Tekenblad Overeenkomst Gebruik UWV Portaal voor Gemeenten
Tekenblad Overeenkomst Gebruik UWV Portaal voor Gemeenten
Ondergetekenden
5.1.2.e
1. Gemeente Súdwest-Fryslân zetelend te Sneek (het college van burgemeester en wethouders), te dezen rechtsgeldig vertegenwoordigd door , waarnemend Directeur Sociaal Domein en Klantcontacten.
5.1.2.e
2. Uitvoeringsinstituut Werknemersverzekeringen (UWV), te dezen rechtsgeldig vertegenwoordigd door , Landelijk Manager Landelijk Team Samenwerkingen.
Overwegingen:
Partijen gaan hierbij met elkaar een Overeenkomst aan waarin afspraken worden gemaakt over het gebruik van het UWV Portaal voor Gemeenten:
Inhoud
Deel A. Hoofdovereenkomst Gebruik UWV Portaal voor Gemeenten Deel B. Beveiligingsovereenkomst
Deel C. Service Level Agreement
Deel D. Dossier Afspraken en Procedures Aldus opgemaakt en ondertekend in tweevoud
Gemeente Sudwest Fryslan, 5.1.2.e …S…n…ee…k. 14 maart 0000 | XXX, 0.0.0.x Xxxxxxxxx, 15 maart 2022 |
1 Voorafgaand aan het ondertekenen van deze overeenkomst wordt aan UWV verstrekt: documentatie (bijvoorbeeld een mandaat-, machtiging- en volmachtregeling) waaruit blijkt dat ondertekenaar in naam van het college van burgemeester en wethouders van de betreffende gemeente te dezen mag handelen.
Versie 1.2
1 januari 2021
Deel A. Hoofdovereenkomst Gebruik UWV Portaal voor Gemeenten
In aanmerking nemende dat:
• De Wet structuur uitvoering werk en inkomen (hierna: Wet Suwi) verplicht de gemeente en UWV bij de uitvoering van hun respectievelijke wettelijke taken op de terreinen werk en inkomen structureel samen te werken.
• Het in het kader van de Samenwerking Werk en Inkomen van belang is dat partijen de daarvoor noodzakelijke klantgegevens van de andere partij kunnen raadplegen en muteren.
• UWV de gemeente toegang wenst te verlenen tot bepaalde ICT-faciliteiten.
• Partijen zijn o.g.v. artikel 62 wet Suwi en artikel 64 en 67 Participatiewet bevoegd en verplicht om elkaar de in die bepalingen genoemde persoonsgegevens te verstrekken onder de daarbij genoemde voorwaarden.
• Partijen wensen de voorwaarden waaronder door de gemeente gebruik wordt gemaakt van de door UWV ter beschikking gestelde ICT-Faciliteiten vast te leggen in de onderhavige hoofdovereenkomst.
Komen de ondergetekenden zoals vermeld op het tekenblad, het volgende overeen:
Artikel 1 Begripsomschrijving
In deze hoofdovereenkomst en in de bijlagen daarvan worden de volgende definities gehanteerd.
ICT-faciliteiten: De UWV-applicaties WBS, SONAR, de Beheermodule Xxxx.xx en GIP, de daaraan ondersteunende systemen (zoals bijv. wachtwoordbeheer) en de databestanden.
UWV Portaal voor Gemeenten: De ontsluiting van de ICT-faciliteiten bij gemeenten, de technische verbinding waarlangs de ICT-faciliteiten bereikbaar zijn voor gemeentemedewerkers vanaf gemeente pc’s.
Samenwerking Werk en Inkomen: de samenwerking tussen UWV en gemeenten als bedoeld in artikel 9 van de Wet structuur uitvoering werk en inkomen (wet Suwi).
Artikel 2 Algemeen
De hierboven opgenomen overwegingen maken integraal onderdeel uit van deze hoofdovereenkomst.
Artikel 3 Bijlagen
1. De volgende documenten zijn als bijlage bij deze hoofdovereenkomst gevoegd en maken daar onlosmakelijk deel van uit:
⮚ Tekenblad Overeenkomst gebruik UWV Portaal voor Gemeenten
⮚ Xxxxxxxxx xxxxx (grondslag voor samenwerking en gezamenlijke dienstverlening)
⮚ Beveiligingsovereenkomst UWV Portaal voor Gemeenten (Deel B)
⮚ Service Level Agreement UWV Portaal voor Gemeenten (Deel C)
⮚ Dossier Afspraken en Procedures (Deel D)
2. Bij tegenstrijdigheid tussen enige bepaling van deze hoofdovereenkomst en het gestelde in een bijlage, gaat de bepaling van deze hoofdovereenkomst vóór, tenzij daarvan in de bijlage wordt afgeweken onder uitdrukkelijke verwijzing naar dit artikel en de bijlage namens Partijen is ondertekend. Bij tegenstrijdigheid tussen het gestelde in de bijlagen, gaat steeds het gestelde in het vorige lid hoger vermelde document boven het gestelde uit het lager vermelde document. Indien echter op grond van een lager gerangschikt document hogere eisen aan de dienstverlening worden gesteld, gelden de hoogste eisen.
