Bijlage 11: Gunning Nadere Overeenkomsten

Inleiding

Na gunning van de Raamovereenkomst zullen de gunningen van de Nadere Overeenkomsten plaatsvinden. In deze Nadere Overeenkomsten wordt gespecificeerd welke Diensten de Deelnemer (of Deelnemers als Deelnemers gezamenlijk een Nadere Overeenkomst sluiten) af gaat nemen.

De gunning van een Nadere Overeenkomst komt tot stand na het doorlopen van een minicompetitie. Tijdens een minicompetitie wordt aan de Opdrachtnemers gevraagd een aanbieding in te dienen op een door de Deelnemer(s) uitgebrachte offerteaanvraag. De Nadere Overeenkomst wordt gegund aan de Opdrachtnemer die de economisch meest voordelige aanbieding op basis van de beste prijs-kwaliteitverhouding heeft uitgebracht. Alle Opdrachtnemers dienen deel te nemen aan de minicompetities.

Naast de gebruikelijke gang van zaken dat Xxxxxx Overeenkomsten worden gegund na het doorlopen van een minicompetitie, zijn er twee situaties waarin Xxxxxx Overeenkomsten tot stand komen zonder het doorlopen van een minicompetitie. Deze situaties worden beschreven in hoofdstuk 3.

In deze Bijlage wordt het kader geschetst waarbinnen de gunning van Xxxxxx Overeenkomsten plaatsvindt.

1. Gunningscriteria en weging

Nadere Overeenkomsten worden, met uitzondering van de situaties zoals beschreven in hoofdstuk 3 van deze Bijlage, gegund aan de Opdrachtnemer die tijdens de minicompetitie de economisch meest voordelige aanbieding op basis van de beste prijs-kwaliteitverhouding heeft uitgebracht. Bij de vaststelling van de economisch meest voordelige aanbieding op basis van de beste prijs-kwaliteitverhouding wordt gebruik gemaakt van dezelfde subgunningscriteria en weging als de subgunningscriteria en weging die zijn gebruikt bij de gunning van de Raamovereenkomst. Subgunningscriteria en bijbehorende weging zien er daarmee als volgt uit:

Subgunningscriterium	Wegingspercentage
‘beschikbaarheid’ (Appendices III a t/m d)	50%
‘prijs’ (Appendix II)	40%
‘kwaliteit’ (Appendix I)	10 %

In de volgende paragrafen wordt toegelicht hoe scores op deze subgunningscriteria tot stand komen.

1.1. Score subgunningscriterium ‘beschikbaarheid’

De Opdrachtnemers hebben met hun Inschrijving de Appendices III a t/m d aangeleverd. Voor de score op het subgunningscriterium ‘beschikbaarheid’ wordt gebruik gemaakt van deze kaarten, of van kaarten van een recentere datum als deze door een Opdrachtnemer tijdens de looptijd van de Raamovereenkomst zijn aangeleverd ter vervanging van de oorspronkelijke dekkingskaarten. Meer informatie over de inhoud, de betekenis en het gebruik van de dekkingskaarten is beschreven in Bijlage 10 Beschikbaarheid en Beschikbaarheidstoets.

De dekkingskaarten worden geprojecteerd op de kaart van Nederland inclusief de bij Nederland horende binnen- en buitenwateren. Als bron voor de vaststelling van het geografisch oppervlak van Nederland worden de kaartdata van het Centraal Bureau voor de Statistiek (CBS) gebruikt. Op deze wijze kan per dekkingskaart worden vastgesteld hoeveel procent van het Nederlandse grondgebied voorzien is van dekking.

Tot 1 januari 2024 wordt aan de dekkingskaarten een gelijkwaardig belang toegekend bij het vaststellen voor de score op dit subgunningscriterium. Anders gezegd: de score op iedere dekkingskaart weegt tot dat moment voor 25% mee bij de vaststelling van de totaalscore op het subgunningscriterium ‘beschikbaarheid’. Vanaf 1 januari 2024 neemt het belang voor de aanwezigheid van 2G/3G spraakdekking (Appendix III-a) echter sterk af. Deze dekkingskaart zal daarom vanaf dat moment niet meer worden meegewogen tijdens de beoordeling van ingeleverde offertes in het kader van een minicompetitie. Als gevolg hiervan wordt ook de weging van de overige dekkingskaarten die nog wel worden gebruikt tijdens de beoordeling in minicompetities aangepast.

Vanaf 1 januari 2024 ziet deze er als volgt uit:

• Dekkingskaart spraak IP (Appendix III-b) 30%

• Dekkingskaart data reguliere bandbreedte (Appendix III-c) 30%

• Dekkingskaart data hoge bandbreedte (Appendix III-d) 40%

De dekking die is weergegeven in de eerste drie dekkingskaarten (Appendices III a t/m c) wordt geacht in ieder geval boven de 90% van de Nederlandse geografische oppervlakte te liggen. De score op deze dekkingskaarten zal zich daarom toespitsen op de verschillen die worden gerealiseerd boven een dekkingspercentage van 90%. De score per dekkingskaart wordt daarmee bepaald door 90% af te trekken van

het dekkingspercentage van de kaart. Voor de goede orde wordt hierbij opgemerkt dat het ook mogelijk is om tot een negatieve score te komen als het dekkingspercentage onder de 90% ligt.

Voorbeeld: een kaart die een dekking van 96% aangeeft scoort een 6 (96-90).

Voor de vierde dekkingskaart (Appendix III-d) geldt de verwachting dat het dekkingspercentage lager dan 90% kan liggen. De score op deze dekkingskaart wordt daarom op een andere wijze berekend, en wel door het dekkingspercentage te delen door 10.

Voorbeeld: een kaart die een dekking van 55% aangeeft scoort een 5,5 (55/10).

In alle gevallen geldt dat in het kader van het toekennen van scores de dekkingspercentages worden afgerond op twee cijfers achter de komma.

De eindscore op dit gunningscriterium komt tot stand door eerst de scores op de verschillende kaarten te vermenigvuldigen met het bijbehorende wegingspercentage. Ook de uitkomsten van deze vermenigvuldigingen worden afgerond op twee cijfers achter de komma. Deze uitkomsten worden vervolgens bij elkaar opgeteld tot de eindscore voor het subgunningscriterium ‘beschikbaarheid’.

In het volgende kader wordt de hiervoor beschreven totstandkoming van de eindscore op het subgunningscriterium ‘beschikbaarheid’ in een voorbeeld toegelicht.

Voorbeeld De vier Appendices III van Inschrijver A zijn over de kaart van Nederland (inclusief binnen- en buitenwateren) geprojecteerd en hebben tot de volgende dekkingspercentages en dekkingsscores geleid: De eindscore op het subgunningscriterium ‘beschikbaarheid’ komt tot stand door deze dekkingsscores per kaart te vermenigvuldigen met de wegingspercentages, en deze uitkomsten bij elkaar op te tellen (tussen haakjes is de weging en score weergegeven die vanaf 1 januari 2024 geldt):
	Type mobiele dekking	dekkingsscore	% weging	score
	Spraak 2G/3G (Appendix III-a)	7,78	25% (0%)	1,95 (0)
	Spraak IP (Appendix III-b)	4,11	25% (30%)	1,03 (1,23)
	Data reguliere bandbreedte (Appendix III-c)	8,42	25% (30%)	2,11 (2,53)
	Data hoge bandbreedte (Appendix III-d)	4,78	25% (40%)	1,2 (1,91)
	Totaalscore subgunningscriterium ‘beschikbaarheid’ 🡪			6,29 (5,67)

Type mobiele dekking	% dekking	dekkingsscore
Spraak 2G/3G (Appendix III-a)	97,78	7,78
Spraak IP (Appendix III-b)	94,11	4,11
Data reguliere bandbreedte (Appendix III-c)	98,42	8,42
Data hoge bandbreedte (Appendix III-d)	47,81	4,78

1.2. Score subgunningscriterium ‘prijs’

Een minicompetitie gaat van start als de Opdrachtnemers een offerteaanvraag hebben ontvangen van de Deelnemer die een Nadere Overeenkomst wil sluiten (of Deelnemers als gezamenlijk een Nadere Overeenkomst wordt gesloten). In deze offerteaanvraag is aangegeven welke Diensten de Deelnemer wil gaan

afnemen. De Opdrachtnemers dienen op basis van deze offerteaanvraag een aanbieding in te dienen waarin de gevraagde Diensten zijn getarifeerd, waarbij geldt dat de aangeboden tarieven niet hoger mogen zijn dan de Tarieven die zijn vastgelegd in de Raamovereenkomst. Bij de beoordeling van het subgunningscriterium ‘prijs’ zal de Deelnemer op basis van de aangeboden Tarieven bepalen wat de totale waarde is van de aangevraagde Diensten over een periode van drie jaar (de lengte van een Nadere Overeenkomst zonder verlengingen). Het totaalbedrag dat uit deze berekening komt wordt gebruikt om de rangorde binnen het subgunningscriterium ‘prijs’ te bepalen. Hiervoor wordt de volgende formule gebruikt:

𝑆𝑐𝑜𝑟𝑒 𝑠𝑢𝑏𝑔𝑢𝑛𝑛𝑖𝑛𝑔𝑠𝑐𝑟𝑖𝑡𝑒𝑟𝑖𝑢𝑚 ′𝑝𝑟𝑖𝑗𝑠′ = (2 − 𝑃(𝐼)) ∗ 10

𝑃(𝐿)

Waarbij geldt:

P(I) = de totaalprijs van de Tariefwegingslijst van de te beoordelen Inschrijving.

P(L) = de laagste totaalprijs van de Tariefwegingslijst dat wordt aangetroffen op alle Appendices II van geldige Inschrijvingen.

Alleen de geldige offertes worden meegenomen bij de vaststelling van de scores op het subgunningscriterium ‘prijs’.

Voorbeeld:

De totaalprijs Tariefwegingslijst van Inschrijver A heeft een waarde van 120.

De waarde van de laagste totaalprijs Tariefwegingslijst van alle geldige Inschrijvingen is 100.

De score op het subgunningsciterium ‘prijs’ voor Inschrijver A is:

(2 − ) ∗ 10 = 8

120

100

1.3. Score subgunningscriterium ‘kwaliteit’

In de Conformiteitlijst is een aantal wensen uitgevraagd. De Opdrachtnemers hebben in hun Inschrijving de mogelijkheid gehad om aan te geven of zij de bij de wens beschreven functionaliteit/dienst onder de Raamovereenkomst gaan leveren. Hoe meer wensen door de Opdrachtnemer worden geleverd, des te hoger is de score op het subgunningscriterium ‘kwaliteit’.

Hetzelfde mechanisme is van toepassing bij de gunning van een Nadere Overeenkomst. De Opdrachtnemers scoren, net als bij de gunning van de Raamovereenkomst, het aantal punten dat bij iedere wens staat aangegeven als zij zich hebben geconformeerd aan de wens en daarmee hebben verklaard de betreffende functionaliteit/dienst te leveren. Ten opzichte van de gunning van de Raamovereenkomst is echter bij de gunning van een Nadere Overeenkomst één verschil van kracht bij de toekenning van punten voor geconformeerde wensen. Dit verschil heeft betrekking op de Wensen die zijn gesteld op het gebied van

preferente netwerktoegang. Bij de vaststelling van de scores op het subgunningscriterium ‘kwaliteit’ bij de gunning van een NOK worden namelijk de punten voor de wensen die voor preferente netwerktoegang verkregen kunnen worden uitsluitend toegekend als de Deelnemer(s) waarvoor de minicompetitie wordt doorlopen de gewenste Dienst(en) ook daadwerkelijk afneemt (afnemen). Als derhalve in de offerteaanvraag voor de minicompetitie is aangegeven dat de Deelnemer(s) voornemens is (zijn) om de Dienst ‘Preferente netwerktoegang dataverkeer’ af te nemen, dan worden de punten die horen bij deze Wens toegekend. Als de Deelnemer(s) hier geen behoefte aan heeft (hebben) worden de punten niet toegekend. Hetzelfde geldt voor de Dienst ‘Smalbandige preferente netwerktoegang’. Ook hier geldt dat de punten uitsluitend worden toegekend als in de offerteaanvraag is aangegeven dat aan deze Dienst behoefte is.

De score op het subgunningscriterium ‘kwaliteit’ wordt verkregen door eerst alle behaalde puntenscores op de wensen op te tellen en dit te delen door de puntenscore die wordt behaald als de Opdrachtnemer zich aan alle wensen zou hebben geconformeerd (de hoogste maximale puntenscore). Het hierdoor verkregen getal wordt met 10 vermenigvuldigd waarmee de eindscore op het subgunningscriterium tot stand komt. In formulevorm ziet dat er als volgt uit:

𝑠𝑐𝑜𝑟𝑒 𝑠𝑢𝑏𝑔𝑢𝑛𝑛𝑖𝑛𝑔𝑠𝑐𝑟𝑖𝑡𝑒𝑟𝑖𝑢𝑚 ‘𝑘𝑤𝑎𝑙𝑖𝑡𝑒𝑖𝑡’ = 𝑠𝑜𝑚 𝑣𝑎𝑛 𝑑𝑜𝑜𝑟 𝑂𝑝𝑑𝑟𝑎𝑐ℎ𝑡𝑛𝑒𝑚𝑒𝑟 𝑏𝑒ℎ𝑎𝑎𝑙𝑑𝑒 𝑝𝑢𝑛𝑡𝑒𝑛𝑠𝑐𝑜𝑟𝑒 ∗ 10

𝑚𝑎𝑥𝑖𝑚𝑎𝑎𝑙 ℎ𝑎𝑎𝑙𝑏𝑎𝑟𝑒 𝑝𝑢𝑛𝑡𝑒𝑛𝑠𝑐𝑜𝑟𝑒

Voorbeeld:

Er zijn drie wensen met de volgende bijbehorende scores als de Inschrijver zich aan de wensen conformeert:

Wens 1: 200 punten

Wens 2: 500 punten

Wens 3: 100 punten

Inschrijver A heeft alleen Wens 1 als Conform (“C”) opgegeven en scoort daarmee 200 punten. De score op het subgunningscriterium ‘kwaliteit’ voor Inschrijver A is:

200

800 ∗ 10 = 2,5

1.4. Vaststelling economisch meest voordelige aanbieding

De totaalscore van een aanbieding komt tot stand door de behaalde scores van de subgunningscriteria te vermenigvuldigen met de bijbehorende wegingspercentages en de uitkomsten hiervan bij elkaar op te tellen. In formulevorm ziet dat er als volgt uit:

𝑡𝑜𝑡𝑎𝑎𝑙𝑠𝑐𝑜𝑟𝑒 𝑎𝑎𝑛𝑏𝑖𝑒𝑑𝑖𝑛𝑔 =

(𝑠𝑐𝑜𝑟𝑒 𝑏𝑒𝑠𝑐ℎ𝑖𝑘𝑏𝑎𝑎𝑟ℎ𝑒𝑖𝑑 ∗ 𝑤𝑒𝑔𝑖𝑛𝑔 𝑏𝑒𝑠𝑐ℎ𝑖𝑘𝑏𝑎𝑎𝑟ℎ𝑒𝑖𝑑) + (𝑠𝑐𝑜𝑟𝑒 𝑝𝑟𝑖𝑗𝑠 ∗ 𝑤𝑒𝑔𝑖𝑛𝑔 𝑝𝑟𝑖𝑗𝑠) +

(𝑠𝑐𝑜𝑟𝑒 𝑘𝑤𝑎𝑙𝑖𝑡𝑒𝑖𝑡 ∗ 𝑤𝑒𝑔𝑖𝑛𝑔 𝑘𝑤𝑎𝑙𝑖𝑡𝑒𝑖𝑡)

De aanbieding die op deze wijze de hoogste totaalscore haalt is de economisch meest voordelige aanbieding op basis van de beste prijs-kwaliteitverhouding. De Opdrachtnemer die deze aanbieding heeft gedaan is winnaar van de minicompetitie en krijgt de Nadere Overeenkomst gegund.

Voorbeeld:

Opdrachtnemer A heeft op de subgunningscriteria de volgende scores gehaald:

• Subgunningscriterium beschikbaarheid: 7,2

• Subgunningscriterium prijs: 8

• Subgunningscriterium kwaliteit: 2,5

Gegeven de eerdergenoemde weging van de subgunningcriteria wordt de totaalscore van de aanbieding:

𝑡𝑜𝑡𝑎𝑎𝑙𝑠𝑐𝑜𝑟𝑒 𝑎𝑎𝑛𝑏𝑖𝑒𝑑𝑖𝑛𝑔 = (7,2 ∗ 50%) + (8 ∗ 40%) + (2,5 ∗ 10%) = 7,05

2. Speciale Diensten in minicompetities

Deelnemers hebben de mogelijkheid om in de offerteaanvraag voor een Nadere Overeenkomst naast de Standaard Diensten ook Speciale Diensten uit te vragen. Om te borgen dat alle Opdrachtnemers in de gelegenheid zijn een aanbieding uit te brengen is het in dit stadium echter alleen mogelijk om de Speciale Diensten indoor dekking en/of verhoogde beschikbaarheid voor koppelingen (ten behoeve van vast-mobiel en/of APN-diensten) uit te vragen.

Een Speciale Dienst die naar verwachting geregeld tijdens minicompetities zal worden uitgevraagd betreft indoor dekkingsinstallaties. Een complexiteit die zich hierbij voordoet is dat vooraf niet ingeschat kan worden welke Opdrachtnemers voor de realisatie van inpandige dekking een indoor dekkingsinstallatie nodig hebben en, in geval een indoor dekkingsinstallatie nodig is, welke apparatuur waar geplaatst dient te worden.

Daarnaast kan het ook zo zijn dat in een kantoor reeds een indoor dekkingsinstallatie aanwezig is. Het beheer van een dergelijke bestaande installatie moet door de Opdrachtnemer worden overgenomen als deze installatie onder GT Mobiele Communicatie 1 of 2 is geleverd. Overige, niet onder GT Mobiele Communicatie 1 of 2 geleverde installaties kunnen door de Opdrachtnemer worden overgenomen van de huidige beheerder.

Om een goede aanbieding uit te kunnen brengen worden Opdrachtnemers daarom tijdens minicompetities in de gelegenheid gesteld schouwingen uit te voeren in de panden waar om indoor dekking is gevraagd. Het uitvoeren van een schouwing en het verwerken van de resultaten tot een passende aanbieding vergt tijd en kost geld. Mede gezien de mogelijkheid dat een Opdrachtnemer de Nadere Overeenkomst niet gegund krijgt, acht de Aanbestedende Dienst het niet redelijk als Deelnemers zonder goede gronden panden ter schouwing

aanbieden. Bovendien staat het de Deelnemers vrij om na een minicompetitie geen gebruik te maken van de aanbieding als deze bijvoorbeeld niet binnen het beschikbare budget past. Om deze reden is besloten om het uitvragen van indoor dekkingsinstallaties tijdens minicompetities te beperken tot de kantoorpanden waar nu al een bestaande indoor dekkingsinstallatie (of een indoor dekkingsoplossing als inpandige beschikbaarheid op een andere wijze is gerealiseerd) beschikbaar is, aangevuld met één nieuw aan te wijzen kantoorpand. De achterliggende gedachte hierbij is dat hiermee in ieder geval indoor dekking blijft bestaan of wordt gerealiseerd voor kantoorpanden waar in het verleden al sprake is geweest van dekkingsproblematiek. De mogelijkheid één nieuw kantoorpand aan te wijzen biedt de mogelijkheid één extra locatie mee te nemen waar een goede indoor dekking van belang wordt geacht.

Tijdens de minicompetitie wordt gevraagd een prijsopgave te doen voor de realisatie van de uitgevraagde Speciale Dient(en). Deze prijs wordt opgeteld bij de prijs van de andere uitgevraagde standaard Diensten. Hierdoor wordt het in paragraaf 1.2 genoemde totaalbedrag van de aanbieding verkregen op basis waarvan het subgunningscriterium ‘Prijs’ wordt berekend.

3. Gunning Nadere Overeenkomst zonder minicompetitie

In hoofdstuk 1 is beschreven hoe onder normale omstandigheden de gunning van een Nadere Overeenkomst tot stand komt. In een beperkt aantal gevallen is het echter ook mogelijk dat een Nadere Overeenkomst direct wordt gegund aan een Opdrachtnemer zonder minicompetitie. Het gaat hierbij om situaties waarbij de Opdrachtnemer die de Nadere Overeenkomst gegund krijgt als enige de gevraagde dienst kan leveren, of als het houden van minicompetities een onevenredig grote inspanning voor alle Partijen tot gevolg heeft. De Aanbestedende Dienst onderkent bij de publicatie twee concrete situaties waar gunning zonder minicompetitie mogelijk is. Als gedurende de werking van de Raamovereenkomst mocht blijken dat ook andere situaties een gunning zonder minicompetitie noodzakelijk of zinvol maken, dan zal vooraf met alle Opdrachtnemers hierover worden overlegd en om een akkoord worden gevraagd. De twee initieel van kracht zijnde situaties zijn:

1. Nadere Overeenkomsten van het CBO voor doorlevering van Aansluitingen

Een Deelnemer heeft de mogelijkheid om in voorkomende gevallen Aansluitingen af te nemen bij een andere Opdrachtnemer dan de Opdrachtnemer waarmee de Nadere Overeenkomst is gesloten. Van deze mogelijkheid kan gebruik worden gemaakt als een Deelnemer een hogere beschikbaarheid wil verkrijgen door apparatuur te voorzien van een tweede Aansluiting op een alternatief mobiel netwerk of als de eigen Opdrachtnemer op een specifieke locatie niet in staat is mobiele beschikbaarheid te bieden waar een andere Opdrachtnemer dit wel kan.

Als de Raamovereenkomst is gegund aan drie Opdrachtnemers dan zal, als een Deelnemer behoefte heeft aan alternatieve Aansluitingen, door de CBO worden vastgesteld welke Opdrachtnemer de meeste additionele dekking biedt ten opzichte van de Opdrachtnemer met wie de Deelnemer zijn Nadere Overeenkomst heeft gesloten. De behoefte aan extra Aansluitingen zal primair worden ingevuld door deze Opdrachtnemer met de meeste additionele dekking. Als de Deelnemer behoefte heeft aan dekking op een specifieke locatie en deze dekking niet ingevuld kan worden door zowel de Opdrachtnemer van de eigen Nadere Overeenkomst als door de Opdrachtnemer met de meeste additionele dekking, dan kan de Deelnemer een Aansluiting afnemen bij de derde Opdrachtnemer van de Raamovereenkomst (de Opdrachtnemer met de minste additionele dekking).

Het CBO vervult een toetsende rol of afname bij een andere Opdrachtnemer passend is. Ter ondersteuning van deze systematiek zal de CBO daarom met iedere Opdrachtnemer rechtstreeks een Nadere Overeenkomst sluiten bedoeld voor de bestelling en doorlevering van de hiervoor beschreven Aansluiting. Via deze zelfde door de CBO gesloten Nadere Overeenkomsten is het tevens mogelijk de door de Opdrachtnemer aangeboden oplossing voor inhouse zonedekking te bestellen en door te leveren. De Deelnemer die via deze Nadere Overeenkomst Aansluitingen verkrijgt, kan over deze Aansluitingen rechtstreeks communiceren met de Opdrachtnemer van de Nadere Overeenkomst. De CBO kan deze Deelnemer toegangsrechten tot het webbased portaal geven als ‘Beheerder Organisatie’ (zie Conformiteitlijst, paragraaf 5.6), zodat de Deelnemer toegang heeft tot de rapportage en facturen betreffende de eigen afgenomen Aansluitingen.

2. Nadere Overeenkomst voor het aansluiten op een indoor dekkingsinstallatie

Deelnemers kunnen ervoor kiezen om alle Opdrachtnemers uit de Raamovereenkomst te laten aansluiten op een in gebruik zijnde indoor dekkingsinstallatie. De Opdrachtnemer waarmee de primaire Nadere Overeenkomt is gesloten zal deze indoor dekkingsinstallatie in beheer hebben. Met de andere Opdrachtnemers kan direct een Nadere Overeenkomst worden gesloten voor de levering van de producten en diensten die nodig zijn om ook indoor beschikbaarheid van de mobiele netwerken van deze andere Opdrachtnemers te realiseren.

Bijlage 12: Model Nadere Overeenkomst

De ondergetekenden

[naam Deelnemer(s)], [gevestigd te bij niet-gemeenten], te dezen vertegenwoordigd door [functie], [naam], hierna te noemen:

“Deelnemer” (of “Deelnemers” afhankelijk van de vraag of meerdere Deelnemers deelnemen aan deze NOK), en

[naam Opdrachtnemer], gevestigd te [plaatsnaam], te dezen vertegenwoordigd door [functie], [naam], hierna te noemen:

“Opdrachtnemer”, Overwegende dat:

1. de Deelnemer Diensten wenst te verwerven op basis van de Raamovereenkomst voor zichzelf c.q. andere in de Raamovereenkomst als Deelnemer vermelde overheidsorganisatie(s);

2. de Deelnemer daartoe een minicompetitie heeft gehouden op grond van de Raamovereenkomst op basis van de offerteaanvraag van [datum];

3. de Opdrachtnemer een offerte heeft ingediend voor de minicompetitie en zich daarbij onverkort heeft geconformeerd aan alle voorwaarden en eisen die in de offerteaanvraag en de Raamovereenkomst zijn gesteld;

4. de Deelnemer heeft vastgesteld dat de Opdrachtnemer een geldige offerte heeft ingediend welke als de economisch meest voordelige offerte is aangemerkt en daarom [mede namens de Deelnemers

…..] een Nadere Overeenkomst met de Opdrachtnemer wenst te sluiten voor de levering van de Diensten;

5. een goede dienstverlening tegen marktconforme voorwaarden en Tarieven van essentieel belang is voor het functioneren van de bedrijfsprocessen van de Deelnemer(s);

6. de Opdrachtnemer zich hiervan bewust is en al het mogelijke zal doen om een goede dienstverlening en blijvende marktconformiteit te garanderen, onder andere door een zodanige praktische uitleg te geven aan de bepalingen van de Raamovereenkomst en de Nadere Overeenkomsten dat een goede dienstverlening wordt bevorderd en door proactief te handelen indien een goede dienstverlening in het gedrang dreigt te komen;

7. het onder de vorige overweging gestelde van de Opdrachtnemer verwacht mag worden, aangezien hij de expert is op het gebied van de te leveren Diensten;

8. de markt voor mobiele telecommunicatie zich in de komende jaren verder zal ontwikkelen en de Deelnemer(s) van die ontwikkelingen wensen te profiteren door met gebruikmaking van de

Raamovereenkomst en de Nadere Overeenkomsten verbeterde en nieuwe Diensten te kunnen verwerven, die verband houden met de aanbestede Diensten en vallen binnen de scope van de aanbesteding;

9. xx Xxxxxxxxx(s) en de Opdrachtnemer, gegeven alle overwegingen, de Nadere Overeenkomst wensen aan te gaan.

