ALGEMEEN
ALGEMEEN
Versie: 19.02
T&T levert digitale diensten voor de uitwisseling van persoonlijke gegevens
INHOUDSOPGAVE PAGINA
1 SAMENVATTING 3
2 DE RATIO ACHTER COMPET&T 4
3 HET CONCEPT 6
4 DE SAAS-OPLOSSINGEN VAN T&T 8
4.1 Veiligheid, beschikbaarheid en betrouwbaarheid 8
4.2 Continuïteit 8
4.3 Security 9
4.4 ISAE 3402 type 2 en ISO 27001 certificering 9
4.5 Communicatie 10
5 COMPONENTEN VAN COMPET&T 11
5.1 Besturing 11
5.2 Autorisatie 11
5.3 Toolbox 11
5.4 Logging 12
5.5 Management informatie 12
5.6 Schaduwbestanden (E-XXX) 12
5.7 Operationele meldingen 12
5.8 Toekomst 12
6 BESCHIKBARE PLUG-IN’S 14
6.1 Algemeen 14
6.2 BRP plug-in 14
6.3 BAG plug-in 14
6.4 HR plug-in 15
6.5 BBX plug-in 15
6.6 PRS plug-in 15
7 DE TOEPASSING 16
8 DEMOVERSIE 17
9 T&T EN HAAR CLIËNTEN 18
10 DE KOSTEN 19
10.1 Eenmalige kosten 19
10.2 Jaarlijkse kosten 19
10.3 Incidentele kosten 20
10.4 Te verwachten kosten 20
1 SAMENVATTING
COMPET&T is een SaaS-toepassing waarmee op gebruiksvriendelijke manier digitale gegevensuitwisseling met externe partijen op een uniforme manier kan plaatsvinden. Het grote voordeel schuilt in het feit dat beveilingsaspecten, autorisatiemechanismes, logging, en managementinformatie voor alle externe partijen binnen COMPET&T op een generieke manier geregeld zijn. Ook ondersteunt COMPET&T een variëteit aan verstrekkingsmogelijkheden zoals (real-time) bevragingen, extracten, abonnementen, etc. De gegevens die uit verschillende bronnen zijn verkregen kunnen desgewenst worden gecombineerd. Een uitgebreide toolbox met hulpmiddelen waarmee bijvoorbeeld tekensets berichtformaten en coderingen kunnen worden vertaald maakt het in de meeste gevallen mogelijk om de in eigen huis gehanteerde standaards te blijven gebruiken in de communicatie met partijen die iets anders hanteren.
Plastisch gesproken zou COMPET&T kunnen worden vergeleken met een verdeeldoos. De verdeeldoos is geplaatst in het serverpark van T&T, en wordt met één (goed beveiligde) lijn en met de stekker die cliënt heeft gekozen, verbonden met zijn organisatie. Op de verdeeldoos worden door T&T de externe partijen aangesloten waarmee cliënt wil communiceren.
Als die gebruik maken van afwijkende stekkers zorgt T&T voor de nodige adapters waardoor ook de afwij- kende stekker op de verdeeldoos kan worden aangesloten.
Doordat COMPET&T een SaaS-toepassing is, hoeft men zich niet meer te bekommeren om de werkzaamhe- den die komen kijken bij de inrichting van nieuwe verbindingen en bij het “in de lucht” houden en monitoren van de “verbindingen naar buiten”.
Het commercieel model dat op COMPET&T van toepassing is zorgt er voor dat de initiële investering nage- noeg nihil is, en dat de jaarlijkse kosten in hoge mate afhankelijk zijn van de mate van gebruik. Daarbij nemen de prijzen per “tik” af naarmate het aantal “tikken” toeneemt. Daardoor ademen de kosten mee met het eigen succes, en wordt het (door de stijgende aantallen) alleen maar aantrekkelijker om de digitale communicatie met externe partijen zo veel mogelijk via COMPET&T te laten plaatsvinden.
Voor de uitvoering van haar werkzaamheden beschikt T&T over een state-of the art serverpark en een (via “datamirroring” gekoppeld) uitwijksysteem. Alle belangrijke componenten en netwerkverbindingen zijn dub- bel uitgevoerd. T&T beschikt over een helpdesk waar u zonder tussenkomst van een call-center toegang toe hebt. U wordt direct bediend door “mensen die van wanten weten”. De professionaliteit van de dienstverle- ning wordt verder gewaarborgd doordat T&T zowel ISO 27001 als ISAE3402 (type 2) gecertificeerd is.
2 DE RATIO ACHTER COMPET&T
Alle organisaties hebben vandaag de dag te maken met meerdere partijen waarmee informatie wordt uitge- wisseld. Dat gebeurt in toenemende mate digitaal, en het gaat vaak om vertrouwelijke gegevens zodat hoge eisen worden gesteld aan de beveiligings- en privacy aspecten. De voorbeelden zijn legio. Zo maakt nage- noeg ieder bedrijf gebruik van internetbankieren, en vindt de aanlevering van informatie voor statistieken van het CBS, en van salarisgegevens voor de belastingdienst digitaal plaats. Binnen de overheid zijn daar de zogenaamde Basis Registraties waarvan in veel gevallen verplicht gebruik gemaakt moet worden. Denk daarbij onder meer aan de BasisRegistratie Personen (voorheen GBA), het HandelsRegister, de Basisregi- stratie Adressen en Gebouwen, de Berichtenbox, en nog ettelijke andere. Daarnaast zijn er, zowel in het bedrijfsleven als bij de overheid nog vele speciale portalen die digitaal benaderd kunnen worden. Denk bij- voorbeeld aan het Pensioenregister waar burgers hun opgebouwde pensioenaanspraken kunnen raadplegen, het Vecozo register waar het verzekeringsrecht kan worden getoetst, het donorregister, of het UWV portaal dat arbeidsongeschiktheidsgegevens kan verstrekken aan pensioenuitvoerders.