3. Partijen kunnen aanvullingen op of wijzigingen van deze hoofdovereenkomst (daaronder begrepen de Bijlagen bij deze hoofdovereenkomst) uitsluitend schriftelijk overeenkomen.
4. De conform het vorige lid overeengekomen aanvullingen of wijzigingen worden als bijlage aan deze hoofdovereenkomst gehecht en maken onlosmakelijk deel uit van de hoofdovereenkomst.
Artikel 4 Aanvang, duur, opzegging
1. Deze hoofdovereenkomst vangt aan op de datum van het tekenblad en wordt aangegaan voor onbepaalde tijd.
2. Deze hoofdovereenkomst eindigt bij opzegging ervan. Ieder der partijen is bevoegd deze hoofdovereenkomst door opzegging te beëindigen. Opzegging dient te geschieden per aangetekende brief. De opzegtermijn beloopt 12 maanden.
3. Onverminderd het bovenstaande heeft ieder der partijen het recht deze hoofdovereenkomst met inachtneming van een termijn van 3 maanden te beëindigen, in het geval voortzetting van deze hoofdovereenkomst als gevolg van bij het aangaan van deze hoofdovereenkomst niet voorziene interne of externe factoren in redelijkheid niet kan worden gevergd.
4. Ieder der partijen is gerechtigd deze hoofdovereenkomst per direct te beëindigen indien de andere partij tekort schiet in de nakoming van één of enige van zijn verplichtingen uit hoofde van deze hoofdovereenkomst en ook na hiertoe schriftelijk in gebreke te zijn gesteld waarbij een redelijke termijn is gesteld om alsnog de verplichtingen na te komen, zijn verplichtingen niet nakomt.
5. UWV is gerechtigd het verlenen van toegang tot het UWV Portaal voor Gemeenten op te schorten indien UWV gegronde vermoedens heeft dat er sprake is van misbruik of oneigenlijk gebruik van het UWV Portaal voor Gemeenten.
6. UWV is gerechtigd deze hoofdovereenkomst per direct te beëindigen in het geval van misbruik of oneigenlijk gebruik van het UWV Portaal voor Gemeenten.
Artikel 5 Scope UWV Portaal voor Gemeenten
1. UWV stelt door middel van het UWV Portaal voor Gemeenten de ICT-faciliteiten ter beschikking aan de gemeente. De gemeente heeft daarmee toegang tot de in de ICT- faciliteiten opgenomen klantgegevens met daarbij de mogelijkheid deze klantgegevens te muteren.
2. UWV draagt zorg en is verantwoordelijk voor de connectiviteit van de ICT-faciliteiten met het BKWI-domein, zoals is weergegeven in paragraaf 1.2 (‘Scope van het SLA’) van de SLA. De gemeente draagt zorg en is verantwoordelijk voor de connectiviteit van haar domein op het BKWI-domein.
3. Bij eerste aanvang van deze hoofdovereenkomst zal de gemeente aantonen dat zij voldoet aan de aansluitvoorwaarden voor het UWV Portaal voor Gemeenten2. UWV zal aantonen dat de connectiviteit van de ICT-faciliteiten met het BKWI-domein naar behoren functioneert en dat de ICT-faciliteiten beschikbaar zijn voor gebruik door de gemeente. Dit zal worden vastgelegd in een door beide partijen ondertekende dechargeverklaring3.
4. UWV spant zich in de ICT-faciliteiten ter beschikking van de gemeente te stellen conform hetgeen in de SLA is neergelegd.
5. UWV draagt zorg voor de verwerving voor de noodzakelijke licenties voor het door de gemeente opgegeven gebruik van de ICT-faciliteiten door de gemeente.
Artikel 6 Gebruik UWV Portaal voor Gemeenten
1. Conform art. 26 AVG bepalen UWV en de gemeente hier, als verwerkingsverantwoordelijken, gezamenlijk de doeleinden en middelen van de verwerking en zijn daarom gezamenlijke verwerkingsverantwoordelijken.
2. De gemeente gebruikt het UWV Portaal voor Gemeenten slechts voor het doel waarvoor deze aan de gemeente is aangeboden, te weten de Samenwerking Werk en Inkomen. Het Portaal is niet ontworpen als archiveringssysteem en wordt dan ook niet als zodanig aan gemeenten beschikbaar gesteld.
2 De aansluitvoorwaarden zijn opvraagbaar bij UWV en toegankelijk via het UWV Portaal voor Gemeenten.
3 De dechargeverklaring is opvraagbaar bij UWV.
3. De gemeente gebruikt het UWV Portaal voor Gemeenten en verwerkt de daarmee ontsloten persoonsgegevens slechts voor zover dat noodzakelijk is voor de uitvoering van de taken die bij of krachtens de in artikel 9, eerste lid, wet Suwi genoemde wetten aan het college van burgemeester en wethouders zijn opgedragen, voor zover dit voortvloeit uit de Samenwerking Werk en Inkomen4. Zie bijlage 1 bij dit document voor het exacte juridisch kader.
4. De gemeente vraagt alleen accounts aan, voor het gebruik van het UWV Portaal voor Gemeenten, voor medewerkers die een (tijdelijk) dienstverband hebben bij de gemeente dan wel medewerkers die bij de gemeente zijn gedetacheerd.