Zijn overeengekomen als volgt:

Artikel 1. Opzet van de Nadere Overeenkomst

De Nadere Overeenkomst omvat ook de Bijlagen, die zijn genoemd in de inhoudsopgave. Deze Bijlagen vormen één geheel met de Nadere Overeenkomst en zijn onlosmakelijk daarmee verbonden.

Artikel 2. Begrippen

In de Nadere Overeenkomst worden de met een beginhoofdletter geschreven begrippen gebruikt in de betekenis zoals aangegeven in de begrippenlijst, die is opgenomen als Bijlage 1 van de Raamovereenkomst.

Artikel 3. Voorwerp van de Nadere Overeenkomst

De Deelnemer geeft opdracht aan de Opdrachtnemer, die deze opdracht aanvaardt, om de Diensten te leveren aan de Deelnemer(s) conform de voorwaarden en bepalingen van de Raamovereenkomst en deze Nadere Overeenkomst. Een lijst van de Deelnemer(s) aan deze Nadere Overeenkomst is opgenomen als Bijlage 2 Deelnemers aan de Nadere Overeenkomst.

Artikel 4. Toepasselijkheid voorwaarden

De Raamovereenkomst is van toepassing op deze Nadere Overeenkomst en op de Diensten die op basis van deze Nadere Overeenkomst geleverd worden.

Artikel 5. Duur van de Nadere Overeenkomst

Deze Nadere Overeenkomst treedt in werking op de dag na ondertekening door de Deelnemer(s), nadat eerst de Opdrachtnemer deze ondertekend heeft, tenzij Opdrachtnemer en de betreffende Deelnemer(s) een andere datum overeenkomen. Deze Nadere Overeenkomst eindigt na ommekomst van een looptijd van drie (3) jaar

zonder dat daartoe opzegging is vereist, behoudens verlenging overeenkomstig de bepalingen van de Raamovereenkomst.

Artikel 6. Standaard Diensten

De Opdrachtnemer levert de in Bijlage 1 Overeengekomen Standaard Diensten aangegeven Standaard Diensten aan de in Bijlage 2 Deelnemers aan de Nadere Overeenkomst genoemde Deelnemer(s), indien en voor zover zij als afnemer zijn vermeld, vanaf het moment dat de desbetreffende Dienst is geaccepteerd overeenkomstig de bepalingen van de Raamovereenkomst .

Artikel 7. Speciale Diensten

De Opdrachtnemer zal voorts de Speciale Diensten leveren die zijn beschreven in Bijlage 3 Overeengekomen Speciale Diensten aan de daarbij aangegeven Deelnemer(s), vanaf het moment dat de desbetreffende Dienst is geaccepteerd.

Artikel 8. Tarieven

De Opdrachtnemer is verplicht om de in Bijlage 1 Overeengekomen Standaard Diensten en in Bijlage 3 Overeengekomen Speciale Diensten vermelde Tarieven en percentages als maximum te hanteren voor de daarbij vermelde Diensten, behoudens aanpassing van Tarieven op grond van de Raamovereenkomst.

Aldus stellig, naar waarheid en zonder voorbehoud ondertekend,

Xxxxxxxxx(s) Opdrachtnemer

ondertekenaar: ondertekenaar:

te: te:

datum: datum:

Bijlage 1: Overeengekomen Standaard Diensten Bijlage 2: Deelnemers aan de Nadere Overeenkomst Bijlage 3: Overeengekomen Speciale Diensten

Bijlage 13: Standaard Verwerkersovereenkomst

Inleiding

In deze Bijlage wordt het kader geschetst waarbinnen de verwerking van persoonsgegevens in het kader van GT Mobiele Communicatie 3 plaatsvindt en waarbinnen de Standaard Verwerkersovereenkomst kan worden gebruikt.

Voor de uitvoering van de Raamovereenkomst en de op basis daarvan gesloten Nadere Overeenkomsten zal de Opdrachtnemer persoonsgegevens verwerken van abonnees en gebruikers van zijn netwerk en zijn communicatiediensten. Het is daarbij van belang om vast te stellen wie de verwerkingsverantwoordelijke is voor de verwerkingen, omdat deze verantwoordelijk is voor de nakoming van de verplichtingen uit hoofde van de Algemene verordening gegevensbescherming (AVG). Indien VNG of een Deelnemer voor bepaalde verwerkingen die de Opdrachtnemer uitvoert de verwerkingsverantwoordelijke zou zijn dient tevens een aanvullende verwerkersovereenkomst te worden gesloten.

Deze Bijlage bevat een toelichting om te kunnen vaststellen wie de verwerkingsverantwoordelijke is voor de verschillende soorten van verwerkingen. Tevens wordt een toelichting gegeven op een aantal aspecten van de positie van de Opdrachtnemer in het licht van de Telecommunicatiewet en de betekenis daarvan in relatie tot GT Mobiele Communicatie 3.

Vervolgens wordt een toelichting gegeven op de Standaard Verwerkersovereenkomst die in voorkomende gevallen voor GT Mobiele Communicatie 3 zal worden gebruikt en tot slot volgt de tekst van de Standaard Verwerkersovereenkomst.

1. Algemene toelichting

1.1. ‘Verwerkingsverantwoordelijke’ versus ‘verwerker’

In het kader van de uitvoering van de Raamovereenkomst en de op basis daarvan gesloten Nadere Overeenkomsten dient met betrekking tot de verwerking van persoonsgegevens te worden vastgesteld welke Partij de verwerkingsverantwoordelijke is en welke Partij de verwerker in het kader van de Algemene verordening gegevensbescherming (AVG). Dit is in de eerste plaats van belang om te kunnen vaststellen welke Partij verantwoordelijk is voor compliance met de voorschriften van de AVG en is in de tweede plaats van belang om te kunnen bepalen voor welke verwerkingen er nog een aanvullende verwerkersovereenkomst

zal moeten worden gesloten tussen de verwerkingsverantwoordelijke en de verwerker. Op grond van de AVG dient een leverancier die persoonsgegevens verwerkt voor een opdrachtgever, welke opdrachtgever verwerkingsverantwoordelijke is voor de verwerking van die persoonsgegevens, een schriftelijke overeenkomst te sluiten met de opdrachtgever waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven en waarin de verwerker garanties geeft voor het nemen van afdoende passende technische en organisatorische maatregelen voor de bescherming van de persoonsgegeven en de privacy van de betrokkenen. De Raamovereenkomst bevat een basisartikel over de verwerking van persoonsgegevens. Voor de verwerkingen waarvoor de Opdrachtnemer zelf verwerkingsverantwoordelijke is hoeft geen aparte aanvullende verwerkersovereenkomst te worden gesloten. Indien echter voor bepaalde verwerkingen Opdrachtgever (VNG) of een Deelnemer de verwerkingsverantwoordelijke zou zijn, dan dient Opdrachtgever (VNG) of de betreffende Deelnemer een aanvullende verwerkersovereenkomst te sluiten met Opdrachtnemer.

Op basis van de definitie in de AVG is de verwerkingsverantwoordelijke:

‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 4 onder (7) AVG)

1.2. Guidelines 07/2020 EDPB

Om helderheid te brengen hoe deze definitie moet worden uitgelegd en welke partij moet worden aangemerkt als de verwerkingsverantwoordelijke en welke partij als verwerker zijn er recentelijk ‘Guidelines’ vastgesteld door de European Data Protection Board (EDPB) ‘Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 2.0, adopted on 07 July 2021’, hierna de ‘Guidelines’.

1.2.1. Waar ligt de beslissingsbevoegdheid?

In regel 20 van de Guidelines wordt toegelicht dat de uitoefening van beslissingsbevoegdheid over de verwerking (en het doel en de middelen daarvan) een belangrijke factor is om de verwerkingsverantwoordelijke te bepalen:

‘Een tweede bouwblok van het concept van de verwerkingsverantwoordelijke verwijst naar de invloed van de verwerkingsverantwoordelijke over de verwerking uit hoofde van de uitoefening van beslissingsbevoegdheid. De verwerkingsverantwoordelijke is degene die beslist over bepaalde sleutelelementen van de verwerking. Men moet kijken naar de specifieke verwerkingsactiviteiten waarvan sprake is en doorgronden wie deze bepaalt door eerst de volgende vragen in overweging te nemen:

- ‘Waarom vindt de verwerking plaats?’

- ‘Wie heeft besloten dat de verwerking plaats moet vinden voor een specifiek doel?’

In relatie tot GT Mobiele Communicatie 3 is het antwoord op deze vragen dat de verwerking van verkeers- en locatiegegevens van abonnees en gebruikers plaatsvindt om openbare mobiele communicatiediensten dan wel diensten met toegevoegde waarde te kunnen leveren en is het de telecom operator die heeft besloten dat deze verwerking plaats moet vinden met als doel om de betreffende diensten te kunnen aanbieden en leveren. In principe ligt de beslissingsbevoegdheid bij de telecom operator. Weliswaar bevat de Raamovereenkomst eisen met betrekking tot de verwerking van persoonsgegevens, maar op basis van de Raamovereenkomst wordt geen opdracht gegeven om verkeers- en locatiegegevens te verwerken. Toepassing van dit onderdeel van de Guidelines wijst dus in de richting van de telecom operator als verwerkingsverantwoordelijke.

Volgens regel 21 van de Guidelines zijn er twee categorieën van situaties te onderscheiden op basis waarvan de verwerkingsverantwoordelijkheid c.q. bevoegdheid kan worden afgeleid:

‘Gezegd hebbende dat het concept van verwerkingsverantwoordelijke een functioneel concept is, is het daarom gebaseerd op een feitelijke veeleer dan een formele analyse. Om de analyse te faciliteren kunnen bepaalde vuistregels en praktische veronderstellingen worden gebruikt om het proces te leiden en te vereenvoudigen. In de meeste gevallen kan ‘het bepalende lichaam’ duidelijk worden geïdentificeerd onder verwijzing naar bepaalde wettelijke en/of feitelijke omstandigheden waarvan de ‘invloed’ normaliter kan worden afgeleid , tenzij andere elementen op het tegendeel duiden. Er kunnen 2 categorieën van situaties worden onderscheiden: (1) verwerkingsverantwoordelijkheid op basis van wettelijke bepalingen; en (2) verwerkingsverantwoordelijkheid op basis van feitelijke invloed.’

1.2.2. Verwerkingsverantwoordelijkheid / bevoegdheid op basis van wettelijke bepalingen

Regel 22 van de Guidelines licht toe hoe de verwerkingsverantwoordelijke direct door de wet kan worden aangewezen:

‘Er zijn gevallen waar de verwerkingsverantwoordelijkheid kan worden afgeleid van een expliciete wettelijke bevoegdheid, bijvoorbeeld wanneer de verwerkingsverantwoordelijke of de specifieke criteria voor zijn benoeming wordt bepaald door nationale of EU wetgeving.’

Hoewel de Telecommunicatiewet voorschriften voor de telecom operator bevat met betrekking tot de verwerking van persoonsgegevens, wordt de telecom operator daarin niet aangewezen als verwerkingsverantwoordelijke en worden evenmin criteria voor zijn benoeming bepaalt. Het is dus niet zo dat de Telecommunicatiewet de telecom operator direct aanwijst als verwerkingsverantwoordelijke.

Volgens regel 24 van de Guidelines komt het echter ook voor dat de verwerkingsverantwoordelijke indirect wordt aangewezen door de wet:

‘Echter, het is meer gebruikelijk dat de wet - in plaats van het direct benoemen van de verwerkingsverantwoordelijke of het bepalen van de criteria voor zijn benoeming - aan iemand een taak geeft of een verantwoordelijkheid oplegt om bepaalde data te verzamelen en te verwerken. In zulke gevallen wordt het doel van de verwerking veelal bepaald door de wet. De verwerkingsverantwoordelijke zal normaliter

degene zijn die door de wet is aangewezen voor de verwezenlijking van dit doel, deze publieke taak. Bijvoorbeeld, dit zou het geval zijn waar een entiteit aan wie bepaalde publieke taken zijn toevertrouwd (bijvoorbeeld op het gebied van sociale zekerheid), die niet kunnen worden vervuld zonder op z’n minst bepaalde persoonsgegevens te verzamelen, een database of een register opzet om deze publieke taken te vervullen. In dat geval is het de wet, die - weliswaar indirect – uitwijst wie de verwerkingsverantwoordelijke is. Meer in het algemeen kan de wet ook een verplichting opleggen aan ofwel publieke of private entiteiten om bepaalde data te behouden of te leveren. Deze entiteiten zullen dan normaliter worden aangemerkt als de verwerkingsverantwoordelijke met betrekking tot de verwerking die noodzakelijk is om deze verplichting na te komen.’

Hoewel de in regel 24 bedoelde situaties op het eerste gezicht lijken op de situatie van een telecom operator, omdat ook een telecom operator zonder de verwerking van verkeers- en locatiegegevens zijn werk niet kan doen en ook de Telecommunicatiewet voorschriften geeft aan de telecom operator met betrekking tot gegevensverwerking, is er in de Telecommunicatiewet geen sprake van een aan de telecom operator opgelegde taak of verplichting om bepaalde data te verzamelen, te verwerken en/of te leveren. Dat betekent dat op basis van deze regel niet kan worden vastgesteld wie bij GT Mobiele Communicatie 3 de verwerkingsverantwoordelijke is.

1.2.3. Verwerkingsverantwoordelijkheid / bevoegdheid op basis van feitelijke invloed

In regel 25 en verder van de Guidelines wordt uiteengezet hoe de verwerkingsverantwoordelijkheid c.q. de bevoegdheid kan worden afgeleid van de feitelijke omstandigheden:

Regel 25: ‘Bij afwezigheid van verwerkingsverantwoordelijkheid / bevoegdheid die voortvloeit uit een wettelijke bepaling, moet de kwalificatie van een partij als verwerkingsverantwoordelijke worden vastgesteld op basis van een beoordeling van de feitelijke omstandigheden rond de verwerking. Alle relevante feitelijke omstandigheden moeten in aanmerking worden genomen om tot een conclusie te komen wat betreft (de vraag) of een bepaalde entiteit een beslissende invloed uitoefent met betrekking tot de verwerking van de persoonsgegevens in kwestie.’

Regel 26: ‘De noodzaak voor een feitelijke beoordeling betekent ook dat de rol van een verwerkingsverantwoordelijke niet voortvloeit uit de aard van een entiteit die de gegevens verwerkt, maar van zijn concrete werkzaamheden in een specifieke context. Met andere woorden, dezelfde entiteit kan op hetzelfde moment handelen als verwerkingsverantwoordelijke voor bepaalde verwerkingsactiviteiten en als verwerker voor andere, en de kwalificatie als verwerkingsverantwoordelijke of verwerker moet worden beoordeeld met betrekking tot iedere specifieke gegevensverwerkingsactiviteit.’

Uit regel 25 en 26 van de Guidelines volgt dat, omdat de telecom operator niet in de wet als verwerkingsverantwoordelijke is aangewezen en de kwalificatie als verwerkingsverantwoordelijke moet worden afgeleid van de feitelijke omstandigheden rond de verwerking, voor iedere verwerkingsactiviteit apart moet worden vastgesteld welke partij feitelijk de rol van verwerkingsverantwoordelijke uitoefent. De

verwerkingsverantwoordelijkheid kan dus van geval tot geval verschillen. Regel 27 van de Guidelines werpt meer licht op hoe de feitelijke omstandigheden in de praktijk kunnen worden beoordeeld:

‘In de praktijk kunnen bepaalde verwerkingsactiviteiten worden beschouwd als natuurlijkerwijze verbonden met de rol of de activiteiten van een entiteit wat uiteindelijk verantwoordelijkheden met zich meebrengt vanuit het gezichtspunt van gegevensbescherming. Dit kan terug te voeren zijn op meer algemene wettelijke bepalingen of een gevestigde juridische praktijk in verschillende gebieden (civiel recht, handelsrecht, arbeidsrecht etc.). In dit geval zullen bestaande traditionele rollen en professionele expertise die normaliter een bepaalde verantwoordelijkheid impliceren helpen om de verwerkingsverantwoordelijke te identificeren, bijvoorbeeld: een werkgever in relatie tot de verwerking van persoonsgegevens over zijn werknemers, een uitgever die persoonsgegevens verwerkt over zijn abonnees, of een vereniging die persoonsgegevens verwerkt over zijn leden of donateurs. Wanneer een entiteit zich bezig houdt met de verwerking van persoonsgegevens als onderdeel van zijn interacties met zijn eigen werknemers, klanten of leden, zal deze in het algemeen degene zijn die het doel en de middelen bepaalt rond de verwerking en treedt daarom op als

verwerkingsverantwoordelijke in de betekenis van de AVG.’

Een telecom operator die persoonsgegevens verwerkt van zijn abonnees of gebruikers van zijn communicatienetwerk of communicatiediensten sluit naadloos aan op de in regel 27 gegeven opsomming van werkgever t.o.v. werknemers, uitgever t.o.v. abonnees of vereniging t.o.v. haar leden. De verwerking van persoonsgegevens van abonnees en gebruikers is op natuurlijke wijze verbonden met de rol en de activiteiten van een telecom operator. Er is in dit verband tevens sprake van ‘meer algemene wettelijke bepalingen’ en een ‘gevestigde juridische praktijk’ in het betreffende rechtsgebied, het telecommunicatierecht. Zo geeft de Telecommunicatiewet specifieke taken en verantwoordelijkheden aan de telecom operator met betrekking tot de verwerking van persoonsgegevens, welke in lijn liggen met de taken en verantwoordelijkheden die in de AVG aan een verwerkingsverantwoordelijke worden toebedeeld. Tevens is er een gevestigde praktijk in de sector dat de telecom operator verwerkingsverantwoordelijke is voor de verwerking van persoonsgegevens van abonnees en gebruikers, zoals bijvoorbeeld de verkeersgegevens.

Het verbaast dan ook niet dat de Guidelines bij regel 27 een voorbeeld aanhalen uit een oudere richtlijn (95/46/EG) van telecom operators die een elektronische communicatiedienst leveren (zoals een email dienst) als voorbeeld van een entiteit die als verwerkingsverantwoordelijke wordt beschouwd met betrekking tot de verwerking van de persoonsgegevens die noodzakelijk zijn voor de levering van de dienst:

‘Voorbeeld: Telecom operators. Het leveren van een elektronische communicatiedienst zoals een email dienst vereist de verwerking van persoonsgegevens. De leverancier van zulke diensten zal normaliter worden beschouwd als verwerkingsverantwoordelijke met betrekking tot de verwerking van persoonsgegevens die nodig zijn voor de levering van de dienst op zich (bijv. verkeers- en factureringsgegevens). Indien het de enige doelstelling en rol van de leverancier is om de overbrenging van email berichten mogelijk te maken, zal de leverancier niet worden beschouwd als verwerkingsverantwoordelijke met betrekking tot persoonsgegevens die in het bericht zelf zijn opgenomen. Als verwerkingsverantwoordelijke met betrekking tot persoonsgegevens die zijn opgenomen in het bericht zal normaliter worden beschouwd de persoon waar het bericht oorspronkelijk vandaan komt, veeleer dan de dienstverlener die de transmissie dienst levert.’

De hoedanigheid van de telecom operator als verwerkingsverantwoordelijke vloeit hier dus op natuurlijke wijze voort uit de activiteiten die deze entiteit onderneemt. In het voorbeeld wordt wel nadrukkelijk onderscheid gemaakt tussen enerzijds de persoonsgegevens die nodig zijn voor de levering van de dienst zelf, in dit geval de overbrenging van emailberichten, en anderzijds de eventuele persoonsgegevens die behoren tot de inhoud van de emailberichten. De telecom operator is alleen de verwerkingsverantwoordelijke voor de gegevens die nodig zijn om de dienst te leveren, in dit geval de verkeers- en factureringsgegevens. Voor eventuele persoonsgegevens die onderdeel zijn van de inhoud van de emailberichten is de telecom operator geen verwerkingsverantwoordelijke, maar in principe de verzender die het emailbericht heeft opgesteld.

1.3. Conclusie op grond van de Guidelines 07/2020 voor GT Mobiele Communicatie 3

Indien de hierboven aangehaalde onderdelen van de Guidelines worden toegepast op de situatie bij GT Mobiele Communicatie 3 kan gevoegelijk de conclusie worden getrokken dat de telecom operator de verwerkingsverantwoordelijke is in de zin van de AVG voor de verwerking van alle persoonsgegevens die nodig is om de dienstverlening te leveren zoals deze is omschreven in de Raamovereenkomst. Het gaat in dat kader niet alleen om de levering van Diensten onder de noemer van Standaard Diensten, maar ook om de levering van de Speciale Diensten, die al in de Raamovereenkomst zijn benoemd, en tevens om de nakoming van de overige verplichtingen uit hoofde van de Raamovereenkomst. Dit betreft bijvoorbeeld de verwerking van de verkeers- en locatiegegevens van de abonnees en de gebruikers van de door de telecom operator te leveren mobiele communicatiediensten, de factureringsgegevens, de rapportagegegevens, de gegevens in het webbased portaal en de overige klantgegevens van de abonnees en gebruikers, van in dit geval de VNG en de Deelnemers, maar ook van abonnees en gebruikers daarbuiten met wie wordt gecommuniceerd. Met betrekking tot eventuele aanvullend als Speciale Dienst overeen te komen rapportages, het gebruik van het webbased portaal dat verder gaat dan hetgeen in de Raamovereenkomst wordt geëist en nieuw overeen te komen Speciale Diensten, die nog niet in de Raamovereenkomst zijn benoemd, kan de balans echter omslaan.

Indien er ten behoeve van een aanvullend als Speciale Dienst overeen te komen rapportage aan de Opdrachtnemer wordt gevraagd om meer gegevens te verwerken of langer gegevens te verwerken dan strikt noodzakelijk is voor de levering van de rapportages zoals omschreven in de Raamovereenkomst, zal in principe degene die opdracht heeft gegeven om de betreffende aanvullende rapportage te leveren de verwerkingsverantwoordelijke zijn voor de eventuele aanvullende verwerking van persoonsgegevens, die daarvoor nodig is.

Hetzelfde kan voorkomen bij het webbased portaal. Afhankelijk van de inrichting en het gebruik van het webbased portaal kan het voorkomen dat de Opdrachtnemer via het webbased portaal meer of andere gegevens dient te verwerken dan strikt noodzakelijk is voor de levering van een webbased portaal zoals omschreven is in de Raamovereenkomst. In dat geval zal in principe de VNG of de Deelnemer die het webbased portaal gebruikt de verwerkingsverantwoordelijke zijn voor de verwerking van de betreffende persoonsgegevens.

Tot slot kan ook een nieuw overeengekomen Speciale Dienst, die nog niet is benoemd in de Raamovereenkomst, ertoe leiden dat de Opdrachtnemer meer of andere gegevens dient te verwerken dan strikt noodzakelijk is voor de nakoming van zijn verplichtingen uit de Raamovereenkomst. In dat geval zal degene die opdracht heeft gegeven om de Speciale Dienst te leveren in principe de verwerkingsverantwoordelijke zijn voor de verwerking van de betreffende gegevens.

Bij de inrichting van het webbased portaal, de uitvraag van aanvullende rapportages en eventuele nader overeengekomen nieuwe Speciale Diensten zal apart door Partijen moeten worden beoordeeld en vastgelegd wie de verwerkingsverantwoordelijke is. Deze beoordeling kan voor wat betreft een Speciale Dienst plaatsvinden in het kader van de procedure voor dienstverleningsverbetering (Bijlage 02 Dienstverleningsverbetering). In andere gevallen zullen de betrokken Partijen daarover apart in overleg treden.

In alle gevallen dat de balans omslaat en niet meer de Opdrachtnemer maar de VNG respectievelijk een Deelnemer de verwerkingsverantwoordelijke wordt voor de verwerking van bepaalde persoonsgegevens zal een aanvullende verwerkersovereenkomst moeten worden gesloten tussen de VNG respectievelijk de betreffende Deelnemer en de Opdrachtnemer volgens het in deze Bijlage opgenomen format of kiezen VNG respectievelijk de Deelnemer in overleg met Opdrachtnemer daartoe voor het op dat moment meest recente VNG-model.

1.4. Positie Opdrachtnemer op basis van de Telecommunicatiewet

De Telecommunicatiewet geeft een aantal specifieke taken en verantwoordelijkheden aan de telecom operator (aanbieder van een openbaar elektronisch communicatienetwerk of aanbieder van een openbare elektronische communicatiedienst). Dit betreft onder meer de bescherming van de persoonsgegevens en de privacy van abonnees en gebruikers (artikel 11.2 Telecommunicatiewet), het nemen van passende technische en organisatorische maatregelen (artikel 11.3 lid 1 en 2 Telecommunicatiewet), het informeren van abonnees

m.b.t. risico’s voor de doorbreking van de veiligheid (artikel 11.3 lid 3 Telecommunicatiewet), het in kennis stellen van de Autoriteit persoonsgegevens van een inbreuk op de beveiliging en het bijhouden van een overzicht van inbreuken (artikel 11.3a Telecommunicatiewet), Zoals eerder aangegeven liggen de aan de telecom operator toebedeelde taken en verantwoordelijkheden in lijn met de taken en verantwoordelijkheden, die in de AVG aan een verwerkingsverantwoordelijke worden toebedeeld.

