uitvoering Participatiewet, IOAW, IOAZ en de WGS) dragen gezamenlijk zorg voor de instandhouding van deze gezamenlijke elektronische voorzieningen SUWI (GeVS). Deze partijen worden de SUWI-partijen genoemd. In overeenstemming met het Aansluitprotocol GeVS dienen niet SUWI-partijen, die gegevens via de GeVS ontvangen, zich te conformeren aan de beheerafspraken in Keten SLA. Om de beheerafspraken te borgen zijn ze toegevoegd in bijlage 1. Deze bijlage is van toepassing voor álle afnemers.

De gemeente is SUWI-partij voor de taken benoemd in artikel 62 van de Wet SUWI (Participatiewet, IOAW, IOAZ en WGS), voor overige taken is zij een niet SUWI-partij.

1.5      BKWI en Inlichtingenbureau

Het Bureau Keteninformatisering Werk & Inkomen (BKWI) treedt op als beheerder van het centrale deel van de GeVS zoals beschreven in de wet SUWI. Stichting Inlichtingenbureau (IB) verricht in het kader van de wet SUWI-verwerkingsactiviteiten ter ondersteuning van gemeenten.

1.6      Positie van de Keten SLA

De basis voor de afspraken in de Keten SLA is vastgelegd in de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet SUWI) en de nadere uitwerking in het Besluit SUWI en de Regeling SUWI. De afspraken van de Keten SLA zijn nader uitgewerkt in het Keten Dossier Afspraken & Procedures (Keten DAP).

De Keten SLA is een afsprakenset tussen: Uitvoeringsinstituut Werknemers Verzekeringen (UWV), Sociale Verzekeringsbank (SVB), het gemeentelijk domein vertegenwoordigd door Vereniging Nederlandse Gemeenten Realisatie (VNG-R) en de beheerders Bureau Keteninformatisering Werk en Inkomen (BKWI) en Stichting Inlichtingenbureau (IB).

Als in documenten tegenstijdigheden staan geldt altijd het hiërarchisch hoger gelegen document.

1.7      Deelnemende organisaties

De SUWI-partijen zijn volgens de SUWI-regelgeving verantwoordelijk voor het maken van afspraken met betrekking tot de prestaties van voorzieningen en beheer. Zij zijn vertegenwoordigd in het ketenoverleg.

BKWI is beheerder van de centrale omgeving en heeft daarnaast met enkele (gegevensleverende) partijen underpinning contracts afgesloten. De beheerder zorgt ervoor dat de afspraken die voor het afnemen van diensten van die partijen zoveel als mogelijk in lijn zijn met de Keten SLA. 

IB is de beheerder van de decentrale voorziening ten behoeve van het gemeentelijk domein.

VNG Realisatie is deelnemer in het ketenoverleg en vertegenwoordigen de vraagkant (afnemers) van gemeenten. VNG Realisatie is niet verantwoordelijk om de naleving van deze Keten SLA door individuele gemeenten te waarborgen. Dit zijn verantwoordelijkheden van de gemeenten zelf.

1.8      Bereik van de Keten SLA

In de Keten SLA zijn de afspraken vastgelegd, die gemaakt zijn tussen partijen met betrekking tot de GeVS. De GeVS is een verzameling van centrale en decentrale voorzieningen die zorgdragen voor de gegevensuitwisseling tussen gegevensaanbieders en afnemers in de keten Werk en Inkomen. Deze voorzieningen zijn vastgelegd in artikel 5.21 van het Besluit SUWI, inclusief de taken op het gebied van de inrichting en beheer. 

De definitie van de GeVS en daarmee de reikwijdte van deze Keten SLA is terug te vinden in de Ketenarchitectuur Werk en Inkomen.

1.9      Vastelling, publicatie, evaluatie, duur en wijziging van de Keten SLA

De Keten SLA geldt vanaf het moment van publicatie na tekenen en blijft geldig tot opzegging of vervanging door een nieuwe Keten SLA. De Keten SLA wordt minimaal één keer per jaar geëvalueerd door de DIB.

Wanneer één van de SUWI-partijen, buiten de jaarlijkse evaluatie om, een wijziging in de afspraken wenst, dan treden de partijen via de DIB in overleg en wordt de voorgenomen wijziging via de directeur BKWI voorgelegd ter besluitvorming aan het Ketenoverleg.

De Keten SLA wordt na vaststelling gepubliceerd op www.bkwi.nl.

2. Algemene bepalingen

2.1      Informatieplicht en geheimhouding

SUWI-partijen verplichten zich om elkaar tijdig alle informatie te verschaffen en medewerking te verlenen die noodzakelijk zijn voor het uitvoeren van de afspraken in de Keten SLA.

Alle in het kader van de Keten SLA ter beschikking gestelde of verkregen informatie over partijen, hun doelen en bedrijfsprocessen zal door de partijen strikt vertrouwelijk worden behandeld. Deze informatie zal niet worden aangewend voor andere doeleinden dan waarvoor deze is aangevraagd en verstrekt. Deze informatie wordt ook niet aangewend ten behoeve van derden zonder uitdrukkelijke en schriftelijke toestemming van betrokken partijen, tenzij juridisch vereist (bijvoorbeeld audits of toezichthouders).

2.2      Kosten en verdeling

Tenzij vooraf uitdrukkelijk anders wordt overeengekomen, dragen SUWI-partijen elk zelf de kosten die voor hen aan de uitvoering van de Keten SLA zijn verbonden. Dit is in overeenstemming met de Wet SUWI.

2.3      Resultaatverplichting

De SUWI-partijen rapporteren in de DIB aan elkaar over de algehele prestaties en de naleving van de binnen de keten geldende afspraken. BKWI rapporteert over de behaalde resultaten in de maandelijks op te leveren Service Level Rapportage aan de DIB.  Waar nodig worden onderling de te nemen verbetermaatregelen benoemd en door de DIB belegd bij een eindverantwoordelijke. De DIB heeft hierin een coördinerende rol.

2.4      Geschillen en escalatie

Geschillen tussen partijen over de Keten SLA en de uitvoering hiervan worden te allen tijde schriftelijk (e-mail) bij elkaar ingediend. De DIB wordt op de hoogte gebracht van het geschil. Vervolgens treden partijen in overleg in de DIB, waarbij de voorzitter van de DIB de coördinerende rol voor haar rekening neemt.

Wanneer uit overleg tussen de partijen blijkt dat geen overeenstemming over het geschil kan worden bereikt, wordt het geschil ter bespreking en besluitvorming voorgelegd aan de directeur BKWI, die in overeenstemming met het Instellingsbesluit DIB gedelegeerd verantwoordelijke is.

De afgesproken escalatieprocedure is uitgewerkt in het Keten DAP en beschrijft escalatie voor de volgende gevallen:

  • (dreigende) overschrijding van oplostijden van incidenten
  • (vermoeden van) beveiligingsincident(en) en eventuele datalekken
  • -          niet of verkeerd uitvoeren van procedures
  • -          niet nakomen van ketenafspraken en/of verplichtingen

Escalatie naar de Security Officer van de eigen organisatie is verplicht bij (vermoeden van) beveiligingsincidenten.