6. De medewerker van de gemeente krijgt op persoonsniveau een account incl. autorisaties en dient zich te bekwamen in het gebruik van de ICT-faciliteiten door de door UWV ter beschikking gestelde e-learning te volgen (voor zover nog niet eerder gevolgd) alvorens hij een account incl. autorisaties krijgt.
Artikel 7 Aansprakelijkheid
1. Partijen zijn jegens elkaar niet aansprakelijk voor schade voortvloeiend uit de uitvoering van deze hoofdovereenkomst, tenzij er sprake is van aan de schade veroorzakende partij toe te rekenen opzet of grove schuld.
Artikel 8 Geheimhouding en privacy
1. Partijen verplichten zich al hetgeen hen bij de uitvoering van de hoofdovereenkomst ter kennis komt, en waarvan zij het vertrouwelijke karakter kennen of redelijkerwijs kunnen vermoeden, op generlei wijze bekend te maken, behalve voor zover enig wettelijk voorschrift of uitspraak van de rechter tot bekendmaking verplicht.
2. Partijen garanderen dat het gebruik van de ICT-faciliteiten voldoet aan de wettelijke bepalingen inzake de omgang met persoonsgegevens en de kaders zoals die zijn opgenomen in de Beveiligingsovereenkomst UWV Portaal voor Gemeenten.
Artikel 9 Overleg
1. Partijen stellen ten behoeve van de uitvoering van deze hoofdovereenkomst een of meer contactpersonen aan en plannen overleggen (incl. frequentie) in. E.e.a. zoals uitgewerkt in deel D (Dossier Afspraken en Procedures).
Artikel 10 Kosten
1. Iedere partij draagt haar eigen kosten voor de uitvoering van deze hoofdovereenkomst.
2. UWV brengt voor het gebruik door de gemeente van de ICT-faciliteiten geen kosten bij de gemeente in rekening.
3. UWV draagt de kosten voor de verwerving voor de noodzakelijke licenties voor het gebruik van de ICT-faciliteiten door de gemeente.
4. Voor zover overeengekomen worden de kosten, van de door de medewerker van de gemeente gevolgde e-learning als bedoeld in artikel 6 lid 6, in rekening gebracht bij de gemeente. UWV stuurt hiervoor maandelijks een factuur. De gemeente zal de factuur binnen 30 kalenderdagen na dagtekening van de factuur betalen.
4 Taken die bij of krachtens de Participatiewet, de wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers en/of gewezen zelfstandigen en de wet gemeentelijke schuldhulpverlening zijn opgedragen, voor zover dit voortvloeit uit de Samenwerking Werk en Inkomen.
5 Eventuele gemeenten die gezamenlijk een Gemeenschappelijke Regeling vormen worden hier gezien als ‘de gemeente’, niet als ‘derde’.
Artikel 11 Gevolgen einde van de hoofdovereenkomst
1. Partijen treden bij beëindiging van de hoofdovereenkomst in overleg over de gevolgen van de beëindiging en de wijze waarop partijen ook na de beëindiging van de hoofdovereenkomst kunnen blijven beschikken over de voor hen relevante klantgegevens.
2. Verplichtingen welke naar hun aard bestemd zijn om ook na afloop van de hoofdovereenkomst voort te duren, blijven na afloop van de hoofdovereenkomst bestaan. Tot deze verplichtingen behoren onder meer het bepaalde omtrent de geheimhouding en de aansprakelijkheid.
Artikel 12 Wijziging hoofdovereenkomst
1. Indien zich tijdens de looptijd van de hoofdovereenkomst een omstandigheid voordoet van dien aard dat, indien deze omstandigheid bekend zou zijn geweest bij het sluiten van de hoofdovereenkomst, een partij deze hoofdovereenkomst naar maatstaven van redelijkheid en billijkheid in zijn geheel niet of op een of meerdere onderdelen niet zou hebben gesloten, zijn partijen gehouden te goeder trouw naar eisen van redelijkheid en billijkheid mee te werken aan aanpassing van de hoofdovereenkomst.
2. Indien een of meer bepalingen van de hoofdovereenkomst ongeldig blijken te zijn, zullen partijen in overleg treden teneinde de hoofdovereenkomst zodanig te wijzigen, dat deze geen ongeldige bepaling meer bevat en dat het doel dat met de hoofdovereenkomst wordt beoogd zoveel mogelijk wordt bereikt.
Artikel 13 Overig
1. Op deze hoofdovereenkomst is Nederlands recht van toepassing.
2. Ingeval er een geschil ontstaat met betrekking tot de uitvoering van deze hoofdovereenkomst zullen partijen eerst trachten dit binnen een redelijke termijn op te lossen. Ingeval partijen daarin niet slagen is elke partij gerechtigd het geschil voor te leggen aan de bevoegde rechter te Amsterdam.