Het type persoonsgegevens dat de telecom operator mag verwerken en het doel waarvoor deze mogen worden verwerkt is eveneens vastgelegd in de Telecommunicatiewet. Er kan daarbij onderscheid worden gemaakt tussen verwerkingen waarvoor geen toestemming van de betrokken abonnees en gebruikers hoeft te worden gevraagd en verwerkingen waarvoor voorafgaand aan de verwerking toestemming van de betrokken abonnees en gebruikers moet worden gevraagd.

De telecom operator mag verkeersgegevens van abonnees en gebruikers zonder hun voorafgaande toestemming verwerken voor het overbrengen van communicatie (artikel 11.5 lid 1 Telecommunicatiewet) en facturering (artikel 11.5 lid 2 Telecommunicatiewet).

De telecom operator mag verkeersgegevens van abonnees en gebruikers alleen na hun voorafgaande toestemming verwerken voor marktonderzoek en verkoopactiviteiten voor elektronische communicatiediensten

(artikel 11.5 lid 3 onder a Telecommunicatiewet) en voor de levering van diensten met toegevoegde waarde (artikel 11.5 lid 3 onder b Telecommunicatiewet).

De telecom operator mag tevens locatiegegevens (niet zijnde verkeersgegevens) van abonnees en gebruikers verwerken, mits deze zijn geanonimiseerd (artikel 11.5a lid 1 onder a Telecommunicatiewet).

Tot slot mag de telecom operator de locatiegegevens (niet zijnde verkeersgegevens) van abonnees en gebruikers verwerken na hun voorafgaande toestemming voor diensten met toegevoegde waarde en de facturering daarvan (artikel 11.5a lid 1 onder b en lid 3).

Voor de goede orde wordt opgemerkt dat het feit dat een bepaalde verwerking van gegevens onder bepaalde voorwaarden is toegestaan op grond van de Telecommunicatiewet nog niet betekent dat deze verwerking ook is toegestaan in het kader van GT Mobiele Communicatie 3. De verwerking van verkeersgegevens ten behoeve van marktonderzoek en verkoopactiviteiten van communicatiediensten of de verwerking van geanonimiseerde locatiegegevens, niet zijnde verkeersgegevens, is niet toegestaan in het kader van GT Mobiele Communicatie 3, tenzij dit alsnog uitdrukkelijk tussen Partijen zou worden overeengekomen. De verwerking van verkeersgegevens of locatiegegevens, niet zijnde verkeersgegevens, ten behoeve van ‘diensten met toegevoegde waarde’ is, behoudens toestemming van de betreffende abonnees en gebruikers, alleen toegestaan indien de betreffende dienst nadrukkelijk is overeengekomen als Standaard Dienst of Speciale Dienst in het kader van GT Mobiele Communicatie 3.

Of de telecom operator voor alle verwerkingen die zijn toegestaan op basis van de Telecommunicatiewet tevens als verwerkingsverantwoordelijke moet worden aangemerkt zal van geval tot geval moeten worden bezien volgens de aanwijzingen in de Guidelines op basis van alle feitelijke omstandigheden rond de verwerking. Voor de verwerkingen die strikt noodzakelijk zijn om de mobiele communicatie over te brengen dan wel de mobiele communicatiediensten te leveren zoals in de Raamovereenkomst omschreven in de vorm van Standaard Diensten zal de telecom operator verwerkingsverantwoordelijke zijn, met mogelijke uitzonderingen voor rapportages en het webbased portaal, zoals in de vorige paragraaf uiteengezet. Bij de inrichting van het webbased portaal, de vormgeving van rapportages en eventuele nader overeengekomen Speciale Diensten zal apart moeten worden beoordeeld wie de verwerkingsverantwoordelijke is. Deze beoordeling kan plaatsvinden in het kader van de procedure Dienstverleningsverbetering (Bijlage 02).

In alle gevallen dat de balans omslaat en niet meer de Opdrachtnemer maar de VNG respectievelijk een Deelnemer de verwerkingsverantwoordelijke wordt voor de verwerking van bepaalde gegevens zal een aanvullende verwerkersovereenkomst moeten worden gesloten tussen de VNG respectievelijk de betreffende Deelnemer en de Opdrachtnemer volgens het in deze Bijlage opgenomen format of kiezen VNG respectievelijk de Deelnemer in overleg met Opdrachtnemer voor het op dat moment meest recente VNG-model.

2. Toelichting op Standaard Verwerkers- overeenkomst

2.1. Herkomst Standaard Verwerkersovereenkomst

De Standaard Verwerkersovereenkomst die in voorkomende gevallen wordt gebruikt in het kader van de uitvoering van de Raamovereenkomsten GT Mobiele Communicatie 3 en de op basis daarvan gesloten Nadere Overeenkomsten is gebaseerd op de ‘Standaard verwerkersovereenkomst gemeenten’ versie 2.4 van

8 april 2021 van de Informatiebeveiligingsdienst van de VNG, hierna ‘IBD’. In verband met de inpassing in de Raamovereenkomst GT Mobiele Communicatie 3 zijn enkele aanpassingen gedaan in de tekst van verwerkersovereenkomst en is de daarbij behorende toelichting aangepast.

De IBD verstrekt de Standaard Verwerkersovereenkomst onder een Creative Commons Naamsvermelding- Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie:

Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD)

Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van de Standaard verwerkersovereenkomst voor het doel zoals vermeld in deze toelichting is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties heeft de IBD toestemming verleend om de Standaard Verwerkersovereenkomst te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. De IBD wordt als bron vermeld.

2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden.

3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten.

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de mededeling dat het document is verstrekt onder een ‘Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie’.

Wanneer de Standaard Verwerkersovereenkomst wordt gebruikt, dient de volgende methode van naamsvermelding te worden vermeld: “Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0. Voor meer informatie over de licentie: xxxx://xxxxxxxxxxxxxxx.xxx/xxxxxxxx/xx-xx-xx/0.0

2.2. Rechten en vrijwaring

Partijen kiezen ervoor om ook voor GT Mobiele Communicatie 3 aan te sluiten bij de Standaard Verwerkersovereenkomst voor gemeenten die door de IBD is opgesteld. De IBD en VNG zijn zich bewust van hun verantwoordelijkheid een zo betrouwbaar mogelijke uitgave van de verwerkersovereenkomst te verzorgen. Niettemin kunnen de IBD en VNG geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD en VNG aanvaarden ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.

2.3. Over de IBD

De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD. De IBD is ondergebracht bij VNG Realisatie.

2.4. Opzet van de Standaard Verwerkersovereenkomst

De Standaard Verwerkersovereenkomst is een nadere uitwerking van artikel 28 lid 3 van de AVG en maatregel

15.1.1.3 van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden.

2.5. Doel

Zoals hiervoor uiteengezet is de Opdrachtnemer (telecom operator) de verwerkersverantwoordelijke in de zin van de AVG voor de verwerking van persoonsgegevens die nodig zijn voor de overbrenging van mobiele communicatie dan wel de levering van de mobiele communicatiediensten zoals omschreven in de Raamovereenkomst als Standaard Diensten. Dit betreft in ieder geval de verkeersgegevens van de abonnees en de gebruikers van de door de Opdrachtnemer te leveren mobiele communicatiediensten en de factureringsgegevens en overige klantgegevens van de abonnees, in dit geval VNG en de Deelnemers.

Mogelijk kan de balans omslaan voor bepaalde rapportages of het gebruik van het webbased portaal (zoals uiteengezet in paragraaf xx) De Telecommunicatiewet geeft de nodige voorschriften aan de Opdrachtnemer (als telecom operator) ten behoeve van de bescherming van persoonsgegevens. De Opdrachtnemer staat in dat verband onder toezicht van de Autoriteit persoonsgegevens.

De Raamovereenkomst regelt in aanvulling daarop voor zover nodig voor de Standaard Diensten al de belangrijkste onderwerpen rond de verwerking van persoonsgegevens. Voor die gevallen dat er sprake is van een aanvullende verwerking van persoonsgegevens waarvoor niet de Opdrachtgever, maar VNG of een Deelnemer de verwerkingsverantwoordelijke is en in dat verband een aanvullende verwerkersovereenkomst moet worden gesloten is de Standaard Verwerkersovereenkomst opgenomen. Het doel van deze Standaard Verwerkersovereenkomst is om het de VNG en/of de Deelnemers en de Opdrachtnemers van GT Mobiele Communicatie 3 gemakkelijker te maken om tot aanvullende afspraken te komen over de verwerking van persoonsgegevens, indien dat nodig mocht zijn. De Standaard Verwerkersovereenkomst wordt gebruikt als aanvulling op een op basis van de Raamovereenkomst gesloten Nadere Overeenkomst. De Nadere Overeenkomst is dan de hoofdovereenkomst waar in de verwerkersovereenkomst naar wordt verwezen om op grond van de AVG (artikel 28.3 en 28.9) nadere afspraken te maken en vast te leggen over de omgang met persoonsgegevens.

2.6. Rangorde

De rangorde van de verschillende documenten (o.a. inkoopdocumenten, hoofdovereenkomst, verwerkersovereenkomst) wordt geregeld in de Raamovereenkomst die van toepassing is op de Nadere Overeenkomst (hoofdovereenkomst).

2.7. Beheer Standaard

VNG-Realisatie/IBD beheert de Standaard Verwerkersovereenkomst. Zowel gemeenten als leveranciers kunnen verbetervoorstellen mailen naar xxxxxxx@xxx.xx. Tweemaal per jaar beoordeelt de Beheergroep VWO (bestaande uit vertegenwoordigers van gemeenten en leveranciers), de verbetervoorstellen en zo nodig worden deze verwerkt in een volgende versie van de Standaard Verwerkersovereenkomst. De in deze bijlage opgenomen versie wordt echter ‘bevroren’ voor het gebruik voor GT Mobiele Communicatie 3 en wijzigt dus niet automatisch mee, indien IBD een nieuwe versie uitgeeft. Wel hebben Partijen de vrijheid om in onderling overleg te kiezen voor de nieuwste versie van de door IBD uitgegeven Standaard Verwerkersovereenkomst.

2.8. Relatie met Baseline Informatiebeveiliging Overheid (BIO)

In de BIO is maatregel 15.1.1.3 opgenomen. Deze luidt:

‘Met alle leveranciers die als verwerker voor of namens de organisatie persoonsgegevens verwerken, worden verwerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld.’

2.9. Compromis als oplossing voor een complex probleem

Gemeenten en leveranciers gaven aan dat er dringend behoefte is om te komen tot een oplossing van situaties waarin er geen sluitende afspraken zijn over de verwerking van persoonsgegevens. Een oplossing voor een complex probleem als dit is per definitie een compromis. Dit compromis is gevonden in de standaardisering van de gemeentelijke verwerkersovereenkomst (standaard VWO) waar zowel gemeenten als leveranciers zich aan committeren. Gemeenten en leveranciers doen ten opzichte van elkaar op gecontroleerde wijze water bij de wijn om uit de huidige impasse te geraken. Op het niveau van een individuele overeenkomst kan het zijn dat partijen deze standaard ervaren als verbetering of verslechtering. Op het niveau van het collectief maken gemeenten en hun leveranciers een enorme stap voorwaarts: in alle gevallen waarin dat nodig is zijn er heldere kaders over de verwerking van persoonsgegevens.

Gemeenten hebben zichzelf op de ALV van de VNG d.d. 5 juni 2019 de verplichting opgelegd om de Standaard VWO te gebruiken. Gemeenten moeten daarom in hun jaarrapportage vastleggen in het geval zij de Standaard VWO niet gebruiken, of daarvan afwijken.

2.10. Gemeenten èn leveranciers

Bij het opstellen van deze standaard VWO is uitvoerig overleg geweest met een representatieve groep gemeenten en leveranciers. De uiteindelijke inhoud is vastgesteld door de Beheergroep VWO bestaande uit

vertegenwoordigers van 14 gemeenten (CISO’s, FG’s en inkopers). Het IBD-model van verwerkersovereenkomst diende als basis voor de standaard. Uit dit model zijn onderdelen verwijderd die zijn geregeld in de Algemene Verordening Gegevensbescherming (definities, inbreuken), het Burgerlijk Wetboek (ingebrekestelling, beëindiging overeenkomst), of de hoofdovereenkomst (meerwerk en vergoeding daarvan, aansprakelijkheid). Daarnaast is gewerkt om het document toegankelijker te maken voor de doelgroepen die de afspraken uitvoeren of daarop toezien. Het document bevat juridische taal waar nodig en een toegankelijke omschrijving waar dat kan.

2.11. Gedeelde verantwoordelijkheid en vertrouwen

Verwerkingsverantwoordelijken en verwerkers hebben op grond van de AVG gezamenlijk en individueel een verantwoordelijkheid ten aanzien van de verwerking van persoonsgegevens. Zodoende moet het echt de intentie van Partijen zijn om de persoonsgegevens van betrokkenen zorgvuldig te verwerken en te beveiligen. Partijen maken indien nodig in aanvulling op de Raamovereenkomst en de Nadere Overeenkomst(en) nadere afspraken over de verwerking van persoonsgegevens door middel van een aanvullende verwerkersovereenkomst, zodat de verwerking en beveiliging van persoonsgegevens in alle gevallen goed geregeld is.

2.12. Over welke onderwerpen moeten afspraken gemaakt worden?

Indien het nodig is om een aanvullende verwerkersovereenkomst te sluiten, zijn er enkele onderwerpen waarover verplicht afspraken gemaakt moeten worden. Deze onderwerpen staan ook in de Standaard Verwerkersovereenkomst:

Onderwerp	Xxxx geregeld in VWO
Onderwerp	Artikel 3
Duur	Artikel 2
Aard en doel	Bijlage 1, tabel 1
Soort persoonsgegevens	Bijlage 1, tabel 1
Categorieën van betrokkenen	Bijlage 1, tabel 1
Rechten en verplichtingen van de verwerkingsverantwoordelijke	Hele overeenkomst
Verwerking alleen op basis van schriftelijke instructies	Art. 3.1
Doorgifte naar derde landen	Art. 4.3

Vertrouwelijkheid	Art. 4.4
Passende technische en organisatorische maatregelen	Art. 4.1
Inschakeling subverwerkers	Art. 4.5
Verwerker verleent bijstand bij verzoeken van betrokkene	Art. 4.6
Verwerker verleent bijstand bij nakoming art. 32 t/m 36	Art. 4.1 / 5 / 4.7
Verwerker wist persoonsgegevens of geeft deze na afloop verwerking terug	Art. 2.1 en 7.1

NB: Over andere onderwerpen zoals de uitvoering van audits, aansprakelijkheid en de exit-strategie zijn de afspraken vastgelegd in de Raamovereenkomt.

2.13. Meerwerk

De Opdrachtnemer kan voor de uitvoering van de Raamovereenkomst de op basis daarvan gesloten Nadere Overeenkomst en eventuele aanvullende verwerkersovereenkomsten ten aanzien van de verwerking van persoonsgegevens geen kosten in rekening brengen. Alle daarvoor te maken kosten worden geacht verdisconteerd te zijn in de Tarieven voor Standaard Diensten en eventuele Speciale Diensten. Het is evenmin mogelijk om kosten voor de verwerking van persoonsgegevens apart als Speciale Dienst in rekening te brengen, maar deze kosten kunnen evenwel onderdeel zijn van een Tarief voor een Speciale Dienst voor andere dienstverlening, indien en voor zover voor de levering van deze Speciale Dienst een aanvullende verwerking van persoonsgegevens noodzakelijk is.

3. Artikelsgewijze toelichting Standaard VWO

3.1. Aanhef:

Stelregel is dat als de gemeente privaatrechtelijk handelt (bijvoorbeeld overeenkomsten sluit, gronden verkoopt), de gemeente als rechtspersoon optreedt. In het privaatrecht kunnen alleen natuurlijke personen en rechtspersonen aan het rechtsverkeer deelnemen. Voor de AVG is echter het bestuursorgaan de verwerkingsverantwoordelijke. Dit kan de burgemeester, het college of de gemeenteraad zijn. Bij het sluiten van de verwerkersovereenkomst moet wel duidelijk zijn welk gemeentelijk bestuursorgaan verwerkingsverantwoordelijke is.

3.2. Overwegingen:

De verwerkersovereenkomst maakt onderdeel uit van een hoofdovereenkomst. Vul hier de naam van hoofdovereenkomst in. Voor GT Mobiele Communicatie 3 is de hoofdovereenkomst altijd een op basis van de Raamovereenkomst gesloten Nadere Overeenkomst.

3.3. Artikelen:

1.1: De definities van art. 4 AVG hebben in deze verwerkersovereenkomst dezelfde betekenis.

2.1: Het uitgangspunt is dat de verwerkersovereenkomst ingaat op het moment dat de hoofdovereenkomst tot stand is gekomen. Partijen kunnen daar echter van afwijken. Zij moeten dat dan wel expliciet aangeven.

2.2: Dit artikel moet in samenhang met artikel 7.1 worden gelezen.

3.1: Verwerker zal de verwerkingsverantwoordelijke zonder onredelijke vertraging informeren, indien een schriftelijke instructie van de verwerkingsverantwoordelijke naar het oordeel van de verwerker in strijd is met de AVG of de UAVG.

3.2: De verwerker mag alleen de in Bijlage 1 van de verwerkersovereenkomst, in tabel 1 vermelde verwerkingen uitvoeren.

4.1: Een uit artikel 4.1 volgend passend beveiligingsniveau kan betekenen dat de verwerker zelf het initiatief neemt om aanvullende maatregelen te nemen. Daarnaast kan ook de verwerkingsverantwoordelijke aan de verwerker opdragen om het beveiligingsniveau te verbeteren. Als objectief is vastgesteld dat de verwerker geen passend beveiligingsniveau heeft en de verwerkingsverantwoordelijke daarom uitdrukkelijk schriftelijk verzoekt, zullen Partijen in onderling overleg bepalen welke aanvullende beveiligingsmaatregelen de verwerker zal treffen.

4.2: De verwerker is naast de in de Raamovereenkomst opgenomen verplichting tevens op grond van de AVG verplicht om mee te werken aan de uitvoering van een audit. Partijen maken vooraf afspraken over de frequentie van de uit te voeren audits. Als de verwerker op basis van een certificering kan aantonen dat het beveiligingsniveau voldoende is, kan een audit achterwege blijven. Hiervoor dienen de scope en de verklaring van toepasselijkheid van de certificering wel de verwerking volledig dekken. Partijen treden daarover in overleg. Mocht uit het auditverslag blijken dat de verwerker bepaalde werkzaamheden moet verrichten om het beveiligingsniveau aan te passen, dan zal de verwerker deze werkzaamheden binnen een redelijke termijn uitvoeren. T.a.v. de kosten van deze specifieke audit wordt aangesloten bij de regeling zoals opgenomen in Bijlage 04 kwaliteitsborging en Auditing van de Raamovereenkomst.

Bij twijfel over de uitkomsten van de audit gaat de verwerkingsverantwoordelijke daarover in gesprek met de verwerker. Eventueel kan de verwerkingsverantwoordelijke zich wenden tot de auditor.

Als DigiD wordt gebruikt bij de verwerking, moet de verwerker jaarlijks een TPM overleggen aan de verwerkingsverantwoordelijke.

NB: De kosten van de certificering zelf zijn voor rekening van de verwerker.

4.3: De verwerker moet de verwerkingsverantwoordelijke altijd vooraf op de hoogte brengen van een doorgifte aan een derde land of een internationale organisatie. Als de Europese Commissie een adequaatheidsbesluit heeft genomen t.a.v. de doorgifte aan een derde land, of een internationale organisatie, is hiervoor geen toestemming nodig van de verwerkingsverantwoordelijke (art. 45 AVG).

Als er geen adequaatheidsbesluit is afgegeven voor een doorgifte aan een derde land of een internationale organisatie, dan mag de verwerking van persoonsgegevens daar toch plaatsvinden, als er wordt voldaan aan de in artikel 46 AVG genoemde instrumenten. De verwerker maakt dan een analyse van de passende waarborgen en de voor de betrokkenen afdwingbare rechten en doeltreffende rechtsmiddelen die het derde land of internationale organisatie heeft getroffen en de eventueel noodzakelijke aanvullende maatregelen. De verwerker legt deze analyse ter beoordeling voor aan de verwerkingsverantwoordelijke.

Het vorenstaande geldt ook als een subverwerker persoonsgegevens doorgeeft aan een derde land of een internationale organisatie.

4.4: De verwerker zorgt dat de personen die onder zijn verantwoordelijkheid werkzaam zijn en toegang hebben tot de persoonsgegevens op een of andere schriftelijke manier zijn gehouden aan de geheimhoudingsplicht.

4.5: Verwerker mag een andere verwerker inschakelen: een subverwerker. Een subverwerker is een andere zelfstandige partij die in opdracht van de 1e verwerker (een deel) van de persoonsgegevens verwerkt. Deze subverwerker opereert zelfstandig, maar moet de persoonsgegevens wel verwerken volgens de schriftelijke instructies van de verwerkingsverantwoordelijke, net als de 1e verwerker. De subverwerker heeft t.a.v. de gegevensbescherming dezelfde verplichtingen die de 1e verwerker heeft. Als de subverwerker zijn verplichtingen niet nakomt, blijft de 1e verwerker t.a.v. de gegevensbescherming volledig aansprakelijk voor het niet nakomen van de verplichtingen door de subverwerker. In het geval het niet (direct) mogelijk is om dezelfde afspraken te maken met een subverwerker (bv. In geval van multinationals als Microsoft/Google), dan moet de subverwerker in ieder geval voldoen aan de verplichtingen van de AVG. Ook na de ingangsdatum van de verwerkersovereenkomst moet de verwerker de verwerkingsverantwoordelijke informeren over de inschakeling van nieuwe subverwerkers. Verwerkingsverantwoordelijke heeft overeenkomstig artikel

28.2 AVG het recht om bezwaar te maken tegen een subverwerker. Als een verwerkingsverantwoordelijke daadwerkelijk bezwaar heeft tegen een subverwerker, gaan partijen hierover in overleg.

NB: Als de verwerker een persoon inhuurt voor bepaalde werkzaamheden, hoeft dat niet automatisch te betekenen dat er sprake is van een subverwerker.

4.6: Als een betrokkene een beroep doet op zijn rechten, dan helpt de verwerker de verwerkingsverantwoordelijke om hier binnen de wettelijke termijn op te kunnen beslissen. Xxxxx een betrokkene bij de uitoefening van zijn rechten zich rechtstreeks richten tot de verwerker, dan neemt laatstgenoemde hierover direct contact op met de verwerkingsverantwoordelijke.

Voor wat betreft eventuele kosten die hiermee gepaard gaan: zie § 2.4.

4.7: Partijen zullen in onderling overleg afspraken maken over de uitvoering, de termijn van uitvoering van de DPIA en de kosten die daarmee zijn gemoeid. Als partijen hier vooraf concrete afspraken over maken, nemen ze deze op in de hoofdovereenkomst, dan wel een addendum bij de hoofdovereenkomst. Als er helemaal geen hoofdovereenkomst is, kunnen partijen het opnemen in het addendum bij de Standaard VWO. En dus niet in de Standaard VWO zelf.

5.1: Het is belangrijk dat de verwerker de verwerkingsverantwoordelijke zo snel mogelijk op de hoogte brengt van een (vermoedelijke) inbreuk. Het gaat er daarbij om dat de verwerker de verwerkingsverantwoordelijke direct informeert zodra er voldoende redenen zijn om aan te nemen dat er sprake is van een inbreuk. Als er sprake is van verdachte activiteiten, hoeft er geen sprake te zijn van een inbreuk. Verwerker moet daar wel een adequaat onderzoek naar doen. Partijen vertrouwen er daarbij op dat de verwerker professioneel genoeg is om een inschatting te maken van het incident dat moet worden gemeld. Mocht verwerker desondanks niet een goede inschatting kunnen maken van het incident, dan kan deze een second opinion vragen bij de IBD. Daarbij blijft de verantwoordelijkheid om het incident wel of niet te melden aan de verwerkingsverantwoordelijke altijd bij de verwerker. Zolang een onderzoek naar een vermoedelijke inbreuk loopt, kan de verwerker niet worden geacht "kennis" te hebben genomen van een inbreuk. De meldingstermijn van 24 uur begint op dat moment dan ook niet te lopen. Zodra de verwerker wel kennis heeft van de inbreuk, moet hij die binnen 24 uur melden bij de verwerkingsverantwoordelijke. De termijn van 24 uur is een maximale termijn. De termijn van 72 uur die de verwerkingsverantwoordelijke heeft om de inbreuk te melden bij de toezichthoudende autoriteit begint te lopen, zodra de verwerkingsverantwoordelijke kennis heeft genomen van de inbreuk. Zie hiervoor opinie 250 van de EDPB: xxxxx://xx.xxxxxx.xx/xxxxxxxx/xxxxxxx00/xxxx-xxxxxx.xxx?xxxx_xxx000000 (en dan vooral onderaan pagina 15). Dus als de inbreuk heeft plaatsgevonden bij de verwerker en deze meldt het aan de verwerkingsverantwoordelijke, heeft laatstgenoemde pas op dat moment kennis genomen van de inbreuk en begint de meldingstermijn van 72 uur te lopen.

Ten behoeve van de uiteindelijke melding aan de toezichthoudende autoriteit verstrekt de verwerker alle hem beschikbare informatie aan de Verwerkingsverantwoordelijke zoals vermeld op het formulier van Xxxxxxxxx van de Autoriteit Persoonsgegevens (hierna: AP). Let op: De verwerker doet nooit zelf een melding bij de AP. Verwerkingsverantwoordelijke moet zorgen voor een 24/7 bereikbaarheid om zo een melding via het afgesproken kanaal in ontvangst te kunnen nemen. Als een verwerker is aangesloten bij de IBD, kan verwerker ervoor kiezen om een inbreuk ook te melden via IBD. De IBD

is een CERT en is erop ingericht om in geval van een inbreuk direct alle betrokken gemeenten te informeren.