Voor iedere partij waarmee gecommuniceerd wordt moet het nodige geregeld worden. Beveiligingsaspecten, autorisatiemechanismes en aansluitprocedures zijn vaak van geval tot geval verschillend. En dan hebben we het nog niet over de manier waarop de andere partij informatie kan verstrekken, en over de eigen voorzie- ningen die wenselijk zijn om achteraf te kunnen verantwoorden waarom informatie is opgevraagd, of om zicht te houden op de kosten die met de gegevensuitwisseling gepaard gaan.
Schematisch laat zich dat voor één organisatie als volgt weergeven:
Aangezien er natuurlijk veel meer organisaties zijn die digitale contacten onderhouden met bijvoorbeeld BRP en CBS, zullen ook deze andere organisaties er zelf voor moeten zorgen dat de toegang wordt ingeregeld, dat de beveiliging op orde is, en dat de binnen de eigen organisatie gehanteerde standaards worden afge- stemd op de conventies van de diverse externe partijen.
Het is evident dat dit resulteert in veel dubbel werk omdat organisatie B voor de aansluiting op een externe partij voor een groot deel dezelfde of vergelijkbare maatregelen en voorzieningen moet treffen als organisa- tie A heeft moeten doen bij zijn aansluiting op dezelfde externe partij. Door deze werkzaamheden en de hulpmiddelen en faciliteiten die daarvoor nodig zijn onder te brengen in een “communicatiecentrale” die enerzijds de verbindingen met COMPET&T gebruikers onderhoudt, en anderzijds de verbindingen met de diverse externe partijen, kan hier verbetering in worden gebracht.
Dat geeft dan het volgende beeld:
3 HET CONCEPT
De in het vorige hoofdstuk weergegeven gedachte is vertaald naar een architectuur die uitgaat van de volgende uitgangspunten:
• Zo veel mogelijk algemeen bruikbare functionaliteit onderbrengen in generieke modules;
• Specifieke bron-gerelateerde functionaliteit onderbrengen in plug-ins die voor meerdere organisaties kunnen worden ingezet;
• Besturing door een “menukaart” waarin de wensen/eisen van cliënten worden gecombineerd met de mogelijkheden/eisen van externe partijen;
• Absolute fysieke scheiding van de opslag van de data per cliënt (geen gezamenlijke databases);
• Beveiliging tussen cliënt en T&T op 3 niveaus (IP-Adres, SSL certificaten en inlogcredentials).
Dit heeft geleid tot het volgende architectuur schema:
Aan de linkerzijde (roze) zijn 2 organisaties getekend die met browsers en/of applicatiekoppelingen en/of batchgewijze bestandsuitwisseling communiceren met COMPET&T. Aan de bovenzijde staan de externe par- tijen die via COMPET&T kunnen worden benaderd.
Voor ieder van deze bronnen is een specifieke “plug-in” ontwikkeld. Deze zorgt voor een juiste afhandeling en interpretatie van de uit te wisselen informatie.
Voor elke cliënt is een eigen afgeschermde omgeving ingericht. Afhankelijk van de plug-in worden hierin gegevensverzamelingen opgebouwd zoals:
• Logbestanden;
• Management informatie;
• Tellingen ten behoeve van de facturering;
• Schaduwbestanden (E-XXX).
In hoofdstuk 4 wordt ingegaan op de voordelen van de SaaS-oplossingen van T&T, en wordt aandacht ge- schonken aan de manier waarop T&T invulling heeft gegeven aan de continuïteitswaarborgen en de beveili- gingsaspecten die voor SaaS-toepassingen van eminent belang zijn.
In hoofdstuk 5 zullen de verschillende generieke componenten nader worden toegelicht. Voor de diverse plug-ins is separate documentatie voorhanden die (voor zover relevant) als bijlage aan deze beschrijving wordt toegevoegd.
Daar waar ten aanzien van de generieke componenten voor bepaalde externe partijen afwijkende of extra functionaliteiten van toepassing zijn zal dat in de beschrijving van de betreffende plug-in worden toegelicht.
4 DE SAAS-OPLOSSINGEN VAN T&T
4.1 Veiligheid, beschikbaarheid en betrouwbaarheid
COMPET&T is een SaaS-dienst die (vaak privacygevoelige) informatie uitwisselt tussen de gebruikers ervan en externe partijen. De uitwisseling kent verschillende vormen, en varieert van opvragingen met behulp van webbrowsers tot real-time applicatiekoppelingen en batch georiënteerde koppelingen die zijn geïntegreerd in de primaire processen van cliënten. De “gevoeligheid” van de data en de nauwe verwevenheid met bedrijfs- kritische systemen van cliënten maakt dat er hoge eisen worden gesteld aan de veiligheid, beschikbaarheid en betrouwbaarheid van COMPET&T.
T&T heeft een groot aantal maatregelen getroffen om hier op professionele wijze invulling aan te geven.
4.2 Continuïteit
De continuïteit van de dienstverlening is natuurlijk voor cliënten altijd van het grootste belang. Bij SaaS- diensten (zoals COMPET&T) geldt dat eens te meer, daar cliënt niet alleen de systemen (hardware en soft- ware) buiten huis heeft geplaatst, maar ook nog eens zijn eigen “klant-data”. De grootst denkbare calami- teit kan optreden als de leverancier (T&T in dit geval) zijn verplichtingen blijvend niet meer zou kunnen of willen nakomen (bijvoorbeeld in geval van een faillissement). De beste garantie om dat te voorkomen is natuurlijk gelegen in een degelijke balans en duurzaam winstgevende bedrijfsresultaten. Wat dat betreft is er bij T&T geen vuiltje aan de lucht. Maar zoals altijd is ook hier de gevleugelde uitspraak “resultaten uit het verleden bieden geen garantie voor de toekomst” van toepassing. Wij hebben daarom professionele maatre- gelen getroffen om voor onze cliënten de gevolgen van zo’n onverhoopte en onwaarschijnlijke gebeurtenis te minimaliseren. We hebben, in samenwerking met de bedrijven Sentia en Escrow4all, een continuïteitsrege- ling in het leven geroepen waar alle organisaties met een geldige COMPET&T serviceovereenkomst automa- tisch (en zonder bijkomende kosten) begunstigde in worden.
