Doel van het document
|
Federal Trust Services |
Doel van het document
Een gebruiksovereenkomst is een dienst-specifiek contract dat de voorwaarden bepaalt voor het gebruik van een specifieke FOD BOSA DG Digitale Transformatie dienst. Het is een formeel document dat wordt ondertekend door de verantwoordelijken van de partijen die de dienst wensen te gebruiken (‘gebruikers’).
Door ondertekening van deze gebruiksovereenkomst verklaart de gebruiker zich ook akkoord met de Algemene voorwaarden voor FOD BOSA DG Digitale Transformatie diensten.
Versie: 1.2
Datum: 13/11/2023
Inhoud
1. Specifieke voorwaarden 4
1.1. Beschrijving en werking van de dienst 4
1.1.1. Voorwerp van deze overeenkomst 4
1.1.2. Werking van de dienst 4
1.2. Gebruik van de dienst 9
1.2.1. Voorwaarden voor gebruik van de dienst 9
1.2.2. Rollen en verantwoordelijkheden verbonden aan de gebruiker 9
1.2.3. Verwerking persoonsgegevens 10
Minimale technische en organisatorische maatregelen 12
Toegang tot de gegevens 13
Incidenten melden 14
Vertrouwelijkheid 14
1.3. Veiligheid 15
1.3.1. Gebruikersbeveiliging 15
1.3.2. Audit trail 15
2. Service Levels 16
2.1. Beschikbaarheid en performantie 16
2.1.1. Beschikbaarheid en performantie van de dienst 16
2.1.2. Geplande dienstonderbreking 16
2.1.3. Niet geplande onbeschikbaarheid (incident) 16
2.2. Ondersteuning 16
2.2.1. Ondersteuning eindgebruiker (eerste lijn) 16
2.2.2. Bijkomende ondersteuning (tweede lijn) 17
2.2.3. Incident escalatie 18
2.2.4. Data protection officer 18
2.3. Wijziginsbeheer 18
2.3.1. Geplande upgrades 18
2.3.2. Verzoeken gebruikers 19
2.4. Componenten van dienst 19
2.5. Informatie, rapportering en evaluatie 20
2.5.1. Informatie 20
2.5.2. Monitoring 21
2.5.3. Rapportering 21
2.6. Governance 21
2.6.1. FTS User Board 21
2.6.2. Service meeting met gebruiker 21
3. Partijen en handtekening 22
Bijlagen 23
Algemene Voorwaarden voor FOD BOSA DG DT diensten 23
Technische informatie 23
Specifieke voorwaarden
1.1. Beschrijving en werking van de dienst
1.1.1. Voorwerp van deze overeenkomst
’Federal Trust Services (FTS)’ is een dienst die aangeboden wordt door de Federale Overheidsdienst Beleid en Ondersteuning, DG Digitale Transformatie (FOD BOSA DG DT). FTS is een dienst die gebruikers toelaat eenvoudig en betrouwbaar elektronische handtekeningen, zegels en tijdsstempels te integreren.
Gebruikers zijn overheidsinstanties, instanties die een opdracht uitvoeren in opdracht van overheidsinstanties en instanties met een opdracht van algemeen belang. De gebruiker erkent tot één van deze categorieën van instanties te behoren.
1.1.2. Werking van de dienst
De FTS is een digitale bouwblok die een gebruiker kan inpassen in de eigen digitale processen. De FTS heeft de afgebakende ‘taak’ om veilig en eenvoudig gegevens of documenten digitaal te ondertekenen, van een zegel of een tijdstempel te voorzien. De gebruiker bepaalt zelf waar en wanneer FTS wordt ingezet en hoe de ondertekende gegevens of documenten verder opgevolgd of ingezet worden.
De dienst voorziet in het veilig aanduiden (opladen) van de te tekenen gegevens of documenten, het definiëren van de gewenste handtekening, het opstarten van het handtekenproces met de ondertekenaar, het effectief handtekenen van de gegevens of de documenten door middel van eID/vreemdelingenkaart en uiteindelijk het ontvangen van de digitaal ondertekende gegevens of documenten.
De FTS laat eveneens toe digitale zegels en tijdstempels toe te voegen aan gegevens of documenten.
De FTS controleert en valideert geplaatste handtekeningen, alvorens het getekende document definitief terug te bezorgen aan de gebruiker. De validatie wordt door de FTS opgenomen aan de hand van de eIDAS-verordening en is te raadplegen in een validatierapport.