Deel A, bijlage 1: Xxxxxxxxx xxxxx
(grondslag voor samenwerking en gezamenlijke dienstverlening)
de wet SUWI. gesloten verstrekkingenregime | |
Samenwerking UWV en gemeenten bij de uitoefening van taken. Focus op doeltreffende en klantgerichte uitoefening van die taken op grond van: Wet SUWI; Participatiewet; Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers/gewezen zelfstandigen; Wet gemeentelijke schuldhulpverlening | Paraplu artikel: artikel 9 Wet SUWI art. 9 lid 1 (samenwerking) Wet SUWI: Het UWV, de Sociale Verzekeringsbank en de colleges van burgemeester en wethouders werken samen bij de uitvoering van taken op grond van deze wet, de Participatiewet, de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers, de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen en de Wet gemeentelijke schuldhulpverlening met het oog op een doeltreffende en klantgerichte uitoefening van die taken. Artikel 9 lid 3 (samenwerking) Wet SUWI: Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld omtrent de vorm van de samenwerking, de afstemming van de samenwerking op de uitvoering van taken opgedragen bij of krachtens andere wetten dan die bedoeld in het eerste lid en vergoeding van kosten. |
Gevonden verwijzingen: besluit XXXX en regeling SUWI | |
Taken: registratie van werkzoekenden en vacatures | Artikel 10 lid 1 (regionale samenwerking bij dienstverlening) wet SUWI: Met het oog op de dienstverlening met betrekking tot de in artikel 9, eerste lid, bedoelde wetten werken het UWV en de colleges van burgemeester en wethouders samen ten aanzien van de registratie van werkzoekenden en vacatures met behulp van de elektronische voorzieningen, bedoeld in artikel 62, tweede lid en werken zij in regio’s samen bij de dienstverlening aan werkgevers en het verrichten van taken met betrekking tot de regionale arbeidsmarkt. |
Mogelijkheid om alle gegevens en inlichtingen uit te wisselen tussen UWV en gemeenten in relatie tot de samenwerking van artikel 9 Wet Suwi | Artikel 62 Wet SUWI: Lid 1; het UWV, de Sociale Verzekeringsbank en de colleges van burgemeester en wethouders verstrekken elkaar uit eigen beweging en op verzoek kosteloos alle gegevens en inlichtingen die noodzakelijk zijn voor de uitoefening van taken die bij of krachtens deze wet of enige andere wet aan het UWV (de Sociale Verzekeringsbank) en bij of krachtens de Participatiewet, de Wet inkomensvoorziening ouders en gedeeltelijk arbeidsongeschikte werkloze werknemers/gewezen zelfstandigen, de Wet gemeentelijke schuldhulpverlening of bij of krachtens andere wetten aan de colleges van burgemeester en wethouders zijn opgedragen, voor zover dit voortvloeit uit de samenwerking, bedoeld in artikel 9. |
Artikel 62 Lid 3 Wet SUWI: | |
Bij de gegevensverwerking voor de uitvoering van de diensten en taken, bedoeld in artikel 10, zijn het UWV en de colleges van b en w gezamenlijk verantwoordelijke in de zin van de Wbp voor de verwerking van gegevens voor de uitvoering van taken ten aanzien van de dezelfde uitkeringsgerechtigden of werkzoekende. |
Participatiewet | |
Arbeidsinschakeling | Artikel 7 lid 1 sub a Participatiewet: het college van burgemeester en wethouders ondersteunt bij arbeidsinschakeling: ⮚ personen die algemene bijstand ontvangen ⮚ personen als bedoeld in de artikelen 34a, vijfde lid, onderdeel b, 35, vierde lid, onderdeel b en 36, derde lid, onderdeel b van de Wet werk en inkomen naar arbeidsvermogen tot het moment dat het inkomen uit arbeid in dienstbetrekking gedurende twee aaneengesloten jaren ten minste het minimumloon bedraagt en ten behoeve van die persoon in die twee jaren geen loonkostensubsidie als bedoeld in artikel 10d is verleend; ⮚ personen als bedoeld in artikel 10, tweede lid van de Participatiewet; ⮚ personen met een nabestaanden- of wezenuitkering op grond van de Algemene nabestaandenwet; ⮚ personen met een uitkering op grond van de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers; ⮚ personen met een uitkering op grond van de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen en ⮚ niet-uitkeringsgerechtigden Artikel 7 lid 2 Participatiewet: het college werkt bij de uitvoering van het eerste lid, onderdeel a, samen met het uitvoeringsinstituut werknemersverzekeringen. Artikel 7 lid 3 Participatiewet: ⮚ Het eerste lid, onderdeel a, is niet van toepassing op personen (dat wil zeggen: deze personen kunnen geen aanspraak maken op ondersteuning bij arbeidsinschakeling): ⮚ jonger dan 27 jaar die uit ’s Rijks kas bekostigd onderwijs kunnen volgen; ⮚ als bedoeld in artikel 41, vierde lid, die zich hebben gemeld om bijstand aan te vragen gedurende de vier weken na de melding, bedoeld in artikel 44; ⮚ of aan wie het UWV een uitkering verstrekt, tenzij het betreft een persoon ten behoeve van wie loonkostensubsidie als bedoeld in artikel 10b is verleend, tot het moment dat diens inkomen uit arbeid in dienstbetrekking gedurende twee aaneengesloten jaren ten minste het minimumloon bedraagt en ten behoeve van die persoon in die twee jaren geen loonkostensubsidie is verleend. Artikel 67 Participatiewet: Het college is bevoegd uit eigen beweging en verplicht desgevraagd uit de administratie ter zaken van de uitvoering van deze wet aan de hieronder vermelde instanties kosteloos de gegevens te verstrekken: Sub a: het UWV |
