Doel van het document :
GEBRUIKSOVEREENKOMST INTELLIGENT APPLICATION FRAMEWORK
Doel van het document :
Een gebruiksovereenkomst is een dienst-specifiek contract dat de voorwaarden bepaalt voor het gebruik van een specifieke FOD BOSA DG Digitale Transformatie (“DG Digitale Transformatie”) dienst.
Het is een formeel document dat wordt ondertekend door de verantwoordelijken van de partijen die de dienst wensen te gebruiken (‘gebruikers’). Door ondertekening van een gebruiksovereenkomst verklaart de gebruiker zich akkoord met de Algemene voorwaarden voor DG Digitale Transformatie diensten.
Statuut: 4.2
Datum: 18/10/2021
Inhoud
1.1. BESCHRIJVING EN WERKING VAN DE DIENST 3
1.1.1. Voorwerp van deze overeenkomst 3
1.1.2. Werking van de dienst 3
1.2.1. Voorwaarden voor toegang tot de dienst 5
1.2.2. Rollen en verantwoordelijkheden verbonden aan de dienst 5
1.2.3. Kosten verbonden aan het gebruik van de dienst 6
1.2.4. Machtiging uitwisseling gegevens 7
1.4. VERWERKING PERSOONSGEGEVENS 8
2.1.1. Beschikbaarheid van de dienst 11
2.1.2. Geplande onbeschikbaarheid 11
3. Partijen en handtekening 13
1. Specifieke voorwaarden
1.1. BESCHRIJVING EN WERKING VAN DE DIENST
1.1.1. Voorwerp van deze overeenkomst
Intelligent Application Framework (IAF) betreft een verzameling van diensten en begeleiding bij de creatie van online webformulieren en applicaties waarbij informatie vooraf wordt ingevuld als ook verzameld. DG Digitale Transformatie stelt een framework ter beschikking die het beheer, de publicatie, en integratie van online webformulieren en applicaties mogelijk maakt en een set complementaire diensten en begeleiding voor de bouw en exploitatie van deze online webformulieren en applicaties.
Deze gebruiksovereenkomst beschrijft de voorwaarden voor het gebruik van IAF (“de dienst”) en omschrijft de afspraken in verband met IAF tussen de gebruiker en DG Digitale Transformatie.
1.1.2. Werking van de dienst
Intelligente webformulieren en applicaties tonen mogelijk automatisch de beschikbare gegevens uit sommige gegevensbronnen van de overheid op het scherm, zodat de aangemelde burger of ondernemer deze niet opnieuw moet invullen. Het gaat bijvoorbeeld over gegevens uit het Rijksregister of uit de Kruispuntbank Ondernemingen. De burger of ondernemer kan deze informatie nog bewerken en vervolledigt de velden die nieuwe informatie vragen. Figuur 1 illustreert deze werking schematisch.
Figuur 1: Schematische voorstelling van de werking van een IAF
De dienst wordt aangeboden in een zogenaamd Software as a Service (SaaS) model. Dit wil zeggen dat de gebruiker geen specifieke producten moet aanschaffen of installaties moet uitvoeren. De producten worden geïnstalleerd op door DG Digitale Transformatie geselecteerde infrastructuur en worden door de dienstverlener van DG Digitale Transformatie geconfigureerd voor gebruik door de gebruiker.
Bij vragen of problemen kunnen de gebruikers beroep doen op de Service Desk van DG Digitale Transformatie. Bij wijzigende of nieuwe vereisten kunnen de gebruikers via hun service manager van DG Digitale Transformatie beroep doen op de expertise van DG Digitale Transformatie of zijn dienstverlener voor het opstarten van een nieuwe inregeling of voor hulp bij de oriëntatie naar andere diensten.
1.2. GEBRUIK VAN DE DIENST
1.2.1. Voorwaarden voor toegang tot de dienst
De dienst kan enkel gebruikt worden door gebruikers die het inregeltraject hebben doorlopen. Het inregeltraject bestaat uit enkele stappen en duurt typisch tussen 1 en 8 weken:
- Stap 1: Self-assessment tool. Via de self-assessment tool kan de gebruiker de maturiteit van zijn project nagaan en ontbrekende elementen identificeren alvorens een concrete projectaanvraag in te dienen.