Deze validatiedienst is door gebruikers ook rechtstreeks aan te spreken en in te zetten. De FTS validatiedienst hanteert volgend principe:
de validatiedienst controleert en valideert handtekeningen geplaatst door FTS;
de validatiedienst controleert en valideert in de mate van het mogelijke handtekeningen geplaatst door andere middelen volgens de Europese standaarden.
eSignature
FTS stelt de gebruiker in staat om zonder voorafgaande authenticatie een gekwalificeerde digitale handtekening te plaatsen met behulp van de elektronische identiteitskaart of vreemdelingenkaart1. FTS ondersteunt de handtekenformaten die gedefinieerd zijn in de Europese normen en standaarden, inclusief de LTA varianten die een of meerdere tijdstempels vereisen. Voor details rond de handtekenformaten en hoe zij onderling verschillen wordt verwezen naar de toepasselijke regelgeving en de technische documentatie.
De versie van FTS die beschikbaar is bij publicatie van deze gebruikersovereenkomst (documentversie 1.2) ondersteunt de eID en vreemdelingenkaart als handtekenmiddel. Gebruik ervan vereist het ingeven van de PIN code voor elke handtekening die de eindgebruiker plaatst. Het is mogelijk attributen van de kaart uit te lezen tijdens het handtekenproces.
FTS is bruikbaar op de laatste en voorlaatste versie van Windows, macOS of Linux, in combinatie met Firefox, Chrome (of Microsoft Edge) of Safari. De werking van FTS op andere browsers en versies is mogelijk, maar er kunnen geen garanties voor geboden worden. FTS is momenteel nog niet mobiel inzetbaar.
eSeal
Met FTS kunnen geavanceerde of gekwalificeerde elektronische zegels geplaatst worden. De versie van FTS die beschikbaar is bij publicatie van deze gebruikersovereenkomst (documentversie 1.2) kan geïntegreerd worden met externe leveranciers maar beschikt nog niet over een eigen zegelinfrastructuur.
FTS verzorgt het zegelproces als geheel en de integratie van het zegel in de gegevens of in het document in het bijzonder. Het aanmaken van het zegel door de zegelinfrastructuur vereist authenticatie, en dient om die reden door de gebruiker rechtstreeks te gebeuren. Voor het aanroepen van een zegelinfrastructuur voorziet FTS een voorbeeld implementatie. Daarnaast voorziet de dienst ondersteuning bij het opzetten van het integrale zegelproces.
Het plaatsen van zegels is erg onderhevig aan volumeschommelingen en piekperiodes: daarom worden op dit vlak bindende afspraken gemaakt met de gebruiker in het onboardingsdocument.
Timestamping
FTS laat toe om een tijdsstempel te plaatsen die het bestaan van een set gegevens of een document (en diens inhoud) op een bepaalde datum en tijd onweerlegbaar digitaal verankert. Niemand – met inbegrip van de eigenaar van de gegevens of het document – kan deze vervolgens wijzigen zonder de tijdsstempel te breken.
FTS beschikt over een gekwalificeerde tijdsstempeldienst. Omdat de aanvraag van een tijdsstempel geen authenticatie vereist en de tijdsstempel geen gegevens van de gebruiker bevat, kan dit proces autonoom door FTS uitgevoerd worden. Het is ook mogelijk louter hashes aan te bieden aan de tijdsstempeldienst.
Het plaatsen van tijdsstempels is erg onderhevig aan volumeschommelingen en piekperiodes: daarom worden op dit vlak bindende afspraken gemaakt met de gebruiker in het onboardingsdocument.
Omgevingen
FOD BOSA DG DT hanteert een open ontwikkelmodel waarbij de laatste broncode van de FTS en alle relevante technische documentatie steeds publiek beschikbaar worden gemaakt.
Bij publicatie van deze gebruikersovereenkomst (documentversie 1.2) voorziet FOD BOSA DG DT in 4 operationele omgevingen waar de gebruiker toegang toe kan krijgen:
De productieomgeving (PROD): de actieve versie van de FTS voor de gebruikers in het kader van deze overeenkomst;
De integratieomgeving (INT): een exacte kopie van productie voor integratie- en testdoeleinden;
De quality assurance-omgeving (QA): voor het valideren van nieuwe functies;
De test & acceptatie-omgeving (TA): voor het testen van nieuwe ontwikkelingen.
De service levels die FOD BOSA DG DT aanbiedt zijn enkel van toepassing op de productieomgeving.
De broncode omvat een operationele demo/referentie-implementatie die aantoont hoe de dienst geïntegreerd kan worden in de eigen webtoepassing. Deze demo wordt voor demonstratiedoeleinden online beschikbaar gemaakt op alle omgevingen met uitzondering van de productieomgeving.
Daarnaast is het mogelijk de volledige dienst met inbegrip van alle webservices uit te rollen op eigen infrastructuur voor testdoeleinden. FOD BOSA DG DT levert enkel ondersteuning op de FTS omgevingen die uitgerold en beheerd worden door FOD BOSA DG DT.
Voor meer details wordt verwezen naar de technische documentatie.