5.4: De beslissing om de inbreuk te melden bij de toezichthoudende autoriteit en/of de betrokkene ligt bij de verwerkingsverantwoordelijke en niet bij de verwerker.

6.1: Afspraken over aansprakelijkheid t.a.v. de verwerking van persoonsgegevens, audits en de exit- strategie zijn geregeld in de hoofdovereenkomst.

7.1 Afspraken over de exit-strategie, audits en de aansprakelijkheid t.a.v. de verwerking van persoonsgegevens zijn geregeld in de hoofdovereenkomst.

4. Toelichting bijlagen Standaard VWO

4.1. Bijlage 1

De verwerker vult bijlage 1 in. Als deze daarbij hulp nodig heeft, kan de verwerker de hulp inroepen van de verwerkingsverantwoordelijke.

Tabel 1: In het eerste deel wordt ingevuld:

- Welke verwerking: zie hiervoor als voorbeeld: xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxx-xxxxxxxxx/ Zie onder Kolom ‘H’.

- Verwerkingsdoeleinden, zie hiervoor als voorbeeld: xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxx-xxxxxxxxx/ Zie onder Kolom ‘L’.

- Categorieën van betrokkenen: dit zijn voorbeelden van categorieën van betrokkenen:

Categorieën van betrokkenen

Mogelijke categorieën van betrokkenen

Abonnees

Gebruikers

Aanvragers / indieners

Belanghebbenden

Bestuurders / Raadsleden

Ambtenaren gemeente

Websitebezoekers

Personeel leveranciers

Scholieren / studenten

Kinderen / ouderen

Gehandicapten

- Categorieën persoonsgegevens: dit zijn voorbeelden van persoonsgegevens:

Persoonsgegevens

Arbeidsgegevens	Functie, werktijden
Beeldmateriaal	Videomateriaal, audiomateriaal
Contactgegevens	e-mailadres, telefoonnummer, adres
Identiteitsgegevens	Identificatienr., paspoortnr., BTW nummer ZZP-er
Inloggegevens	Gebruikersnaam, wachtwoord
Internetgegevens	IP-adres, online surfgedrag, cookies
Locatiegegevens	Lengtegraad, breedtegraad
Persoonlijke gegevens	Naam, geboortedatum, geboorteplaats, geslacht, gezinssamenstelling

Bijzondere en gevoelige persoonsgegevens

Biometrische gegevens met het oog op de unieke identificatie van een persoon

BSN

Financiële gegevens

Genetische gegevens

Gezondheidsgegevens

Lidmaatschap van een vakbond

Politieke opvattingen

Ras of etnische afkomst

Religieuze of levensbeschouwelijke overtuigingen

Seksueel gedrag of seksuele gerichtheid

Strafrechtelijke persoonsgegevens

- Doorgifte derde landen

Als persoonsgegevens worden doorgegeven naar (of toegankelijk zijn in) een land buiten de EER moet dat hier worden aangegeven.

- Doorgifte-instrument

Als er sprake is van een verwerking buiten de EER moet aangegeven worden welk doorgifte-instrument wordt gebruikt. De doorgifte-instrumenten zijn:

Doorgifte-instrumenten

Mogelijke doorgifte-instrumenten
1.	Adequaatheidsbesluit
2.	Specifieke uitzonderingen (art. 49 AVG)
3.	Standaard bepalingen (Standard Contractual Clauses / SCC’s)
4.	Bindende bedrijfsvoorschriften (Binding Corporate Rules / BCR’s)
5.	Gedragsregels (Codes of Conduct)

6.	Certificeringsmechanismen (Certificationmechanisms)
7.	Ad hoc modelcontractbepalingen (ad hoc contractual clauses)

- Aanvullende maatregelen

Volgens de aanbevelingen van de European Data Protection Board (EDPB) naar aanleiding van de Xxxxxxx II uitspraak van het Hof van Justitie van de EU (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, adopted on 10 November 2020) moeten aanvullende maatregelen genomen worden als gebruik wordt gemaakt van de doorgifte- instrumenten 3 tot en met 7. Zo wordt een aan de AVG gelijkwaardig beschermingsniveau bewerkstelligd (zie Bijlage 2 van de EDPB aanbevelingen).

Hieronder een voorbeeld :

Naam verwerking / welke dienst en/of product	Verwerkings- doeleinden	Categorie ën van betrokken en	(Bijzondere) persoonsge gevens	Doorgifte naar derde landen	Doorgifte instrument	Aanvullende maatregelen (indien van toepassing)
Xxxxxxsite	" - identificatie	Gebruiker	NAW /	Nee
CMS	binnen de	van de	Gebruikersn
	applicatie -	dienstverle	aam en
	content	ning	wachtwoord /
	kunnen	(medewerk	emailadres /
	plaatsen -	ers en	telefoonnum
	registreren	inwoners)	mer / pasfoto
	nieuwsbrief		/ politieke
	abonnees -		partij
	reactiemogelijk
	op content (bv
	vacature)"
Xxxform	"Benodigd om	Gebruiker	NAW / BSN /	Nee
	bepaalde	van de	Overige
	diensten te	dienstverle	formuliergeg
	kunnen	ning	evens
	afnemen.	(bezoeker	(afhankelijk
	Bijvoorbeeld	website)	van uitvraag)
	het doorgeven
	van een
	verhuizing"

Tabel 2: hier wordt ingevuld:

- Wie zijn (ook buiten kantooruren!) de contactpersonen van de verwerkingsverantwoordelijke, de verwerker en de IBD.

- De IBD is telefonisch 24 uur per dag bereikbaar. De mail van de IBD wordt niet 24 uur per dag gelezen.

Tabel 3: hier wordt ingevuld:

- Indien er sprake is van subverwerkers, dan vult verwerker dat hier in. Verwerker zorgt dat vanaf de start van de verwerkersovereenkomst inzichtelijk is welke subverwerkers zijn ingeschakeld.

4.2. Bijlage 2:

Bijlage 2 is een praktische uitwerking van artikel 32 AVG. Dus verwerker geeft hier aan welke passende technische en organisatorische maatregelen hij heeft genomen die een op het risico afgestemd beveiligingsniveau waarborgen. Dus de verwerker geeft aan welk normenstelsel hij voldoet, hoe de toereikendheid van de informatiebeveiliging is gewaarborgd. En in dat kader kan verwerker aangeven of hij is aangesloten bij een door de AP goedgekeurde gedragscode.

Normenstelsel: Hier wordt een keuze gemaakt voor het normenstelsel dat van toepassing is op de verwerking waarover de overeenkomst wordt afgesloten. Dit is bij voorkeur de BIO maar, indien verwerker kan aantonen dat hij voldoet aan een andere vergelijkbare norm, kan die hier ook worden ingevuld om de punten 1 en 2 van deze bijlage met elkaar in één lijn te brengen.

Toereikendheid: Omdat het onder de AVG belangrijk is om te kunnen aantonen dat de verwerking voldoet aan de afgesproken eisen over een niveau van beveiliging dat past bij de verwerking, wordt hier aangegeven hoe een verwerker dit kan aantonen. Hierbij zijn diverse mogelijkheden aan te kruisen. Waar relevant verstrekt Verwerker bewijsstukken (zoals een geldig certificaat, verklaring van toepasselijkheid en andere bewijsstukken) waaruit blijkt dat wordt voldaan aan opgegeven normen, certificeringen, etc. Tenzij het zonder meer verstrekken de informatieveiligheid van Verwerker ernstig verlaagt.

Het is aan de verwerkingsverantwoordelijke om te beoordelen of deze verantwoording voldoende is voor de betreffende verwerking en ook aan verwerker om actief te controleren of aan deze paragraaf van de bijlage gevolg wordt gegeven. Voor meer informatie over hoe je kunt bepalen of een certificaat valide is, kunt u de IBD factsheet over assurance lezen.

Verder kan de verwerker aangeven of deze is aangesloten bij een goedgekeurde gedragscode.

4.3. Bijlage 3:

Sommige versies van de Standaard Verwerkersovereenkomst hebben een optionele Bijlage 3, waarin bepalingen uit de GIBIT 2020 zijn opgenomen. Deze Bijlage 3 is echter géén onderdeel van de Standaard Verwerkersovereenkomst. Voor GT Mobiele Communicatie 3 heeft de Standaard Verwerkersovereenkomst geen Bijlage 3. De toepasselijkheid van de GIBIT 2020 is geregeld in de Raamovereenkomst.

5. Tekst Standaard Verwerkersovereenkomst

Ondergetekenden

Gemeente <naam gemeente>, waarvan <het college van Burgemeester en Wethouders/de Gemeenteraad> de verwerkingsverantwoordelijke is, verder te noemen Verwerkingsverantwoordelijke, hierbij rechtsgeldig vertegenwoordigd door de <heer of mevrouw> <persoonsnaam>, <functie>

<Bedrijf>, gevestigd te <plaatsnaam>, KVK-nummer <nummer>verder te noemen Verwerker, hierbij rechtsgeldig vertegenwoordigd door de <de heer of mevrouw>, <persoonsnaam> , <functie>,

hierna afzonderlijk te noemen “Partij”, of gezamenlijk “Partijen”

Overwegen het volgende:

a) Partijen hebben op <datum> een Raamovereenkomst GT Mobiele Communicatie 3 afgesloten en op basis van deze Raamovereenkomst op <datum> een Nadere Overeenkomst, hierna Hoofdovereenkomst, afgesloten, op grond waarvan Verwerker dienst(en) op het gebied van mobiele communicatie levert aan de Verwerkingsverantwoordelijke;

b) Verwerker verwerkt voor de uitvoering van de Hoofdovereenkomst Persoonsgegevens voor Verwerkingsverantwoordelijke;

c) Op de verwerking van Persoonsgegevens door Verwerker zijn de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) van toepassing;

d) Partijen willen in aanvulling op de AVG en de UAVG de volgende afspraken over de verwerking van Persoonsgegevens vastleggen in deze verwerkersovereenkomst (hierna: de Verwerkersovereenkomst);

En komen het volgende overeen:

Artikel 1 Definities

1.1 Begrippen uit de AVG en de UAVG die in deze Verwerkersovereenkomst worden gebruikt, hebben dezelfde betekenis.

1.2 Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die onlosmakelijk deel uitmaken van deze Verwerkersovereenkomst.

Artikel 2 Ingangsdatum en duur

2.1 Deze Verwerkersovereenkomst gaat in op het moment dat de Hoofdovereenkomst tot stand is gekomen, tenzij Partijen anders overeenkomen.

2.2 Deze Verwerkersovereenkomst eindigt op het moment dat Verwerker de verwerking van Persoonsgegevens op grond van de Hoofdovereenkomst heeft beëindigd en de afspraken over het teruggeven en/of wissen van Persoonsgegevens zijn nagekomen.

Artikel 3 Onderwerp van deze Verwerkersovereenkomst

3.1 Verwerker verwerkt de door of via Verwerkingsverantwoordelijke ter beschikking gestelde Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke voor de uitvoering van de Hoofdovereenkomst en uitsluitend overeenkomstig schriftelijke instructies van Verwerkingsverantwoordelijke, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke wettelijke bepaling hem tot verwerking verplicht. In dat geval zal Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, daarvan zonder onredelijke

vertraging in kennis stellen, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

3.2 De door Verwerker uit te voeren verwerkingen staan beschreven in tabel 1 van Bijlage 1.

Artikel 4 Inhoudelijke afspraken

4.1 Beveiligingsmaatregelen

Verwerker zorgt voor passende technische en organisatorische maatregelen om de Persoonsgegevens goed te beveiligen, zoals bedoeld in artikel 32 AVG. De wijze waarop Verwerker de passende technische en organisatorische maatregelen aantoont, staat in Bijlage 2.

4.2 Audits

Verwerker verleent alle benodigde medewerking aan audits uitgevoerd door een gecertificeerde auditor over de nakoming van de afspraken binnen deze Verwerkersovereenkomst en Bijlagen, tenzij Verwerker door middel van een geldige certificering, die periodiek door een geaccrediteerde instelling wordt getoetst, heeft aangetoond dat Verwerker de gemaakte afspraken nakomt. De kosten van deze audit worden gedragen door Verwerkingsverantwoordelijke (zowel eigen kosten als kosten van Verwerker), tenzij de auditor één of meer tekortkomingen van niet ondergeschikte aard van Verwerker constateert die ten nadele zijn van Verwerkingsverantwoordelijke.

4.3 Verwerking buiten de EER

Verwerker mag Persoonsgegevens buiten de Europese Economische Ruimte (laten) verwerken wanneer is voldaan aan de voorwaarden van artikel 45 of 46 AVG. Wanneer er sprake is van een verwerking buiten de EER, dan stelt Verwerker Verwerkingsverantwoordelijke daarvan vooraf op de hoogte.

4.4 Geheimhouding

Personen die werken voor (sub)Verwerker en (sub)Verwerker zelf, moeten Persoonsgegevens waarmee zij werken geheimhouden. De personen die werken voor Xxxxxxxxx en subverwerkers hebben daarom een geheimhoudingsverklaring getekend, of zich op een andere manier schriftelijk gebonden aan de geheimhouding.

4.5 Subverwerkers

De ten tijde van het afsluiten van deze Verwerkersovereenkomst bekende subverwerkers vermeldt Verwerker in tabel 3 van Bijlage 1. Verwerkingsverantwoordelijke verleent hierbij algemene toestemming voor de inschakeling van subverwerkers. Xxxxxxxxx houdt na de start van de werkzaamheden Verwerkingsverantwoordelijke op de hoogte van de beoogde inschakeling van

nieuwe subverwerkers. Bij de inschakeling van subverwerkers blijven de artikelen 28.2 en 28.4 AVG onverkort van kracht.

4.6 Rechten van betrokkenen

Als een betrokkene een beroep doet op zijn rechten zoals genoemd in artikel 12 t/m 22 AVG, helpt Verwerker Verwerkingsverantwoordelijke om daarop binnen de wettelijke termijnen een beslissing te nemen.

4.7 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Op verzoek van Verwerkingsverantwoordelijke werkt Verwerker altijd mee aan een gegevensbeschermingseffectbeoordeling (DPIA) en een voorafgaande raadpleging als bedoeld in artikel 35 en 36 AVG.

Artikel 5 Inbreuk in verband met Persoonsgegevens

5.1 Verwerker zal Verwerkingsverantwoordelijke zonder onredelijke vertraging, maar uiterlijk binnen 24 uur, informeren na vaststelling van een (vermoedelijke) Inbreuk in verband met Persoonsgegevens. Verwerker vermeldt hierbij voor zover bekend de vermeende oorzaak van de (vermoedelijke) Inbreuk, de categorie persoonsgegevens, de categorie betrokkenen en het aantal betrokkenen.

5.2 In geval van een Inbreuk neemt Verwerker zonder onredelijke vertraging alle maatregelen om de Inbreuk te herstellen, de gevolgen daarvan te beperken en verdere Inbreuken te voorkomen.

5.3 Verwerker heeft een gedetailleerd logboek van de Inbreuken en de maatregelen die op Inbreuken zijn genomen. Verwerkingsverantwoordelijke mag dat inzien, wanneer deze daarom vraagt.

5.4 Verwerkingsverantwoordelijke beslist of de Inbreuk moet worden gemeld bij de toezichthoudende autoriteit en/of Betrokkene. Verwerker ondersteunt de Verwerkingsverantwoordelijke waar nodig bij de melding aan de toezichthoudende autoriteit en/of Betrokkene.

Artikel 6 Aansprakelijkheid

6.1 Eventuele in de Hoofdovereenkomst overeengekomen beperkingen van de aansprakelijkheid hebben ook betrekking op de Verwerkersovereenkomst.

Artikel 7 Beëindigen verwerkersovereenkomst

7.1 Partijen moeten in de Hoofdovereenkomst afspraken maken over de beëindiging van de Hoofdovereenkomst en de daaruit voortvloeiende teruggave en wissing van Persoonsgegevens.

7.2 De geheimhouding geldt ook nog na beëindiging van deze Verwerkersovereenkomst.

Artikel 8 Overige bepalingen

8.1 Op deze overeenkomst is Nederlands recht van toepassing. Alle geschillen, ook als alleen één Partij vindt dat er een geschil is, zullen in eerste instantie worden voorgelegd aan dezelfde bevoegde rechter als genoemd in de Hoofdovereenkomst.

Aldus overeengekomen en in tweevoud ondertekend,

Ingangsdatum: <… >

Gemeente <naam gemeente> <Naam organisatie> De burgemeester van <naam gemeente>

namens deze: <naam, functie> namens deze: <naam, functie>

plaats: <……………..> plaats: <… >

datum: <………………….> datum: <… >

Bijlage 1: Overzicht van te verwerken persoonsgegevens

1. Naam verwerking, doeleinden categorieën van betrokkenen, categorieën persoonsgegevens en eventuele doorgifte naar derde landen.

Naam verwerking	Verwerkings- doeleinden	Categorieën van Betrokkenen	Categorieën Persoons- gegevens (waaronder bijzondere persoonsgege vens)	Doorgifte naar derde landen	Doorgifte- instrument	Aanvullende maatregelen (indien van toepassing)

2. Contactgegevens

Contactpersoon Verwerkingsverantwoordelijke (NB: Ook buiten kantooruren)

Naam:

Contactgegevens:

Contactpersoon Verwerker (NB: Ook buiten kantooruren)

Naam:

Contactgegevens:

Contactgegevens IBD

telefoonnummer: 000-000 00 00

e-mailadres : xxxxxxx@xxx.xx

NB: Eventuele wijzigingen in bovenstaande tabellen geven partijen op korte termijn aan elkaar door.

3. Ingeschakelde subverwerkers

Naam en contactgegevens subverwerker	KvK-nummer	Uitbestede verwerkingen	Toepassing

Bijlage 2: Aantonen passend niveau van beveiliging

Normenstelsel

□ De verwerker werkt volgens een algemeen erkende norm voor informatiebeveiliging, te weten:

………………………………………….. (vermeld normenstelsel, zoals bijvoorbeeld NEN7510, NEN/ISO 27001, PCI/DSS) en is volgens deze norm wel/niet gecertificeerd.

□ De verwerker werkt volgens een algemeen erkende overheidsnorm zoals de BIO, of vergelijkbaar, te weten ,

□ De verwerker werkt volgens een andere norm, te weten:

……………………………………………………………………………………..

Toereikendheid

De toereikendheid van de informatiebeveiliging blijkt uit het volgende:

□ Verwerker verstrekt een actueel en geldig certificaat en verklaring van toepasselijkheid (VVT);

□ Rapportages van periodieke externe controles zoals audits, pentesten of TPM’s (bijv. ISAE3xxx SOC type II);

□ Een assurance rapport (TPM) van een auditor die is aangesloten bij NOREA;

□ Eigen controles of eigen mededelingen over de beveiligingsmaatregelen zoals hieronder beschreven (in lijn met de aanpak uit hoofdstuk 4.4 uit de BIO, een ICV):

……………………………………………………………………………………………

NB: Uit de certificering/periodieke externe controles/audits of uit de eigen controles/beschrijvingen blijkt of kan afgeleid worden dat de beveiliging passend is bij de verwerking(en) genoemd in Bijlage 1.

Aansluiting bij goedgekeurde gedragscode

□ Xxxxxxxxx is aangesloten bij een door een toezichthoudende autoriteit goedgekeurde gedragscode, te weten

………………………………………………………………………………………………………………….

Bijlage 14: Conformiteitlijst

1. Algemene eisen

1.1. Aansluitingen en mobiele netwerken

Volgnr	Omschrijving	Eis/wens	C/NC
1.1.1	Alle kosten die de Opdrachtnemer maakt in het kader van de dienstverlening, waaronder alle kosten die gerelateerd zijn aan de eisen in deze Conformiteitlijst, kan de Opdrachtnemer alleen in rekening brengen via de beschikbare Tarieven van de Diensten zoals die zijn opgenomen in de Tarieflijst (Appendix II). Alle kosten die voortvloeien uit de eisen die in deze Conformiteitlijst zijn opgenomen dienen derhalve inbegrepen te zijn in deze Tarieven van de Diensten.	Eis	C
1.1.2	De Opdrachtnemer levert in de kern diensten waarmee het mogelijk wordt mobiel te bellen (bellen en gebeld worden), mobiel dataverkeer af te handelen en SMS-berichten te versturen en te ontvangen.	Eis	C
1.1.3	De Opdrachtnemer dient de mogelijkheid te bieden tot het aansluiten op en zonder restricties gebruikmaken van alle mobiele netwerken die de Opdrachtnemer in Nederland aanbiedt op de mobiele telecommunicatiemarkt.	Eis	C
1.1.4	Als de Opdrachtnemer zelf geen mobiele netwerken in eigendom of beheer heeft, dan dient de Opdrachtnemer de mogelijkheid te bieden tot het aansluiten op en zonder restricties gebruikmaken van alle mobiele netwerken die de eigenaar(s)/beheerder(s) van de (het) aangeboden mobiele netwerk(en) aanbieden in Nederland.	Eis	C
1.1.5	Alle typen Aansluitingen die de Opdrachtnemer levert op de Nederlandse markt dient de Opdrachtnemer ook te leveren aan de Deelnemers.	Eis	C

1.1.6	De Opdrachtnemer dient aansluiting op de door hem aangeboden mobiele netwerken in ieder geval mogelijk te maken met behulp van een SIM-kaart. De Opdrachtnemer dient hiertoe alle gangbare typen SIM-kaarten beschikbaar te stellen.	Eis	C
1.1.7	De Opdrachtnemer dient SIM-kaart functionaliteit te leveren in de vorm van een eSIM. Met deze eSIM kan apparatuur die is voorzien van een ingebouwde eUICC-kaart (Embedded Universal Integrated Circuit Card) aansluiten op de door de Opdrachtnemer aangeboden mobiele netwerken. Als aansluiting op de door de Opdrachtnemer aangeboden mobiele netwerken met een door de Opdrachtnemer geleverde eSIM niet lukt, en dit wordt veroorzaakt door de ingezette apparatuur met eUICC-kaart, dan heeft de Opdrachtnemer een inspanningsverplichting om deze aansluiting alsnog werkend te krijgen. De Opdrachtnemer voorziet de Deelnemer die de eSIM heeft besteld van een plausibele onderbouwing als de aansluiting van de apparatuur uiteindelijk niet gerealiseerd kan worden.	Eis	C
1.1.8	De eSIM die de Opdrachtnemer aanbiedt voor iedere eUICC-kaart in consumer devices, dient geschikt te zijn en correct te functioneren volgens de GSMA SGP.22 specificaties.	Eis	C
1.1.9	De eSIM die de Opdrachtnemer aanbiedt voor iedere embedded eUICC-kaart in machine-to-machine devices, dient geschikt te zijn en correct te functioneren volgens de GSMA SGP.02 specificaties.	Eis	C

1.1.10	De Opdrachtnemer dient een eSim te kunnen leveren/distribueren op basis van zowel een push als een pull methode. Bij de push methode wordt een apparaat met een eUICC-kaart op afstand en zonder handelingen van een gebruiker voorzien van een eSIM om aan te sluiten op en gebruik te maken van de door de Opdrachtnemer aangeboden mobiele netwerken. De push methode is primair bedoeld voor het op de aangeboden mobiele netwerken aansluiten van apparatuur die wordt gebruikt voor IoT toepassingen of machine-to-machine communicatie. Bij de pull methode verricht een gebruiker handelingen om een apparaat met eUICC-kaart te voorzien van de eSIM van de Opdrachtnemer om aan te sluiten op en gebruik te maken van de door de Opdrachtnemer aangeboden mobiele netwerken. De pull methode is bedoeld voor apparatuur waar gebruikers mee werken.	Eis	C
1.1.11	Actieve Aansluitingen kunnen op de door de Opdrachtnemer aangeboden mobiele netwerken zonder restricties gebruik maken van alle technologieën die de Opdrachtnemer nu (bijvoorbeeld GSM, GPRS, EDGE, UMTS, HSPA, LTE, NR) en in de toekomst (de opvolgers van de hiervoor genoemde huidige technologieën) op de mobiele telecommunicatiemarkt aanbiedt over de door de Opdrachtnemer aangeboden mobiele netwerken.	Eis	C
1.1.12	Nieuwe of nieuw in te voeren technologieën die de spraakkwaliteit verbeteren (zoals bijvoorbeeld HD voice of Voice over NR) komen automatisch beschikbaar voor de Deelnemer.	Eis	C
1.1.13	Als de Opdrachtnemer tijdens de looptijd van de Raamovereenkomst en Nadere Overeenkomsten de levering van een mobiele netwerktechnologie wil stopzetten, dan dienen de CBO en de Deelnemers 12 maanden voordat de uitfasering van start gaat hiervan schriftelijk (of via e-mail) op de hoogte te worden gebracht.	Eis	C
1.1.14	Als SIM-kaarten of eSIMs beschikbare mobiele communicatietechnologieën niet ondersteunen dan dient de Opdrachtnemer kosteloos SIM-kaarten of eSIMs te leveren die wel alle beschikbare technologieën ondersteunen.	Eis	C