Kort gezegd biedt deze regeling cliënten twee alternatieven in het geval dat T&T haar verplichtingen niet meer zou willen of kunnen nakomen. Allereerst kan het escrow depot worden opgevraagd bij Escrow4all. Daarmee kan (alleen voor eigen gebruik) in eigen beheer het gebruik en de verdere ontwikkeling van COMPET&T worden vorm gegeven. Ook is het mogelijk het gebruik van COMPET&T voor tenminste 3 maan- den te continueren op de uitwijksystemen van T&T. Onderdeel van de continuïteitsregeling is namelijk een overeenkomst die T&T heeft gesloten met Sentia. In deze overeenkomst verplicht Sentia zich om COMPET&T (en de andere SaaS-diensten van T&T) nog tenminste 3 maanden “in de lucht” te houden in het geval van discontinuïteit van T&T. Om dat te kunnen doen kan Sentia op dat moment beschikken over de uitwijksys- temen van T&T, waarop zich (door “mirroring” met de productiesystemen) een altijd actuele kopie van deze productiesystemen bevindt. De actualiteit van de kennis van Sentia wordt gegarandeerd doordat Sentia al vele jaren door T&T wordt ingehuurd voor adviezen op beveiligingsgebied, en ook participeert in de jaarlijkse uitwijktest. T&T heeft Sentia een bankgarantie verstrekt die de kosten dekt die Sentia moet maken om deze verplichting na te komen. Gedurende de overbruggingsperiode van 3 maanden kunnen cliënten tezamen met Sentia en Escrow4all (en eventueel T&T) zoeken naar een definitieve oplossing.
Natuurlijk wordt de continuïteit van dienstverlening ook bedreigd door allerlei andere oorzaken zoals storin- gen, brand, inbraak, menselijk falen, etc. T&T heeft de potentiële risico’s in kaart gebracht en maatregelen getroffen om de risico’s te vermijden dan wel de gevolgen ervan te minimaliseren.
Tot de getroffen maatregelen horen onder meer:
• De serverruimtes zijn beveiligd met alarminstallaties, blusinstallaties, camera’s en toegangspassen;
• Fors bemeten UPS systemen kunnen stroomonderbrekingen overbruggen;
• Alle vitale hardware componenten zijn dubbel uitgevoerd;
• De netwerkverbindingen naar buiten zijn dubbel uitgevoerd;
• Er is een uitwijksysteem dat met data-mirroring gekoppeld is aan de productiesystemen;
• Er wordt dagelijks een full back-up gemaakt die buitenshuis wordt opgeslagen;
• Op alle apparatuur in de serverruimtes van T&T zijn full-service onderhoudscontracten afgesloten;
• Er is een beroepsaansprakelijkheidsverzekering en een reconstructieverzekering die schade dekken als zich onverhoopt toch calamiteiten zouden voordoen;
Alle maatregelen zijn uitgebreid beschreven in het “Continuïteits- en Beveiligingsplan” van T&T, dat voor klanten beschikbaar is op het extranet van T&T.
4.3 Security
Een ander belangrijk punt bij SaaS-oplossingen in algemeenheid is natuurlijk de bescherming van de klant- data. Deze klant-data is in veel gevallen als concurrentie-gevoelige informatie te betitelen. In het geval van COMPET&T komt daar nog eens bij dat (naar de aard van de bronnen die worden geraadpleegd) de informa- tie vertrouwelijk dan wel “privacy” gevoelig is.
Verstrekkende (voorzorgs)maatregelen om te voorkomen dat deze data in handen vallen (of onder ogen komen) van onbevoegden zijn daarom nodig.
Ook deze maatregelen en procedures zijn beschreven in het eerder genoemde Continuïteits- en Beveili- gingsplan.
Een kleine bloemlezing hieruit:
• Fysieke maatregelen zoals rolhekken, toegangsbeveiliging, cameratoezicht en alarmsystemen;
• Abonnement op xxxxxxxxxxxxxxxxx.xx (initiatief van Min. van EZ, het Nationaal Cyber Security Center van het Min.van J&V en Justitie en het ECP (Platform voor InformatieSamenleving)
• Ups;
• Privacy reglement voor alle medewerkers;
• Pre-employment screening;
• Screening door MIVD van alle medewerkers die in aanraking (kunnen) komen met klantdata;
• Netwerktoegang op 3 niveaus beveiligd:
• IP-adres;
• SSL versleuteling met certificaten;
• Persoonsgebonden credentials.
• Monitoring systemen.
4.4 ISAE 3402 type 2 en ISO 27001 certificering
Alle SaaS-diensten van T&T (dus ook COMPET&T) vallen binnen de scope van een formele ISAE 3402 (type 2) certificering. De scope van deze certificering beperkt zich niet alleen tot de systemen en werkzaamheden die rechtstreeks voortvloeien uit de doelen waarvoor COMPET&T wordt ingezet. Ook de ICT-organisatie, en de hiervoor genoemde maatregelen op het gebied van continuïteit en beveiliging vallen binnen de scope van de certificering.