2.5      SUWI Standaarden

De GevS kent verschillende standaarden. Naast de Keten SLA zijn de volgende ketenstandaarden van toepassing op uitwisseling via de GeVS:

  • SGR/SuwiML
  • Verantwoordingsrichtlijn en Normenkader GeVS
  • Ketenarchitectuur Werk en Inkomen (KarWeI)

2.5.1   SGR en SuwiML

Elke uitwisseling van gegevens via de Suwinet-Services dienen in overeenstemming met de afgesproken standaarden SUWI Gegevensregister (verder genoemd SGR) en SuwiML (Transactiestandaard en Berichtstandaard) te geschieden, met uitzondering van Suwinet-Mail, waarbij ongestructureerde berichten uitgewisseld worden.  

Afwijkingen van de SGR- en SuwiML- standaarden resulteren - tenzij hierover nadere afspraken zijn gemaakt - in (centrale) afkeuring van het bericht en het stoppen van de doorlevering van het bericht aan afnemers en applicaties.

De DIB kan in samenspraak met de Domeingroep Gegevens en Berichten (DGB) en de Domeingroep Privacy en Beveiliging (DPB) beslissen om afgekeurde berichten toch tijdelijk door te leveren aan afnemers en applicaties als hiermee anders het organisatiebelang onevenredig wordt geschaad. Hierbij moet worden vastgelegd gedurende welke reële termijn dit mag plaatsvinden. De termijn wordt bewaakt door de DIB.

Afwijkingen van het SGR en de SuwiML standaarden worden als beveiligingsincident gemeld bij de leverende partij die is verplicht deze afwijking(en) van de standaard zo snel mogelijk maar uiterlijk binnen vier maanden op te lossen.

Prestatienorm

Afwijkingen van de SGR en SuwiML standaarden resulteren - tenzij hierover gezamenlijk nadere afspraken over zijn gemaakt - in (centrale) afkeuring van het bericht en het stoppen van de doorlevering van het bericht aan afnemers en (inlezende) applicaties

Bijzonderheden

Centrale afkeuring vindt in het validatieproces bij BKWI plaats.

Bij berichten die rechtstreeks tussen twee ketenpartijen uitgewisseld worden is de ontvangende partij/applicatie verantwoordelijk voor de validatie.

Prestatienorm

Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht.

Bijzonderheden

Eventuele discussies of een bericht een nieuwe versie van een bericht is of een compleet nieuw bericht worden in de Werkgroep Gegevens en Berichten beslecht. 

Prestatienorm

Afwijkingen van SGR en de SuwiML standaard worden als beveiligingsincident gemeld bij de leverende partij. De leverende partij is verplicht deze afwijking van de standaard zo snel mogelijk te herstellen, maar uiterlijk binnen vier maanden.

Bijzonderheden

Geen

2.5.2   Verantwoordingsrichtlijn Informatiebeveiliging GeVS

Partijen zijn verantwoordelijk voor privacybescherming en informatiebeveiliging. De privacybescherming wordt in de eerste plaats geregeld in de AVG.

Op grond van de Verantwoordingsrichtlijn moeten partijen verder voldoen aan het in hun sector gebruikelijke normenkader – de Baseline Informatiebeveiliging Overheid (BIO) – en als ze afnemer of beheerder van Suwinet (om precies te zijn, de GeVS) zijn ook aan het voor hen geldende en vigerende Specifieke SUWI-verantwoordingsrichtlijn en de Suwinet-guidance 2022 voor toepassing van de BIO, zoals gepubliceerd op de BKWI-website (https://www.bkwi.nl).

Gemeenten volgen de ENSIA-systematiek en houden zich daarmee aan de Verantwoordingsrichtlijn Informatiebeveiliging GeVS.

2.5.3    Aansluitvoorwaarden Diginetwerk

Partijen die direct op het koppelnetwerk Suwinet Netwerk zijn aangesloten en daarmee ook een Diginetwerk aansluiting afnemen dienen zich te houden aan de aansluitvoorwaarden DIginetwerk. Deze zijn te vinden op:

https://www.logius.nl/domeinen/infrastructuur/diginetwerk/documentatie/aansluitvoorwaarden-diginetwerk

2.5.4   Ketenarchitectuur

De ketenarchitectuur biedt gemeenschappelijke kaders, afspraken en een high-level design van de ketensamenwerking en de daarbinnen gebruikte standaarden en bouwstenen voor de gezamenlijke ontwikkeling van de keten. Partijen werken onder architectuur en houden zich aan de afspraken en principes uit de ketenarchitectuur.

 

2.6      Beheerprocessen

2.6.1   Incidentbeheer en service requests

Op keten niveau zijn afspraken gemaakt over het incidentbeheerproces. Afwijkend hierin is de geldende Wet Meldplicht Datalekken, waarbij geldt dat (mogelijke) datalekken binnen 72 uur gemeld moeten worden bij de Autoriteit Persoonsgegevens.

Binnen de keten maken we verschil tussen beschikbaarheid en ondersteuning:

  • Beschikbaarheid van een dienst: het tijdsvenster waarin een dienst beschikbaar wordt gesteld aan de afnemer.
  • Ondersteuning van een dienst: het tijdsvenster waarin helpdesk(en) actief meldingen ontvangen en in behandeling nemen.

Ketenpartijen zijn verantwoordelijk voor de inrichting van het eigen Incidentbeheerproces, waarbij geldt dat incidenten door de Suwidesk van BKWI  aangemeld kunnen worden en opgepakt worden tussen 8:30 en 18:00 uur.

Prestatienorm

De ondersteuning door de Servicedesk van de gegevens leverende partij is voor de melding van incidenten en service requests door de Suwidesk bereikbaar op werkdagen (ma-vr) tussen 8:30-18:00 uur.

Meetmethode

Handmatig

Bijzonderheden

Ketenpartijen zijn vrij het eigen incidentbeheerproces in te richten, maar dragen er zorg voor dat incidenten op maandag tot en met vrijdag van 8:30 tot 18:00 uur aangemeld kunnen worden en gedurende deze tijden ook worden behandeld.

 

Incidentmeldingen die aangeleverd worden buiten de openstellingstijden worden zoveel mogelijk opgepakt.

Voor keten brede incidenten gelden de volgende oplostijden (in werkuren):

Prioriteit

Omschrijving

Reactietijd[1]

Maximale oplostijd[2]

1

Incidenten waarbij de dienst of bron in het geheel niet meer functioneert

Direct

70 % binnen 6 uur binnen de ondersteuningstijd[3]

2

Incidenten waarbij de functionaliteit dusdanig is afgenomen dat de dienst niet meer geheel functioneert.

1 uur

80 % binnen 12 uur binnen de ondersteuningstijd

3

Incidenten waarbij de dienst gedeeltelijk niet meer functioneert, maar waarbij met de overgebleven functionaliteit nog redelijk te werken is.

2 uur

24 uur binnen de ondersteuningstijd

4

Overige incidenten met minimale verlies van functionaliteit

8 uur

In overleg

4

Service Requests

Een service request is een verzoek van een gebruiker voor het leveren van informatie, advies, een standaard wijziging of toegang tot een service (autorisatie).

-

<3 werkdagen (streeftijd)

 

Voor de demo- en testomgeving geldt dat incidenten behandeld worden als een prioriteit drie incident, waarbij geldt dat de reactie en maximale oplostijd streeftijden betreffen.

In onderstaand plaatje wordt aangegeven hoe de oplostijd wordt gemeten. Hierbij wordt gerapporteerd over de oplostijd die bij BKWI wordt geregistreerd.