1.2. Gebruik van de dienst
1.2.1. Voorwaarden voor gebruik van de dienst
De gebruiker neemt de nodige organisatorische en technische maatregelen om ervoor te zorgen dat de FTS gebruikt en geïntegreerd wordt volgens deze gebruiksovereenkomst, volgens de richtlijnen van FOD BOSA DG DT en volgens de toepasselijke wetgeving.
De productieomgeving van de FTS mag onder geen beding gebruikt worden voor testactiviteiten van welke aard ook zonder expliciete schriftelijke toestemming van de FOD BOSA DG DT. Voor de andere omgevingen geldt dat activiteiten die impact kunnen hebben op de andere gebruikers (bijvoorbeeld stress tests, load tests, e.d.) slechts kunnen gebeuren mits expliciete toestemming van FOD BOSA DG DT.
1.2.2. Rollen en verantwoordelijkheden verbonden aan de gebruiker
De gebruiker is verantwoordelijk voor:
de inhoud en de kwaliteit van het aangeboden documenten en de verbonden gegevens;
de correcte authenticatie en autorisatie van de eindgebruiker;
het controleren van de levenscyclus van documenten en het naleven van de afspraken van de bewaartermijn voor de te tekenen (upload) en ondertekende (download) gegevens of documenten, zoals opgenomen in het onboardingsdocument;
het correct en veilig integreren van de FTS in het eigen online traject (zie technische documentatie van FOD BOSA DG DT);
het correct interpreteren en vertalen van de codes en antwoorden van de FTS (zie technische documentatie van FOD BOSA DG DT);
het respecteren van de capaciteitsafspraken, zoals opgenomen in het onboardingsdocument;
het up to date houden van de contactgegevens van technische contactpersonen, via het onboardingsdocument.
Als de gebruiker beroep doet op een onderaannemer is hij volledig verantwoordelijk voor de naleving - door de onderaannemer - van de verplichtingen van de gebruiker in het kader van deze overeenkomst.
FOD BOSA DG DT biedt via zijn onderaannemer een betrouwbare dienst aan die voldoet aan Europese normen en wetgeving. Bij het aanbieden van de dienst wordt bijzondere aandacht besteed aan de beveiliging van het systeem en aan de bescherming van de persoonsgegevens. FOD BOSA DG DT is verantwoordelijk voor de technische terbeschikkingstelling van de dienst via zijn onderaannemer conform deze overeenkomst. De technische details in het lastenboek kunnen op aanvraag worden bezorgd.
1.2.3. Verwerking persoonsgegevens
Verplichtingen met betrekking tot persoonsgegevens
De Partijen verbinden zich ertoe de Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (“AVG”), de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en haar uitvoeringsbesluiten na te komen.
De gebruiker treedt voor deze verwerkingen op als verwerkingsverantwoordelijke in de zin van art. 4, 7°, AVG:
via FTS laten ondertekenen door de eindgebruiker van de gegevens of documenten;
via FTS laten plaatsen van een zegel door de gebruiker op de gegevens of documenten;
via FTS laten plaatsen van een tijdstempel door FOD BOSA DG DT op de gegevens of documenten.
De verwerkingsverantwoordelijke bezorgt aan de verwerker de persoonsgegevens verbonden met de te ondertekenen, te verzegelen, te tijdstempelen gegevens of documenten met het oog op deze verwerkingen. Dit gaat om de gegevens of de documenten zelf en in geval van ondertekening door derden de gegevens van de personen die moeten uitgenodigd worden om te ondertekenen.
De FOD BOSA DG DT is voor deze verwerkingen een verwerker van de verwerkingsverantwoordelijke in de zin van artikel 4, 8° van de AVG. Op vraag van de gebruiker voert FOD BOSA DG DT via FTS de gevraagde transactie uit.
De gegevens worden door de verwerker gedurende en maximaal 5 dagen bewaard vanaf het moment van het opladen van de gegevens of de documenten door de gebruiker. Daarna worden het document en de door de gebruiker bezorgde gegevens vernietigd. De gebruiker bepaalt de bewaartermijn door FOD BOSA DG DT, met een maximum van 5 dagen.
De verwerker verwerkt de gegevens conform de instructies van de verwerkingsverantwoordelijke.
Behalve indien de verwerkingsverantwoordelijke hem daartoe uitdrukkelijk de toelating verleent of opdracht geeft, verbindt de verwerker zich ertoe de gegevens enkel mee te delen aan zijn onderaannemer: SOPRA XXXXXX, Xxxxxx Xxxxxxxxxxxx 00-00, 0000 Xxxxxx.