Voor een ISAE 3402 certificering is het nodig dat alle processen worden beschreven inclusief de beheers- maatregelen die er voor moeten zorgen dat de onderkende risico’s worden voorkomen of gemitigeerd. ISAE 3402 is de opvolger van de zogenaamde SAS 70 standaard, en wordt voorgeschreven door DNB (De Neder- landsche Bank) aan alle financiële instellingen die werkzaamheden uitbesteden. T&T verplicht zich er toe een onafhankelijke en geaccrediteerde auditor gedurende het jaar te laten toetsen of de door T&T getroffen maatregelen toereikend zijn, en of ze daadwerkelijk en controleerbaar worden nageleefd. De auditor zal hier jaarlijks een verklaring over afgeven die (samen met het ISAE 3402 rapport) wordt gepubliceerd op het (voor cliënten toegankelijke) extranet op de website van T&T.
De informatiebeveiliging wordt tevens geborgd door de ISO 27001 certificering van T&T.
4.5 Communicatie
Om de cliënten tijdig en volledig te kunnen informeren over alle contractuele en operationele aspecten die met het gebruik van COMPET&T samenhangen heeft T&T op het extranet in haar website een aantal voor- zieningen getroffen die het voor de cliënt zelf mogelijk maken om te bepalen wie waarover wordt geïnfor- meerd.
Voor toegang tot het extranet zijn de credentials nodig die op de Serviceovereenkomst staan vermeld.
Allereerst vindt u daar de contactgegevens van de contractbeheerder die T&T zal informeren over alle con- tractuele zaken en formele zaken. Zijn naam zal ook worden vermeld op de facturen van T&T. De contactge- gevens van de contractbeheerder zoals die bij het aangaan van de overeenkomst bekend waren staan op de Serviceovereenkomst en zullen door T&T als zodanig worden geregistreerd.
Op het extranet staan ook de gegevens vermeld die T&T op facturen zal vermelden:
• Papieren factuur of e-mail;
• Factuuradres;
• Door cliënt gewenste kenmerken (kostenplaats, ordernummer, PO-nummer, etc.).
Op het extranet kunnen ook de contactgegevens worden ingevoerd van personen die geïnformeerd moeten worden in geval van een beveiligingsincident (datalek) of over operationele zaken zoals gepland onderhoud, storingen, etc.
Cliënt is zelf verantwoordelijk voor het “up to date” houden van de contactgegevens. T&T zal periodiek con- troleren of er van iedere cliënt een contractbeheerder bekend is, een factuuradres, een persoon die geïnfor- meerd moet worden ingeval van een beveiligingsincident en tenminste één persoon die wordt geïnformeerd over operationele zaken. Mocht dat niet (meer) het geval zijn dan wordt contact opgenomen met cliënt.
Verder treft u op het extranet nog de volgende onderdelen aan:
• Een kopie van de Serviceovereenkomst;
• Een forum waarop cliënten wensen m.b.t. toekomstige productontwikkeling kunnen inbrengen. Ze kun- nen daar ook kennisnemen van de wensen van andere organisaties die COMPET&T in gebruik hebben en zich daar (al of niet) bij aansluiten. T&T gebruikt de inhoud van het forum bij het vaststellen van de in- houd van nieuwe releases;
• Downloadsectie waarop inhoudelijke documenten m.b.t. nieuwe releases, geplande onderhoudswerk- zaamheden, etc., staan vermeld;
• Een sectie waarop maandelijks de COMPET&T prestaties (beschikbaarheid, responstijd) worden gepre- senteerd.
5 COMPONENTEN VAN COMPET&T
5.1 Besturing
De functionaliteit die COMPET&T kan bieden wordt in feite geregeld via een drietal tabellen die door T&T worden ingeregeld:
Menukaart externe partijen
Hier worden de partijen gedefinieerd die middels COMPET&T benaderd kunnen worden. Per partij wordt vastgelegd op welke wijze gegevens verstrekt kunnen worden (real-time bevraging, selecties, extracten, abonnementenservice, etc.). Ook liggen hier de technische gegevens vast die nodig zijn voor aansluiting op de betreffende bron, zoals bijvoorbeeld IP-adressen, beveiligingseisen (o.a. certificaten), etc.
Menukaart cliënten
Deze tabel bevat namen en adressen van de cliënt, alsmede gegevens over de manier waarop de verbinding naar hem is beveiligd (IP adressen, certificaten, etc.)
Besturingsmatrix
Deze matrix combineert de mogelijkheden van de externe partijen met de wensen van cliënten. Hierin wordt aangegeven welke externe partijen cliënt wil benaderen. Op welke wijze hij dat wil doen, en van welke ver- strekkingswijze(n) hij gebruik wil maken. Als bronnen beperkingen opleggen ten aanzien van de theoretisch beschikbare verstrekkingsmogelijkheden (denk bijvoorbeeld aan de autorisaties die door de Rijksdienst voor Identiteitsgegevens (RvIG) worden afgegeven) dan kunnen die hier worden vastgelegd. Ook wordt hier ge- definieerd op welke wijze eventuele bestandsuitwisseling met cliënt moet plaatsvinden (AXWAY, HTTPS, SFTP, etc.). Het is mogelijk dat één cliënt meerdere aansluitingen op dezelfde externe partij heeft. Denk hierbij bijvoorbeeld aan een organisatie die voor twee verschillende taken (met afwijkende autorisatie) van de BRP gebruik mag maken.