 

oplostijd

Voor de oplostijd geldt dat dit de tijd is tussen registratie van het incident (melding Suwidesk) en de afmelding aan de oorspronkelijke aanmelder. Dat betekent dat incidenten vanuit gebruikersperspectief een langere oplostijd kunnen hebben dan in de tabel opgenomen, vanwege de overdracht tussen de verschillende servicedesks en oplosgroepen. De percentages maximale oplostijden worden op jaarbasis berekend.

Prestatienorm

Ketenpartijen houden zich aan de maximale oplostijden.

Meetmethode

Incidentregistratietool: tijd tussen ontvangst van het incident en het oplossen van het incident.

Meetperiode

Maandelijks wordt over deze norm gerapporteerd in de GeVS Managementrapportage. Voor de prioriteiten 1, 2 en 3 worden de percentages op jaarbasis berekend.

Bijzonderheden

geen

Prestatienorm

Elk – vermoeden van een – inbreuk op de privacy of op de beveiliging van de GeVS dient direct gemeld te worden aan de eigen Security en/of Privacy Officer.

Meetmethode

Handmatig; geconstateerde afwijkingen worden gemeld bij de Suwidesk.

Bijzonderheden

Geen

Prestatienorm

Elk incident met gevolgen voor ketenpartijen dient direct gemeld te worden bij de Suwidesk.

Meetmethode

Handmatig

Bijzonderheden

Geen

2.6.2   Wijzigings- en releasebeheer

Ten behoeve van het ketenbrede wijzigingsbeheerproces is een Centraal Meldpunt Ketenwijzigingen (CMK) ingericht voor de SUWI-partijen en eventuele andere ketenpartijen. De partijen zijn verplicht en dragen zelf zorg voor de aanmelding van ketenbrede wijzigingen aan het CMK door vaste contactpersonen (wijzigingscoördinatoren) van de partijen.

Het CMK is verantwoordelijk voor het registreren, routeren en publiceren van de ketenwijzigingen en regelt de uitgifte van CMK-accounts, verwerken van impactbepalingen en het aanbieden van de wijzigingen aan het Keten CAB. Jaarlijks worden de ketenrelease momenten vastgesteld voor het volgende jaar in het Keten CAB en gepubliceerd op www.bkwi.nl.

2.6.2.1 Berichtondersteuning

SUWI-partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht. Met implementatie van een nieuw bericht wordt bedoeld het moment dat het bericht geconfigureerd is en opvraagbaar is in de productieomgeving van BKWI.

Voor het uitfaseren van een oud bericht dient de leverende partij van dit bericht een CMK (wijzigingsverzoek via het Centraal Meldpunt Ketenwijzigingen) in, waarbij het bericht na bekendmaking via het CMK nog minimaal een jaar lang ondersteund wordt. Na dit jaar vervallen alle rechten voor de afnemers en is de leverende partij gerechtigd het bericht technisch uit te faseren. Uitfaseren van het bericht kan eerder in overleg met de afnemers. De uitfaseringstermijn voor een bericht wordt in het Keten CAB gezamenlijk vastgesteld en vastgelegd in de CMK-applicatie. Vastlegging vindt plaats in het ingediende CMK voor de uitfasering van het desbetreffende bericht.

2.6.2.2 SUWI-partijen

SUWI-partijen zijn verplicht om impactbepalingen te leveren binnen 14 dagen na beschikbaarstelling van de wijziging via de CMK-applicatie. Partijen die deze verplichting niet nakomen worden geacht akkoord te zijn met de wijziging en accepteren alle risico's die aan de uitvoer van deze wijziging liggen. Partijen kunnen via de coördinator van het CMK  verzoeken om de impactbepalingstermijn te verlengen.

2.6.2.3 Niet SUWI-partijen

Ook niet SUWI-partijen die gebruik maken van de GeVS-infrastructuur hebben een meldingsplicht (via het CMK) van wijzigingen die invloed (kunnen) hebben op de GeVS. Zij worden via het CMK en/of de relatiebeheerder van BKWI geïnformeerd over aankomende wijzigingen die de GeVS raken, echter de niet SUWI-partijen zijn niet verplicht altijd impactbepalingen te leveren op wijzigingen.

Prestatienorm

Alle wijzigingen (ook partij eigen wijzigingen) die invloed kunnen hebben op een juiste werking van de GeVS, dienen zo snel mogelijk als ketenwijziging gemeld te worden via het CMK.

Meetmethode

Handmatig op basis van signalering uit het Incidentbeheer (via KIPO) en wijzigingsbeheerproces (Keten CAB).

Prestatienorm

Ketenpartijen leveren uiterlijk binnen veertien dagen na de eerstkomende donderdag na indienen van de wijziging impact op ingediende ketenwijzigingen.

Meetmethode

Handmatig op basis van evaluaties uit het Keten CAB en de CMK-applicatie

Bijzonderheden

Partijen kunnen verzoeken om uitstel voor de levering van impactbepaling.

Prestatienorm

Er worden geen wijzigingen uitgevoerd die niet volledig volgens het afgesproken ketenbrede wijzigingsproces zijn gelopen.

Meetmethode

Handmatig.

Bijzonderheden

Geen.

Prestatienorm

Er volgen geen incidenten naar aanleiding van het doorvoeren van een wijziging.

Meetmethode

Handmatig: aantal incidenten gerelateerd aan een specifieke geregistreerde wijziging. Deze worden verzameld na elke release specifieke evaluatie of uit onderzoek van de oorzaak van een opgetreden incident.

Bijzonderheden

Geen.

Prestatienorm

SUWI-partijen zijn verplicht om binnen 14 dagen impactbepalingen te leveren op wijzigingen die via het CMK zijn gepubliceerd, dan wel uitstel te vragen als de wijziging dusdanig complex is dat een impact binnen 14 dagen redelijkerwijs niet leverbaar is.

Meetmethode

CMK-applicatie; maandelijks overzicht.

Bijzonderheden

Geen.

2.6.3   Probleembeheer

In het Keten Incidenten en Problemen Overleg (KIPO) worden op basis van het incidentbeheerproces en andere signalen problemen geïdentificeerd en geprioriteerd. In het KIPO zijn in elk geval de SUWI-partijen als gegevens leverende partij vertegenwoordigd. Het KIPO bepaalt wie verantwoordelijk is voor het oplossen van het probleem en of er een oplosgroep voor het benodigde onderzoek wordt samengesteld.

Uitwerking van het probleembeheer proces is te vinden in de GeVS Keten DAP.

Prestatienorm

Het KIPO belegt geconstateerde problemen binnen drie werkdagen bij een oplosgroep.

Meetmethode

Handmatige meting naar aanleiding van een bijeenkomst van het KIPO.

Bijzonderheden

Geen.

Prestatienorm

Op verzoek van het KIPO levert een gegevens leverende partij adequate middelen om bij te dragen tot de oplossing van een probleem.

Meetmethode

Handmatige meting.

Bijzonderheden

Geen.

 

2.6.4   Capaciteitsbeheer

Iedere op de GeVS aangesloten bron monitort zelf actief de capaciteit van de infrastructuur waarover de gegevens worden getransporteerd en verwerkt. Afnemende partijen maken vooraf een inschatting van gebruik en melden substantiële toename of afname van gebruik (zie afnemersdeel van de Keten SLA).