1.1.15	Een Aansluiting die kan aansluiten op door de Opdrachtnemer aangeboden mobiele netwerken kan ook aansluiten op alle openbare mobiele telecommunicatienetwerken van partijen waar de Opdrachtnemer roaming-overeenkomsten mee heeft.	Eis	C
1.1.16	Als de Opdrachtnemer zelf geen mobiele netwerken in eigendom of beheer heeft, dan dient een Aansluiting die kan aansluiten op de door de Opdrachtnemer aangeboden mobiele netwerken ook te kunnen aansluiten op alle openbare mobiele telecommunicatienetwerken van partijen waar de eigenaar(s)/beheerder(s) van de aangeboden mobiele netwerken roaming-overeenkomsten mee heeft/hebben.	Eis	C
1.1.17	Bij gebruik van mobiele spraakdiensten dienen alle oproepen ontvangen te kunnen worden die afkomstig zijn van de door de Opdrachtnemer aangeboden netwerken, en van alle direct of indirect daar aan gekoppelde netwerken (vast en mobiel), in binnen- en buitenland. Dit laatste geldt voor zowel eigen gekoppelde netwerken als voor netwerken die op basis van (roaming)overeenkomsten zijn gekoppeld.	Eis	C
1.1.18	Bij gebruik van mobiele spraakdiensten dienen oproepen verzonden te kunnen worden naar alle gebruikers van de door de Opdrachtnemer aangeboden netwerken, en alle gebruikers van direct of indirect daar aan gekoppelde netwerken (vast en mobiel), in binnen- en buitenland. Dit laatste geldt voor zowel eigen gekoppelde netwerken als voor netwerken als voor netwerken die op basis van (roaming)overeenkomsten zijn gekoppeld.	Eis	C
1.1.19	Bij mobiele spraakdiensten dienen oproepen verzonden te kunnen worden naar, en ontvangen te kunnen worden van alle uitgegeven nummers uit de landelijke nummerplannen, waarvan het gebruikelijk is dat er een verbinding mee kan worden gemaakt.	Eis	C
1.1.20	De Opdrachtnemer dient Aansluitingen te kunnen leveren die alleen mobiel spraakverkeer of alleen mobiel dataverkeer toestaan.	Eis	C
1.1.21	Iedere geleverde SIM-kaart of eSIM moet in staat zijn zowel mobiele spraak als mobiele data te verwerken. Het toevoegen of uitschakelen van mobiele diensten dient derhalve zonder wisseling van een SIM-kaart of eSIM mogelijk te zijn.	Eis	C

1.1.22	Aan iedere geleverde Aansluiting dient een door de ACM toegestaan telefoonnummer uit het nationale nummerplan te worden toegewezen.	Eis	C
1.1.23	Via het aan de Aansluiting toegewezen telefoonnummer komt alle mobiele spraak- en datafunctionaliteit beschikbaar die door de ACM op grond van het uitgegeven telefoonnummer is toegestaan. Dit betekent dat de Opdrachtnemer het gebruik van een telefoonnummer niet kan beperken (bijvoorbeeld door alleen dataverkeer of spraakverkeer toe te staan) als deze beperking niet is opgelegd op basis van ACM-regelgeving.	Eis	C
1.1.24	Iedere Deelnemer kan kosteloos 25 nog niet geactiveerde SIM- kaarten op voorraad krijgen.	Eis	C
1.1.25	Deelnemers die meer dan 500 SIM-kaarten afnemen kunnen een grotere hoeveelheid nog niet geactiveerde SIM-kaarten op voorraad krijgen. Deze grotere voorraad is beperkt tot maximaal 5% van het aantal af te nemen SIM-kaarten.	Eis	C
1.1.26	De Tarieven voor de Diensten die worden afgehandeld via een SIM- kaart kunnen pas in rekening worden gebracht nadat de Deelnemer de SIM-kaart heeft geactiveerd.	Eis	C
1.1.27	Er mogen door de Opdrachtnemer geen beperkingen opgelegd worden aan de soort randapparatuur (mits deze voldoet aan de relevante 3GPP standaarden) waarmee de Deelnemer wil aansluiten op de door de Opdrachtnemer aangeboden netwerken.	Eis	C
1.1.28	Het moet mogelijk zijn om de Aansluitingen op te nemen in een 088 bedrijfsnummerplan. Dit mag eventueel op basis van overlay.	Eis	C

1.2. Beschikbaarheid

Volgnr	Omschrijving	Eis/wens	C/NC
Info	Onder beschikbaarheid van een mobiel netwerk wordt verstaan dat gebruik gemaakt kan worden van de gecontracteerde dienstverlening.	Info
1.2.1	Onderhoud en storingen
1.2.1.1	Gepland onderhoud dat mogelijk leidt tot merkbare uitval van actieve Aansluitingen dient 10 Werkdagen van tevoren bekendgemaakt te worden door het rechtstreeks versturen van een bericht/notificatie naar de hiertoe in het DAP vastgelegde contactperso(o)n(en). In dit bericht wordt in ieder geval vermeld: · Het tijdstip waarop het onderhoud van start gaat. · De verwachte tijdsduur van het onderhoud en/of de verwachte eindtijd van het onderhoud. · Of het om mogelijke uitval van spraak, data, of spraak en data gaat. · De plaats waar het onderhoud gaat plaatsvinden.	Eis	C
1.2.1.2	Als er sprake is van een verstoring van de dienstverlening dan dient de Opdrachtnemer dit aan alle Deelnemers die door de verstoring (kunnen) worden geraakt bekend te maken door het rechtstreeks versturen van een bericht/notificatie naar de hiertoe in het DAP vastgelegde contactperso(o)n(en). Het gaat hierbij om verstoringen van alle dienstverlening waar Deelnemers gebruik van (kunnen) maken, zoals een verstoorde werking van één of meer aangeboden mobiele netwerken, een verstoorde werking van het webbased (beheer)portaal en een verstoorde werking van eventueel aangeboden applicaties/apps.	Eis	C
1.2.2	Outdoor-beschikbaarheid

1.2.2.1

De beschikbaarheid van de mobiele diensten dient aangeleverd te worden in de vorm van dekkingskaarten in één van de volgende GIS-formaten met gebruikmaking van het WGS84 coördinatenreferentiesysteem: ESRI shapefile, KML of GeoJSON. De dekkingskaarten worden gebruikt om de dekkingsgraad op het geografisch gebied van een Deelnemer te kunnen bepalen.

De dekkingskaarten dienen verder aan de volgende specificaties te voldoen:

· Aaneengesloten gebieden op een kaart dienen één feature te zijn, niet meerdere features per aaneengesloten gebied.

· Een kaart mag geen overlappende features bevatten.

· Een kaart mag niet meer dan 100.000 features bevatten.

· Een kaart mag alleen polygonen bevatten en geen multipolygonen.

Eis

1.2.2.2

Op het moment dat de eigenaar(s)/beheerder(s) van de aangeboden mobiele netwerken op basis van nieuw inwerkingtredende (overheids)regelgeving aan verhoogde dekkingseisen dient te voldoen, dan dient de Opdrachtnemer nieuwe dekkingskaarten aan te leveren die aan deze verhoogde dekkingseisen voldoen.

Eis

1.2.2.3

De Opdrachtnemer levert vier aparte dekkingskaarten aan; twee voor spraakdekking en twee voor datadekking (twee verschillende klassen van doorvoersnelheid). In Bijlage 10 Beschikbaarheid en Beschikbaarheidstoets worden deze dekkingskaarten nader gespecificeerd. Een dekkingskaart moet de gegarandeerde outdoor- dekking aangeven.

Vanaf 1 januari 2024 komt de verplichting om een 2G/3G spraakdekkingskaart aan te leveren te vervallen.

Eis

1.2.2.4	Opdrachtnemer kan op ieder moment actuele dekkingskaarten aanleveren aan de CBO. Met uitzondering van de 2G/3G spraakdekkingskaart geldt dat actuele, nieuwe dekkingskaarten alleen worden geaccepteerd als de hierin opgenomen dekkingsgraad niet verslechtert ten opzichte van de laatste door de CBO ontvangen dekkingskaarten. Tijdelijke verslechtering van de dekkingsgraad door tijdelijk geplaatste objecten/obstakels worden niet gezien als een verslechtering van de dekkingsgraad gedurende de periode dat het object/obstakel is geplaatst.	Eis	C
1.2.2.5	De Opdrachtnemer dient ermee akkoord te gaan dat nieuwe door de CBO ontvangen en geaccepteerde dekkingskaarten binnen uiterlijk drie werkdagen na ontvangst de op dat moment in gebruik zijnde dekkingskaarten vervangen.	Eis	C
1.2.2.6	Als de door de Opdrachtnemer gegarandeerde beschikbaarheid op een locatie niet aanwezig is dan dient hij zonder kosten voor de Deelnemer binnen 2 weken maatregelen te treffen zodat aan de gegarandeerde beschikbaarheid wordt voldaan. Als voor het herstel van de beschikbaarheid één of meer vergunningen dienen te worden verkregen dan telt de periode van vergunningverlening niet mee in de genoemde herstelperiode van 2 weken, mits de Opdrachtnemer zo snel als redelijkerwijs mogelijk is de benodigde vergunningen heeft aangevraagd.	Eis	C
1.2.3	Indoor dekkingsvoorzieningen
1.2.3.1	De Opdrachtnemer dient gebruik te maken van, en het beheer en onderhoud over te nemen van bestaande voorzieningen voor indoor dekking bij de Deelnemer, tenzij de eigenaar van de bestaande voorziening(en) dit niet toestaat.	Eis	C

1.2.3.2

De Opdrachtnemer dient het beheer en onderhoud van indoor dekkingsvoorzieningen die hij al voor inwerkingtreding van de ROK in beheer en onderhoud heeft zonder additionele kosten (administratief) over te nemen en onder te brengen in GT Mobiele Communicatie 3. Voor deze (administratieve) overname kan de Opdrachtnemer geen kosten in rekening brengen.

Een vergoeding voor de continuering van het beheer en onderhoud in GT Mobiele Communicatie 3 kan uitsluitend als Speciale Dienst worden geoffreerd en uitgevoerd.

Eis

1.2.3.3

Als een Opdrachtnemer het beheer en onderhoud dient over te nemen van een bestaande indoor dekkingsvoorziening die hij nog niet in beheer en onderhoud heeft, en deze over te nemen indoor dekkingsvoorziening is aantoonbaar niet geschikt voor gebruik met de door de Opdrachtnemer aangeboden mobiele netwerktechnologieën, dan verleent de Deelnemer aan de Opdrachtnemer toestemming om modificaties aan te brengen aan de over te nemen voorziening om deze alsnog geschikt te maken. Deze toestemming kan alleen op basis van zwaarwegende redenen worden geweigerd, waarna in onderling overleg dient te worden bepaald op welke wijze indoor dekking vervolgens kan worden gerealiseerd.

Zowel de modificaties als de vergoeding voor de continuering van het beheer en onderhoud worden als Speciale Dienst geoffreerd en uitgevoerd.

Eis

1.2.3.4

De Opdrachtnemer dient op verzoek van een Deelnemer een realistische en bruikbare indicatie te geven van de werkzaamheden en kosten die zijn gemoeid bij de realisatie van een indoor dekkingsvoorziening op een door de Deelnemer aangegeven locatie. Voor het opstellen van deze indicatie hoeft de Opdrachtnemer niet op de locatie zelf te schouwen, maar kan worden volstaan met een theoretische berekening op basis van desk research, plattegronden, foto’s en Google maps (of vergelijkbare applicaties).

Eis

1.2.3.5	Op verzoek van een Deelnemer dient door de Opdrachtnemer voorafgaand aan het uitbrengen van een offerte voor een indoor dekkingsoplossing op locatie een schouwing te worden uitgevoerd. De resultaten van deze schouwing worden opgeleverd in een rapport. Onderdeel van dit rapport is een meetrapport van de bestaande dekking, een ontwerp van de beoogde oplossing en een overzicht van de werkzaamheden. Een schouwing op locatie die niet wordt uitgevoerd in het kader van een minicompetitie voor de gunning van een NOK, is een Speciale Dienst die wordt uitgevoerd op offertebasis.	Eis	C
1.2.3.6	Als een Deelnemer indoor dekkingsvoorzieningen vraagt in het kader van een minicompetitie voor de gunning van een NOK, dan dient door de Opdrachtnemer voorafgaand aan het uitbrengen van de offerte in het kader van de minicompetitie op locatie een schouwing te worden uitgevoerd. De resultaten van deze schouwing worden opgeleverd in een rapport. Onderdeel van dit rapport is een meetrapport van de bestaande dekking, een ontwerp van de beoogde oplossing en een overzicht van de werkzaamheden. De Opdrachtnemer kan de kosten voor deze schouwing niet apart in rekening brengen, maar kan de kosten wel verwerken in de uit te brengen offerte.	Eis	C
1.2.3.7	De Opdrachtnemer moet voorzieningen voor indoor dekking kunnen leveren, installeren en beheren. Als de Opdrachtnemer hiervoor nieuwe componenten inzet dan dient dit netwerk multi-provider indoor dekking te ondersteunen.	Eis	C
1.2.3.8	De Opdrachtnemer dient op verzoek zijn mobiele dienstverlening indoor beschikbaar te maken door het aansluiten van zendapparatuur op multi-provider indoor dekkingsinstallaties die niet door de Opdrachtnemer zijn geleverd en niet door de Opdrachtnemer worden beheerd. De Opdrachtnemer beheert in een dergelijk geval uitsluitend de eigen ingebrachte zendapparatuur. De partij die de indoor dekkingsinstallatie beheert is het eerste aanspreekpunt voor de Deelnemer of Opdrachtgever als verstoringen optreden.	Eis	C
1.2.3.9	Het eigendom van door de Opdrachtnemer aangelegde installaties, uitgezonderd de zendapparatuur, komt toe aan de Deelnemer bij beëindiging van het contract.	Eis	C

1.2.3.10	De Opdrachtnemer dient op verzoek van de Deelnemer andere Mobiele Operators toegang te verlenen tot de door hem geleverde en/of beheerde indoor dekkingsinstallatie, dit met als doel het realiseren van multi-provider indoor dekking.	Eis	C
1.2.4	Inhouse zonedekking
Info	De oplossingen die worden beschreven in de volgende eisen 1.2.4.1 en 1.2.4.2 staan niet het gebruik van WiFi toe, maar dienen inhouse mobiel spraak- en dataverkeer te realiseren op basis van de in eis 1.1.11 genoemde technologieën. Het is, losstaand van de eisen 1.2.4.1 en 1.2.4.2, wel mogelijk dat een Deelnemer in overleg met de Opdrachtnemer besluit om te kiezen voor een oplossing waarbij WiFi als mobiele technologie wordt ingezet. De Deelnemer heeft echter te allen tijde het recht om niet te kiezen voor een op WiFi gebaseerde oplossing en wel te kiezen voor één van de in de eisen 1.2.4.1 en 1.2.4.2 beschreven oplossingen.	Info
1.2.4.1	De Opdrachtnemer dient een oplossing aan te bieden waarmee dekking gerealiseerd kan worden in huizen en kleine (kantoor)ruimtes, in gebieden waar wel voldoende outdoor dekking aanwezig is. Het bereik van de inhouse zonedekkingsoplossing dient te reiken tot minimaal 20 meter vanaf de locatie waar de oplossing is geïnstalleerd, waarbij geen rekening hoeft te worden gehouden met ondoordringbare obstakels. De oplossing is geschikt voor het gelijktijdig afhandelen van het mobiele verkeer van minimaal vier SIM-kaarten. De inhouse zonedekkingsvariant die is beschreven in deze eis levert zowel spraakdekking als een datasnelheid die gelijk is aan de datasnelheid die aanwezig is direct buiten de locatie waar de inhouse zonedekking wordt ingezet.	Eis	C

1.2.4.2

De Opdrachtnemer dient een oplossing aan te bieden waarmee dekking gerealiseerd kan worden in huizen en kleine (kantoor)ruimtes, ongeacht of er voldoende outdoor dekking aanwezig is. De Deelnemer draagt zorg voor de aanwezigheid van een bruikbare internetverbinding ter ondersteuning van de geboden oplossing.

Het bereik van de inhouse zonedekkingsoplossing dient te reiken tot minimaal 20 meter vanaf de locatie waar de oplossing is geïnstalleerd, waarbij geen rekening hoeft te worden gehouden met ondoordringbare obstakels. De oplossing is geschikt voor het gelijktijdig afhandelen van het mobiele verkeer van minimaal vier SIM-kaarten.

De inhouse zonedekkingsvariant die is beschreven in deze eis levert zowel spraakdekking als een datasnelheid die minimaal gelijk is aan de datasnelheid die in Bijlage 10 is geclassificeerd als “Data met een reguliere bandbreedte”.

Eis

1.3. Internationaal gebruik Aansluitingen

Volgnr

Omschrijving

Eis/wens

C/NC

1.3.1

In het kader van het beheren van Aansluitingen dient voor internationaal verkeer onderscheid te kunnen worden gemaakt in de volgende zones:

- EU-landen.

- Niet-EU landen.

Waar in deze paragraaf 1.3 wordt gesproken over EU-landen wordt gedoeld op de EU-landen aangevuld met, indien van toepassing, landen met gelijke tarifering (Tariefzone 1 uit de Tarieflijst).

Eis

1.3.2	Een Deelnemer dient voor iedere individueel in gebruik zijnde Aansluiting in te kunnen stellen: - of mobiel dataverkeer gebruikt mag worden binnen de EU- landen; - of mobiel dataverkeer gebruikt mag worden buiten de EU- landen. Als op een Aansluiting het gebruik van mobiel dataverkeer binnen de EU-landen wordt geblokkeerd, dan is het toegestaan dat automatisch het gebruik van mobiel dataverkeer buiten de EU- landen wordt geblokkeerd.	Eis	C
1.3.3	Een Deelnemer dient in te kunnen stellen wat de default instellingen zijn voor de in eis 1.3.2 beschreven opties. Iedere uitgegeven Aansluiting dient initieel conform deze default te zijn ingesteld.	Eis	C
1.3.4	Een Deelnemer dient voor iedere individueel in gebruik zijnde Aansluiting in te kunnen stellen of de Aansluiting voor spraakverkeer al dan niet gebruikt mag worden binnen de EU- landen (inclusief Nederland).	Wens 30 punten
1.3.5	Een Deelnemer dient in te kunnen stellen wat de default instellingen zijn voor de in Wens 1.3.4 beschreven optie. Iedere uitgegeven Aansluiting dient initieel conform deze default te zijn ingesteld.	Wens 30 punten (kan alleen met ‘C’ worden beantwoord als 1.3.4 met ‘C’ is beantwoord)
1.3.6	Een Deelnemer dient voor iedere individueel in gebruik zijnde Aansluiting in te kunnen stellen of de Aansluiting voor spraakverkeer al dan niet gebruikt mag worden buiten de EU- landen.	Wens 30 punten

1.3.7	Een Deelnemer dient in te kunnen stellen wat de default instellingen zijn voor de in Wens 1.3.6 beschreven optie. Iedere uitgegeven Aansluiting dient initieel conform deze default te zijn ingesteld.	Wens 30 punten (kan alleen met ‘C’ worden beantwoord als 1.3.6 met ‘C’ is beantwoord)
1.3.8	Een Deelnemer dient voor iedere individueel in gebruik zijnde Aansluiting die gebruikt mag worden binnen de EU-landen in te kunnen stellen: - of vanuit Nederland mobiel gebeld mag worden naar aansluitingen van andere EU-landen (bijvoorbeeld bellen naar een Spaans (0034) telefoonnummer).	Wens 30 punten
1.3.9	Een Deelnemer dient in te kunnen stellen wat de default instellingen zijn voor de in Wens 1.3.8 beschreven optie. Iedere uitgegeven Aansluiting dient initieel conform deze default te zijn ingesteld.	Wens 30 punten (kan alleen met ‘C’ worden beantwoord als 1.3.8 met ‘C’ is beantwoord)
1.3.10	Een Deelnemer dient voor iedere individueel in gebruik zijnde Aansluiting die gebruikt mag worden binnen de EU-landen in te kunnen stellen: - of mobiel gebeld mag worden naar aansluitingen van landen buiten de EU (bijvoorbeeld bellen naar een Canadees (001) telefoonnummer).	Wens 30 punten

1.3.11

Een Deelnemer dient in te kunnen stellen wat de default instellingen zijn voor de in Wens 1.3.10 beschreven optie. Iedere uitgegeven Aansluiting dient initieel conform deze default te zijn ingesteld.

Wens

30 punten

(kan alleen met ‘C’ worden beantwoord als 1.3.10 met ‘C’ is beantwoord)

1.4. Beveiliging

Volgnr	Omschrijving	Eis/wens	C/NC
1.4.1	Informatiebeveiliging algemeen
1.4.1.1	De Opdrachtnemer dient te zijn gecertificeerd volgens de NEN-ISO/IEC 27001 norm voor informatiebeveiliging, of de Opdrachtnemer dient een gelijkwaardig, op de NEN-ISO/IEC 27001 norm gebaseerd managementsysteem voor informatieveiligheid te hebben geïmplementeerd.	Eis	C
1.4.1.2	De Opdrachtnemer dient een actueel beveiligingsbeleid te hanteren dat is gebaseerd op de Code voor Informatiebeveiliging, NEN-ISO/IEC 27002.	Eis	C

1.4.1.3

Opdrachtnemer staat ervoor in dat gemeenten met de door Opdrachtnemer geleverde dienstverlening kunnen voldoen aan de Baseline Informatiebeveiliging Overheid (BIO, op het moment van publicatie van dit document te vinden op xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/xxxxxxxx- informatiebeveiliging-overheid-bio/), of de eventuele toekomstige opvolgers van de BIO. Uitgangspunt hierbij is dat de scope en reikwijdte van deze eventuele opvolgers van de BIO niet wezenlijk wijzigen en net als de BIO een afgeleide zullen zijn van NEN-ISO/IEC 27001 en 27002 standaarden.

Indien de dienstverlening (gedeeltelijk) door de Opdrachtnemer beheerd wordt (bijv. bij hosting), of het dienstverlening betreft die door de Opdrachtnemer verricht wordt, staat de Opdrachtnemer er (voor dat deel) voor in dat de dienstverlening voldoet aan de in de vorige alinea bedoelde norm voor informatiebeveiliging.

De Opdrachtnemer legt ten minste een algemene beschrijving van de in de vorige alinea bedoelde getroffen technische en organisatorische beveiligingsmaatregelen schriftelijk vast en geeft deze ter inzage aan de Opdrachtgever.

Eis

1.4.1.4

Als een specifieke beveiligingsmaatregel van de Opdrachtnemer voldoet aan de BIO (of de eventuele opvolger van de BIO) maar niet overeenkomt met een door de Deelnemer voorgeschreven oplossing, dan dient de Opdrachtnemer deze maatregel op verzoek van de Deelnemer aan te passen tenzij de Opdrachtnemer relevante, zwaarwegende argumenten heeft om de aanpassing niet door te voeren. Een dergelijke aanpassing op basis van een verzoek van een Deelnemer geldt als een Speciale Dienst waarvoor de Opdrachtnemer, na het doorlopen van een offertetraject, kosten in rekening kan brengen.

Eis

1.4.1.5

De Opdrachtnemer garandeert dat alle gegevens die gebruikt worden ten behoeve van GT Mobiel zijn ondergebracht in marktconform beveiligde datacenters binnen de Europees Economische Ruimte (EER), althans in een land dat door een adequaatheidsbesluit van de Europese Commissie als veilig is aangemerkt, tenzij uitdrukkelijk anders overeengekomen.

Indien een datacenter wordt beheerd door een derde (als verwerker of als sub-verwerker) dient Opdrachtnemer:

1. ervoor zorg te dragen dat aan deze andere verwerker d.m.v. een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd worden als die welke op basis van de Raamovereenkomst of een Nadere Overeenkomst op Opdrachtnemer rusten, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in de AVG en de hiervoor genoemde overeenkomsten voldoet.

2. ervoor zorg te dragen (onder meer door middel van de onder 1. bedoelde met de andere verwerker of sub-verwerker te sluiten overeenkomst) dat de gegevens uitsluitend worden verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van (persoons)gegevens aan een derde land of een internationale organisatie, tenzij een op de verwerker of sub-verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht, in welk geval de Opdrachtnemer ervoor zorgdraagt dat de verwerker of sub- verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis stelt van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;

3. wanneer de andere verwerker of sub-verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, de volledige aansprakelijkheid te aanvaarden ten aanzien van Opdrachtgever en de Deelnemers voor het nakomen van de onder 1. bedoelde verplichtingen van die andere verwerker of sub-verwerker.

Eis

1.4.2

Informatiebeveiliging Aansluitingen

1.4.2.1

Nieuw geleverde Aansluitingen dienen te zijn voorzien van toegangsbeveiliging in de vorm van een pincode.