de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen | |
Arbeidsinschakeling | Artikel 34 lid 1 wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen: Het college is verantwoordelijk voor: ⮚ het verlenen van een uitkering aan de gewezen zelfstandige, bedoeld in artikel 2; ⮚ het ontwikkelen van beleid ten behoeve van het verrichten van een tegenprestatie als bedoeld in artikel 37 eerste lid onderdeel f en het uitvoeren ervan, overeenkomstig de verordening, bedoeld in artikel 35, eerste lid, onderdeel e. Artikel 36 lid 1 wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen: Belanghebbenden die een uitkering ontvangen, hebben overeenkomstig de verordening, bedoeld in artikel 8a van de Participatiewet, aanspraak op ondersteuning bij arbeidsinschakeling en op de naar het oordeel van het college noodzakelijk geachte voorziening gericht op arbeidsinschakeling. |
de Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte werkloze werknemers | |
Arbeidinschakeling | Artikel 34 lid 1 wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen werknemers: Het college is verantwoordelijk voor: ⮚ het verlenen van een uitkering aan de werkloze werknemer, bedoeld in artikel 2: ⮚ het ontwikkelen van beleid ten behoeve van het verrichten van een tegenprestatie als bedoeld in artikel 37, eerste lid, onderdeel f en het uitvoeren ervan, overeenkomstig de verordening, bedoeld in artikel 35, eerste lid, onderdeel e. ⮚ het college kan de uitvoering van deze wet, behoudens de vaststelling van de rechten en plichten van de belanghebbende en de daarvoor noodzakelijke beoordeling van zijn omstandigheden door derden laten verrichten. Het college kan de in eerste volzin bedoelde vaststelling en beoordeling mandateren aan bestuursorganen. ⮚ Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld met betrekking tot het tweede lid. Artikel 36 lid 1 wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen werknemers: Belanghebbenden die een uitkering ontvangen, hebben overeenkomstig de verordening, bedoeld in artikel 8a van de Participatiewet, aanspraak op ondersteuning bij arbeidsinschakeling en op de naar het oordeel van het college noodzakelijk geachte voorziening gericht op arbeidsinschakeling. |
Wet banenafspraak en quotum arbeidsbeperkten | |
Artikel 38d Wfsv (registratie arbeidsbeperkten) leden 3 en 4. | |
Wet eenmalige gegevensuitvraag werk en inkomen (wet van 12 december 2007) | |
Wet SUWI: Artikel 33a, lid 2: de gegevens die door het UWV worden verwerkt, worden door het UWV niet verkregen van de betrokkene, voor zover zij verkregen kunnen worden uit de Polisadministratie, de verzekerdenadministratie alsmede de basisregistratie tenzij anders bepaald. |
Deel B. Beveiligingsovereenkomst
Ondergetekenden (zie bijbehorend tekenblad) afzonderlijk ook te noemen: “Partij” en gezamenlijk hierna te noemen: “Partijen”,
nemen in overweging dat:
⮚ Partijen een hoofdovereenkomst UWV Portaal voor Gemeenten hebben gesloten, inhoudende dat de gemeente door middel van het UWV Portaal voor Gemeenten gebruik maakt van de ICT- faciliteiten van UWV.
⮚ Partijen door middel van het UWV Portaal voor Gemeenten toegang hebben tot persoonsgegevens van klanten en de bevoegdheid hebben deze gegevens te verwerken, waaronder begrepen het aanbrengen van wijzigingen in deze gegevens.
⮚ Partijen het van het grootste belang achten dat met deze persoonsgegevens van klanten zorgvuldig en conform het wettelijke kader wordt omgegaan.
⮚ Partijen afspraken xxxxxx te maken over de beveiligings- en privacyaspecten van het UWV Portaal voor Gemeenten.
⮚ Deze afspraken zijn neergelegd in onderhavige Beveiligingsovereenkomst UWV Portaal voor Gemeenten die deel uitmaakt van de hoofdovereenkomst UWV Portaal voor Gemeenten.
en komen het volgende overeen:
Artikel 1 Begripsomschrijving
1. De in de hoofdovereenkomst UWV Portaal voor Gemeenten gehanteerde definities gelden ook voor de onderhavige beveiligingsovereenkomst.
2. In aanvulling op de hierboven bedoelde definities wordt in deze beveiligingsovereenkomst de volgende definitie gehanteerd:
Verwerking: de betekenis die de Algemene Verordening Gegevensbescherming daaraan geeft, te weten een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Artikel 2 Looptijd
De looptijd van deze beveiligingsovereenkomst is gelijk aan de looptijd van de tussen partijen afgesloten hoofdovereenkomst UWV Portaal voor Gemeenten.
Artikel 3 Accountverstrekking incl. autorisaties
1. Het door UWV aan de medewerker van de gemeente verstrekte account incl. autorisaties tot de ICT-faciliteiten is slechts geldig voor de periode dat de betreffende medewerker bij de gemeente in dienst is en belast is met de taken en bevoegdheden die hebben geleid tot accountverstrekking incl. autorisaties en zoals opgegeven in de aanvraag van de gemeente.