De verwerker houdt een register bij van de verwerkingsactiviteiten die zij ten behoeve de verwerkingsverantwoordelijke verricht. De AVG somt de elementen op die in het register moeten worden opgenomen, meer bepaald terug te vinden onder ‘artikel 30 - Register van de verwerkingsactiviteiten’ van de AVG. Op eenvoudig redelijk verzoek van de verwerkingsverantwoordelijke is de verwerker ertoe gehouden dit register voor te leggen.
De verwerker verbindt zich ertoe de personen die onder zijn gezag werken kennis te geven van de bepalingen van de AVG en haar uitvoeringsbesluiten, alsook van elk ter zake doend voorschrift betreffende de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.
De verwerkingsverantwoordelijke kan aan de verwerker gelijk wanneer een kopie vragen van de gegevens die in het kader van dit contract worden verwerkt in het formaat dat de Partijen overeenkomen.
Verder mag de verwerker van de ter beschikking gestelde gegevens geen kopie maken, behalve met het oog op een back-up, of tenzij dit noodzakelijk is voor het uitvoeren van de overeenkomst. Op eventuele kopieën van gegevens zijn dezelfde beperkingen en verplichtingen van toepassing als op de originele gegevens.
De verwerker zal op verzoek van de verwerkingsverantwoordelijke onmiddellijk alle kopieën van de verwerkte gegevens, afkomstig van de verwerkingsverantwoordelijke of verwerkt in opdracht van de verwerkingsverantwoordelijke, ter beschikking stellen en/of onherstelbaar vernietigen.
De verwerker zal de gegevens nooit opslaan op een locatie buiten de Europese Economische Ruimte of doorgeven aan landen buiten de Europese Economische Ruimte. Daarnaast zal de verwerker de gegevens niet opslaan op een locatie buiten het Belgische grondgebied, zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke kan voorwaarden verbinden aan haar toestemming.
De verwerker documenteert alle maatregelen die hij neemt ter bescherming van de gegevens en de verwerkingsverantwoordelijke kan aan de verwerker gelijk wanneer vragen de genomen beschermingsmaatregelen te verantwoorden en de nodige informatie erover te bezorgen.
De verwerker wijst een functionaris voor gegevensbescherming aan en heeft tenminste een actueel veiligheidsbeleid- en plan dat jaarlijks wordt herzien.
De verwerker zal de verwerkingsverantwoordelijke bijstand verlenen bij het vervullen van de plicht om verzoeken om uitoefening van de rechten van de betrokkene te beantwoorden en bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG.
Indien de partijen kennis nemen van een inbreuk in verband met de ontsloten persoonsgegevens zullen ze elkaar zonder onredelijke vertraging informeren.
Voor de gegevens in haar deel van de audit trail is FOD BOSA DG DT verwerkingsverantwoordelijke. De audit trail bevat volgende gegevens: de identiteit van de gebruiker, het identificatienummer van de gegevens of het document, het tijdstip van opladen, downloaden, verwijderen van de gegevens of het document, het tijdstip van de ondertekening, verzegeling, tijdstempel, het identificatienummer van de ondertekenaar. De gebruiker is verwerkingsverantwoordelijke voor zijn deel van de audit trail. Beide partijen zullen de nodige maatregelen nemen om de gegevens te bewaren in een audit trail zoals bepaald in 1.3.2.
Minimale technische en organisatorische maatregelen
De verwerker neemt de vereiste en passende technische en organisatorische maatregelen om de gegevens te beschermen tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van gegevens.
De verwerker waarborgt, voor zover dit technisch mogelijk is, de integriteit, de beschikbaarheid en de vertrouwelijkheid van de gegevens die hij in het kader van dit contract verwerkt.
Dit doet hij minstens door het implementeren en gebruiken van beveiligingstechnologieën en – technieken, die in overeenstemming zijn met de best practices in de industrie. Dit houdt ook mechanismen in om kwetsbaarheden te detecteren en/of te identificeren en het tijdig doorvoeren van patches en/of updates.
Activiteiten van gebruikers met gegevens worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot gegevens en verstoringen die kunnen leiden tot wijziging of verlies van relevante gegevens.
De verwerker gebruikt vastgelegde procedures om de beschikbaarheid van informatie, software en andere bedrijfsmiddelen te waarborgen, inclusief de procedures ter borging van de beschikbaarheid tijdens de kritische momenten.
De verwerkingsverantwoordelijke kan de verwerker gelijk wanneer informatie bezorgen over nieuwe veiligheidsnormen en vragen om te bespreken of het opportuun is dat de manier van werken ter zake van de verwerker wordt aangepast.
Toegang tot de gegevens
De verwerker zorgt ervoor dat de personen die in zijn naam en voor zijn rekening werken uitsluitend toegang hebben tot de gegevens die ze nodig hebben om hun taak of opdracht in het kader van deze overeenkomst uit te voeren. Dit geldt voor personeel, ingehuurd of tijdelijk personeel en eventuele derde partijen die rechtstreeks of onrechtstreeks betrokken zijn bij de uitvoering van deze overeenkomst.