5.2 Autorisatie
Het gebruik van COMPET&T is voorbehouden aan gebruikers die daartoe zijn geautoriseerd. Hiertoe kunnen in COMPET&T door de beheerder gebruikers worden gedefinieerd. Aan iedere gebruikersnaam is een wacht- woord gekoppeld dat alleen door de betreffende gebruiker kan worden gewijzigd. Per cliënt kan worden in- gesteld of een wachtwoord een beperkte geldigheidsduur heeft, en dan dus met regelmaat gewijzigd moet worden. Per gebruiker kan door de beheerder worden vastgelegd tot welke aansluitingen hij toegang heeft. Voor ieder van deze aansluitingen kunnen de functies (uit de betreffende plug-in) worden benoemd die hij mag activeren. Afhankelijk van de externe partij kunnen gebruikers ook worden ingedeeld in groepen die dan bijvoorbeeld corresponderen met back-office systemen van cliënt, of met een regionale indeling. Het is mogelijk om een eenmaal ingebracht autorisatieprofiel te kopiëren naar andere gebruikers.
5.3 Toolbox
Het betreft hier een uitgebreide verzameling van algemeen bruikbare hulpmiddelen. Zo zijn er routines om tekensets te vertalen (van bijvoorbeeld extended ASCII naar Unicode8), of om codetabellen om te zetten naar andere (zoals bijvoorbeeld de BRP coderingen naar NEN codes).
Ook routines om leeftijden te berekenen op basis van twee data, de geldigheid van data te controleren, etc., zijn in deze “gereedschapskist” die door alle plug-ins wordt gebruikt beschikbaar.
5.4 Logging
De logging faciliteit draagt zorg voor het traceerbaar opslaan van alle gestelde vragen en ontvangen ant- woorden. Ook binnenkomende kennisgevingen en signalen worden in de logging vastgelegd. De bewaarter- mijn is afhankelijk van wat daarvoor is ingesteld in de besturingsmatrix. Bij vragen (en de antwoorden daar- op) wordt de gebruikersnaam, en een eventueel meegegeven eigen kenmerk in de logging vastgelegd. In alle gevallen wordt een “datum/tijd” stempel toegevoegd. De logging is op meerdere manieren benaderbaar zodat achteraf kan worden getraceerd wie wat heeft gedaan.
5.5 Management informatie
De transacties die in detail worden vastgelegd in de logging worden gecomprimeerd geteld in een statistiek database. Per periode (EEJJMM) worden de aantallen gestelde vragen, ontvangen antwoorden, ontvangen kennisgevingen en ontvangen signalen bijgehouden. Afhankelijk van de externe partij kan een verdere de- taillering naar groepen (zoals “Interne afnemers”) of transactiesoort worden toegevoegd. Binnen iedere plug-in zijn functies beschikbaar om de statistiek database te raadplegen en af te drukken. De informatie uit de statistiek database wordt door T&T gebruikt voor de facturering.
5.6 Schaduwbestanden (E-XXX)
Als de externe partij de mogelijkheid biedt tot het afnemen van mutatieabonnementen, zal automatisch een “schaduwbestand” worden opgebouwd waarin de van de betreffende bron ontvangen informatie wordt op- geslagen en geactualiseerd. De schaduwbestanden zullen onder de naam E-XXX bekend staan, waarbij XXX correspondeert met de naam van de betreffende plug-in, en de letter E staat voor “Eigen”. Welke informatie wordt opgeslagen is afhankelijk van de externe partij. Er zijn functies beschikbaar om de schaduwbestanden te raadplegen, en er extracten uit te vervaardigen. De extracten kunnen worden gebruikt in eigen program- matuur, of in veelgebruikte kantoorprogrammatuur. Afhankelijk van de betreffende plug-in kan het scha- duwbestand ook middels applicatiekoppelingen worden bevraagd.
Voor plug-ins die deze faciliteit ondersteunen zal het betreffend schaduwbestand in de beschrijving van de corresponderende plug-in worden toegelicht.
5.7 Operationele meldingen
COMPET&T kent een mechanisme waarmee op de inlogschermen van gebruikers een boodschap kan worden gepresenteerd alvorens zij daadwerkelijk met COMPET&T aan de slag kunnen. Dit mechanisme wordt ge- bruikt om gebruikers te informeren over voorgenomen onderhoudswerkzaamheden, storingen, en geïnstal- leerde releases. Bij het presenteren van dit soort boodschappen wordt rekening gehouden met de plug-ins die bij de betreffende cliënt zijn geactiveerd.
5.8 Toekomst
COMPET&T is oorspronkelijk ontwikkeld bij de start van het GBA-stelsel in 1994. Het heeft sindsdien alle ontwikkelingen gevolgd, en is nog steeds bij honderden klanten naar tevredenheid in gebruik. De overheid is vele jaren bezig geweest met een programma om de GBA te moderniseren. Dat programma (eerst “Moder- nisering GBA” en later “Operatie BRP” genaamd) is na een investering van zo’n € 100 mln medio 2017 door de toenmalig minister Xxxxxxxx beëindigd. T&T heeft vooruitlopend op de komst van de gemoderniseerde BRP, onder de naam COMPET&T 2.0, een nieuw portaal ontwikkeld met moderne technologie en een archi- tectuur die het eenvoudig mogelijk maakt om ook andere registraties dan GBA/BRP vanuit hetzelfde portaal te bedienen. De bedoeling was om dit portaal “uit te rollen” zodra de gemoderniseerde BRP operationeel zou worden.
Nu dat (in ieder geval de komende 5 jaar) niet gaat gebeuren heeft T&T besloten om het nieuwe portaal direct in gebruik te nemen voor de BBX plug-in (aansluiting op de Berichtenbox), en de HR plug-in (koppe- ling met het Handelsregister). We zijn tevens begin 2018 begonnen met de bouw van een eigen BRP plug-in, met dezelfde moderne technologie als die bij COMPET&T 2.0 is gehanteerd. Naar verwachting kunnen de eerste klanten vanaf eind 2019/begin 2020 worden overgezet van de huidige toepassing naar COMPET&T 2.0.