Prestatienorm

Bronnen leveren impact op meldingen van gebruikstoename en doen voorstellen om aan de gevraagde capaciteit te voldoen.

Meetmethode

Handmatige meting.

Bijzonderheden

Geen.

Prestatienorm

Bronnen zorgen ervoor dat gebruikte infrastructuur en hard- en software van voldoende niveau blijft om de normen in de Keten SLA te behalen.

Meetmethode

Handmatige meting.

Bijzonderheden

Geen.

 

2.6.5   Continuïteitsbeheer

Partijen dragen zorg voor garanties van de continuïteit van de dienstverlening. Partijen zijn vrij hier zelf invulling aan te geven, onder voorwaarden dat beschikbaarheid van de voorzieningen gewaarborgd blijft volgens de beschikbaarheidsnormen van deze Keten SLA.

Continuïteitsbeheer omvat ook en sluit ook aan op maatregelen die erop zijn gericht om het optreden van een calamiteit te voorkomen.  Partijen zijn vrij hier zelf invulling aan te geven, maar moeten bij calamiteiten in staat zijn de dienstverlening op korte termijn te herstellen.

2.6.6   Configuratiebeheer

Partijen zijn zelf verantwoordelijk voor het configuratiebeheer binnen de eigen organisatie en dragen er zorg voor dat dit afdoende wordt uitgevoerd ter ondersteuning van andere beheerprocessen.

2.6.7   Beschikbaarheidsbeheer

Iedere op de GeVS aangesloten partij is zelf verantwoordelijk voor de beschikbaarheid van de eigen infrastructuur (netwerk) en componenten (webservices e.d.). Onderscheid wordt gemaakt in beschikbaarheid ten behoeve van de eigen organisatie en beschikbaarheid waarbij andere organisaties afhankelijk zijn van deze beschikbaarheid. De eerste valt buiten de scope van de Keten SLA.

Prestatienorm

Bronnen zorgen voor beschikbaarheid van alle componenten die onderdeel uitmaken van de GeVS gegevensleveringen die vallen onder de scope van deze Keten SLA aan de verschillende afnemers tussen 8:30 en 18:00 uur op werkdagen.

Bijzonderheden

Geen.

Prestatienorm

Bronnen hebben een proces ingericht waarmee andere ketenpartijen extra openstelling van systemen en bronnen kunnen aanvragen.

Bijzonderheden

Aanvragen voor extra openstelling verlopen via de Suwidesk. In de Keten DAP is dit proces verder uitgewerkt.

 

2.7    Logging, monitoring en rapportage

De verplichting geldt dat alle gebruikers- en beheerhandelingen vastgelegd worden en herleidbaar zijn naar een natuurlijk persoon, zodat eventueel misbruik gedetecteerd kan worden en deze informatie gebruikt kan worden als bewijslast.

BKWI logt en rapporteert op applicatie- en afnemerniveau de levering van berichten. 

BKWI verstrekt regulier rapportages, op basis waarvan de op de GeVS aangesloten organisaties oneigenlijk gebruik en misbruik kunnen detecteren. Daarnaast verstrekt BKWI partijen op verzoek specifieke rapportages over het gebruik van alle voorzieningen van de GeVS.

Afnemers voeren een actief beleid aangaande onderzoek naar oneigenlijk gebruik en misbruik.

Prestatienorm

Reguliere rapportages worden geleverd voor de 15e van de daaropvolgende maand.

Bijzonderheden

Geen.

Prestatienorm

Specifieke rapportages worden geleverd binnen 1 week na opvragen bij de Suwidesk.

Bijzonderheden

Geen.

Prestatienorm

Loggings hebben een bewaartermijn van maximaal 18 maanden.

Bijzonderheden

Geen.

 

2.8      Releases en onderhoudsmomenten

Gepland onderhoud, uitgevoerd door (één van) de partijen, aan (een onderdeel van) de diensten vindt uitsluitend plaats buiten de afgesproken openstellingstijden (8:30-18:00 uur). Hiervan mag enkel afgeweken worden met goedkeuring van de DIB. Vastlegging hiervan vindt plaats in de notulen van de DIB of per mail.

De in de keten vastgestelde releasemomenten zijn terug te vinden in de Keten DAP.

Prestatienorm

Releases en onderhoud vindt binnen de, in de Keten SLA vastgelegde, onderhoudstijden plaats.

Meetmethode

Geconstateerde afwijkingen worden vastgelegd en volgens de procedure in het Keten DAP gemeld bij de Suwidesk. Maandelijks wordt hierover gerapporteerd.

Bijzonderheden

Tijdens de releases en onderhoudsmomenten kan de beschikbaarheid van de diensten niet worden gegarandeerd. Partijen dienen rekening te houden met de volgende onderhoudsmomenten:

UWV:

Onderhoudsmomenten vinden plaats ieder derde volle weekend van de maand m.u.v. december.

SVB:

Onderhoudsmomenten worden in de weekenden gepland, maar staan over het algemeen los van de beschikbaarheid voor Suwinet Inkijk. Over alle weekenden van het jaar berekend levert SVB 85% beschikbaarheid in de weekenden.

BKWI:

BKWI voert onderhoud uit (patches) volgens een jaarlijks opgesteld schema, waarbij deze tussen 18:00 en 22:00 worden uitgevoerd.

Overige partijen:

Geen bijzonderheden.

Prestatienorm

Partijen die buiten de eerder vastgestelde onderhoudsmomenten werkzaamheden willen uitvoeren, ook als deze buiten de vastgestelde openstellingstijden plaatsvinden, melden dit zo snel mogelijk bij de Suwidesk, die dit vervolgens communiceert naar de afnemers en publiceert in de Suwi-kalender (zodra beschikbaar).

Bijzonderheid

-

Meetmethode

Handmatig.

 

2.9      Calamiteiten

Iedere partij maakt na het optreden van een calamiteit zo snel mogelijk inzichtelijk wat de gevolgen hiervan zijn voor de afnemers en komt met een oplostermijn voor de herstelactiviteiten om de dienstverlening te herstellen. Communicatie hierover verloopt via de DIB.

Definitie calamiteit: een calamiteit is een ongeplande situatie met onbeschikbaarheid van diensten en producten tot gevolg, waarbij verwacht wordt dat de duur van de onderbreking de afgesproken drempelwaarden uit de SLA zal overschrijden. Calamiteiten zijn altijd een prioriteit 1 incident. Een calamiteit kan ook buiten het service window optreden als de verwachting bestaat dat het incident niet voor het begin van het service window weer beschikbaar is.

Voorbeelden van calamiteiten zijn brand in het datacentrum, kabelbreuk door graafwerkzaamheden, hackpogingen (P&B gerelateerd incident) en dergelijke.

Bij calamiteiten wordt altijd het reguliere incidentbeheerproces gevolgd echter start direct het proces van escalatie via de voorzitter van de DIB. Door de Suwidesk wordt met de houder van het incident de communicatie verzorgt richting de afnemers.

2.10    Inzichtelijkheid verversing afgeleide databases

Elke partij die gebruik maakt van gegevenslevering aan de keten via een tussenbestand (database), draagt op verzoek zorg voor inzichtelijkheid van de actualiteit van de verversing van deze tussenbestanden. Te allen tijde wordt getracht de verversing zo actueel mogelijk te houden. De partijen hebben hiervoor een inspanningsverplichting.