De verwerker voorkomt door middel van functiescheiding dat een combinatie van toegangsrechten kan leiden tot ongeautoriseerde handelingen en/of toegang tot gegevens.
De verwerker neemt maatregelen met betrekking tot de preventie en opsporing van fraude en elk ander oneigenlijk gebruik van of toegang tot systemen en netwerken.
Het netwerk en de informatiesystemen worden actief gemonitord en beheerd door de verwerker.
De verwerker zorgt voor de mechanismen voor fysieke en/of elektronische toegang tot de systemen en gegevens van de verwerkingsverantwoordelijke. Deze mechanismen moeten een aantoonbaar veilige manier voorzien om toegang tot de gegevens te verschaffen.
De verwerker voorziet een geactualiseerde lijst van het personeel, ingehuurd of tijdelijk personeel en eventuele derde partijen die rechtstreeks of onrechtstreeks betrokken zijn bij de uitvoering van de overeenkomst en de machtigingen die zij hebben met betrekking tot de verwerkte gegevens.
De verwerker is aansprakelijk voor de veiligheid en het goede gebruik van de toegangscodes, gebruikersnamen en wachtwoorden (evenals voor het regelmatig wijzigen van deze codes en wachtwoorden) om toegang te hebben tot de gegevens en ze te verwerken. De verwerker verbindt zich ertoe alles in het werk te stellen opdat al wie toegang heeft tot de gegevens de vertrouwelijkheid van zijn codes en wachtwoorden zou bewaren.
Incidenten melden
De verwerker verbindt zich er toe alle (pogingen tot) onrechtmatige of anderszins ongeautoriseerde verwerkingen of toegangen tot gegevens te melden. De verwerker meldt dit onmiddellijk aan de verwerkingsverantwoordelijke, ten laatste 24 uur na het vaststellen van het incident op volgende adres: xxxxxxxxxxxxxxx@xxxx.xxxx.xx of xxx@xxxx.xxxx.xx. Daarnaast zal de verwerker alle redelijkerwijs benodigde maatregelen treffen om (verdere) schending van de beveiligingsmaatregelen te voorkomen of te beperken.
De verwerker zal in deze melding minstens het volgende aangeven:
aard van het incident
tijdstip van vaststelling
geïmpacteerde gegevens
direct genomen maatregelen om bijkomende schade te beperken
tijdstip van afsluiting van het incident
structureel genomen maatregelen ter voorkoming in de toekomst
De verwerkingsverantwoordelijke zal datalekken die onder een wettelijke meldplicht vallen, melden bij de betreffende toezichthouder binnen de wettelijke voorziene tijdsspanne.
Vertrouwelijkheid
De verwerker en al wie in zijn naam en voor zijn rekening werkt, moeten de strikte vertrouwelijkheid naleven van de gegevens die in het kader van deze overeenkomst worden verwerkt.
Uitzondering op deze regel is slechts mogelijk voor zover een wettelijk voorschrift of een rechterlijk bevel de verwerker tot mededelen verplicht of wanneer de gegevensverstrekking plaatsvindt in opdracht van de verwerkingsverantwoordelijke. Elke wettelijk verplichte mededeling van de gegevens aan derden moet door de verwerker vooraf ter kennis worden gebracht aan verwerkingsverantwoordelijke voor de verwerking.
Al wie toegang heeft tot de gegevens, moet verplicht een verbintenis inzake vertrouwelijkheid naleven en daartoe een document ondertekenen.
De geheimhouding blijft van kracht na het overdragen of beëindigen van deze overeenkomst.
1.3. Veiligheid
1.3.1. Gebruikersbeveiliging
Toegang tot FTS is enkel mogelijk via een beveiligde verbinding, en dit zowel voor de gebruikers (SSL) als de eindgebruikers (HTTPS).
De gebruiker heeft enkel toegang tot de productie omgeving van de FTS op basis van het hem toegekende useraccount en het bevestigde IP-adres van de gebruiker zoals opgenomen in het onboardingsdocument.
De gebruiker is verantwoordelijk voor een goede beveiliging van de eigen toepassing en de eigen gegevens en documenten.
1.3.2. Audit trail
De partijen erkennen dat de installatie van een audit trail noodzakelijk is in het kader van de FTS.
Dergelijke audit trail zorgt er voor dat de transacties die via de webservices van de FTS worden uitgevoerd, kunnen worden gereconstrueerd ter naleving van de wettelijke verplichting om de persoonsgegevens die via de FTS worden verwerkt, afdoende te beveiligen. Bovendien kunnen de gegevens in de audit trail belangrijk zijn in het kader van bewijsvoering achteraf door de belanghebbenden.