Vooruitlopend daarop zal in februari 2019, als onderdeel van de nieuwe BRP plug-in, de mogelijkheid om aan te sluiten op de nieuwe Terugmeldvoorziening (TMV 2.0) in productie worden genomen.
In de zomer van 2019 zal een andere toepassing van T&T (de PR Service voor aansluiting op het Nationaal Pensioenregister) beschikbaar komen als plug-in aan COMPET&T. Op ongeveer hetzelfde moment zal ook de module WOKP (WaardeOverdracht Klein Pensioen) als voorloper van een eveneens vernieuwde WOW (Waar- deoverdracht via het Web) als plug-in van COMPET&T 2.0 in gebruik worden genomen.
Daarna volgen dan nog het resterend deel van de WOW-functionaliteit en een geheel nieuwe GEO plug-in die (met vele uitbreidingen) de huidige BAG-toepassing zal gaan vervangen.
6 BESCHIKBARE PLUG-IN’S
6.1 Algemeen
Dit hoofdstuk bevat een korte beschrijving van de beschikbare (of in ontwikkeling zijnde) plug-ins. Meer gedetailleerde informatie over de in uw geval relevante plug-ins is als bijlage aan dit document toegevoegd.
6.2 BRP plug-in
De BRP is de basisregistratie voor persoonsgegevens. De gegevens van Nederlandse ingezetenen worden door gemeenten bijgehouden in gemeentelijke systemen die op hun beurt het landelijk register (GBA-V) actualiseren. De persoonsgegevens van andere personen waarmee de Nederlandse Overheid een relatie heeft worden vastgelegd in de RNI (Register Niet ingezetenen). Denk hierbij aan pensionado’s aan de Spaanse kust, aan grenswerkers of aan buitenlanders die in Nederland vastgoed bezitten. Ook de RNI is gekoppeld aan GBA-V, waardoor dit register gegevens bevat van zowel alle ingezetenen als ook van alle niet ingezetenen waarmee de Nederlandse overheid een relatie onderhoudt.
De centrale voorziening GBA-V verzorgt de communicatie met de aangesloten organisaties. GBA-V kan real- time worden bevraagd, maar communiceert voor de abonnementenservice via een mailboxserver. Ten be- hoeve van de abonnementenservice wordt door de BRP plug-in een schaduwbestand opgebouwd (E-BRP genaamd). Er is een aparte service beschikbaar om de BRP gegevens opnieuw te synchroniseren met de back-office systemen van cliënten (de “BRP Synchronisatie Service”).
Tot het BRP domein behoren daarnaast nog de volgende systemen: PIVA-V (een database met de per- soonsgegevens van de bewoners van de BES eilanden), de BV BSN (en SBV-Z), en de TMV (2.0) (Terugmeldvoorziening). Alle hiervoor genoemde systemen kunnen middels de BRP plug-in worden bena- derd.
6.3 BAG plug-in
De BAG (Basisregistratie Adressen en Gebouwen) bevat een aantal administratieve gegevens (volledig adres, bouwjaar, gebruiksdoel, etc.) alsmede de geografische coördinaten van alle panden in Nederland. De BAG wordt beheerd door de Nederlandse gemeenten, die vanuit een decentrale toepassing een landelijke BAG database actualiseren. Deze landelijke database is raadpleegbaar, maar is ook in staat middels real- time bevragingen, extracten dan wel mutatieverstrekkingen cliënten van informatie te voorzien.
De BAG plug-in van COMPET&T is medio 2012 geïntroduceerd, en biedt de mogelijkheid om panden te pro- jecteren op een topografische kaart. Voor de ondergrond wordt hierbij gebruik gemaakt van de BRT (Basis- Registratie Topografie). Door het aanklikken van een pand kunnen de administratieve gegevens worden getoond.
Als de betreffende gebruiker daartoe geautoriseerd is kan ook (door een koppeling met de BRP) worden getoond welke personen in het pand wonen. Andersom zal het ook mogelijk zijn om vanuit de BRP plug-in bij een gevonden persoon op de kaart te tonen in welk pand de persoon staat ingeschreven. De BAG plug-in is ook in staat om collectief gegevens over panden en/of personen op te vragen aan de hand van een op de topografische kaart ingetekend gebied.
6.4 HR plug-in
Het HR (Handels Register) is de tegenhanger van de BRP voor wat betreft de “niet natuurlijke personen” (denk aan NV’s, BV’s, verenigingen en stichtingen). Het HR wordt beheerd door de Kamer van Koophandel en is (net als de BRP) een basisregistratie. Het HR kan middels webservices op een viertal manieren worden bevraagd. De HR plug-in is in 2014 in COMPET&T geïntroduceerd en ondersteunt aller vormen van real-time bevraging van het HR. Daarbij kan bevraging plaatsvinden via een webbrowser of via een XML koppeling met het back-office systeem van cliënt. Terugkomende antwoorden kunnen via een webbrowser worden weergegeven, worden afgedrukt of via een XML koppeling worden teruggeleverd aan een back-office sys- teem.
In 2018 is de zogenaamde “abonnement service” geïntroduceerd. Deze unieke functionaliteit maakt het mo- gelijk om zelf een doelgroep te benoemen en vervolgens automatisch geïnformeerd te worden over de rele- vante wijzigingen die zich bij bedrijven behorend tot de doelgroep voordoen.
6.5 BBX plug-in
De BBX plug-in biedt een koppeling naar de Berichtenbox, een onderdeel van de MijnOverheid website. Overheidsorganisaties en ook andere organisaties met een publieke taak (zoals pensioenfondsen en zorgver- zekeraars) kunnen via de Berichtenbox berichten digitaal naar hun klanten sturen. Het heeft grote voordelen om de Berichtenbox te gebruiken: het gebruik ervan is veilig, de aflevering is gegarandeerd, berichten heb- ben dezelfde juridische status als papieren post, en het levert een flinke besparing op van portokosten.