2. De gemeente zal een voor het account incl. autorisaties relevante beëindiging of wijziging van het dienstverband, de taken en/of bevoegdheden van een voor de ICT-faciliteiten geautoriseerde medewerker onverwijld doorgeven aan UWV met daarin een duidelijke aanduiding van de wijzigingen. De daartoe bevoegde medewerker van de gemeente meldt aan UWV als een account incl. autorisaties moet worden ingetrokken (zie verder deel D Dossier Afspraken en Procedures).
3. UWV zal het account incl. autorisaties van een medewerker beëindigen indien de medewerker niet meer aan de voorwaarden voor accountverstrekking incl. autorisaties voldoet. Indien een medewerker van de gemeente gedurende langer dan 6 maanden geen gebruik maakt van zijn account incl. autorisaties tot de ICT-faciliteiten, zal UWV het account incl. autorisaties beëindigen.
4. UWV zal het account incl. autorisaties van een medewerker beëindigen indien is vast komen te staan of indien er bij UWV het gerede vermoeden bestaat dat de medewerker zich schuldig maakt aan misbruik of oneigenlijk gebruik van de ICT-faciliteiten en de daarin voorkomende klantgegevens.
Artikel 4 Inlog
5.1.2.e.h.i
1.
Artikel 5 Gebruik klantgegevens
1. Partijen verwerken de met het UWV Portaal voor Gemeenten ontsloten persoonsgegevens slechts voor zover dat noodzakelijk is voor de uitvoering van de taken zoals beschreven in de hoofdovereenkomst.
2. Partijen zullen de met het UWV Portaal voor Gemeenten ontsloten persoonsgegevens niet verder bekend maken of ter beschikking van derden stellen dan noodzakelijk is voor de uitvoering van de in het eerste lid genoemde taken en voor zover Partijen bij of krachtens de wet bevoegd of verplicht zijn om de gegevens bekend te maken of aan derden ter beschikking te stellen.
3. Partijen zullen zorgdragen voor naleving van de wettelijke voorschriften inzake privacy en gegevensverwerking, zoals die onder meer zijn neergelegd bij of krachtens de Algemene Verordening Gegevensbescherming.
Het is de medewerker van Partijen niet toegestaan media (zoals papier of digitale informatiedragers) met daarop opgeslagen persoonsgegevens die met het UWV Portaal voor Gemeenten zijn ontsloten, buiten de fysieke begrenzing van het kantoor van Partijen te hebben, tenzij beslist noodzakelijk (zoals bijvoorbeeld, voor een rechtszaak benodigde, processtukken meenemen naar de rechtbank). Dit is de verantwoordelijkheid, en dus ter beoordeling, van de betreffende verwerkingsverantwoordelijke partij.
Artikel 6 Beveiliging
1. Partijen nemen passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De gemeente en UWV handelen daarbij overeenkomstig de Baseline Informatiebeveiliging Overheid (BIO).
2. Partijen nemen adequate maatregelen om schade door ongewenste en schadelijke software te voorkomen en te detecteren, alsmede om eventuele schade te herstellen.
3. Partijen zullen z.s.m. informatie delen en evalueren over de mate van technische kwetsbaarheden van de voor het UWV Portaal voor Gemeenten op het koppelvlak van belang zijnde eigen informatiesystemen en de planning van het doorvoeren van (kritische) systeemupdates en –patches, ter behandeling van hiermee gepaard gaande risico’s.
4. UWV zal het gebruik van de ICT-faciliteiten (waaronder begrepen (de pogingen tot) het verschaffen van toegang ertoe) door medewerkers van de gemeente loggen en vastleggen in logbestanden. UWV gebruikt deze logbestanden voor eventueel onderzoek naar het gebruik van de ICT-faciliteiten en voor toegangscontrole. Op verzoek van gemeente zal UWV de gemeente inzage geven in de logbestanden. De gemeente zal zijn medewerkers informeren over de logging en de logbestanden.
5. Partijen zijn verantwoordelijk voor een actief beleid op het detecteren van (mogelijk) oneigenlijk gebruik van het UWV Portaal voor Gemeenten om zodoende de databestanden te beschermen.
Artikel 7 Calamiteiten
2. Onder de in het eerste lid bedoelde calamiteiten worden ook begrepen misbruik en oneigenlijk gebruik van de ICT-faciliteiten en de daarin voorkomende klantgegevens door medewerkers van Partijen.
3. UWV zal de gemeente desgevraagd voorzien van de informatie die de gemeente nodig heeft in het kader van een arbeidsrechtelijke, civielrechtelijke dan wel strafrechtelijke procedure tegen een medewerker in het kader van het in het tweede lid bedoelde misbruik en oneigenlijk gebruik.
4. Partijen verstrekken elkaar uit eigen beweging tijdig alle informatie die noodzakelijk is om te voldoen aan de verplichting van artikel 33 en 34 Algemene Verordening Gegevensbescherming (meldplicht datalekken). Rollen en verantwoordelijkheden zijn beschreven in bijlage ‘Protocol afhandeling Datalekken’ (Deel D, bijlage 3).