3. XML-diensten voor ketendiensten

 

3.1      Gegevenslevering

Partijen die gegevens leveren stellen een interface beschikbaar waarmee het mogelijk is om op basis van de standaard SuwiML, een vastgestelde set van gegevens op te halen uit de gegevensverzamelingen van partijen en in te lezen in de eigen applicatie of deze gegevens te tonen in Suwinet-Inkijk/Klantbeeld.

Prestatienorm

Berichten mogen enkel uitgewisseld worden onder voorwaarden dat de bronhouder hiermee akkoord is.

Prestatienorm

Berichten worden uitgewisseld volgens de overeenkomsten tussen bronhouder en afnemers.

 

Prestatienorm

Beschikbaarheid XML-diensten bij de verschillende partijen tijdens de openstellingstijden (ma-vr 8:30 tot 18:00 uur) op werkdagen.

Meetmethode

Storingen die de beschikbaarheid van de XML-diensten aantasten worden geregistreerd. Foutmeldingen worden geanalyseerd. Op basis daarvan worden de storingen die de beschikbaarheid van gegevens aantasten geregistreerd. Kwaliteit van de gegevens blijft buiten beschouwing.

Bijzonderheden

Geen.

Prestatienorm

Responsetijd XML-diensten: minder dan 6 seconden voor 95% van de bevragingen.

Meetmethode

BKWI logging.

Bijzonderheden

In de responstijd zit een verwaarloosbaar tijd deel van leverende XML-dienst naar de Suwi-Broker.

 

Het IB is niet verantwoordelijk voor de beantwoording van de XML services van individuele gemeenten.

3.2      Beheer en beschikbaarstelling Testomgeving

Prestatienorm

Gegevensleverende partijen stellen infrastructuur en bijbehorende services van de keten brede testomgeving, inclusief data beschikbaar om te kunnen testen voor de verschillende Suwinet Services (o.a. Suwinet-Inkijk, Suwinet-Inlezen en Suwinet-Meldingen).

Prestatienorm

Het gebruik van productiedata in de testomgeving is niet toegestaan.

Prestatienorm

Partijen zijn verplicht om op verzoek van ketenpartijen testdata beschikbaar te stellen, waarmee de ketenpartij in staat is om te testen.

Prestatienorm

Partijen dienen de testomgeving te reserveren bij de Suwidesk en dienen aan te geven wat zij gaan testen en welke onderdelen van de testomgeving gebruikt gaan worden (gegevens van partij, welke overzichtspagina’s, belasting etc.).

Bijzonderheden

Afspraken over het beheer van de KIT zijn in het Keten DAP opgenomen.

 

Gebruik van de testomgeving zonder reservering is mogelijk, echter de resultaten kunnen door andere testwerkzaamheden beïnvloed worden.

Prestatienorm

Beschikbaarheid KIT: 95% voor zeven dagen in de week, 24 uur per dag met uitzondering van de vastgestelde onderhoudsmomenten.

Meetmethode

Storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend.

Bijzonderheden

Geen.

 

4. Afspraken met betrekking tot de Centrale omgeving (BKWI)

 

4.1      Technisch beheer centrale omgeving GeVS

Omschrijving dienst

Het beheren van de centrale omgeving van de GeVS, zodat gegevensuitwisseling tussen de partijen kan plaatsvinden.

Eigenaar dienst

BKWI.

Bijzonderheden

De centrale omgeving bestaat uit o.a. het centrale netwerk, inkijkservers, Suwi-brokers, loadbalancers, (reverse) proxy’s, gebruikersadministratie, beveiliging en authenticatie software en de verschillende Suwinet Services (Suwinet-Inkijk, Suwinet-Inlezen, Suwinet-Mail, Suwinet-Meldingen en Suwinet-Autorisatie).

Prestatienorm

Beschikbaarheid centrale omgeving zeven dagen in de week, 24 uur per dag: 99% met uitzondering van de vastgestelde onderhoudsmomenten.

Meetmethode

De beschikbaarheid wordt gemeten o.b.v. 24 uur voor 7 dagen per week; hierover wordt maandelijks gerapporteerd in de GeVS Managementrapportage.

Bijzonderheden

Niet beschikbaarheid veroorzaakt door gepland onderhoud geldt niet als onbeschikbaarheid.

4.1.1   Beheer en beschikbaarstelling gebruikersadministratie

In de gebruikersadministratie wordt per organisatie bijgehouden welke top-level beheerder welke autorisaties en eigenschappen heeft voor Suwinet-Inkijk en de applicatie van UWV “WERKplein Intake Service” (afnemer gemeenten, ook wel WIS of Professional-module genoemd).

 

Prestatienorm

Aangesloten partijen zijn autonoom wat betreft het voor de toegewezen rollen autoriseren van het eigen personeel.

Prestatienorm

Op verzoek van geautoriseerde medewerkers van de aangesloten organisatie(s) maakt de Suwidesk (BKWI) een top-level beheerder aan of wijzigt zijn/haar autorisaties.

Bijzonderheden

Randvoorwaarde: het verzoek tot het aanmaken van een autorisatie wordt in behandeling genomen wanneer dat door een daartoe bevoegde functionaris is gedaan.

Prestatienorm

Het toekennen van rechten aan gebruikers is een taak van iedere partij afzonderlijk.

Bijzonderheden

BKWI heeft hierin een adviserende rol.

Prestatienorm

Onder voorwaarde dat de top-level-beheerder met de wijziging akkoord is/zijn, maakt of wijzigt BKWI een rol of profiel binnen 5 werkdagen.

Meetmethode

Servicedesk registratiesysteem: tijd tussen registratie aanvraag en afsluiten call.

Bijzonderheden

Geen.

Prestatienorm

BKWI verwerkt een autorisatieverzoek voor top-level-beheerders binnen 8 werkuur na ontvangst.

Meetmethode

Servicedesk registratiesysteem: tijd tussen registratie aanvraag en afsluiten call.

Bijzonderheden

Geen.

Prestatienorm

Beschikbaarheid Gebruikersadministratie is zeven dagen in de week, 24 uur per dag: 99%, met uitzondering van vooraf aangekondigde onderhouds- en releasemomenten en eventueel spoed ad hoc werkzaamheden. Buiten de openstellingstijden van Suwinet Inkijk is er echter geen ondersteuning beschikbaar.

Meetmethode

Servicedesk registratiesysteem: storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend.

Bijzonderheden

Geen.

 

4.1.2   Logische toegangsbeveiliging

BKWI zorgt voor adequate logische toegangsbeveiliging en onderhoudt deze door tijdig essentiële updates door te voeren.

Prestatienorm

Beschikbaarheid van de logische toegangsbeveiliging is zeven dagen van 24 uur voor minimaal 99,9%, met uitzondering van vastgestelde onderhoudsmomenten.

Meetmethode

Meting door beheerder van de centrale omgeving.

Bijzonderheden

Geen.

 

4.2      GeVS Managementrapportage

Maandelijks levert BKWI een rapportage over het behaalde niveau van dienstverlening met betrekking tot de GeVS. In deze GeVS Managementrapportage wordt gerapporteerd op basis van de prestatienormen die zijn vastgelegd in de Keten SLA. Doel van deze rapportage is te kunnen meten en (bij)sturen door de DIB op afwijkingen van deze Keten SLA.