De burger kan via zijn DigiD inloggen op xxx.xxxxxxxxxxxx.xx en de berichten in de berichtenbox raadple- gen. Via e-mail kan hij geattendeerd worden op ontvangst van een nieuw bericht.
Met de BBX plug-in kunnen zowel handmatig berichten worden aangemaakt als berichten in bulk worden aangeleverd. Er wordt een BSN-register bijgehouden van BSN’s die zich voor de organisatie hebben aange- meld (en afgemeld) voor de Berichtenbox. Ook is het mogelijk om berichten die naar personen zijn ver- stuurd achteraf te bekijken.
De BBX plug-in krijgt ook een koppeling naar de BRP plug-in zodat vanuit de E-BRP de berichten bij de per- sonen kunnen worden geraadpleegd.
6.6 PRS plug-in
Sinds januari 2011 heeft Nederland een Nationaal Pensioenregister. Dit kan door burgers met DigiD worden benaderd via xxx.xxxxxxxxxxxxxxxxxxxxx.xx. Het Nationaal Pensioenregister is geen grote landelijke databa- se waarin alle pensioenaanspraken zijn ondergebracht, maar slechts een verwijsindex waarin staat opgeno- men bij welke pensioenuitvoerders een persoon aanspraken heeft opgebouwd. Op het moment dat een bur- ger succesvol toegang heeft gekregen tot het Nationaal Pensioenregister, worden zijn/haar aanspraken real- time opgevraagd bij de betreffende pensioenuitvoerders.
Iedere pensioenuitvoerder dient daarom te beschikken over een faciliteit die in staat is de verwijsindex van het Nationaal Pensioenregister bij te werken en de vragen van burgers te beantwoorden. 24 uur per dag, 7 dagen per week. De PRS plug-in van T&T voorziet in deze behoefte en voldoet uiteraard aan de voorschrif- ten op het gebied van privacy en veiligheid. De PRS plug-in wordt gebruikt door een groot aantal pensioen- administrateurs, en beantwoordt meer dan de helft van alle vragen die via het Nationaal Pensioenregister worden gesteld.
7 DE TOEPASSING
Cliënt kan met iedere PC die toegang heeft tot internet, en waarop het door T&T uitgereikte certificaat is geïnstalleerd toegang krijgen tot de eigen omgeving op de servers van T&T. Hij heeft hiertoe geen andere software nodig dan zijn web-browser (bijvoorbeeld Explorer).
Cliënt krijgt van T&T een “icoontje” dat op het werkblad van zijn PC’s kan worden geplaatst. Door hierop te klikken zal automatisch contact worden gezocht met de omgeving van de organisatie op de systemen van T&T. De certificaten zorgen ervoor dat beide partijen elkaar herkennen en het in de firewall van T&T opge- nomen IP-adres van cliënt garandeert dat enkel vanaf vooraf bepaalde locaties contact kan worden ge- maakt.
Eenmaal binnen op de servers van T&T, zal de gebruiker zich moeten identificeren door ingave van een toe- gangscode en een wachtwoord.
Indien relevant worden vervolgens boodschappen getoond die betrekking hebben op geïmplementeerde nieuwe mogelijkheden, geplande onderhoudswerkzaamheden, etc.
Hierna volgt het navigatiescherm waarmee de beschikbare functies kunnen worden geactiveerd. De ge- bruiksmogelijkheden zijn afhankelijk van de externe autorisaties (bijvoorbeeld van het Rijksdienst voor Identiteitsgegevens – RvIG), en van de interne autorisatie zoals die door de beheerder aan de gebruiker is toegekend. Aan de bovenzijde van het scherm zijn “tabjes” zichtbaar waarmee kan worden gekozen tussen groepen functies (zoals beheer, of raadplegen), terwijl vervolgens aan de linkerzijde van het scherm knop- pen verschijnen waarmee de onderliggende functies kunnen worden geactiveerd.
COMPET&T kent “on-line” helpteksten die kunnen worden geraadpleegd door op het bij de betreffende func- tie of bij het betreffend invoerveld getoonde “?” te klikken.
8 DEMOVERSIE
Geïnteresseerden die zich willen overtuigen van de beschikbare mogelijkheden en het geboden gebruiksge- mak kunnen een demo-omgeving benaderen via de knoppen “demo’s” op de website van T&T (xxx.xxxxxxxxxxxxxxxxxx.xx). Er verschijnt vervolgens een pagina met een toelichting van de demo- applicatie. Ook kan hier een overzicht worden gedownload van de (uiteraard fictieve) data die voorkomt in de test databases.
In COMPET&T kunnen bedieningsinstructies on-line worden opgevraagd via de knoppen met een “?”.
Mocht u bij het gebruik van demo-omgeving vragen of problemen tegenkomen, dan kunt u de hulp van de T&T Helpdesk inroepen via:
E-mail : xxxxxxxx@xxxxxxxxxxxxxxxxxx.xx Telefoon : (000) 000 00 00
9 T&T EN HAAR CLIËNTEN
T&T is een bedrijf dat al meer dan 40 jaar bestaat. T&T heeft zich in hoge mate gespecialiseerd in de digitale uitwisseling van (vertrouwelijke) gegevens en alles wat daarmee samenhangt.
De betrokkenheid daarmee gaat terug tot 1984, toen T&T haar eerste systeem voor het voeren van een gemeentelijke bevolkingsadministratie (de termen GBA en BRP moesten toen nog uitgevonden worden) ont- wikkelde. Vanaf 1994 (het jaar waarin het GBA stelsel werd ingevoerd) heeft T&T zich geconcentreerd op de organisaties die van de BRP gebruik mogen maken.