Artikel 8 Bewustzijn medewerkers
1. Partijen zijn verantwoordelijk voor de naleving door hun medewerkers van deze beveiligingsovereenkomst en de richtlijnen en procedures inzake privacy en beveiliging van persoonsgegevens.
2. De gemeente instrueert, en maakt op passende wijze afspraken met, zijn medewerkers die toegang hebben tot de ICT-faciliteiten zodanig dat de ICT-faciliteiten via het UWV Portaal voor Gemeenten alleen gebruikt worden bij de uitvoering van de wettelijke taken van de gemeente als bedoeld in artikel 5 lid 1.
3. Partijen dragen op adequate wijze zorg voor het bewustzijn, opleiding en training ten aanzien van de privacy en de informatiebeveiliging van de medewerkers die in het kader van het UWV Portaal voor Gemeenten klantgegevens verwerken. In dit kader zullen partijen hun medewerkers ook instrueren over het in acht nemen van goede beveiligingsgewoonten bij het kiezen en gebruik van wachtwoorden. E.e.a. conform de eisen die de AVG daar aan stelt (technische en organisatorische maatregelen moeten passend zijn).
6 Een voorbeeld van een dergelijke procedure is opvraagbaar bij UWV.
Artikel 9 Contactpersonen en overleg per arbeidsmarktregio
1. Partijen stellen ten behoeve van de uitvoering van, en het borgen van de maatregelen uit, deze beveiligingsovereenkomst een of meer contactpersonen aan en plannen overleggen (incl. frequentie) in. E.e.a. zoals uitgewerkt in bijlage Dossier Afspraken en Procedures (DAP).
Deel C. Service Level Agreement
1.1 Doel van het SLA UWV Portaal voor Gemeenten
Het Service Level Agreement UWV Portaal voor Gemeenten (verder te noemen SLA) bevat de afspraken die gemaakt zijn tussen UWV en gemeente over de ICT dienstverlening van UWV aan de gemeenten.
1.2 Scope van het SLA
Het bereik van deze SLA is de relevante UWV dienstverlening aan de gemeentelijke medewerkers. De ontsluiting van de applicaties vindt plaats via het UWV Portaal voor Gemeenten. Alle componenten die deel uitmaken van de dienstverlening zijn terug te voeren op de gemeente werkplek.
Figuur 1: Werkplein applicaties en connectiviteit:
SLA UWV PORTAAL | SLA UWV PORTAAL |
1.3 Positie van het SLA
De basis voor de afspraken in deze SLA is vastgelegd in de hoofdovereenkomst Gebruik UWV Portaal voor Gemeenten (Hierna genoemd: Hoofdovereenkomst). Het SLA sluit aan bij de Hoofdovereenkomst. UWV maakt voor de ICT-faciliteiten gebruik van externe leveranciers. De in de SLA genoemde eisen aan de dienstverlening moeten passen binnen de door UWV met die externe leveranciers gemaakte afspraken.
2. Algemene bepalingen
2.1 Duur en wijziging van het SLA
⮚ Het SLA gaat in op het moment dat de Hoofdovereenkomst aanvangt en geldt voor de duur van de Hoofdovereenkomst dan wel totdat een nieuwe versie van het SLA in werking treedt (en aan de Hoofdovereenkomst wordt toegevoegd).
⮚ Wijzigingen die het gevolg zijn van de evaluatie van het SLA worden opgenomen in een nieuwe versie van deze SLA. De nieuwe versie treedt - op een nader overeen te komen datum - volgend op de evaluatiedatum, in werking.
⮚ Kleine wijzigingen (in bijvoorbeeld de rapportage of kleine infrastructurele wijzigingen) worden vastgelegd in het SLA onder Specifieke afspraken en procedures (par. 5.2).
2.2 Informatieplicht en geheimhouding
Informatieplicht en geheimhouding is geregeld in de Hoofdovereenkomst.
2.3 Inspanningsverplichting
Deze SLA gaat uit van een inspanningsverplichting. In het geval dat de gemeente of UWV structureel toerekenbaar tekort schiet in de nakoming van haar verplichting, kan de getroffen partij schriftelijk om passende maatregelen verzoeken. Aan de getroffen partij zal een onderbouwd actieplan worden gepresenteerd waarin aangegeven staat welke maatregelen er genomen worden om de tekortkoming(en) in de toekomst te voorkomen. Hierin staat ten minste aangegeven:
⮚ Welke actie waarom wordt genomen
⮚ Wanneer actie wordt genomen
⮚ Wanneer de tekortkoming is verholpen
2.4 Aansprakelijkheid
Aansprakelijkheid tussen het UWV en gemeente is geregeld in de Hoofdovereenkomst.
2.5 Overlegstructuur
Partijen stellen ten behoeve van de uitvoering van deze overeenkomst een of meer contactpersonen aan en plannen overleggen (incl. frequentie) in. E.e.a. zoals uitgewerkt in bijlage Dossier Afspraken en Procedures (DAP).