- Stap 2: Intentieformulier. Met het intentieformulier kan een concrete projectaanvraag ingediend worden. Alle nodige gegevens worden gevraagd zodat een draft offerte kan opgemaakt worden.
- Stap 3: Overleg tussen de gebruiker en DG Transformatie. Tijdens het overleg wordt de scope duidelijk vastgelegd, requirements besproken en vragen beantwoord. Zodoende kan de dienstverlener van DG Transformatie een complete offerte opstellen.
- Stap 4: Pre-analyse. De dienstverlener van DG Transformatie werkt enkele prototypes uit van de webformulieren of applicaties gebruik makende van het DG Transformatie design systeem, waarna deze kunnen gevalideerd worden door de gebruiker. De gebruiker zal ook alle nodige informatie verschaffen om over te gaan tot de ontwikkeling (technische details om de integratie met de backend van de gebruiker te realiseren, technische details om integraties met databronnen van de gebruiker te realiseren, etc).
Na de validatie van de gebruiker zal overgegaan worden tot ontwikkeling van de webformulieren of applicaties door DG Transformatie. Dit gebeurt in een agile manier met tussentijdse opleveringen binnen een DevOps omgeving met de nodige automated testing pipelines ingebouwd.
Na ontwikkeling worden de integraties met verschillende back-ends, source service consumers, portalen en content syndication databases getest en gevalideerd door DG Digitale Transformatie en de gebruiker.
Bij succes worden de gerealiseerde webformulieren en applicaties toegankelijk gemaakt voor het doelpubliek.
Bij de start van het inregeltraject treedt deze gebruiksovereenkomst in voege.
1.2.2. Rollen en verantwoordelijkheden verbonden aan de dienst
Iedere gebruiker is verantwoordelijk voor de openbare diensten die onder zijn bevoegdheid vallen, zelfs indien voor het verstrekken van die diensten gedeeltelijk gebruik wordt gemaakt van applicaties ter beschikking gesteld door andere entiteiten.
Dit betekent concreet dat iedere gebruiker verantwoordelijk is voor de informatie en de diensten die hij aanbiedt inclusief de intelligente webformulieren en applicaties en dit ook zo dient te communiceren aan de bezoeker. Indien gewenst kan met de goedkeuring van een andere overheidsdienst informatie van die andere overheidsdienst worden overgenomen. Daarbij zal gewaakt worden over de correctheid van de overgenomen informatie, een tijdige actualisatie en de vermelding van de bron.
De betrokken gebruiker neemt de verantwoordelijkheid voor de schade veroorzaakt door fouten in de informatie die hij verspreidt. Dit houdt aansprakelijkheid in voor de inhoud van de informatie, het actualiseren van de informatie, het respect van de taalwetgeving en de privacywetgeving, het gebruik van hyperlinks en metatags enz.
Het online plaatsen en het actualiseren van de informatie gebeurt door de betrokken gebruiker zelf of onder zijn verantwoordelijkheid.
De gebruiker is verantwoordelijk voor de informatie die hij verzamelt via de online formulieren en applicaties. Als hierbij persoonsgegevens worden verwerkt, dient dit te gebeuren onder zijn verantwoordelijkheid conform de toepasselijke wetgeving ter bescherming van de persoonlijke levenssfeer. De gebruiker voorziet onder andere een privacyverklaring.
De gebruiker is verantwoordelijk voor de functionele aspecten die worden aangeleverd tijdens het inregeltraject en die leiden tot ontwikkeling van de intelligente webformulieren en applicaties.
DG Digitale Transformatie is op zijn beurt verantwoordelijk voor de technische dienstverlening, verder te specificeren in de Service Levels onder sectie 2.
De gebruiker zal technische en veiligheidsrichtlijnen die hij ontvangt van DG Digitale Transformatie en zijn IAF partners in verband met de diensten respecteren. Nochtans blijft de eindverantwoordelijkheid voor de veiligheid en voor het beheer van de risico’s betreffende de formulieren en hun inhoud bij de gebruiker.