De partijen erkennen dat het principe van de "cirkels van vertrouwen" (circles of trust) toepassing zal vinden. Hierdoor zal elke ketenpartner er individueel toe gehouden zijn de nodige maatregelen te nemen om geselecteerde gegevens te bewaren in zijn audit trail, op zodanige wijze dat het mogelijk wordt om, door de combinatie van de gegevens die door de verschillende ketenpartners worden bijgehouden, een volledige reconstructie tot stand te brengen van de gehele datastroom van een specifieke transactie.
De partijen erkennen dat elke partij voor de reconstructie afhankelijk is van de gegevens die door de andere partij worden bijgehouden.
Alle partijen zorgen ervoor dat deze gegevens over een periode van 10 jaar beschikbaar blijven en dat ze op aanvraag aangeleverd kunnen worden binnen de drie werkdagen.
Elke partij is zelf verantwoordelijk voor de procedures en infrastructuur waarmee hij dit op een beveiligde manier en met respect voor de privacy kan verwezenlijken.
2. Service Levels
FOD BOSA DG DT zal redelijke inspanningen leveren om te voldoen aan onderstaande dienstverleningsobjectieven. Tenzij anders aangegeven, zijn alle service levels van toepassing op de productieomgeving van de FTS.
2.1. Beschikbaarheid en performantie
2.1.1. Beschikbaarheid en performantie van de dienst
De webservices van FTS zijn is 24 uur op 24 en 7 dagen op 7 beschikbaar met een objectief van 99,5% op maandbasis.
De webservices van FTS streeft naar een 3 seconden responstijd van de UI voor het tekenen, zegelen en tijdstempelen. Deze performantie geldt binnen de afgesproken capaciteit, zoals vastgelegd in de onboarding documentatie.
2.1.2. Geplande dienstonderbreking
In geval van een aanpassing of wijziging die een geplande onbeschikbaarheid vereist, worden de gebruikers op voorhand verwittigd per e-mail volgens de bepalingen in paragraaf 2.3. Deze e-mailing bevat de datum, beginuur en de duur van de onderbreking, en wordt verzonden naar de opgegeven contactpersonen in het onboardingsdocument.
2.1.3. Niet geplande onbeschikbaarheid (incident)
In geval van een niet geplande onbeschikbaarheid, worden de gebruiker via e-mail zo snel mogelijk op de hoogte gebracht over het incident en het herstel van de dienst. Deze e-mailing wordt verzonden naar de opgegeven contactpersonen in het onboardingsdocument.
2.2. Ondersteuning
2.2.1. Ondersteuning eindgebruiker (eerste lijn)
Het is de verantwoordelijkheid van de gebruiker om te voorzien in een voldoende uitgeruste en voldoende degelijke eindgebruikersondersteuning (eerstelijns support) voor de afgenomen diensten in de context van zijn eigen dienstenaanbod. In geen enkel geval behoudens anders overeengekomen verzorgt FOD BOSA DG DT Service Desk rechtstreeks dienstverlening aan de eindgebruikers van de gebruiker.
De gebruiker zal op geen enkele manier contactgegevens van de FOD BOSA DG DT publiceren of communiceren zonder expliciete toestemming van de FOD BOSA DG DT.
2.2.2. Bijkomende ondersteuning (tweede lijn)
Alle incidenten en vragen worden door de gebruiker initieel gemeld aan de Service Desk van FOD BOSA DG DT (tweedelijns support). De Service Desk zal deze vervolgens transfereren naar de juiste persoon of dienst binnen FOD BOSA DG DT.
Volgende classificatie en opvolging van incidenten gelden:
Classificatie |
Omschrijving van het incident |
Meldingskanaal |
Responstijd (kantooruren) |
Priority 1 |
De webservices van FTS zijn volledig onbeschikbaar. (Alle applicaties ondervinden last en er is 100 % onbeschikbaarheid. Of een databreach die resulteert uit de verantwoordelijkheid van FOD BOSA DG DT.) |
Telefoon, E-mail |
3u |
Priority 2 |
De webservices van FTS zijn gedeeltelijk onbeschikbaar. (Sommige applicaties ondervinden last. Gebruikers van dergelijke applicaties kunnen niet meer werken.) |
Telefoon, E-mail |
5u |
Priority 3 |
De webservices van FTS zijn licht aangetast. (Sommige applicaties ondervinden last. Gebruikers kunnen wel nog werken.) |
E-mail, contactformulier |
1d |
Priority 4 |
Informatieve vraag |
E-mail, contactformulier |
7d |
Buiten
de kantooruren zijn deze rollen contacteerbaar voor incidenten
niveau P1 en P2:
Service manager;
Product owner;
Domeinmanager.
In het onboardingsdocument zijn alle contactpersonen bij FOD BOSA DG DT opgenomen.