Deze rapportage wordt uiterlijk in de derde week van de volgende maand opgesteld en wordt per mail verstuurd aan leden van de DIB.

Verzoeken ten aanzien van inhoud en vormgeving van de rapportage kunnen worden ingediend bij voorzitter van de Domeingroep ICT Beheer.

4.2.1   Specifieke beheerrapportages

BKWI produceert maandelijks rapportages voor bronnen en afnemers t.b.v. beheer- en verantwoordingstaken. Bronnen en afnemers kunnen bij BKWI een verzoek indienen voor eenmalige maatwerk rapportages. De verzoeken kunnen bij de Suwidesk ingediend worden door daarvoor gemandateerde personen.

Een overzicht van beschikbare rapportages is beschikbaar bij BKWI.

 

Bijlage 1 – Beheerafspraken afnemers GeVS diensten en dienstverlening

 

1         Inleiding

Deze bijlage beschrijft de GeVS diensten en dienstverlening aan afnemers. Daarnaast bevat het ook zaken die afnemers moeten regelen bij aansluiten op de GeVS.

Deze bijlage is onlosmakelijk verbonden met de Keten SLA.

2         Diensten

2.1       Suwinet-Inkijk

De voorziening waarmee een virtueel dossier van een klant, bestaande uit gegevens van één of meer leveranciers digitaal wordt getoond. De schermen waarop het virtuele dossier wordt getoond is afnemer specifiek. Het betreft hier een set van gegevens die op maat is en waarbij vooraf is bepaald dat deze gegevens binnen de juridisch toegestane set (op basis van doelbinding en proportionaliteit) van gegevens voor deze partij vallen.

Voor schermen welke gegevens tonen vanuit meerdere bronnen, is de zoeksleutel het BSN; voor schermen welke gegevens tonen vanuit een enkele bron, zijn mogelijk andere/meerdere zoeksleutels beschikbaar als de afnemer hiervoor geautoriseerd is.

Om toegang te krijgen tot Suwinet-Inkijk en de authenticatie en autorisatie voor gebruikers te regelen, wordt Suwinet-Autorisatie gebruikt. Het is ook mogelijk om op basis van Single Sign On (SSO) toegang te krijgen tot Suwinet-Inkijk. De verschillende autorisatieprofielen worden vastgelegd binnen Suwinet-Inkijk. Het beheer van de gebruikers met de toegekende autorisatie(s) blijft de verantwoordelijkheid van de afnemende organisatie.

Prestatienorm

Beschikbaarheid van de Suwinet-Inkijk applicatie is 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten.

Meetmethode

Logging door BKWI.

Bijzonderheden

De gegevens leverende bronnen kennen mogelijk een afwijkende beschikbaarheid.

 

De bronnen zijn in elk geval beschikbaar op werkdagen (ma-vr) tussen 8:30 en 18:00 (zie XML-diensten in leveranciersdeel).  

 

De vastgestelde onderhoudsmomenten zijn vastgelegd in de Keten DAP.

 

2.2       Suwinet-Inlezen

De voorziening waarmee professionals van overheidsorganisaties de mogelijkheid hebben om gegevens van diverse bronnen/leveranciers vanuit de bedrijfseigen applicaties te raadplegen. Het betreft hier een set van gegevens die op maat is en waarbij vooraf is bepaald dat deze gegevensset binnen de juridisch toegestane set (op basis van doelbinding en proportionaliteit) van gegevens voor deze partij vallen. De berichten op maat worden op basis van doelbinding en proportionaliteit samengesteld.

Elke organisatie moet zelf proportionaliteit op functie/medewerkersniveau nader uitwerken.

Prestatienorm

Beschikbaarheid van Suwinet-Inlezen is 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten.

Meetmethode

Logging door BKWI.

Bijzonderheden

De gegevens leverende bronnen kennen mogelijk een afwijkende beschikbaarheid.

 

De bronnen zijn in elk geval beschikbaar op werkdagen (ma-vr) tussen 8:30 en 18:00 (zie XML-diensten in leveranciersdeel).  

Prestatienorm

Door de Inlezende applicatie opgevraagde berichten worden in 95% van de gevallen binnen zes seconden geleverd.

Meetmethode

Logging door BKWI.

Bijzonderheden

Geen.

Prestatienorm

Iedere inlezende applicatie maakt gebruik van berichten die toegespitst zijn op het gebruik en waarvan de proportionaliteit en doelbinding zijn vastgesteld.

Meetmethode

Handmatig.

Bijzonderheden

Geen.

Prestatienorm

Inlezende activiteiten worden enkel gevalsgewijs uitgevoerd.

Bijzonderheden

Het op reguliere basis compleet bevragen van een grote populatie is enkel toegestaan na het maken van concrete afspraken met de gegevensleverende partij(en) en BKWI.  Verzoeken hiervoor worden ingediend via de Suwidesk.

 

2.4       Suwinet-Mail

De voorziening die op de GeVS aangesloten partijen de mogelijkheid biedt om ongestructureerde berichten over een besloten netwerk te verzenden en ontvangen via hun eigen bestaande mailvoorziening.

Prestatienorm

Beschikbaarheid van Suwinet Mail is 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten.

Meetmethode

Logging door BKWI.

Bijzonderheden

Onderhoudsmomenten en het niet beschikbaar zijn van de centrale mailrelay-server resulteren niet in verlies van mails.

 

2.6       Suwinet-Meldingen

De voorziening die digitale overdracht tussen systemen mogelijk maakt door middel van standaardberichten over het besloten Suwinet netwerk.

Prestatienorm

Beschikbaarheid Suwinet Meldingen 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten.

Meetmethode

Logging door BKWI van die berichten die via BKWI getransporteerd worden.

Bijzonderheden

Partijen die Suwinet-Meldingen bilateraal uitwisselen, zijn hebben zelf de verantwoordelijkheid om een logging bij te houden.

 

Meldingen die niet via de Suwi-Broker uitgewisseld worden, worden niet in rapportages meegenomen.

 

2.7       Suwinet-Autorisatie

De voorziening waarin de toegangsrechten voor (autorisaties) Suwinet-Inkijk zijn vastgelegd.

Deze voorziening is ook te gebruiken als autorisatievoorziening voor andere applicaties.

Prestatienorm

Beschikbaarheid Suwinet-Autorisaties 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten.

Meetmethode

Logging door BKWI.

Bijzonderheden

Suwinet autorisaties wordt ook gebruikt door Werkplein Intake Services (WIS).

Bijzonderheden

Als een afnemer gebruikmaakt van de Single Sign On mogelijkheid gelden de eigen beschikbaarheidsnormen.

 

2.8       Federatieve authenticatie service

De voorziening waarmee partijen die gebruik maken van Suwinet-Inkijk op basis van hun eigen toegangsvoorziening toegang krijgen tot deze applicatie. Deze service maakt Single- Sign-On mogelijk.

Prestatienorm

Beschikbaarheid Federatieve authenticatie service 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten.

Meetmethode

Logging door BKWI.

Bijzonderheden

Voor die partijen gebruik die maken van deze service, vervalt de mogelijkheid op het rapporteren over aantallen gebruikers die toegang hebben tot de applicatie Suwinet-Inkijk.