1.2.3. Kosten verbonden aan het gebruik van de dienst
De inregeling van intelligente webformulieren en applicaties is betalend en gebeurt projectmatig via een deelopdracht binnen de raamovereenkomst M1080 toegewezen aan de dienstverlener van DG Digitale Transformatie. De betaling gebeurt door de gebruiker rechtstreeks aan de dienstverlener.
De gebruiker kan beroep doen op het lastenboek M1080 voor het ontwerp, de ontwikkeling en de inproductiestelling van toepassingen, diensten, herbruikbare componenten en platformen.
Om beroep te doen op het lastenboek gaat de gebruiker als volgt te werk.
De gebruiker doet een aanvraag en de dienstverlener maakt op basis van de beschikbare informatie een ontwerpofferte, die minimaal volgende elementen bevat:
o Een pre-analyse waarin de verschillende EPICs benoemd en kort beschreven worden
o Een budget voor iedere EPIC (per profiel geventileerde inschattingen)
o Een categorisatie voor iedere EPIC in must have, should have, or could have (cf. MoSCoW)
o Een planning
Wanneer de offerte overeenstemt met de verwachtingen kan de gebruiker de realisatie van de EPICs in de offerte gunnen.
De uitvoering geschiedt, waarbij:
o iedere opdracht kaderend binnen deze specifieke gevallen moet worden beschreven in EPIC tickets in het Agile beheerssysteem van DG Digitale Transformatie;
o de EPIC tickets volgende kenmerken moeten bevatten alvorens er diensten op gepresteerd mogen worden:
▪ Een assignee bij de klant die de opdracht zal accepteren, typisch de product owner of iemand door de product owner aangeduid
▪ De voorziene datum van oplevering
▪ Het voorzien budget in mandagen, geventileerd per profiel
▪ Definition of done: Het bedoelde resultaat, voldoende duidelijk beschreven zo dat de ontwikkelaars weten wat er geproduceerd moet worden en de baseline waartegen dat het geleverde zal geëvalueerd worden voor acceptatie
o Must have EPICs die gerealiseerd moeten worden, deze vormen een resultaatsverbintenis.
o De scope van Should have en Could have EPICs aangepast kan worden in functie van de prioriteiten die door de Product Owner worden vastgelegd. In bepaalde gevallen is het zelfs mogelijk dat EPICs volledig worden gedeprioriteerd tot de categorie Won’t have.
o Dergelijke wijzigingen steeds gemotiveerd en gedocumenteerd moeten worden in het Agile tracking systeem door de uitvoerende partij. De beslissing rond prioritering ligt bij de steeds Product Owner en moet gedocumenteerd worden in het Agile tracking systeem.
De beschrijving van een werkpakket dient te gebeuren met behulp van een aantal door DG Digitale Transformatie ter beschikking gestelde templates (voor het werkpakket zelf, en zo nodig voor de “product descriptions” van de elementen die nodig zijn om het werkpakket op te bouwen).
Iedere offerte gevraagd zal standaard tegen globale forfaitaire prijs zijn.
Prestaties in het kader van de exploitatie en support van de diensten en de werking van exploitatie, infrastructuur en operations (platformondersteuning) gaan van start zodra het gerealiseerde door de gebruiker in gebruik wordt genomen. De jaarlijkse forfaitere exploitatie zoals beschreven in hoofdstuk
5.5.2.2 van het lastenboek gebeurt aan de voorwaarden bedongen in het raamcontract (10% van de kost van specifieke ontwikkelingen en configuraties / jaar).
1.2.4. Machtiging uitwisseling gegevens
De gebruiker verklaart over de nodige machtigingen (via beraadslaging, KB, …) of protocollen te beschikken om via het online formulier gegevens op te halen uit een gegevensbron met gegevens waarvoor zo’n machtiging/protocol vereist is. De gebruiker is verantwoordelijk voor het verkrijgen en het behoud van de machtigingen/protocollen. De gebruiker zorgt ervoor desgevallend de voorafgaande en geïnformeerde toestemming van de eindgebruiker te vragen.