2.2.3. Incident escalatie
Bij escalatie van een incident kan contact opgenomen met de Service manager of Service Desk door de opgegeven contactpersonen in het onboardingsdocument. Voeg bij de escalatie steeds het referentienummer van de Service Desk FOD BOSA DG DT.
2.2.4. Data protection officer
De DPO van FOD BOSA DG DT kan gecontacteerd worden op xxxxxxx@xxxx.xxxx.xx voor alle vragen inzake privacybescherming. Incidenten en klachten rond deze thematiek worden opgevolgd op xxxxxxxxxxxxxxx@xxxx.xxxx.xx.
2.3. Wijziginsbeheer
2.3.1. Geplande upgrades
FOD BOSA DG DT streeft ernaar wijzigingen zo door te voeren dat de dienst continu beschikbaar blijft. Nieuwe versies kunnen standaard uitgerold worden zonder onderbreking.
Het gedrag verschilt per omgeving:
TA volgt de dagdagelijkse ontwikkelingen. Deze worden door de ontwikkelaars gepromoveerd naar de QA omgeving wanneer zij een eerste niveau van maturiteit bereikt hebben. De technische ontwikkelingen worden automatische uitgerold zodra zij beschikbaar worden in de respectievelijke broncode.
Voor de INT en PROD-omgevingen wordt gewerkt op basis van stabiele versies van de dienst. Deze versies worden vastgelegd wanneer een set aan functionaliteiten een logisch geheel vormt en als geheel grondig getest werd. De uitrol van een nieuwe versie gebeurt op deze omgevingen automatisch, maar vereist een manuele beslissing en opstart van het proces.
Voor meer details wordt verwezen naar de technische documentatie.
Wijzigingen aan de productie omgeving die een onderbreking van de dienst vereisen, zullen door FOD BOSA DG DT één maand op voorhand worden aangekondigd aan de gebruiker (contactpersonen opgegeven in het onboardingsdocument).
FOD BOSA DT stelt alles in het werk de compatibiliteit met eerdere versies maximaal te garanderen. Indien desondanks een wijziging dient te gebeuren waarbij de compatibiliteit met eerdere versies niet behouden kan blijven, zal FOD BOSA DT deze wijziging alsook de mitigerende maatregelen zes maanden op voorhand aankondigen aan de gebruiker (contactpersonen opgegeven in het onboardingsdocument).
2.3.2. Verzoeken gebruikers
FOD BOSA DG DT organiseert periodiek een FTS User Board, zie 2.5.1. Wijzigingsvragen door gebruikers worden op deze board besproken en beoordeeld op basis van onderstaande criteria.
Classificatie |
Impact wijziging |
P1 |
Verbetering voor alle gebruikers en minimale risico-inschatting. |
P2 |
Verbetering voor sommige gebruikers en minimale risico-inschatting. |
P3 |
Verbetering voor alle gebruikers en hoge risico-inschatting. |
P4 |
Verbetering voor sommige gebruikers en hoge risico-inschatting |
2.4. Componenten van dienst
De service levels zijn van toepassing op de systemen en functionaliteiten van de FTS in beheer en gebruik van FOD BOSA DG DT.
Toegang en gebruik van de PROD omgeving van de FTS op basis van useraccount en IP-adres, zoals opgenomen in het onboardingsdocument.
Toegang van de gebruiker op de INT, QA en TA omgeving van de FTS op basis van useraccount, zoals opgenomen in het onboardingsdocument.
Het terugsturen van de eindgebruiker naar de juiste locatie van gebruiker met de correcte status.
Confidentiële opslag van de gegevens en de documenten in de toegekende buckets van de gebruiker, volgens de bewaartermijn opgenomen in het onboardingsdocument.
Toegang en gebruik van de webservice door de eindgebruiker, na doorverwijzing door de gebruiker.
Auditlogging op de interacties van gebruiker en eindgebruiker.
De softwarecomponenten die gebruikt worden voor de systemen en functionaliteiten van de FTS zijn integraal onderdeel van de dienstverlening.
Maken geen deel uit van de service levels:
Alle operationele informatie ter ondersteuning van de diensten die voortvloeien uit deze overeenkomst maken geen deel uit van deze overeenkomst.
De systemen en functionaliteiten niet in beheer en gebruik van FOD BOSA DG DT, die de gebruiker in gebruik heeft/bezit voor het aanbieden van zijn diensten aan zijn eindgebruiker.
De configuratie en ondersteuning van de betreffende toepassing van de gebruiker, die onderwerp is van de integratie met de FTS (Relying Party).
Beschikbaarheid van de externe diensten zoals eID en TSA.
Beschikbaarheid van externe platformen waaronder de webbrowser en de extensie/add-on stores.