 

2.9       Suwinet filtermechanisme (whitelist/werkvoorraad)

Bij de filter op een vooraf gedefinieerde populatie dient de partij zelf zorg te dragen voor de vulling van het filter. Het filteren op de levering van gegevens aan een applicatie kan door het leveren van de populatie op basis van het Burgerservicenummer (BSN). Een BSN wordt uit het filter verwijderd een jaar na de aangegeven einddatum. Dit geschiedt via een automatisch proces dat dagelijks wordt uitgevoerd.

Logging van alle activiteiten die invloed hebben op de vulling van het filtermechanisme met BSN's wordt 18 maanden bewaard.

Prestatienorm

Beschikbaarheid filtermechanisme 99,0% op basis van 24x7, buiten de vastgestelde onderhoudsmomenten.

Meetmethode

Logging door BKWI.

Bijzonderheden

Als een afnemer zelf een filter ter beschikking stelt, zal deze minimaal aan de beschikbaarheidsnormen en openstellingstijden voldoen van deze SLA voor XML-diensten.

 

Bij onbeschikbaarheid van de eigen beschikbaar gestelde filtering - bijvoorbeeld door middel van een webservice- zullen er geen gegevens beschikbaar gesteld worden aan desbetreffende partij.

 

Ketenpartijen die een eigen filterservice aanbieden houden ook een eigen logging bij van het gebruik van deze functionaliteit.

 

2.10    Ketenbrede Testomgeving

De ketenpartijen bieden een testomgeving aan ten behoeve van de afnemers voor het uitvoeren van ketentesten bij het aansluiten van een partij of bij aanpassingen die invloed kunnen hebben op de werking van de producten.

Prestatienorm

De Ketenbrede (Integratie) Testomgeving (KIT) kent een beschikbaarheid van 95% op basis van 24x7 op jaarbasis m.u.v. vastgestelde onderhoudsmomenten.

Meetmethode

Logging door BKWI op jaarbasis.

Bijzonderheden

Voor het gebruik van de testomgeving dient deze bij de Suwidesk te worden gereserveerd.

 

Testresultaten bij gebruik van de testomgeving zonder reservering zijn voor risico van de gebruiker.  

 

BKWI behoudt het recht de KIT beschikbaar te houden voor eigen werkzaamheden voorafgaand aan releases en bij incidenten van prio 1 of 2.

Bijzonderheden

Afspraken over het beheer van de KIT zijn in het Keten DAP opgenomen.

Prestatienorm

De aangesloten bronnen zorgen dat voor alle uit te wisselen berichten testdata beschikbaar is.

Bijzonderheden

Deze norm is alleen van toepassing op Suwibronnen. Als niet Suwi-bronnen geen passende testvoorziening heeft, zal BKWI met die bronnen naar een passende oplossing zoeken.

Prestatienorm

Beschikbaarheid testdata 95% op jaarbasis m.u.v. vastgestelde onderhoudsmomenten.

Meetmethode

Handmatig.

Bijzonderheden

De testdata kan bestaan uit gegevens geleverd uit een fysiek bronsysteem bij een ketenpartij of uit gegevens geleverd uit een teststub. De teststubs kunnen zowel centraal als decentraal worden gebruikt. De beschikbaarheid van testdata uit teststubs kan alleen door BKWI gegarandeerd worden als de testomgeving door een testende partij is gereserveerd.

 

Voor de testomgeving geldt dat incidenten behandeld worden als een prioriteit drie incident, waarbij geldt dat de reactie en maximale oplostijd streeftijden betreffen.

 

2.11     Suwinet Inkijk demo-omgeving

Ten behoeve van geïnteresseerden en voor het gebruik ten behoeve van instructie van medewerkers is een Demo-omgeving beschikbaar gesteld. Deze demo-omgeving bevat alleen testdata en geen directe koppeling met gegevensleverende systemen van ketenpartijen.

 

Prestatienorm

Beschikbaarheid Suwinet-Inkijk demo-omgeving 95,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten.

Meetmethode

Logging door BKWI.

 

3         Dienstverlening van afnemers aan de keten

3.1       Servicedesk t.b.v. medewerkers van de aangesloten partijen

Iedere partij is zelf verantwoordelijk voor de eerstelijns ondersteuning van de eigen gebruikers. Voor een servicedesk van individuele gemeenten geldt, dat zij contact op nemen met de servicedesk van het IB. Iedere partij kan ervoor kiezen om één (of meerdere) servicedesks in te richten.

Deze servicedesk mag namens de partij incidenten melden bij de Suwidesk. Het is niet de bedoeling dat individuele gebruikers direct contact opnemen met de Suwidesk.

Voor de servicedesks is de Suwidesk het single point of contact waar zij terecht kunnen voor:

-          het stellen van algemene vragen (service requests)

-          het melden van storingen of het indienen van klachten

-          autorisatiebeheer aangelegenheden

Afnemers zorgen voor een koppeling met het Ketenbrede Incidentbeheerproces door Incidenten vanuit de eerstelijns over te zetten naar de tweedelijns ondersteuning via de Suwidesk. De tweedelijns ondersteuning is ook de ingang voor de melding van incidenten die buiten het eigen domein van de afnemer optreden.

Inlezende gebruikers van de gemeenten worden ondersteund door het IB.

De Suwidesk van BKWI fungeert als tweedelijns (of derdelijns) Servicedesk, ter ondersteuning van de servicedesks van de op de GeVS aangesloten partijen.

Voor alle afnemers van Suwinet-Inkijk geldt dat zij altijd rechtstreeks contact opnemen met de Suwidesk. Dus ook servicedesks van gemeenten.

Prestatienorm

De tweedelijns ondersteuning door de Suwidesk is voor de melding van incidenten en service requests op werkdagen (ma-vr) bereikbaar tussen 8:30-18:00 uur.

Meetmethode

Handmatig.

Bijzonderheden

Dezelfde openstellingstijden gelden voor het IB.

 

Werkdagen zijn alle dagen van maandag tot en met vrijdag, behalve erkende feestdagen, te weten;

·      Nieuwjaarsdag

·      Koningsdag

·      Bevrijdingsdag (1 keer per 5 jaar beginnend in 2000)

·      Tweede paasdag

·      Hemelvaartsdag

·      Tweede pinksterdag

·      Eerste en Tweede kerstdag

De andere ketenpartijen zorgen voor een aanspreekpunt voor incidenten tussen 08:30 uur en 18:00 uur, partijen bepalen zelf hoe zij dit inrichten, maar garanderen bereikbaarheid.

 

3.2       Wijziging- en releasebeheer

SUWI-partijen hebben een geautoriseerde wijzigingscoördinator die wijzigingsverzoeken via de CMK-applicatie kunnen indienen. Niet SUWI-partijen kunnen verzoeken tot wijziging via de relatiebeheerder van BKWI indienen.

3.3       Logische toegangsbeveiliging

Logische Toegangsbeveiliging is het geheel van maatregelen om de toegang tot gegevens en systemen te beheersen

Prestatienorm

Afnemers zijn verplicht om personeelsmutaties die invloed hebben op autorisaties binnen 48 uur verwerkt te hebben in de autorisaties voor de Suwinet services.

Meetmethode

Handmatig.

Bijzonderheden

Geen.