1.3. VEILIGHEID
o IAF maakt gebruik van de CSAM diensten identificatie, authenticatie en autorisatie vanaf niveau substantieel indien er nood is aan authenticatie.
o DG Digitale Transformatie streeft er naar IAF optimaal te beveiligen en maakt hiervoor gebruik van versleuteling en anonimisatie.
o De gebruiker dient in te staan voor de beveiliging van de geïntegreerde systemen die zich in zijn omgeving of bij partners en leveranciers van de gebruiker bevinden (patching, certificaten, antivirus, etc.).
o DG Digitale Transformatie zorgt voor de audit logs van de transacties tot aan het moment van verzending. Deze worden beveiligd weggeschreven in het DG Digitale Transformatie AAAS systeem waar ze gedurende 10 jaar beveiligd bewaard worden en kunnen geconsulteerd worden ter vervollediging van de audit trail. Het gaat over volgende gegevens:
▪ Rijksregisternummer of KBO-nummer van verzendende eindgebruiker
▪ Transactie id en tijdstip van de opzoekingen in de gegevensbronnen
▪ Identificatienummer van het formulier
▪ Transactie id en tijdstip van de verzending van het formulier
Het is de verantwoordelijkheid van de gebruiker om de ontvangst van het formulier en de transactie id van het formulier te registreren en om desgevallend het formulier te bewaren.
1.4. VERWERKING PERSOONSGEGEVENS
DG Digitale Transformatie en de gebruiker verbinden zich ertoe de Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (“AVG”) als ook andere relevante wetgeving inzake de verwerking van de gegevens.
Beide partijen verbinden zich ertoe de personen die onder zijn gezag werken kennis te geven van de bepalingen van de AVG en haar uitvoeringsbesluiten, alsook van elk ter zake doend voorschrift betreffende de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.
DG Digitale Transformatie treedt voor deze dienstverlening op als verwerker in de zin van artikel 4, 8° van de VERORDENING (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, d.i. hij "die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt”.
De gebruiker treedt in het kader van de dienstverlening door DG Digitale Transformatie op als verwerkingsverantwoordelijke in de zin van art. 4, 7°, van de VERORDENING (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, d.i. hij die alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
De persoonsgegevens die DG Digitale Transformatie in het kader van deze dienstverlening verwerkt zijn de persoonsgegevens die, in voorkomend geval, worden opgehaald uit authentieke bronnen bij de
overheid en/of de persoonsgegevens die door de aangemelde burger of onderneming, in voorkomend geval, worden ingevuld.
DG Digitale Transformatie onderwerpt de persoonsgegevens uitsluitend aan volgende verwerkingen overeenkomstig de schriftelijke instructies opgenomen in deze overeenkomst:
- DG Digitale Transformatie verwerkt tijdelijk, tot op het moment van verzending, de gegevens ingevuld door de eindgebruiker in opdracht van de gebruiker. DG Digitale Transformatie haalt op vraag van de gebruiker gegevens op in de overeengekomen authentieke bronnen na authenticatie van de eindgebruiker.
- Het gedeeltelijk ingevulde IAF wordt tijdelijk bewaard totdat de eindgebruiker beslist om dit te versturen of maximaal gedurende de termijn door de gebruiker bepaald. Deze bewaring gebeurt op geëncrypteerde manier.
- DG Digitale Transformatie zorgt voor de verzending van het ingevulde IAF op vraag van de eindgebruiker naar de gebruiker.
DG Digitale Transformatie plaatst cookies met het oog op het verlenen van de dienst zoals vermeld in 1.5.
DG Digitale Transformatie deelt de persoonsgegevens aan geen enkele andere partij dan de gebruiker mee.
DG Digitale Transformatie verzekert dat de personen die gemachtigd zijn om de persoonsgegevens te verwerken zich ertoe verbinden om de vertrouwelijkheid in acht te nemen of dat zij door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
DG Digitale Transformatie neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, zoals beschreven in deze overeenkomst.
DG Digitale Transformatie documenteert alle maatregelen die hij neemt ter bescherming van de gegevens en stelt deze documentatie ter beschikking van de gebruikers.
DG Digitale Transformatie verleent de gebruiker bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de rechten van de betrokkene te beantwoorden en bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Algemene Verordening Gegevensbescherming.