Eis

1.4.2.2	Op verzoek van de Deelnemer dient de Opdrachtnemer Aansluitingen te leveren die niet zijn afgeschermd met een pincode.	Eis	C
1.4.2.3	Alleen daartoe door de Deelnemer geautoriseerde personen kunnen Aansluitingen als verloren of gestolen opgeven. De Deelnemer kan indien gewenst deze autorisatie toekennen aan alle personen die gebruik maken van een Aansluiting.	Eis	C
1.4.2.4	Een als verloren of gestolen opgegeven Aansluiting dient binnen 15 minuten na melding aan de Opdrachtnemer te zijn geblokkeerd.	Eis	C
1.4.2.5	Aansluitingen die uit beveiligingsoogpunt dienen te worden vervangen, worden kosteloos door de Opdrachtnemer vervangen.	Eis	C
1.4.2.6	De telefoonnummers die in gebruik zijn bij de Deelnemers worden niet openbaar gemaakt, worden niet opgenomen in telefoonboeken en worden niet beschikbaar gesteld aan derden, tenzij de Deelnemer hier zelf om heeft verzocht of hier zelf toestemming voor heeft gegeven. De Opdrachtnemer kan geen kosten in rekening brengen voor het op verzoek van de Deelnemer plaatsen van telefoonnummers in een telefoonboek.	Eis	C
1.4.2.7	Het moet mogelijk zijn telefoonnummers geheim te maken. Deze telefoonnummers zijn slechts gedeeltelijk zichtbaar in de rapportage c.q. de factuur van derden.	Eis	C
1.4.2.8	De gebruiker van een Aansluiting en degene die namens de Deelnemer de Aansluitingen beheert dienen een melding te krijgen bij excessief gebruik van de afgenomen diensten (bijvoorbeeld het excessief bellen naar 090x-nummers of excessief dataverbruik in het buitenland). Tijdens de periode van inregelen van de dienstverlening spreken de CBO en de Opdrachtnemer af wanneer sprake is van excessief gebruik.	Eis	C
1.4.2.9	Mobiele communicatie tussen apparaten en basisstations is altijd versleuteld conform vigerende 3GPP eisen.	Eis	C
1.4.2.10	De communicatie tussen basisstations en andere componenten in de door de Opdrachtnemer aangeboden netwerken dient altijd versleuteld te zijn.	Eis	C

1.5. Portering

Volgnr	Omschrijving	Eis/wens	C/NC
1.5.1	De Opdrachtnemer moet nummers kunnen porteren conform de ACM-regelgeving.	Eis	C
1.5.2	De Opdrachtnemer dient op verzoek van een Deelnemer een nummer te porteren naar een privé (niet zakelijk) abonnement.	Eis	C
1.5.3	De Opdrachtnemer dient op verzoek van een Deelnemer een nummer te porteren van een privé (niet zakelijk) abonnement naar een GT Mobiele Communicatie 3 Aansluiting, vanaf het moment dat het privé abonnement contractvrij is.	Eis	C
1.5.4	De Opdrachtnemer ondersteunt de portering van telefoonnummers, die zijn uitgegeven onder de GT Raamovereenkomst, naar iedere willekeurige andere telecommunicatie dienstverlener. Deze portering kan plaatsvinden naar een ander rechtspersoon of natuurlijk persoon dan de rechtspersoon waar de Deelnemer toe behoort.	Eis	C
1.5.5	De Opdrachtnemer dient na een verzoek tot portering van een telefoonnummer alles te doen wat noodzakelijk is om de portering vanaf het vroegste moment waarop dat contractueel mogelijk is plaats te laten vinden.	Eis	C
1.5.6	Portering van nummers dient volledig afgehandeld te kunnen worden via het webbased portaal. Hierbij is het toegestaan om papieren documenten te laten uploaden, mits deze papieren documenten relevant en noodzakelijk zijn voor de afhandeling van de portering.	Eis	C
1.5.7	De beheerder van een Nadere Overeenkomst dient de aanvraag en afhandeling van de portering van één of meer nummers over te kunnen dragen aan een andere Deelnemer.	Eis	C

2. Mobiele spraak en SMS

2.1. Algemeen

Volgnr	Omschrijving	Eis/wens	C/NC
2.1.1	De duur van gesprekken binnen de EU dient te worden uitgedrukt in seconden.	Eis	C
2.1.2	De duur van gesprekken buiten de EU dient te worden uitgedrukt in seconden, tenzij dit niet wordt ondersteund door de eigenaar/beheerder van het buitenlandse mobiele netwerk waarover de gesprekken plaatsvinden. In dat geval dient de duur van gesprekken te worden uitgedrukt in de kleinst mogelijke beschikbare tijdseenheid.	Eis	C
2.1.3	Gesprekken binnen de EU dienen te worden afgerekend op basis van de gebruikte tijd in seconden. Als dit niet strookt met bestaande EU regelgeving dan dient te worden afgerekend conform deze bestaande EU regelgeving.	Eis	C
2.1.4	Gesprekken buiten de EU dienen te worden afgerekend op basis van de gebruikte tijd in seconden, tenzij dit niet mogelijk is op basis van de afspraken die op dit gebied zijn gemaakt met de eigenaar/beheerder van het buitenlandse mobiele netwerk waarover de gesprekken plaatsvinden. Als dit laatste het geval is, dan dient afrekening plaats te vinden op basis van de kleinst mogelijk tijdseenheid die wel mogelijk is binnen de afspraken die op dit gebied zijn gemaakt met de eigenaar/beheerder van het buitenlandse mobiele netwerk waarover de gesprekken plaatsvinden.	Eis	C

2.2. Functionaliteit

Volgnr	Omschrijving	Eis/wens	C/NC
2.2.1	Een gesprek moet doorgeschakeld kunnen worden naar ieder bestemmingsnummer waarvoor de gebruiker van de Aansluiting is geautoriseerd.	Eis	C

2.2.2	Het moet mogelijk zijn om een wisselgesprek te voeren. Dit houdt in dat als op een Aansluiting een gesprek actief is, een tweede binnenkomend gesprek kan worden gesignaleerd en kan worden opgebouwd onder tijdelijke onderbreking van het eerste actieve gesprek.	Eis	C
2.2.3	Het moet mogelijk zijn een conferentiegesprek bestaande uit minimaal drie mobiele en/of vaste aansluitingen op te zetten en te voeren.	Eis	C
2.2.4	Een inkomend gesprek dient onconditioneel doorgeschakeld te kunnen worden.	Eis	C
2.2.5	Een inkomend gesprek moet doorgeschakeld kunnen worden naar een andere bestemming (call forwarding) op basis van de volgende condities: - Als niet wordt opgenomen binnen een bepaalde termijn. - Als de ontvanger de oproep weigert/wegdrukt. - Als de ontvanger niet bereikbaar is. - Als de ontvanger in gesprek is.	Eis	C
2.2.6	Een inkomend gesprek moet door kunnen schakelen naar een voicemail-box onder de volgende condities: - Als niet wordt opgenomen binnen een bepaalde termijn. - Als de ontvanger de oproep weigert/wegdrukt. - Als de ontvanger niet bereikbaar is. - Als de ontvanger in gesprek is.	Eis	C
2.2.7	Het doorschakelen van inkomende gesprekken dient te kunnen worden ingesteld.	Eis	C
2.2.8	Het moet mogelijk zijn om een bestaand gesprek door te verbinden naar een andere bestemming passend binnen de autorisaties van de gebruiker van de Aansluiting, mits de technologie waarover het gesprek plaatsvindt dit toestaat.	Eis	C

2.3. Nummeridentificatie

Volgnr	Omschrijving	Eis/wens	C/NC
2.3.1	Nummerweergave bij uitgaande gesprekken moet aan- en uitgezet kunnen worden.	Eis	C
2.3.2	Bij inkomende oproepen moet het nummer van de oproeper getoond worden indien dit nummer door de oproeper wordt meegezonden (CLIP).	Eis	C

2.4. Voicemail

Volgnr	Omschrijving	Eis/wens	C/NC
2.4.1	Aan elke Aansluiting dient een voicemail-box toegekend te kunnen worden.	Eis	C
2.4.2	Bij nieuwe, geactiveerde Aansluitingen dient de voicemail functionaliteit naar de voorkeur van de Deelnemer standaard geactiveerd of gedeactiveerd te zijn.	Eis	C
2.4.3	De voicemail faciliteit dient door de gebruiker te kunnen worden geactiveerd of gedeactiveerd.	Eis	C
2.4.4	De voicemail faciliteit moet ook werken als de opgeroepene gebruik maakt van roaming.	Eis	C
2.4.5	Een voicemail-box dient minimaal 25 spraakberichten te kunnen bewaren. In totaal dient 50 minuten aan spraakberichten te kunnen worden bewaard.	Eis	C
2.4.6	Een voicemail-box dient te kunnen worden voorzien van een door de gebruiker ingesproken standaard welkomstboodschap.	Eis	C
2.4.7	Het dient mogelijk te zijn om naast de standaard welkomstboodschap 1 of meer alternatieve welkomstboodschappen in te spreken en op te slaan.	Eis	C

2.4.8	Er moet een notificatie in de vorm van een SMS-bericht naar de betreffende Aansluiting worden gestuurd als er een voicemail- bericht is ingesproken. Deze notificatie moet binnen 30 minuten door de eindgebruiker van de Aansluiting zijn ontvangen, mits de Aansluiting is aangesloten op een mobiel netwerk.	Eis	C
2.4.9	De datum en het tijdstip van inspreken van een voicemail-bericht dient in de notificatie te zijn opgenomen, of dient te worden vermeld voorafgaand aan het afluisteren van een voicemail-bericht.	Eis	C
2.4.10	Voicemail-berichten moeten beluisterd kunnen worden via de Aansluiting waar de voicemail-box bij hoort, als de Aansluiting rechtstreeks is aangemeld op een door de Opdrachtnemer aangeboden mobiel netwerk. Het gebruik van een pincode is optioneel.	Eis	C
2.4.11	Voicemail-berichten moeten beluisterd kunnen worden als geen sprake is van een directe aansluiting op een door de Opdrachtnemer aangeboden mobiel netwerk. Dergelijke aansluitingen kunnen zowel vaste als mobiele aansluitingen zijn en zowel nationaal als internationaal.	Eis	C
2.4.12	Als een voicemail-box indirect (dus niet via een directe aansluiting op een door de Opdrachtnemer aangeboden mobiel netwerk) wordt benaderd dan dient de toegang verplicht te zijn beveiligd met behulp van een pincode. De initieel geleverde beveiliging voor indirecte toegang mag geen standaard of voor de hand liggende pincode bevatten (zoals ‘0000’ of ‘1234’).	Eis	C
2.4.13	Een bericht moet na beluisteren nog minimaal 48 uur bewaard blijven.	Eis	C
2.4.14	Een onbeluisterd bericht moet minimaal 14 dagen bewaard blijven.	Eis	C
2.4.15	Voicemail-berichten moeten automatisch naar een vrij te definiëren e-mailadres kunnen worden doorgestuurd in een gangbaar formaat, zoals bijvoorbeeld WAV of MPEG.	Eis	C

2.5. SMS

Volgnr	Omschrijving	Eis/wens	C/NC
2.5.1	De Opdrachtnemer moet de mogelijkheid bieden om SMS- berichten te ontvangen en te verzenden naar ieder telefoonnummer waar een SMS-bericht naar kan worden verzonden.	Eis	C
2.5.2	Sms-berichten moeten verzonden en ontvangen kunnen worden als gebruik wordt gemaakt van roaming.	Eis	C
2.5.3	Als bij een verzonden SMS-bericht de ontvanger bij de eerste poging(en) niet bereikbaar is, moet gedurende de eerste 24 uur minimaal 2 keer per uur worden gepoogd het SMS-bericht af te leveren.	Eis	C
2.5.4	Inkomende SMS-berichten moeten gedurende minimaal een week herhaaldelijk worden aangeboden aan een inactieve gebruiker.	Eis	C

2.6. Vast-mobiel koppeling

Volgnr	Omschrijving	Eis/wens	C/NC
2.6.1	De Opdrachtnemer moet een directe koppeling kunnen realiseren tussen het door hem aangeboden mobiele netwerk en de bedrijfstelefonie-omgeving van de Deelnemer (een Vast-Mobiel koppeling).	Eis	C
2.6.2	Een Vast-Mobiel koppeling dient gerealiseerd te kunnen worden op basis van een SIP verbinding die voldoet aan industriestandaarden zoals de SIP connect Technical RecommendationV2.0 of hoger.	Eis	C
2.6.3	Een Vast-Mobiel koppeling dient gerealiseerd te kunnen worden op basis van een ISDN30 verbinding. Het is hierbij ook toegestaan een ander type verbinding met een ISDN30 koppelvlak aan te bieden.	Eis	C

3. Mobiele data

3.1. Algemene eisen mobiele data

Volgnr	Omschrijving	Eis/wens	C/NC
3.1.1	Als er tijdens mobiel datagebruik een overgang plaatsvindt tussen mobiele netwerken die door de Opdrachtnemer zijn aangeboden (bijvoorbeeld van een breedbandiger naar een smalbandiger netwerk of andersom), dan moet dit transparant (onmerkbaar) verlopen. De gebruiker mag hoogstens een performance- degradatie constateren (throughput, delay) bij overgang naar het andere netwerk. Het IP-adres moet behouden blijven.	Eis	C
3.1.2	Mobiel dataverkeer dient altijd afgehandeld te worden op de maximaal haalbare snelheid. Als apparatuur via de gebruikte Aansluiting aangesloten is op een smalbandiger netwerk en er is (komt) een breedbandiger netwerk beschikbaar, dan dient deze apparatuur over te kunnen schakelen naar dit breedbandigere netwerk met de bij dat breedbandigere netwerk passende maximale haalbare snelheid.	Eis	C
3.1.3	Alle Aansluitingen die zijn geautoriseerd voor mobiel dataverkeer bieden standaard toegang tot het internet.	Eis	C
3.1.4	Mobiel dataverkeer mag niet in snelheid beperkt worden en de hoogst mogelijke snelheid voor zowel down- als upload verkeer, zoals die door het aangekoppelde netwerk wordt ondersteund, dient voor aangesloten Aansluitingen beschikbaar te zijn. Een beperking van de snelheid is wel toegestaan als de Deelnemer gekozen heeft voor een snelheidsbeperking bij het bereiken van de ingestelde limiet van het mobiel datagebruik voor een Aansluiting (zie eis 3.1.11).	Eis	C
3.1.5	De aangeboden mobiele netwerken dienen al het dataverkeer transparant, ongefilterd en ongelimiteerd te transporteren (denk hierbij aan VoIP en IPsec verkeer).	Eis	C
3.1.6	Instellingen voor het gebruik van mobiel dataverkeer (waaronder de internet APN) dienen automatisch en zonder interventie van de eindgebruiker op de gebruikte mobiele apparatuur te worden aangebracht, mits de betreffende mobiele apparatuur dit toelaat.	Eis	C

3.1.7	Bij de-installatie van voor de mobiele datadienst benodigde software moeten ALLE veranderingen die bij de installatie hebben plaatsgevonden teniet worden gedaan, indien en voor zover dit in overeenstemming is met de richtlijnen van de leverancier van het Operating System. Er mag dus geen data (programma’s, drivers, files etc.) achterblijven in de registry en/of op opslagmedia.	Eis	C
3.1.8	De Opdrachtnemer dient voor Tariefzone 1 minimaal vijf verschillende mobiele datalimieten te ondersteunen. De hoogte van de ondersteunde limieten zijn instelbaar en aanpasbaar door de CBO. De limieten kunnen vervolgens door de Deelnemers aan een Aansluiting worden toegewezen.	Eis	C
3.1.9	De Deelnemer dient voor iedere door de Opdrachtnemer overige gehanteerde Tariefzones (dus voor de Tariefzones 2 t/m 5, voor zover in gebruik) een aparte datalimiet op te kunnen geven.	Wens 50 punten
3.1.10	De gebruiker van een Aansluiting en, indien gewenst, degene die namens de Deelnemer de Aansluitingen beheert, dienen via een e- mail of SMS-bericht een waarschuwing te krijgen als de limiet van het mobiele datagebruik dreigt te worden overschreden.	Eis	C
3.1.11	De Deelnemer heeft, als de limiet van het mobiele datagebruik van een Aansluiting is overschreden, de volgende, door de Deelnemer in te stellen keuzemogelijkheden: - Mobiel dataverbruik op de betreffende Aansluiting blijft onverkort mogelijk. - Mobiel dataverbruik op de betreffende Aansluiting wordt belemmerd. Onder het belemmeren van mobiel dataverbruik wordt verstaan dat de Opdrachtnemer het mobiele dataverkeer in zijn geheel blokkeert, of de doorvoersnelheid op de Aansluiting terugbrengt tot een snelheid waarmee slechts beperkte functionaliteit wordt ondersteund. Onder beperkte functionaliteit wordt onder meer verstaan het versturen en ontvangen van korte berichten of eenvoudige e-mails.	Wens 50 punten

3.2. Private APN

Volgnr	Omschrijving	Eis/wens	C/NC
3.2.1	Private APN
3.2.1.1	Aansluitingen kunnen logisch gekoppeld worden aan en deel uitmaken van het bedrijfsnetwerk van een Deelnemer door het toepassen van private APN's (Access Point Names). De Opdrachtnemer moet private APN's kunnen leveren.	Eis	C
3.2.1.2	Een Deelnemer moet over de mogelijkheid beschikken om het Network-ID deel van de private APN-naam zelf vrij te kiezen. De Opdrachtnemer kan er hierbij van uitgaan dat de APN-naam voldoet aan algemene eisen die voor dergelijke namen gelden en niet conflicteert met al bestaande APN namen.	Eis	C
3.2.1.3	De Opdrachtnemer moet aan een organisatie(onderdeel) minimaal 10 private APN’s kunnen leveren.	Eis	C
3.2.1.4	Het verkeer binnen verschillende private APN’s moet logisch gescheiden worden binnen de door de Opdrachtnemer aangeboden mobiele netwerken en logisch gescheiden afgeleverd worden op het bedrijfsnetwerk van de Deelnemer. Logische scheiding kan gerealiseerd worden met tunneling-, VPN- en/of VLAN-technologie.	Eis	C
3.2.1.5	Een gedefinieerde private APN is transparant beschikbaar via alle door de Opdrachtnemer aangeboden mobiele datanetwerken.	Eis	C
3.2.1.6	Binnen een private APN is het mogelijk om IP-adressen toe te kennen aan mobiele terminals uit een IP-adrespool van de Deelnemer. Voor het automatisch toekennen van IP-adressen moet de Deelnemer kunnen kiezen uit de volgende methoden: - De Opdrachtnemer deelt de adressen uit, uit een door de Deelnemer beschikbaar gestelde IP-adrespool. - De Deelnemer deelt via RADIUS en/of DHCP IP-adressen uit, uit een afgesproken IP-adrespool.	Eis	C
3.2.1.7	Een Aansluiting wordt minimaal op basis van MSISDN geauthentiseerd voor toegang tot het mobiele netwerk en private APN.	Eis	C

3.2.1.8	Het MSISDN-nummer dient meegestuurd te worden in RADIUS- attributen ten behoeve van logging en/of authenticatie door de Deelnemer.	Eis	C
3.2.1.9	Voor authenticatie wordt gebruik gemaakt van RADIUS. De RADIUS-communicatie tussen de RADIUS-client in de GGSN- en een RADIUS-server in het Enterprise domein vindt out-of-band (logisch gescheiden) plaats en gescheiden op laag 2 niveau (d.w.z. in een aparte PDP-context).	Eis	C
3.2.1.10	In geval van internationaal roaming moet de Deelnemer de mogelijkheid hebben om gebruik te kunnen maken van de voor hem geconfigureerde private APN's.	Eis	C
3.2.1.11	De Opdrachtnemer kan private APN’s leveren die IPv6 ondersteunen.	Eis	C
3.2.2	APN-koppeling
3.2.2.1	De koppeling tussen de door de Opdrachtnemer aangeboden mobiele netwerken en het bedrijfsnetwerk van de Deelnemer dient gerealiseerd te kunnen worden via een secure internetverbinding. Met secure internet wordt een verbinding bedoeld die door de Deelnemer in samenwerking met de Opdrachtnemer wordt beveiligd door middel van IPsec.	Eis	C
3.2.2.2	De koppeling tussen de door de Opdrachtnemer aangeboden mobiele netwerken en het bedrijfsnetwerk van de Deelnemer dient gerealiseerd te kunnen worden via een door de Opdrachtnemer te leveren beheerde netwerkkoppeling (bestaande uit zowel verbinding als apparatuur). Dit betreft een dedicated verbinding die niet via internet loopt.	Eis	C
3.2.2.3	De Opdrachtnemer dient een beheerde netwerkkoppeling te kunnen leveren op iedere locatie van de Deelnemer en op iedere locatie waar een datacentrum is gesitueerd waar de Deelnemer gebruik van maakt.	Eis	C
3.2.2.4	De beheerde netwerkkoppelingen moeten leverbaar zijn met een niet-overboekte doorvoercapaciteit van 10 Mb/s.	Eis	C
3.2.2.5	De beheerde netwerkkoppelingen moeten leverbaar zijn met een niet-overboekte doorvoercapaciteit van 100 Mb/s.	Eis	C

3.2.2.6	De beheerde netwerkkoppelingen moeten leverbaar zijn met een niet-overboekte doorvoercapaciteit van 1 Gb/s.	Eis	C
3.2.2.7	De beheerde netwerkkoppeling dient geleverd te worden met een Ethernet koppelvlak.	Eis	C
3.2.2.8	De beschikbare bandbreedte op de beheerde netwerkkoppeling met het bedrijfsnetwerk, al dan niet redundant, moet op een gelijkmatige manier verdeeld kunnen worden over meerdere private APN’s. Verkeer van het ene private APN mag het verkeer van een ander private APN niet wegdrukken.	Eis	C

4. Overige Diensten

4.1. Preferente netwerktoegang

Volgnr	Omschrijving	Eis/wens	C/NC
Info	De Opdrachtnemer hoeft de diensten die in deze paragraaf (preferente netwerktoegang) zijn beschreven uitsluitend binnen Nederland te leveren. In deze paragraaf wordt een aantal minimale hoeveelheden Aansluitingen genoemd die de Opdrachtnemer geschikt dient te kunnen maken voor preferente netwerktoegang. De Opdrachtnemer is verplicht op verzoek van een Deelnemer bestellingen tot en met deze minimale aantallen te accepteren en te leveren. Deelnemers mogen kleinere aantallen dan de genoemde minimale aantallen bestellen. De Opdrachtnemer mag grotere aantallen dan deze minimale aantallen leveren, maar is hiertoe niet verplicht.	Info
4.1.1	Preferente netwerktoegang spraakverkeer
4.1.1.1	Als door netwerkcongestie mobiel spraakverkeer voor een reguliere Aansluiting niet mogelijk is dan dient voor bepaalde, daartoe door de Deelnemer aangewezen Aansluitingen (Aansluitingen met preferente netwerktoegang spraakverkeer) toch mobiel spraakverkeer mogelijk te zijn.	Eis	C

4.1.1.2	Iedere deelnemende veiligheidsregio dient minimaal 100 Aansluitingen (zie de informatietekst over de betekenis van ‘minimaal’ bovenaan paragraaf 4.1) geschikt te kunnen (laten) maken voor preferente netwerktoegang voor spraakverkeer.	Eis	C
4.1.1.3	Deelnemers die geen veiligheidsregio zijn dienen minimaal 25 Aansluitingen (zie de informatietekst over de betekenis van ‘minimaal’ bovenaan paragraaf 4.1) geschikt te kunnen (laten) maken voor preferente netwerktoegang voor spraakverkeer.	Eis	C
4.1.1.4	Deelnemers die geen veiligheidsregio zijn en meer dan 850 Aansluitingen afnemen, dienen een grotere hoeveelheid Aansluitingen geschikt te kunnen (laten) maken voor preferente netwerktoegang voor spraakverkeer. Deze grotere hoeveelheid dient minimaal 3% van het aantal af te nemen Aansluitingen te zijn (zie de informatietekst over de betekenis van ‘minimaal’ bovenaan paragraaf 4.1).	Eis	C
4.1.2	Preferente netwerktoegang dataverkeer
Info	De in deze paragraaf 4.1.2 opgenomen Wensen (4.1.2.1 t/m 4.1.2.6) kunnen niet apart met ‘Conform’ (C) of ‘Niet-Conform’ (NC) worden beantwoord. De inschrijver kan uitsluitend ‘Conform’ (C) of ‘Niet-Conform’ (NC) voor alle wensen tezamen opgeven.	Info
4.1.2.1	Als door netwerkcongestie mobiel dataverkeer voor een reguliere Aansluiting niet mogelijk is dan dient voor bepaalde, daartoe door de Deelnemer aangewezen Aansluitingen (Aansluitingen met preferente netwerktoegang dataverkeer) toch mobiel dataverkeer mogelijk te zijn. Er is sprake van netwerkcongestie als de doorvoersnelheid van een Aansluiting door drukte op de aangesloten cel onder de 2 Mbit/s (zowel uplink als downlink) valt.	Wens 700 punten

4.1.2.2	De gegarandeerde doorvoercapaciteit voor Aansluitingen met preferente netwerktoegang voor dataverkeer in een cel dient 10 Mbit/s (zowel uplink als downlink) te zijn. Individuele Aansluitingen met preferente netwerktoegang voor dataverkeer krijgen initieel een gegarandeerde doorvoersnelheid van 2 Mbit/s (zowel uplink als downlink). Als het gebruik van de gezamenlijke Aansluitingen met preferente netwerktoegang voor dataverkeer in een cel de gegarandeerde totale doorvoercapaciteit van 10 Mbit/s overstijgt, dan dient de gegarandeerde doorvoercapaciteit van 10 Mbit/s in een cel evenredig te worden verdeeld over de aanwezige Aansluitingen in de cel.
4.1.2.3	Als er geen sprake is van netwerkcongestie dan gedraagt een Aansluiting met preferente netwerktoegang voor dataverkeer zich als een reguliere onder GT Mobiele Communicatie 3 uitgegeven Aansluiting. De doorvoersnelheid van Aansluitingen met preferente netwerktoegang voor dataverkeer kan derhalve hoger zijn dan 2Mbit/s als meer doorvoercapaciteit in de aangesloten cel beschikbaar is.
4.1.2.4	Iedere deelnemende veiligheidsregio dient minimaal 100 Aansluitingen (zie de informatietekst over de betekenis van ‘minimaal’ bovenaan paragraaf) geschikt te kunnen (laten) maken voor preferente netwerktoegang voor dataverkeer.
4.1.2.5	Deelnemers die geen veiligheidsregio zijn dienen minimaal 25 Aansluitingen (zie de informatietekst over de betekenis van ‘minimaal’ bovenaan paragraaf 4.1) geschikt te kunnen (laten) maken voor preferente netwerktoegang voor dataverkeer.
4.1.2.6	Deelnemers die geen veiligheidsregio zijn en meer dan 850 Aansluitingen afnemen, dienen een grotere hoeveelheid Aansluitingen geschikt te kunnen (laten) maken voor preferente netwerktoegang voor dataverkeer. Deze grotere hoeveelheid dient minimaal 3% van het aantal af te nemen Aansluitingen te zijn (zie de informatietekst over de betekenis van ‘minimaal’ bovenaan paragraaf 4.1).