De configuratie en support van het toestel van de eindgebruiker, inclusief maar niet exhaustief: browser, besturingssysteem, antivirus, …
FOD
BOSA DG DT is niet verantwoordelijk voor de (on)beschikbaarheid van
de toepassing:
Indien de afgesproken capaciteit structureel of onaangekondigd wordt overschreden. FOD BOSA DG DT kan de dienst slechts garanderen binnen de overeengekomen afspraken m.b.t. capaciteit en volume in het onboardingdocument;
Door het gedrag van de browser van de gebruiker of eindgebruiker bij het aanspreken van de dienst.
De gebruiker verklaart er zich van bewust te zijn dat de beveiliging van de computers waarop de toepassing is geïmplementeerd als ook de beveiliging van paswoorden belangrijke elementen zijn in de beveiliging van de werking van het systeem. Het gebrek aan beveiliging van de omgeving van de gebruiker of van de eindgebruiker kan dus een invloed hebben op de werking van het systeem. FOD BOSA DG DT kan echter geen verantwoordelijkheid nemen voor de beveiliging van de omgeving van de gebruiker of de eindgebruiker omdat zij hierover geen enkele controle heeft.
2.5. Informatie, rapportering en evaluatie
2.5.1. Informatie
FOD BOSA DG DT zal de gebruikers van de dienst op de hoogte brengen in de volgende gevallen:
Geplande onderbreking (zie ‘Beschikbaarheid’) en wijzigingen (zie ‘Wijzigingsbeheer’).
Incident dat leidt tot dienstonderbreking (zie ‘Beschikbaarheid’).
Nieuws: nieuws over de dienstverlening.
Gebruiksovereenkomstwijzigingen: in geval van aanpassingen aan gebruikersovereenkomsten.
De informatie wordt verzonden naar de opgegeven contactpersonen in het onboardingsdocument.
2.5.2. Monitoring
Het is niet toegestaan om als gebruiker de FTS te monitoren op een manier die de performance van de FTS kan beïnvloeden.
2.5.3. Rapportering
FOD BOSA DG DT zal de beschikbaarheidscijfers en incidenten evalueren en delen tijdens de FTS User Board.
2.6. Governance
2.6.1. FTS User Board
FOD BOSA DG DT organiseert periodiek een FTS User Board met volgende agendapunten:
Evaluatie beschikbaarheid en incidenten.
Aanvragen voor wijzigingen.
2.6.2. Service meeting met gebruiker
Indien de gebruiker dit wenst kan op eenvoudig verzoek een (terugkerende) service meeting opgezet worden.
Vragen voor aanpassingen aan de dienst vanuit de service meeting worden geagendeerd op het FTS User Board.
3. Partijen en handtekening
De dienst wordt aangeboden aan de gebruiker door de Federale Overheidsdienst Beleid en ondersteuning, DG Digitale Transformatie, Sim30, 0000 Xxxxxxx.
Het gebruik van de dienst is onderworpen aan de Algemene Voorwaarden, deze gebruiksovereenkomst en de technische en andere richtlijnen van FOD BOSA DG DT met betrekking tot de dienst.
Door ondertekening van deze gebruiksovereenkomst verklaart de gebruiker zich akkoord met de Algemene Voorwaarden voor FOD BOSA DG DT diensten.
Ondertekend op datum : Klik of tik om tekst in te voeren.
Naam gebruiker : Klik of tik om tekst in te voeren.
Vertegenwoordiger gebruiker : Klik of tik om tekst in te voeren.
Organisatie : Klik of tik om tekst in te voeren.
KBO nummer : Klik of tik om tekst in te voeren.
Functie vertegenwoordiger : Klik of tik om tekst in te voeren.
E-mailadres
vertegenwoordiger: Klik of tik om tekst
in te voeren.
H andtekening : Klik of tik om tekst in te voeren.
Bijlagen
Algemene Voorwaarden voor FOD BOSA DG DT diensten
De Algemene Voorwaarden zijn terug te vinden op de website van FOD BOSA DG DT:
Algemene voorwaarden diensten DG Vereenvoudiging & Digitalisering | BOSA (xxxxxxx.xx)
Technische informatie
De technische en onboarding documentatie zijn terug te vinden via xxxxx://xxxxxxxxxx.xxxx.xx/xx of op aanvraag.
1 De gekwalificeerde elektronische handtekening kan onder bepaalde voorwaarden gelijk gesteld worden met een handgeschreven handtekening. Let wel op of specifieke regelgeving, bepaalde vormvoorschriften of bijkomende voorwaarden die de geldigheid van specifieke documenten bepalen.
Maatschappelijke zetel
W TCIII • Xxxxx Xxxxxxxxxxx 00
0000 Xxxxxxx
T x00 (0)0 000 00 00 • xxx.xxxx.xx
Ondernemingsnummer: 0671.516.647