DG Digitale Transformatie wist na afloop van de verwerkingsdiensten alle persoonsgegevens, behoudens de logbestanden die worden bewaard in het licht van de toepasselijke regelgeving.
DG Digitale Transformatie stelt de gebruiker alle informatie ter beschikking die nodig is om de nakoming van deze verplichtingen aan te tonen en audits.
Zoals vermeld in 1.3 zorgt DG Digitale Transformatie ervoor dat audit logs beschikbaar zijn voor het stuk van de transacties die via DG Digitale Transformatie verlopen. Door de combinatie van de gegevens die door de verschillende partijen worden bijgehouden moet het mogelijk zijn een volledige reconstructie tot stand te brengen van de gehele datastroom van een specifieke transactie.
DG Digitale Transformatie houdt een register bij van de verwerkingsactiviteiten waaronder deze die zij ten behoeve van de gebruiker verricht. Op eenvoudig redelijk verzoek is de DG Digitale Transformatie ertoe gehouden dit register voor te leggen.
Indien Digitale Transformatie kennis neemt van een inbreuk in verband met de persoonsgegevens zal het zonder onredelijke vertraging de gebruiker informeren.
Beide partijen hebben een functionaris voor gegevensbescherming en een actueel veiligheidsbeleid- en plan dat jaarlijks wordt herzien.
1.5. COOKIES
DG Digitale Transformatie maakt gebruik van de volgende noodzakelijke cookies voor het functioneren van de dienst:
Cookiebeleid | DG Digitale Transformatie (xxxx.xx)
2. Service Levels
2.1. BESCHIKBAARHEID
2.1.1. Beschikbaarheid van de dienst
DG Digitale Transformatie streeft naar een beschikbaarheid van 99.9% maar kan hier geen garanties over geven.
Geplande onbeschikbaarheid wordt niet meegerekend bij het bepalen van het beschikbaarheidspercentage.
2.1.2. Geplande onbeschikbaarheid
Geplande onbeschikbaarheid is onder meer:
• Onbeschikbaarheid tijdens werkuren die minstens één week op voorhand aangekondigd werd aan de gebruikers.
• Onbeschikbaarheid buiten werkuren die vóór 14:00h op de laatste werkdag aangekondigd werd aan de gebruikers.
Gepland: indien op voorhand geweten en gecommuniceerd, ook voor diensten waarvan IAF afhankelijk is. Bij geplande onbeschikbaarheden worden de klanten op de hoogte gesteld.
2.2. ONDERSTEUNING
De DG Digitale Transformatie Service Desk is voor de gebruiker het unieke aanspreekpunt voor alle incidenten en service requests.
De gebruiker is voor de eindgebruiker het unieke aanspreekpunt voor alle incidenten en vragen. De DG Digitale Transformatie Service Desk is bereikbaar via:
• Telefoon tussen 8:30u en 17u op werkdagen van de federale overheid
Business NL: 02 740 79 93
Business FR: 02 740 79 94
• E-mail, permanent beschikbaar: xxxxxxxxxxx.xxx@xxxx.xxxx.xx
• Web form, op permanente basis via
xxxxx://xxxxxxxxxx.xxxx.xx/xx/Xxxxxxx/xxxxxxxxxxxxxxxx
xxxxx://xxxxxxxxxx.xxxx.xx/xx/Xxxxxxx
3. Partijen en handtekening
De dienst wordt aangeboden aan de gebruiker door de Federale Overheidsdienst Beleid en Ondersteuning (“DG Digitale Transformatie”).
Het gebruik van de dienst is onderworpen aan de algemene voorwaarden, deze gebruiksovereenkomst inclusief Service Level Agreement en de technische en andere richtlijnen van DG Digitale Transformatie met betrekking tot de dienst.
Door ondertekening van deze gebruiksovereenkomst verklaart de gebruiker zich akkoord met de Algemene voorwaarden voor DG Digitale Transformatie diensten.
Ondertekend op datum
Naam gebruiker Vertegenwoordiger gebruiker
Handtekening
Bijlage: Algemene voorwaarden voor DG Digitale Transformatie diensten