4.1.3	Smalbandige preferente netwerktoegang
Info	Smalbandige preferente netwerktoegang is uitsluitend bedoeld voor aansluiting van vaste objecten (zoals sluizen, parkeermeters, verkeersregelinstallaties, etc.) op de door de Opdrachtnemer aangeboden mobiele netwerken. Deelnemers kunnen smalbandige preferente netwerktoegang uitsluitend inzetten in het eigen Verzorgingsgebied. De in deze paragraaf 4.1.3 opgenomen Wensen (4.1.3.1 en 4.1.3.2) kunnen niet apart met ‘Conform’ (C) of ‘Niet-Conform’ (NC) worden beantwoord. De inschrijver kan uitsluitend ‘Conform’ (C) of ‘Niet- Conform’ (NC) voor alle wensen tezamen opgeven.	Info
4.1.3.1	De Opdrachtnemer dient Aansluitingen te kunnen leveren die, indien nodig, prioriteit krijgen ten aanzien van de afhandeling van mobiel dataverkeer boven andere mobiele gebruikers/apparaten die zijn aangesloten op de door de Opdrachtnemer aangeboden mobiele netwerken. Deze geprioriteerde Aansluitingen hebben of krijgen altijd de beschikbaarheid over mobiel dataverkeer met een minimale doorvoersnelheid van 10 Kbit/s (zowel uplink als downlink) op het basisstation waarop zij zijn aangesloten of willen aansluiten.	Wens 300 punten
4.1.3.2	Een Deelnemer dient op iedere sector van een basisstation minimaal 200 Aansluitingen (zie de informatietekst over de betekenis van ‘minimaal’ bovenaan paragraaf 4.1) geschikt te kunnen (laten) maken voor smalbandige preferente netwerktoegang.

4.2. Verhoogde beschikbaarheid koppelingen (Vast-mobiel en APN)

Volgnr	Omschrijving	Eis/wens	C/NC
4.2.1	Vast-Mobiel en APN-koppelingen dienen single site, dual routed, single homed geleverd te kunnen worden. Hieronder wordt verstaan dat twee geografisch gescheiden verbindingen worden gerealiseerd tussen één locatie van de Deelnemer en één knooppunt (POP) in de infrastructuur van de Opdrachtnemer.	Eis	C

4.2.2	Vast-Mobiel en APN-koppelingen dienen dual site, dual routed, single homed geleverd te kunnen worden. Hieronder wordt verstaan dat twee geografische gescheiden verbindingen worden gerealiseerd tussen twee locaties van de Deelnemer en één knooppunt (POP) in de infrastructuur van de Opdrachtnemer	Eis	C
4.2.3	Vast-Mobiel en APN-koppelingen dienen single site, dual routed, dual homed geleverd te kunnen worden. Hieronder wordt verstaan dat twee geografische gescheiden verbindingen worden gerealiseerd tussen één locatie van de Deelnemer en twee knooppunten (POP’s) in de infrastructuur van de Opdrachtnemer	Eis	C
4.2.4	Vast-Mobiel en APN-koppelingen dienen dual site, dual routed, dual homed geleverd te kunnen worden. Hieronder wordt verstaan dat twee geografische gescheiden verbindingen worden gerealiseerd tussen twee locaties van de Deelnemer en twee knooppunten (POP’s) in de infrastructuur van de Opdrachtnemer	Eis	C
4.2.5	Geografisch gescheiden verbindingen dienen met een minimale afstand van 50 meter tussen de tracés te worden aangelegd.	Eis	C
4.2.6	Als de geografisch gescheiden verbindingen worden ontsloten op één locatie van de Deelnemer (single site), dan dienen de aansluitingen aan verschillende zijden van het pand te worden gerealiseerd. Hiervan kan na goedkeuring van de Deelnemer worden afgeweken.	Eis	C
4.2.7	Opdrachtnemer dient gebruik te maken, indien aanwezig, van infrastructuur die Opdrachtnemer t.b.v. andere contracten al heeft aangelegd bij de Deelnemer. Als die infrastructuur al met voldoende capaciteit aanwezig is dan kan de Opdrachtnemer geen extra kosten in rekening brengen voor aanleg van infrastructuur. Als er geen eigen infrastructuur van de Opdrachtnemer aanwezig is dan dient de Opdrachtnemer zoveel mogelijk gebruik te maken van wel aanwezige infrastructuur van derden. De Opdrachtnemer dient het te onderbouwen als hij geen gebruik kan maken van aanwezige infrastructuur van derden. Deze onderbouwing kan worden getoetst door het CBO.	Eis	C

4.3. Mobiele bedrijfstelefoniedienst

Volgnr	Omschrijving	Eis/wens	C/NC
Info	Met behulp van de mobiele bedrijfstelefoniedienst krijgen Deelnemers extra functionaliteit op de voor deze dienst aangemelde Aansluitingen.	Info
4.3.1	Het moet mogelijk zijn om bereikbaarheidsprofielen te definiëren en toe te passen, waarbij een inkomende oproep achtereenvolgens naar diverse bestemmingen kan worden gerouteerd. De volgende varianten van bereikbaarheidsprofielen moeten mogelijk zijn, waarbij één van de bestemmingen tussen haakjes optioneel toegevoegd moet kunnen worden: - Vast, mobiel, (voicemail mobiel) - Mobiel, vast, (voicemail mobiel)	Eis	C
4.3.2	Een call forwarding unconditional moet prevaleren boven een eventueel ingesteld bereikbaarheidsprofiel.	Eis	C
4.3.3	Het dient mogelijk te zijn een intern nummerplan met verkorte nummers tot maximaal zes cijfers te definiëren en te gebruiken. Alle actieve Aansluitingen die een Deelnemer in gebruik heeft dienen in dit interne nummerplan ondergebracht te kunnen worden	Eis	C
4.3.4	Het dient mogelijk te zijn Aansluitingen onder te brengen in zelf te definiëren groepen (verder ‘huntgroepen’ genaamd).	Eis	C
4.3.5	Het dient mogelijk te zijn om tot 25 Aansluitingen in een huntgroep te kunnen brengen (meer mag ook).	Eis	C
4.3.6	Een huntgroep is bereikbaar via een eigen, algemeen nummer waarop inkomende oproepen binnenkomen.	Eis	C
4.3.7	Als een Aansluiting ondergebracht is in een huntgroep dan dient bij uitgaand spraakverkeer ingesteld te kunnen worden of het eigen nummer dan wel het algemene nummer van de huntgroep als uitgaand nummer (CLI) wordt meegestuurd.	Eis	C
4.3.8	Een gebruiker van een in een huntgroep opgenomen Aansluiting dient deze Aansluiting zelf binnen de huntgroep aan en af te kunnen melden.	Eis	C

4.3.9

De Deelnemer dient zelf in te kunnen stellen op welke wijze inkomende oproepen worden verdeeld over de Aansluitingen in de huntgroep. De volgende keuzemogelijkheden zijn hierbij in ieder geval beschikbaar:

- alle toestellen van de in de huntgroep opgenomen Aansluitingen gaan gelijktijdig over, of

- de toestellen van de in de huntgroep opgenomen Aansluitingen gaan in een willekeurige volgorde één voor één over, of

- de toestellen van de in de huntgroep opgenomen Aansluitingen gaan in een vaste volgorde één voor één over.

Eis

4.3.10

Als een in de huntgroep inkomende oproep na distributie over de in de huntgroep gedefinieerde Aansluitingen niet wordt beantwoord, dan dient de oproep doorgeschakeld te kunnen worden naar een bij de huntgroep horende, algemene voicemail box.

Eis

4.4. Speciale Diensten

Volgnr	Omschrijving	Eis/wens	C/NC
4.4.1	Een Deelnemer dient Speciale Diensten te kunnen aanvragen. Dit zijn diensten die niet in de Raamovereenkomst zijn gespecificeerd, maar die wel vallen binnen de scope van de aanbesteding. Speciale Diensten komen tot stand op offertebasis.	Eis	C
4.4.2	De Opdrachtnemer is verplicht een Speciale Dienst te leveren als hij deze dienst al levert aan andere klanten in de Nederlandse markt.	Eis	C

4.4.3	Naast de in de vorige eis genoemde verplichting geldt dat de volgende diensten in ieder geval worden gezien als Speciale Diensten waarvoor de Opdrachtnemer verplicht is om op verzoek van een Deelnemer offerte uit te brengen: - Leveren, installeren en beheren van indoor dekkingsinstallaties. - Het leveren/aanleggen, installeren van infrastructuur voor een beheerde netwerkkoppelingen voor een APN als er geen of onvoldoende infrastructuur van de Opdrachtnemer op de locatie van de Deelnemer beschikbaar is. - Het leveren/aanleggen, installeren en beheren van infrastructuur om te komen tot een verhoogde beschikbaarheid van Vast-mobiel koppelingen en APN-koppelingen. - Het koppelen op een door een andere Opdrachtnemer beheerde indoor dekkingsinstallatie met als doel het realiseren van multi- provider indoor dekking. - Het leveren van specifieke maatwerkrapportage. - Het leveren van een koppeling op een systeem voor elektronisch bestellen en facturen voor zover dit systeem niet voldoet aan de specificaties die zijn opgenomen in paragraaf 5.8.2.3. - Het activeren, configureren en/of omwisselen van Aansluitingen, op door de Deelnemer aan te wijzen locaties. - Het leveren van een (federatieve) koppeling van authenticatie van het webbased portaal aan Active Directory of andere in de markt gangbare Identity & Access Management producten, die bij de Deelnemer in gebruik zijn.	Eis	C
4.4.4	Indien een Deelnemer behoefte heeft aan een Speciale Dienst, dient de Opdrachtnemer hiervoor per aanvraag een offerte met een plan van aanpak uit te brengen.	Eis	C
4.4.5	Offertes voor Speciale Diensten bestaan, indien mogelijk en van toepassing, zoveel mogelijk uit Diensten die al in de Raamovereenkomst zijn opgenomen, en worden aangevuld met werkzaamheden of diensten die niet in de Raamovereenkomst zijn opgenomen.	Eis	C
4.4.6	Offertes voor Speciale Diensten dienen ter goedkeuring te worden voorgelegd aan de CBO, tenzij de CBO schriftelijk heeft aangegeven dit niet noodzakelijk te achten.	Eis	C
4.4.7	Het staat de Deelnemer die een offerte voor een Speciale Dienst heeft aangevraagd vrij de offerte te accepteren dan wel af te wijzen.	Eis	C

4.4.8	De Deelnemer is gerechtigd Speciale Diensten exclusief uit te vragen bij de Opdrachtnemer waarmee een Nadere Overeenkomst is gesloten.	Eis	C
4.4.9	De Opdrachtnemer dient binnen 10 Werkdagen na ontvangst van een offerteaanvraag voor een Speciale Dienst een offerte uit te brengen, tenzij voorafgaand aan het uitbrengen van een offerte een site-survey dient te worden uitgevoerd. De Opdrachtnemer kan via de CBO een verzoek indienen, voorzien van ieder geval een deugdelijke onderbouwing en concrete planning, om de genoemde termijn van 10 Werkdagen te verlengen. Het is aan de CBO om dit verzoek na een redelijke afweging van belangen al dan niet te honoreren.	Eis	C
4.4.10	Als voorafgaand aan het uitbrengen van een offerte een site-survey dient te worden uitgevoerd, dan dient de site-survey binnen 10 Werkdagen na de offerteaanvraag voor de Speciale Dienst te zijn afgerond. De offerte dient binnen 10 Werkdagen na afronding van de site-survey te worden uitgebracht. De Opdrachtnemer kan via de CBO een verzoek indienen, voorzien van ieder geval een deugdelijke onderbouwing en concrete planning, om één of beide genoemde termijnen van 10 Werkdagen te verlengen. Het is aan de CBO om dit verzoek na een redelijke afweging van belangen al dan niet te honoreren.	Eis	C
4.4.11	Elke offerte dient te worden uitgebracht op basis van een open calculatie, en bevat minimaal: - tot op product- en dienstniveau gespecificeerde beschrijving van de Speciale Dienst; - geldigheidsduur van de offerte; - levertermijn; - alle gehanteerde tarieven; - opleverdatum; - afbakening en beschrijving van de levering/dienst; - servicelevels en rapportages.	Eis	C
4.4.12	De gehanteerde prijzen en Tarieven in offertes voor Speciale Diensten dienen te zijn gemaximaliseerd tot de kostprijzen van de te leveren producten of diensten, vermeerderd met het in de Tarieflijst opgenomen ‘toeslagpercentage op de kostprijs bij Speciale Diensten’.	Eis	C

4.4.13

Offertes dienen een geldigheidsduur te hebben van minimaal 60 dagen en worden uitgebracht onder de voorwaarden van de Raamovereenkomst die op basis van deze aanbesteding wordt aangegaan.

Eis

4.5. Duo-SIM

Volgnr	Omschrijving	Eis/wens	C/NC
4.5.1	Het dient mogelijk te zijn een gebruiker te voorzien van een extra, functioneel gelijkwaardige SIM-kaart (geldt niet voor eSIM).	Eis	C

4.6. Wifi hotspots

Volgnr	Omschrijving	Eis/wens	C/NC
4.6.1	Deelnemers dienen zonder beperkingen gebruik te kunnen maken van de WiFi hotspots die de Opdrachtnemer aanbiedt in binnen- en buitenland.	Eis	C
4.6.2	Als de Opdrachtnemer zelf geen mobiele netwerken in beheer of eigendom heeft, dan dienen Deelnemers zonder beperkingen gebruik te kunnen maken van de WiFi hotspots die worden aangebonden door de eigenaar(s)/beheerder(s) van de aangeboden mobiele netwerken.	Eis	C

4.7. Implementatie- en Adviesdiensten

Volgnr	Omschrijving	Eis/wens	C/NC
4.7.1	De Opdrachtnemer moet de mogelijkheid bieden tot het verlenen van implementatie- en adviesdiensten inzake de aangeboden dienstverlening. Deze diensten hebben als doel te komen tot een goede implementatie en gebruik van de aangeboden diensten.	Eis	C

4.7.2

De diensten dienen op verzoek van de Deelnemer uitgevoerd te worden op locaties zoals aangegeven door de Deelnemer.

Eis

4.7.3

De Opdrachtnemer dient op verzoek van de Deelnemer op uurbasis de volgende functionarissen te leveren voor de uitvoering van implementatie- en adviesdiensten:

- Projectleider/Adviseur Telecommunicatie.

- Technicus/Engineer.

- Medewerker beheer/migratie.

- Migratie coördinator.

De functionarissen worden ingezet tegen het uurtarief dat in de Tarieflijst voor iedere functie is opgenomen. Dit uurtarief is een Tarief inclusief reis- en verblijfskosten.

Eis

5. Beheer en Organisatie

5.1. Algemene beheereisen

Volgnr	Omschrijving	Eis/wens	C/NC
5.1.1	Alle kosten die de Opdrachtnemer maakt in het kader van Xxxxxx en Organisatie, waaronder alle kosten die gerelateerd zijn aan de eisen in deze Conformiteitlijst, kan de Opdrachtnemer niet in rekening brengen en dienen derhalve inbegrepen te zijn in de Tarieven van de Diensten.	Eis	C
5.1.2	De Opdrachtnemer verklaart dat hij - om de in dit document geëiste resultaten te leveren - de achterliggende (beheer)processen op orde heeft.	Eis	C
5.1.3	De Opdrachtnemer zorgt er voor dat eventuele benodigde software voor het uitvoeren van de dienstverlening altijd up-to-date is. Dit betekent dat software nooit ouder mag zijn dan de één-na-laatste officieel uitgebrachte release, tenzij met een Deelnemer anders is overeengekomen.	Eis	C

5.1.4

Het doorvoeren van softwarewijzigingen op producten die specifiek worden ingezet voor één of meer Deelnemers (dus niet ook voor andere klanten van de Opdrachtnemer) vindt alleen plaats na voorafgaande afstemming met en toestemming van de betreffende Deelnemer(s).

Eis

5.2. Duurzaamheid

Volgnr	Omschrijving	Eis/wens	C/NC
5.2.1	Alle geleverde producten dienen deugdelijk te zijn verpakt. De Opdrachtnemer garandeert dat de verpakkingsmaterialen van geleverde producten op aangeven van de Deelnemer zullen worden afgevoerd en duurzaam verwerkt.	Eis	C
5.2.2	Als bij producten additionele componenten worden meegeleverd waar de Deelnemer geen behoefte aan heeft, dan dient de Opdrachtnemer deze additionele componenten op verzoek van de Deelnemer af te voeren en te recyclen of duurzaam te verwerken. Dit kan bijvoorbeeld van toepassing zijn bij meegeleverde kabels, CD's/DVD's of documentatie.	Eis	C

5.3. Inrichten dienstverlening, dossier afspraken en procedures

Volgnr	Omschrijving	Eis/wens	C/NC
5.3.1	Inrichten dienstverlening
5.3.1.1	De Opdrachtgever en de Opdrachtnemer gebruiken na inwerkingtreding van de Raamovereenkomst een periode van 60 dagen om de dienstverlening in te richten en te accepteren. Aan het eind van deze periode dient de dienstverlening operationeel te zijn conform alle overeengekomen specificaties.	Eis	C

5.3.1.2	De Opdrachtnemer dient gedurende de periode van inrichten en accepteren volledige toegang te geven tot en inzicht te geven in de dienstverlening die op basis van het Beschrijvend Document geleverd dient te worden. De Opdrachtgever is in dit kader in ieder geval, doch niet uitsluitend, voornemens toegang tot en inzicht te krijgen in: - Technische en functionele aspecten van de dienstverlening. - Het in te zetten webbased portaal. - De te leveren rapportages. - De incident- en serviceprocessen. - Het bestelproces. - De facturen en het factureringsproces.	Eis	C
5.3.1.3	Tijdens de periode van inrichting van de dienstverlening zal een landelijke dekkingstoets worden gehouden (zie ook Bijlage 10 Beschikbaarheid en Beschikbaarheidstoets). De Opdrachtnemer dient direct na inwerkingtreding van de Raamovereenkomst (en dus ook direct vanaf de start van de periode van inrichting van de dienstverlening) te voldoen aan alle eisen die zijn gesteld in het kader van het uitvoeren van een (landelijke) dekkingstoets.	Eis	C
5.3.1.4	De Opdrachtgever zal de dienstverlening accepteren als deze voldoet aan alle overeengekomen specificaties. Als dit niet het geval is zal de Opdrachtgever schriftelijk (eventueel in een e-mail) aangeven op welke punten de dienstverlening tekortschiet. De Opdrachtnemer dient er in dat geval binnen maximaal 10 Werkdagen alsnog voor te zorgen dat de dienstverlening op bedoelde punten conform overeengekomen specificaties wordt gebracht.	Eis	C
5.3.1.5	Als de dienstverlening niet door De Opdrachtgever is geaccepteerd, dan heeft een Deelnemer het recht om de betreffende Opdrachtnemer niet mee te laten dingen in minicompetities voor gunning van een Nadere Overeenkomst.	Eis	C
5.3.1.6	De in deze paragraaf 5.3.1 genoemde eisen staan in geen geval andere in de Raamovereenkomst opgenomen voorwaarden/consequenties (zoals boetebedingen of schadevergoedingen) in de weg die van kracht zijn als de Opdrachtnemer niet tijdig de overeengekomen dienstverlening conform alle overeengekomen specificaties levert.	Eis	C

5.3.2	Dossier Afspraken en Procedures (DAP)
Info	Voor het vastleggen van praktische, operationele werkafspraken wordt zowel voor de Raamovereenkomst als voor iedere Nadere Overeenkomst een DAP opgesteld. In een DAP kunnen geen voorwaarden worden opgenomen die aanvullend zijn of in strijd zijn met voorwaarden die in de Raamovereenkomst of een Nadere Overeenkomst zijn opgenomen. Mochten in het DAP toch contractvoorwaarden zijn opgenomen dan zijn deze voorwaarden in alle gevallen ongeldig.	Info
5.3.2.1	Binnen 60 dagen na inwerkingtreding van de Raamovereenkomst dient een DAP te zijn opgesteld waarin praktische, operationele werkafspraken tussen de Opdrachtnemer en de CBO zijn vastgelegd. Dit DAP is van kracht tijdens de looptijd van de Raamovereenkomst en zolang Nadere Overeenkomsten in werking zijn.	Eis	C
5.3.2.2	Binnen 60 dagen na inwerkingtreding van de Raamovereenkomst dient een template DAP te zijn opgesteld dat gebruikt zal worden voor het vastleggen van de praktische, operationele werkafspraken tussen de Opdrachtnemer en een Deelnemer.	Eis	C
5.3.2.3	Binnen 15 dagen na inwerkingtreding van een Nadere Overeenkomst dient een DAP te zijn opgesteld waarin praktische, operationele werkafspraken tussen de Opdrachtnemer en de Deelnemer(s) aan de betreffende Nadere Overeenkomst zijn vastgelegd. Dit DAP is van kracht tijdens de looptijd van de Nadere Overeenkomst.	Eis	C
5.3.2.4	De CBO is initiatiefnemer van en penvoerder tijdens het gezamenlijk opstellen van het eigen DAP met de Opdrachtnemer.	Eis	C
5.3.2.5	De CBO levert een concept template DAP op dat zal worden gebruikt voor het vastleggen van de praktische, operationele werkafspraken tussen de Opdrachtnemer en een Deelnemer. De CBO is penvoerder bij de verdere gezamenlijk uitwerking van dit template DAP.	Eis	C
5.3.2.6	De Opdrachtnemer is initiatiefnemer van en penvoerder tijdens het gezamenlijk opstellen van de DAP’s tussen de Opdrachtnemer en Deelnemers.	Eis	C

5.4. Governance

Volgnr	Omschrijving	Eis/wens	C/NC
5.4.1	Algemeen
Info	Het contractmanagement van de Raamovereenkomst wordt uitgevoerd door een door de Opdrachtgever aangewezen Contract Beheer Organisatie (CBO). De Nadere Overeenkomsten worden gesloten door de Deelnemers. Het contractmanagement van deze Nadere Overeenkomsten wordt uitgevoerd door de betreffende Deelnemers.	Info
5.4.1.1	Een Deelnemer kan Nadere Overeenkomsten sluiten namens zichzelf, namens een andere Deelnemer en namens een groep Deelnemers (waar hij al dan niet zelf deel van uitmaakt).	Eis	C
5.4.1.2	Een Deelnemer kan besluiten het contractmanagement van een Nadere Overeenkomst namens hem uit te laten voeren door een andere Deelnemer.	Eis	C
5.4.1.3	De Opdrachtnemer verstrekt een kopie van iedere gesloten Nadere Overeenkomst aan de CBO.	Eis	C
5.4.1.4	Een Deelnemer kan besluiten het contractmanagement van een Nadere Overeenkomst over te dragen aan een daartoe aangewezen private of publieke partij (ook niet-Deelnemers). De Opdrachtnemer beschouwt deze private of publieke partij als handelend namens de Deelnemer.	Eis	C
5.4.1.5	De Opdrachtnemer dient een accountteam toe te wijzen aan de Deelnemers. Dit team bestaat minimaal uit een accountmanager, een servicemanager, een billing specialist en een technisch specialist.	Eis	C
5.4.1.6	De in de vorige eis genoemde functionarissen of vervangers zijn telefonisch bereikbaar op Werkdagen van 09:00 uur tot en met 17:00 uur.	Eis	C
5.4.2	Overleg

Info

De in deze paragraaf beschreven overleggen vinden digitaal plaats. Als één van de aan de overleggen deelnemende partijen van mening is dat een digitaal overleg onvoldoende effectief is, dan dient het betreffende overleg fysiek plaats te vinden op een door de Deelnemer of CBO aan te wijzen locatie. Als onenigheid ontstaat over de noodzaak om een overleg fysiek te laten plaatsvinden, kan de CBO hierover om een bindend oordeel worden gevraagd.

Info

5.4.2.1

Tussen de Contract Beheer Organisatie (CBO) en de Opdrachtnemer vindt één keer per kwartaal overleg plaats. Dit overleg spitst zich toe op de Raamovereenkomst, waarbij onder meer gesproken kan worden over:

- aanpassingen aan de Raamovereenkomst;

- dienstverleningsverbetering (DVV);

- marktconformiteit;

- uitgevoerde en uit te voeren audits;

- escalaties;

- performance van de dienstverlening in het algemeen;

- financiën;

- rapportages;

- service levels.

Als daar aanleiding toe is kan op verzoek van de CBO of de Opdrachtnemer de frequentie van dit overleg tijdelijk worden verhoogd.

Eis

5.4.2.2

Op verzoek van de Deelnemer vindt er tussen de Deelnemer en de Opdrachtnemer één keer per kwartaal overleg plaats. Dit overleg spitst zich toe op de Nadere Overeenkomst(en), waarbij onder meer gesproken kan worden over:

- bestellingen en leveringen;

- aanpassingen aan het Dossier Afspraken en Procedures (DAP);

- maandrapportages;

- beschikbaarheid en kwaliteit van de dienstverlening;

- optimalisatie van de dienstverlening;

- servicelevels.

Als daar aanleiding toe is kan op verzoek van de Deelnemer of de Opdrachtnemer de frequentie van dit overleg tijdelijk worden verhoogd.

Eis

5.4.2.3

De exacte inrichting van en werkafspraken over de overleggen komen tot stand in samenwerking tussen de Deelnemer en de Opdrachtnemer, en worden vastgelegd in het DAP.

Eis

5.4.2.4

Indien er behoefte is bij de Deelnemer en/of de Opdrachtnemer vindt er maandelijks een probleemoverleg en wijzigingsoverleg plaats. Hierin komen de door de Deelnemer en/of de Opdrachtnemer gesignaleerde problemen en wijzigingen aan de orde, evenals de planning voor oplossing en implementatie.