 

3.4       Logging, monitoring en rapportage

De verplichting geldt dat alle gebruikershandelingen vastgelegd worden en herleidbaar zijn naar een natuurlijk persoon, zodat eventueel misbruik gedetecteerd kan worden en deze informatie gebruikt kan worden als bewijslast.

Prestatienorm

Afnemers die gebruik maken van Suwinet-Inlezen loggen het gebruik tot op eindgebruikersniveau in hun eigen afnemende applicatie.

Bijzonderheden

Voor de applicatie Suwinet-Inkijk logt BKWI alle handelingen van eindgebruikers voor afnemers.

Prestatienorm

Loggings hebben een bewaartermijn van maximaal 18 maanden.

Bijzonderheden

Elke applicatie die gebruik maakt van gegevens vanuit de GeVS is verplicht handelingen van gebruikers binnen die applicatie te loggen.

 

Bijlage 2 – Overlegvormen in de keten

Overlegstructuur

De dienstverlening zoals verwoord in de Keten SLA komt aan de orde in onderstaande overlegvormen (zie illustratie figuur 1). Bij alle overlegvormen zijn de SUWI-partijen deelnemer. Hieronder een overzicht van de verschillende overlegvormen in relatie tot de Keten SLA. Het Ketenoverleg heeft de directeur van BKWI aangewezen als gedelegeerd opdrachtgever voor de Domeingroepen.

De directeur van BKWI is namens het Ketenoverleg verantwoordelijk voor het goed functioneren van de domeingroep en overlegt hierover desgewenst met de voorzitter, zonder de voorstellen en adviezen van de domeingroep inhoudelijk te toetsen. Die laatste bevoegdheid is voorbehouden aan het Ketenoverleg. Bij escalaties vanuit de domeingroep is de directeur van BKWI het eerstvolgende niveau in het escalatieproces.

In de verschillende overleggen binnen de keten samenwerking hebben alleen ketenpartijen of vertegenwoordigers van ketenpartijen zitting.

overzicht overleggen

De overleggen

Soort overleg

Ketenoverleg.

Doel

Sturing en opdrachtgeverschap BKWI;

 

Formeel vaststellen nieuwe versies ketenstandaarden.

 

Soort overleg

Domeingroep ICT Beheer (DIB)

Doel

Bewaken van het algehele niveau van ICT- dienstverlening;

 

Beheren, evalueren en verbeteren van de Keten SLA en de keten brede beheerprocessen;

 

Wijzigingsvoorstellen maken m.b.t. de Keten SLA;

 

Voorstellen doen bij nalatige partij om passende maatregelen te nemen.

 

Escalaties starten bij afwijkingen van deze Keten SLA

 

Soort overleg

Keten Incidenten en Problemen Overleg (KIPO)

Doel

Afstemming tussen ketenpartijen met betrekking tot Incidenten en Problemen;

 

Beslissen over de promotie van incidenten naar problemen;

 

Knelpunten in de Incident afhandelingen oplossen.

 

Soort overleg

Keten Change Advisory Board (Keten CAB)

Doel

Het Keten CAB is het orgaan dat adviseert over ketenwijzigingen op de elementen proces, ICT en tijd. Zij beoordelen, stemmen af en bewaken de ketenwijzigingen. Zij bepalen o.a. de impact op ketenwijzigingen of dragen in elk geval zorg voor het achterhalen van de impact op de eigen organisatie.

 

Het Keten CAB stelt in gezamenlijk overleg de prioriteit vast van specifieke wijzigingen die onderdeel uitmaken van de Ketenreleases.;

 

Het Keten CAB vertegenwoordigt ook de business in de keten en beslist over de wenselijkheid van ketenbrede functionele wijzigingsverzoeken.

 

Zorgdragen dat de gebruikersorganisatie van de partijen op een juiste wijze vertegenwoordigd wordt.

 

Beheren, evalueren en verbeteren van de “Uitvoeringsafspraken ketenwijzigingen en releases”.

 

Door middel van het CMK registreren en bewaken van wijzigingsverzoeken die de GeVS (kunnen) raken.

 

Soort overleg

Domeingroep Gegevens en Berichten (DGB)

Doel

Uitvoeren van het ketenprogramma/ketenplan en/of de delen daarvan op het gebied van Gegevens en Berichten.

 

Adviseren met betrekking tot het vaststellen van een nieuwe versies van het SGR. Nieuwe versies van het SGR worden in hoogste instantie vastgesteld door middel van de ministeriele regeling.  SuwiML-, Transactiestandaard en Berichtstandaard worden voorbereid door de DGB en vastgesteld door het Ketenoverleg.

 

Beoordelen van de impact van nieuwe of gewijzigde wet- en regelgeving vanuit haar verantwoordelijkheid.

 

Sturen en coördineren van de werkzaamheden van de WGB en WGX.

 

Zorgdragen voor het uitdragen van SGR/SuwiML.

 

Soort overleg

Werkgroep Gegevens en Berichten (WGB)

Doel

Beoordelen van de impact op het SGR van nieuwe of gewijzigde wet- en regelgeving.

 

Signaleren van ontwikkelingen binnen het Suwi-domein en het beoordelen van de impact hiervan op het SGR.

 

Verantwoordelijk voor het beleid ten aanzien van de beschikbaarstelling en verspreiding van het SGR;

 

Beoordelen van (de impact van) wijzigingsvoorstellen voor SGR;

 

Opstellen van nieuwe releases van het SGR;

 

Bevorderen van het gebruik van het SGR en bespreken van eventuele problemen in het gebruik van het SGR;

 

Adviseren over gebruik en toepassing van het SGR.

 

Soort overleg

Werkgroep XML (WGX)

Doel

Adviseren over het beheer van de XML-aspecten en technische aspecten van SuwiML, onder meer voor het SuwiML Berichtstandaard, de richtlijnen voor berichtschema’s en de SuwiML Transactiestandaard.

 

Verantwoordelijk voor het beleid ten aanzien van het beheer en de beschikbaarstelling van de betrokken SuwiML standaarden.

 

Bevorderen van de toepassing van SuwiML.

 

Beoordelen van voorstellen voor berichtschema’s op SuwiML-compliance.

 

Volgen van de ontwikkelingen van de verschillende XML-standaards en deze vertalen naar SuwiML.

 

Soort overleg

Domeingroep Architectuur (DA)

Doel

De behandeling van architectuur issues en ontwikkelen van een binnen de keten gedeelde architectuurvisie en vastleggen van keten brede architectuur afspraken.

 

Daarnaast geeft de DA advies omtrent de vertaling naar ICT van veranderende wet- en regelgeving, functionele behoeften van deelnemende partijen en actuele gebeurtenissen.

 

Soort overleg

Domeingroep Privacy & Beveiliging

Doel

Advies aan Ketenoverleg over een passend niveau van informatiebeveiliging en privacybescherming. Beheer en onderhoud van normenkader en verantwoordingsrichtlijn.

 

 

[1]                Met reactietijd wordt bedoeld de tijd tussen de registratie van het incident /melding Suwidesk en de toewijzing aan een oplosgroep.

[2]                Keten partijen streven ernaar de dienstverlening zo spoedig mogelijk te herstellen en waar mogelijk stoppen de activiteiten voor herstel niet na de ondersteuningsuren.

[3]                Ondersteuningstijd is de tijd op werkdagen tussen 8:30 uur en 18:00 uur

Gerelateerde pagina's