In 2003 introduceerde T&T een SaaS-variant voor de aansluiting van organisaties op de BRP. Deze eerste SaaS-dienst van T&T is inmiddels geëvolueerd tot de BRP plug-in van COMPET&T. Momenteel maken onge- veer 400 organisaties met gezamenlijk ongeveer 500 aansluitingen er gebruik van. Daarmee is T&T bij verre marktleider op dit gebied.
Onder de vele cliënten bevinden zich onder meer:
• Pensioenuitvoerders;
• Sociale Verzekeringsinstellingen;
• Waterschappen;
• GGD'en;
• Ministeries;
• Sociale Werkvoorzienings organisaties
• Zorgverzekeraars;
• Ziekenhuizen;
• Kankerpreventie instellingen;
• Gemeenten;
• Diverse organisaties (zoals RvIG: Rijksdienst voor Identiteitsgegevens, CBS, Kadaster, etc.).
Op de website van T&T treft u onder de knop "referenties" een volledige opsomming aan van alle organisa- ties die van COMPET&T gebruik maken.
10 DE KOSTEN
De vergoeding die T&T vraagt voor het gebruik van COMPET&T dekt alle kosten die gemoeid zijn met een aansluiting op de bronnen die in de serviceovereenkomst zijn genoemd.
De kosten die samenhangen met het gebruik van COMPET&T zijn onderverdeeld in:
• Eenmalige kosten
• Jaarlijks terugkerende kosten
• Incidentele kosten
Voor de goede orde zij vermeld dat alle bedragen exclusief BTW zijn.
Enkele externe partijen brengen ook kosten in rekening voor het leveren van informatie. Cliënten hebben de keuze om de rekening voor deze kosten ofwel rechtstreeks van de externe partij te ontvangen ofwel via T&T. In het laatste geval zal de externe partij zijn facturen indienen bij T&T. T&T zal voor betaling zorgen en de kosten (conform de door de externe partij vastgestelde tarieven) in rekening brengen bij cliënt op haar jaarlijkse voorschot- en eindafrekeningsfactuur.
De facturering van de eenmalige kosten vindt plaats bij opdracht.
De facturering van jaarlijks terugkerende kosten vindt plaats per 1 januari bij vooruitbetaling op basis van de verwachte aantallen, met een nacalculatie per 31 december gebaseerd op de werkelijke aantallen. Bij grote wijzigingen gedurende het jaar kan tussentijds een aanvullende (credit) factuur worden opgesteld.
Over de facturering van eventuele incidentele kosten wordt per geval een afspraak gemaakt.
10.1 Eenmalige kosten
De eenmalige kosten bestaan uit een bedrag per cliënt, een bedrag per aansluiting en eventueel een bedrag voor bijzondere voorzieningen (zoals bijvoorbeeld maatwerk).
10.2 Jaarlijkse kosten
Deze bestaan uit een jaarlijks vast bedrag, en een variabel bedrag dat afhankelijk is van de mate van ge- bruik.
Het jaarlijks vast bedrag bestaat uit een bedrag per cliënt, een bedrag per aansluiting en eventueel een be- drag voor bijzondere voorzieningen (zoals bijvoorbeeld maatwerk).
Voor de berekening van de variabele component worden de volume’s van alle aansluitingen gecumuleerd. Dit heeft voor cliënt het voordeel dat hij maximaal profiteert van de dalende prijzen bij stijgende aantallen.
Per aansluiting wordt het volume als volgt bepaald:
De hoogste van het aantal geactiveerde mutatieabonnementen, dan wel het aantal aangemaakte vraagbe- richten is in beginsel maatgevend. Mocht dit lager zijn dan een eventueel overeengekomen minimum dan treedt dit minimum hiervoor in de plaats.
Vervolgens wordt dit volume vermenigvuldigd met een wegingsfactor die per externe partij is vastgesteld. Normaal gesproken is de wegingsfactor 1. De factor kan lager uitvallen als het gaat om een eenvoudige toe- passing waar veel gebruik van wordt gemaakt. Andersom kan de factor hoger uitvallen bij complexe regi- straties die slechts door een gering aantal organisaties worden benaderd.
Het aldus berekende volume wordt in rekening gebracht conform een prijsstaffel waarvan de prijzen dalen naarmate het volume groter is. Eventueel kunnen ook nog variabele kosten worden doorberekend als exter- ne partijen deze in rekening brengen.
10.3 Incidentele kosten
Hiervoor zal vooraf een fixed-price offerte worden opgesteld.
10.4 Te verwachten kosten
Als onderdeel van de Serviceovereenkomst, of als bijlage bij een uitgebrachte offerte zal een specificatie worden verstrekt van de te verwachten kosten. Deze bevat:
• De op dat moment geldende tarieven;
• Eventuele individuele afspraken;
• Een opsomming van de aansluitingen die deel uitmaken van de kostenopgave;
• De (verwachte of gemeten) aantallen per aansluiting;
• De kosten die hieruit voortvloeien.
11 HOE NU VERDER
Als u voornemens bent om gebruik te gaan maken van COMPET&T neem dan contact op met: Naam : T&T
Adres : Xxxxxxx 0000, 0000 XX Xxxxxxxxx
Telefoon : (000) 000 00 00
E-mail : xxxx@xxxxxxxxxxxxxxxxxx.xx Contactpersonen : De heer X.X. xxx Xxxxxxx
De heer H.J.J.C. Nooten
Wij maken dan snel een afspraak met u om de details te regelen, en eventuele resterende vragen te beant- woorden.
Als u eerst nog nader met ons wil overleggen, staan wij natuurlijk graag voor u klaar. U kunt in dat geval de hiervoor genoemde personen benaderen.