Eis

5.5. Serviceherstelmaatregelen

Volgnr	Omschrijving	Eis/wens	C/NC
5.5.1	Escalatie
5.5.1.1	Als sprake is van een tekortschietende dienstverlening treden Partijen met elkaar in overleg om nakoming van de Overeenkomst zeker te stellen, waarbij in totaal 3 escalatieniveaus zijn te doorlopen. De Deelnemer jegens wie de dienstverlening tekortschiet (of de CBO) zal voorafgaand aan dat overleg schriftelijk of via email aan de Opdrachtnemer aangeven op welke punten de Opdrachtnemer is tekortgeschoten.	Eis	C

5.5.1.2	Het eerste escalatieniveau bij de Opdrachtnemer is het toegewezen accountteam (zie eis 5.4.1.5). De Deelnemer handelt zelf escalaties op het eerste niveau af.	Eis	C
5.5.1.3	Het tweede escalatieniveau bij de Opdrachtnemer is de functionaris die bevoegd is om extra medewerkers en middelen toe te wijzen. De Deelnemer cq de Opdrachtgever wordt bij een escalatie op het tweede niveau vertegenwoordigd door de CBO.	Eis	C
5.5.1.4	Het derde escalatieniveau bij de Opdrachtnemer is de functionaris die eindverantwoordelijk is voor de totale dienstverlening in Nederland. De Deelnemer cq de Opdrachtgever wordt bij een escalatie op het derde niveau vertegenwoordigd door de ondertekenaar van de Raamovereenkomst of door de Opdrachtgever van de CBO.	Eis	C
5.5.2	Servicelevels en boetes
5.5.2.1	Als de dienstverlening tekortschiet kan de Opdrachtgever (CBO) of de Deelnemer een boete opleggen. In Bijlage 06 Servicelevels en Boeteregime staat aangegeven in welke gevallen een boete kan worden opgelegd en wat de hoogte van de boete is. Een boete wordt alleen opgelegd als de Opdrachtnemer tekortschiet. In geval van overmacht wordt er geen boete opgelegd.	Eis	C
5.5.2.2	Vervallen
5.5.2.3	Alle boetes worden opgelegd en geïnd door de Opdrachtgever (CBO) op de wijze zoals beschreven in het DAP. De Opdrachtgever (CBO) kan het opleggen en innen van boetes overdragen aan een Deelnemer.	Eis	C
5.5.2.4	Als een boete wordt opgelegd, zal de Opdrachtgever (CBO) cq de Deelnemer dit schriftelijk of via e-mail melden aan de Opdrachtnemer.	Eis	C

5.5.2.5	De Opdrachtgever (CBO) cq de Deelnemer kan de oplegging van een boete één maand opschorten. De termijn van het opschorten kan meerdere malen met één maand verlengd worden. De Opdrachtgever (CBO) cq de Deelnemer behoudt dan het recht de opgeschorte boete alsnog op te leggen, tot het moment dat de Opdrachtgever (CBO) cq de Deelnemer schriftelijk te kennen geeft dat deze definitief vervalt.	Eis	C
5.5.2.6	Bij Speciale Diensten zijn de in Bijlage 06 Servicelevels en Boeteregime opgenomen servicelevels, voor zover toepasselijk, van kracht, tenzij de Deelnemer en Opdrachtnemer in de opdrachtomschrijving van de betreffende Speciale Dienst expliciet anders zijn overeengekomen.	Eis	C
5.5.3	Evaluatie en verbeterplan
5.5.3.1	Bij een tekortschietende dienstverlening is het zo snel mogelijk herstellen van de dienstverlening de eerste prioriteit. De Deelnemer en de CBO kunnen de Opdrachtnemer opdragen om - parallel aan het herstellen van de dienstverlening - direct te starten met het uitvoeren van een evaluatie van de oorzaak van het tekortschieten en het opstellen van een verbeterplan.	Eis	C
5.5.3.2	De Opdrachtnemer heeft 6 Werkdagen de tijd om de evaluatie af te ronden en hierover te rapporteren aan de Deelnemer en de CBO. Uit de evaluatie dient duidelijk naar voren te komen waardoor het tekortschieten van de dienstverlening is veroorzaakt.	Eis	C
5.5.3.3	Na het afronden van de evaluatie heeft de Opdrachtnemer 5 Werkdagen de tijd om een adequaat verbeterplan op te stellen. Het verbeterplan bevat een overzicht van de stappen die genomen gaan worden om herhaling van het tekortschieten in de toekomst te voorkomen.	Eis	C
5.5.3.4	Het verbeterplan dient voorzien te zijn van een planning waarin de verbeteringen worden doorgevoerd en dient ter acceptatie te worden voorgelegd aan de Deelnemer en indien van toepassing aan de CBO. De Opdrachtnemer rapporteert periodiek (frequentie wordt door de CBO cq de Deelnemer vastgesteld) over de voortgang van de realisatie van het verbeterplan.	Eis	C
5.5.4	Step-in rights

Info	Onder step-in rights wordt verstaan dat de Opdrachtnemer een overleg organiseert van het managementteam op het van toepassing zijnde escalatieniveau. In dit overleg worden structurele problemen en maatregelen besproken die in verband staan met het herstellen van de kwaliteit van de dienstverlening. De CBO cq de Opdrachtgever is hierbij aanwezig.	Info
5.5.4.1	Als tekortschietende dienstverlening niet binnen 4 weken na tekortschieten in voldoende mate is hersteld, dan kan de CBO gebruikmaken van step-in rights. De Opdrachtnemer belegt een overleg waarin in ieder geval de functionarissen plaatsnemen die namens de Opdrachtnemer verantwoordelijk zijn voor de dienstverlening (servicemanager) en het accountmanagement. De CBO wordt in dit overleg geïnformeerd over de wijze waarop de tekortkoming wordt opgelost en is tevens gerechtigd te adviseren over de wijze waarop de tekortkoming dient te worden opgelost.	Eis	C
5.5.4.2	Als tekortschietende dienstverlening niet binnen 4 weken na het eerst gehouden step-in overleg is hersteld, dan kan de Opdrachtgever gebruik maken van step-in rights. De Opdrachtnemer belegt een overleg waaraan in ieder geval de Opdrachtgever en de directeur van de opdrachtnemende organisatie deelnemen. De Opdrachtgever wordt in dit overleg geïnformeerd over de wijze waarop de tekortkoming wordt opgelost en is tevens gerechtigd te adviseren over de wijze waarop de tekortkoming dient te worden opgelost.	Eis	C
5.5.4.3	Een step-in overleg dient plaats te vinden binnen 10 Werkdagen nadat de CBO cq de Opdrachtgever daar om heeft verzocht.	Eis	C
5.5.5	Audit
5.5.5.1	De Opdrachtgever heeft het recht om door een derde partij een audit te laten uitvoeren bij de Opdrachtnemer. In de Bijlage 04 Kwaliteitsborging en auditing staat beschreven onder welke condities een audit plaats vindt.	Eis	C

5.6. Webbased portaal

Volgnr

Omschrijving

Eis/wens

C/NC

5.6.1

De Opdrachtnemer dient een webbased portaal in te richten en te beheren waar alle Deelnemers en de CBO toegang toe krijgen.

Eis

5.6.2

Via het webbased portaal wordt online toegang verkregen tot alle functionaliteiten en informatie die volgens dit Beschrijvend Document online beschikbaar dienen te zijn. Hieronder wordt in ieder geval online toegang verstaan tot:

- (01) Raamovereenkomst (kopie van de getekende Raamovereenkomst)

- (02) Nadere Overeenkomsten (kopieën getekende Nadere Overeenkomsten)

- (03) Overzicht af te nemen Diensten en met bijbehorende Tarieven

- (04) Aangevraagde, afgewezen en overeengekomen Speciale Diensten

- (05) Aangevraagde, afgewezen en overeengekomen wijzigingen Raamovereenkomst

- (06) Bestelfunctionaliteit (plaatsen en volgen van bestellingen)

- (07) Dossier Afspraken en Procedures (DAP)

- (08) Door de CBO goedgekeurde handleidingen, procedures en templates

- (09) Incidentinformatie van de incidentdesk (aanmelden/inzien incidenten, status, etc)

- (10) Service-informatie van de servicedesk

- (11) CMDB

- (12) Opleverdocumentatie

- (13) Rapportages en rapportage-tooling

- (14) Gespreksverslagen

- (15) Facturen

- (16) Beheeropties van Aansluitingen

- (17) Functionaliteit voor afhandeling van online nummerportering

- (18) Migratieplan

- (19) Masterplan Migratie

- (20) Algemene informatie van de Opdrachtnemer, waaronder informatie over gepland onderhoud en tijdelijk verminderde beschikbaarheid.

- (21) Aanmaken/beheren/verwijderen (nieuwe) beheerders.

Deze onderdelen worden verder aangeduid onder de naam portaalfunctionaliteiten.

Eis

5.6.3	Het webbased portaal verleent toegang tot de volgende typen portaalgebruikers: - ‘Beheerder ROK’ (CBO). - ‘Beheerder NOK’ (Deelnemer of CBO. Kan ook een beheerder zijn die namens meerdere Deelnemers meerdere NOK’s beheert). - ‘Beheerder Organisatie’ (beheerder die toegang krijgt tot specifieke informatie die betrekking heeft op eigen organisatie. De organisatie van de ‘Beheerder Organisatie’ is één van meerdere organisaties die vallen binnen een NOK). - Eindgebruiker (maakt gebruik van een Aansluiting) De CBO kan meerdere personen aanwijzen als ‘Beheerder ROK’. Een Deelnemer of de CBO kan meerdere personen aanwijzen als ‘Beheerder NOK’. Een ‘Beheerder NOK’ kan meerdere personen aanwijzen als ‘Beheerder Organisatie’.	Eis	C
5.6.4	Een ‘Beheerder NOK’ dient zelf nieuwe ‘Beheerders NOK’ in het webbased portaal te kunnen aanmaken of verwijderen. Het aantal ‘Beheerders NOK’ dat een Deelnemer of de CBO kan aanmaken is niet begrensd.	Eis	C
5.6.5	Een ‘Beheerder NOK’ dient zelf nieuwe ‘Beheerders Organisatie’ in het webbased portaal te kunnen aanmaken of verwijderen. Het aantal ‘Beheerders Organisatie’ dat een ‘Beheerder NOK’ kan aanmaken is niet begrensd.	Eis	C
5.6.6	Een ‘Beheerder ROK’ dient zelf nieuwe ‘Beheerders ROK’ in het webbased portaal te kunnen aanmaken of verwijderen. Het aantal ‘Beheerders ROK’ dat de CBO kan aanmaken is niet begrensd.	Eis	C

5.6.7

Voor de ‘Beheerders ROK’ zijn de volgende portaalfunctionaliteiten beschikbaar:

- (01) Xxxxxxxxxxxxxxxx (kopie van de getekende Xxxxxxxxxxxxxxxx)

- (02) Nadere Overeenkomsten (kopieën getekende Nadere Overeenkomsten)

- (03) Overzicht af te nemen Diensten en met bijbehorende Tarieven

- (04) Aangevraagde, afgewezen en overeengekomen Speciale Diensten

- (05) Aangevraagde, afgewezen en overeengekomen wijzigingen Raamovereenkomst

- (07) Dossier Afspraken en Procedures (DAP)

Opmerking: een ‘Beheerder ROK’ dient uitsluitend toegang te hebben tot de DAP die de Opdrachtnemer met het CBO heeft opgesteld.

- (08) Door de CBO goedgekeurde handleidingen, procedures en templates

- (09) Incidentinformatie van de incidentdesk (aangemelde incidenten, status)

- (11) CMDB

- (12) Opleverdocumentatie

- (13) Rapportages en rapportage-tooling

Opmerking: een ‘Beheerder ROK’ dient de door de Opdrachtnemer te leveren Rapportages in geconsolideerde vorm te krijgen. Dit houdt in dat de rapportages informatie bevatten over alle Deelnemers gezamenlijk.

- (14) Gespreksverslagen

Opmerking: een ‘Beheerder ROK’ dient uitsluitend toegang te hebben tot de verslagen van gesprekken die de CBO heeft gevoerd met de Opdrachtnemer.

- (19) Masterplan Migratie

- (20) Algemene informatie van de Opdrachtnemer, waaronder informatie over gepland onderhoud en tijdelijk verminderde beschikbaarheid.

- (21) Aanmaken/beheren/verwijderen (nieuwe) beheerders.

Eis

5.6.8

Alle ‘Beheerders ROK’ hebben toegang tot alle in eis 5.6.7 genoemde portaalfunctionaliteiten.

Eis

5.6.9

De ‘Beheerders ROK’ dienen bij de portaalfunctionaliteiten waar zij toegang toe hebben geen inzage te hebben in door Opdrachtnemer ingevoerde informatie, die herleidbaar is naar individuele personen.

Eis

5.6.10

Voor de ‘Beheerders NOK’ zijn de volgende portaalfunctionaliteiten beschikbaar:

-(02) Nadere Overeenkomsten (kopieën getekende Nadere Overeenkomsten)

- (03) Overzicht af te nemen Diensten en met bijbehorende Tarieven

- (04) Aangevraagde, afgewezen en overeengekomen Speciale Diensten

- (06) Bestelfunctionaliteit (plaatsen en volgen van bestellingen)

- (07) Dossier Afspraken en Procedures (DAP)

Opmerking: een ‘Beheerder NOK’ dient uitsluitend toegang te hebben tot de DAP die de Opdrachtnemer met de betreffende Deelnemer(s) heeft opgesteld.

- (08) Door de CBO goedgekeurde handleidingen, procedures en templates

- (09) Incidentinformatie van de incidentdesk (aangemelde incidenten, status)

- (10) Service-informatie van de servicedesk

- (11) CMDB

- (12) Opleverdocumentatie

- (13) Rapportages en rapportage-tooling

- (14) Gespreksverslagen

Opmerking: een ‘Beheerder NOK’ dient uitsluitend toegang te hebben tot de verslagen van gesprekken die de ‘Beheerder NOK’ zelf heeft gevoerd met de Opdrachtnemer.

- (15) Facturen

Opmerking: een ‘Beheerder NOK’ dient uitsluitend toegang te hebben tot de facturen die betrekking hebben op de door de ‘Beheerder NOK’ gesloten NOK’s.

- (16) Beheeropties van Aansluitingen

- (17) Functionaliteit voor afhandeling van online nummerportering

- (18) Migratieplan

- (20) Algemene informatie van de Opdrachtnemer, waaronder informatie over gepland onderhoud en tijdelijk verminderde beschikbaarheid.

- (21) Aanmaken/beheren/verwijderen (nieuwe) beheerders.

Eis

5.6.11

De ‘Beheerders NOK’ dienen alle operationele beheeractiviteiten die betrekking hebben op de dienstverlening aan de Deelnemer volledig zelfstandig, en dus zonder tussenkomst van de CBO, af te kunnen handelen.

Eis

5.6.12	De ‘Beheerders NOK’ die beschikken over portaalfunctionaliteit (21) (aanmaken/beheren/verwijderen (nieuwe) beheerders) dienen onderscheid te kunnen maken in het soort rechten dat zij toekennen aan of verwijderen bij andere ‘Beheerders NOK’. De volgende soorten rechten worden hierbij onderscheiden: - Toegang tot algemene informatie Dit betreft toegang tot portaalfunctionaliteiten (02), (03), (04), (07), (08), (10), (12), (14), (18), (20). - Beheer van Aansluitingen Dit betreft toegang tot portaalfunctionaliteiten (11), (16), (17). - Bestellen Dit betreft toegang tot portaalfunctionaliteit (06). - Facturatie en rapportage Dit betreft toegang tot portaalfunctionaliteiten (13), (15). - Incidenten Dit betreft toegang tot portaalfunctionaliteit (09). - Portaalbeheer Dit betreft toegang tot portaalfunctionaliteit (21) Het is toegestaan de toekenning van rechten verder uit te splitsen dan de hiervoor opgesomde soorten rechten.	Eis	C
5.6.13	De ‘Beheerders NOK’ die beschikken over portaalfunctionaliteit (21) (aanmaken/beheren/verwijderen (nieuwe) beheerders) dienen een overzicht te kunnen opvragen waarin alle ‘Beheerders NOK’ met de aan hun toegekende autorisaties zijn opgenomen.	Eis	C
5.6.14	De ‘Beheerders NOK’ dienen uitsluitend te kunnen beschikken over de informatie en functionaliteit die betrekking heeft op de organisatie(s) waarvoor zij het beheer voeren.	Eis	C
5.6.15	De ‘Beheerders NOK’ dienen de beschikking te hebben over alle informatie en functionaliteit die valt onder de portaalfunctionaliteiten waartoe zij gerechtigd zijn. Voorbeeld: Iedere ‘Beheerder NOK’ die toegang heeft tot portaalfunctionaliteit (09) heeft ook toegang tot alle (informatie over) incidenten die door een andere ‘Beheerder NOK’ van dezelfde Deelnemer is ingevoerd, en kan deze (informatie over) incidenten ook aanpassen op dezelfde wijze als hij zou kunnen als hij deze (informatie over) incidenten zelf had ingevoerd.	Eis	C

5.6.16	Voor de ‘Beheerders Organisatie’ zijn de volgende portaalfunctionaliteiten beschikbaar: - (13) Rapportages en rapportage-tooling Opmerking: een ‘Beheerder Organisatie’ dient uitsluitend toegang te hebben tot de rapportage die betrekking heeft op de organisatie die wordt vertegenwoordigd door de ‘Beheerder Organisatie’. - (15) Facturen Opmerking: een ‘Beheerder Organisatie’ dient uitsluitend toegang te hebben tot de facturen die betrekking hebben op de organisatie die wordt vertegenwoordigd door de ‘Beheerder Organisatie’.	Eis	C
5.6.17	Eindgebruikers hebben uitsluitend toegang tot de volgende portaalfunctionaliteiten: - (13) Rapportages en rapportage-tooling Dit betreft uitsluitend rapportage/informatie over het gebruik van de eigen Aansluiting - (16) Beheeropties van Aansluitingen Dit betreft uitsluitend inzage in de instelling van (een deel van) de beheeropties van de eigen Aansluiting. De eindgebruiker kan zelf geen beheeropties wijzigen. Deze functionaliteit mag ook via een app op een bij de Aansluiting horende smartphone worden geleverd.	Eis	C
5.6.18	Het webbased portaal dient de mogelijkheid te bieden dat portaalgebruikers een notificatie krijgen (via e-mail of SMS) als voor hen relevante informatie is gewijzigd of voor hen relevante nieuwe informatie is toegevoegd. Onder relevante informatie worden in ieder geval statusupdates van incidenten, storingen en aankondigingen van gepland onderhoud verstaan.	Eis	C
5.6.19	De informatie op het webbased portaal wordt door de Opdrachtnemer beheerd.	Eis	C
5.6.20	De toegang tot het webbased portaal voor ‘Beheerders ROK’, ‘Beheerders NOK’ en ‘Beheerders Organisatie’ dient via multifactor authenticatie plaats te vinden.	Eis	C
5.6.21	Het wachtwoord dat wordt gebruikt voor toegang tot het webbased portaal dient zich conform algemeen geldende normen in de ICT- branche te kwalificeren als een sterk wachtwoord.	Eis	C

5.6.22	Portaalgebruikers moeten gedwongen worden bij eerste aanmelding zelf hun wachtwoord te veranderen.	Eis	C
5.6.23	Een portaalgebruiker hoeft slechts eenmaal op het webbased portaal in te loggen. Alle voor hem toegankelijke informatie of functionaliteit is daarna zonder het opnieuw invoeren van een gebruikersnaam en wachtwoord beschikbaar (single sign-on).	Eis	C
5.6.24	De performance van het webbased portaal moet zodanig zijn dat responstijden kleiner dan 1 seconde zijn (exclusief verwerkingstijden van SQL-opdrachten, en exclusief eventuele vertraging die wordt veroorzaakt door verbindingen die door de CBO of Deelnemers zijn ingezet).	Eis	C
5.6.25	De communicatie met het webbased portaal dient te geschieden middels HTTPS (HyperText Transfer Protocol Secure).	Eis	C
5.6.26	Het (federatief) koppelen van authenticatie van het webbased portaal aan Active Directory of andere in de markt gangbare Identity & Access Management producten die bij de Deelnemer in gebruik zijn, dient als Speciale Dienst geleverd te kunnen worden.	Eis	C

5.7. Incidenten en service

Volgnr	Omschrijving	Eis/wens	C/NC
5.7.1	Incidentdesk
5.7.1.1	De Opdrachtnemer dient een incidentdesk te hebben. De incidentdesk is een centraal punt bij de Opdrachtnemer voor het aanmelden en afmelden van alle incidenten betreffende alle producten en diensten die de Opdrachtnemer levert. De incidentdesk verschaft tevens statusinformatie over de aangemelde incidenten. De incidentdesk dient via verschillende communicatiemiddelen (minimaal: telefoon, e-mail en online) bereikbaar te zijn.	Eis	C
5.7.1.2	In het DAP vastgelegde geautoriseerde contactpersonen (dit zijn niet alle individuele gebruikers) dienen 7 dagen per week, 24 uur per dag in contact te kunnen treden met de incidentdesk.	Eis	C

5.7.1.3	De medewerkers van de Incidentdesk staan de geautoriseerde contactpersonen in de Nederlandse taal te woord.	Eis	C
5.7.1.4	Elk bij de incidentdesk telefonisch of via het webbased portaal aangemeld incident wordt door de Opdrachtnemer binnen 30 minuten geregistreerd in een via het webbased portaal te benaderen incidentregistratiesysteem, en voorzien van een uniek referentienummer/ticketnummer. Dit referentienummer/ticketnummer wordt binnen dezelfde 30 minuten via e-mail gemeld aan de betreffende contactpersoon van de Deelnemer.	Eis	C
5.7.1.5	De Deelnemer dient bij een aangemeld incident documenten te kunnen uploaden, die gerelateerd zijn aan het betreffende incident. Deze documenten kunnen worden geüpload in ieder door de Deelnemer gewenst bestandsformaat. Bij het aangemelde incident is zichtbaar welke documenten zijn geüpload.	Eis	C
5.7.1.6	Alle gemelde incidenten en alle relevante activiteiten, gebeurtenissen en contactmomenten, die tijdens het afhandelen van incidenten plaatsvinden, worden door de Opdrachtnemer geregistreerd in een incidentregistratiesysteem. De Deelnemer kan online de informatie in het incidentregistratiesysteem inzien. Deze informatie betreft onder andere: - Het referentienummer/ticketnummer van de Opdrachtnemer. - Het referentienummer van de Deelnemer (indien opgegeven). - Naam van de aanmelder van het incident. - Het product of de dienst waarop het incident betrekking heeft. - De prioriteit (hoog, midden of laag) en/of de bij de prioriteit van het incident behorende Oplosduur. - Eventuele geüploade documenten die horen bij het incident. - Een omschrijving van het incident. - De status van het incident. - De oplossing van het incident (indien afgesloten). - De contacttijden: o Datum/tijdstip aanmelding (door Xxxxxxxxx) en acceptatie (door Opdrachtnemer). o Datum/tijdsstip oplossing (door Opdrachtnemer) en acceptatie (door Xxxxxxxxx).	Eis	C

5.7.1.7	Er dient geen enkele belemmering te zijn om iedere gebeurtenis die door de Deelnemer als een incident wordt beschouwd in te voeren in het incidentregistratiesysteem. Ter illustratie: als een Deelnemer bij het invoeren van een incident een keuze moet maken uit een aantal categorieën waar het incident in past, dan dient ook een categorie ‘overig’ beschikbaar te zijn.	Eis	C
5.7.1.8	Bij telefonisch contact vanuit Nederland dient de incidentdesk gratis of tegen het reguliere tarief voor bellen binnen Nederland bereikbaar te zijn (geen internationale nummers, geen betaalde servicenummers).	Eis	C
5.7.1.9	Bij telefonisch contact vanuit het buitenland dient de incidentdesk gratis of tegen het reguliere tarief voor bellen vanuit het buitenland bereikbaar te zijn.	Eis	C
5.7.1.10	E-mails dienen 7 * 24 uur door de incidentdesk van Opdrachtnemer ontvangen te kunnen worden op een door de Opdrachtnemer te bepalen e-mailadres. Via e-mail aangemelde incidenten worden binnen éen Werkdag geregistreerd, in behandeling genomen en via e-mail bevestigd aan de contactpersoon van de Deelnemer. In de bevestigingsmail is het referentienummer/ticketnummer van het incident opgenomen. Aan de lay-out van meldingen via e-mail kan de Opdrachtnemer eisen en voorwaarden stellen.	Eis	C
5.7.2	Incidentafhandeling

5.7.2.1	Alle incidenten worden ingedeeld in één van de categorieën hoog, midden of laag. Deze indeling geschiedt op basis van de volgende criteria: • Prioriteit hoog: - Meer dan 50% van de Aansluitingen werkt niet volgens de specificaties, of - de werking van het primaire proces van de Deelnemer wordt ernstig verstoord of dreigt te worden verstoord, of - het betreft een Aansluiting die voorzien is van preferente netwerktoegang (één of meer van de in paragraaf 4.1 genoemde varianten). • Prioriteit midden: - Meer dan 25% van de Aansluitingen werkt niet volgens de specificaties. • Prioriteit laag: - Diensten zijn wel beschikbaar maar werken niet volgens specificatie, of - slechts een beperkt aantal individuele gebruikers is getroffen.	Eis	C
5.7.2.2	De Oplosduur van een telefonisch of via het webbased portaal ingebracht incident gaat in op het moment dat het incident is aangemeld. De Oplosduur van een incident dat door een systeem automatisch wordt gemeld gaat in op het moment dat het systeem de automatische incidentmelding maakt. De Oplosduur van een via e-mail ingebracht incident gaat in na ontvangst van de bevestigingsmail door de contactpersoon van de Deelnemer.	Eis	C
5.7.2.3	Om de Oplosduur van een incident te kunnen eindigen dient de Opdrachtnemer allereerst via e-mail (of een ander onderling overeengekomen actief verstuurd bericht) aan de aanmelder van het incident te melden dat het incident is opgelost.	Eis	C
5.7.2.4	Als de aanmelder van een incident binnen 30 minuten na melding van oplossing van een incident de oplossing accepteert, dan wordt het incident als opgelost beschouwd. De Oplosduur van het incident wordt in dat geval geacht te zijn gestopt op het moment waarop de melding door de Opdrachtnemer is verzonden.	Eis	C

Document Metadata

Table of Contents

Bijlage 11: Gunning Nadere Overeenkomsten

Document Metadata