Deze SLA heeft betrekking op de volgende diensten en beheerprocessen:
⮚ Servicedesk
⮚ Gemeentelijke 1e en UWV 2e lijns Servicedesk
⮚ Incidentbeheer
⮚ Wijziging- en releasebeheer
⮚ Probleembeheer
⮚ Onderhoud
⮚ Privacy en Beveiliging
⮚ Escalatie
De ICT-Faciliteiten alsmede alle onderdelen van de dienstverlening, zoals beschreven in deze SLA, zijn minimaal beschikbaar op werkdagen van 07:00 tot 19:00 uur. Werkdagen zijn alle weekdagen, behalve zaterdagen, zondagen en erkende feestdagen. Buiten genoemde tijden is de dienstverlening op verzoek beschikbaar op basis van best effort.
3.1 1e lijns gemeentelijke Servicedesk
De gemeente is verantwoordelijk voor eerstelijns ondersteuning aan de gemeentemedewerkers die gebruik maken van het UWV Portaal voor Gemeenten. Hiervoor heeft deze partij één (of meerdere) gemeentelijke servicedesk(en) ingericht. Dit is een centraal punt waar gebruikers terecht kunnen voor:
⮚ het stellen van vragen;
⮚ het melden van storingen of klachten.
⮚ De gemeente draagt zorg voor een adequate bereikbaarheid en openstellingstijd van deze gemeentelijke servicedesk(en).
3.2 2e lijns Servicedesk IV UWV
UWV is via haar Servicedesk IV verantwoordelijk voor tweedelijns ondersteuning van de gemeentelijke Servicedesk.
Dienst | Openstelling | Prestatie-indicator | Niveau van dienstverlening |
Contactafhandeling via de telefoon | Werkdagen van 07:00 tot 19:00. | Beantwoorde gesprekken | 90% binnen 20 seconden |
98% totaal opgenomen | |||
Contactafhandeling via Mail | Er kan 7 dagen per week, 24 uur per dag mail verzonden worden aan de Servicedesk IV UWV. De afhandeling ervan gebeurt echter op werkdagen van 07:00 tot 19:00. | Opgepakte mails | 95% binnen 15 minuten |
De volgende oplostijden in werkuren* gelden voor alle incidenten die betrekking hebben op het UWV domein UWV Portaal voor Gemeenten:
Prestatienorm | Prioriteit | Omschrijving | Oplostijd |
Top | Incidenten waarbij de dienst(en) in het geheel niet meer functione(e)r(en)t | ≤ 2 werkuren | |
Hoog | Incidenten waarbij de functionaliteit zodanig is afgenomen dat de dienst niet meer functioneert | ≤ 4 werkuren | |
Midden | Incidenten waarbij de dienst(en) gedeeltelijk niet meer functione(e)r(en)t, maar waarbij het met de overgebleven functionaliteit toch mogelijk blijft om te kunnen functioneren | ≤ 12 werkuren | |
Laag | Overige incidenten | ≤ 24 werkuren |
*Werkuren tijden Service Window (werkdagen van 07:00 tot 19:00 uur); zo nodig zal er bij calamiteiten ook buiten deze uren worden gewerkt.
Ernst | |||||
Functionaliteit | Functionaliteit | Functionaliteit | Functionaliteit | ||
beschikbaar | beperkt beschikbaar | onbeschikbaar | Werken is onmogelijk | ||
Impact | Individueel (1) | Laag | Laag | Laag | Midden |
Groep (2-30) | Laag | Laag | Midden | Hoog | |
Lokaal (30 +) | Laag | Midden | Hoog | Top | |
Landelijk | Midden | Hoog | Top | Top |
3.3 Incidentbeheer
De gemeentelijke Servicedesk is verantwoordelijk voor het aanmelden, routeren, oplossen van incidenten op het gemeente domein en afmelden van ketenbrede incidenten conform het incidentproces UWV Portaal voor Gemeenten.
3.3.1 Incidentproces UWV Portaal voor Gemeenten
5.1.2.e.h.i
5.1.2.e.h.i
5.1.2.e.h.i
16 van 34
Voortgangsbewaking Voortgangsbewaking
5.1.2.e.h.i
3.4 Wijziging- en releasebeheer
Wijzigingen buiten de kaders van de Hoofdovereenkomst en onderliggende stukken dienen door Partijen te zijn overeen gekomen met verwijzing naar het betreffende artikel in de Hoofdovereenkomst. Overigens zijn wijzigingen die in productie worden genomen voldoende getest door leverancier en systeemeigenaar.
3.5 Probleembeheer
3.6 Beschikbaarheidsbeheer
5.1.2.e.h.i
3.7 Beheer en beschikbaarstelling accounts incl. autorisaties
Het UWV Rayonmanagement is verantwoordelijk voor de aanvraag van accounts incl. autorisaties voor het UWV Portaal voor Gemeenten. Voor het aanvragen van accounts incl. autorisaties wordt gebruik gemaakt van bestaande procedures die binnen het UWV al aanwezig zijn, het Autorisatie Beheer Systeem (ABS).
Dienst | Openstelling | Prestatie-indicator | Niveau van dienstverlening |
Afhandelen van autorisatietaken (verzoek tot accountverstrekking incl. autorisaties) | Werkdagen van 07:00 tot 19:00. Verzoeken tot accountverstrekking incl. autorisaties worden ingediend via ABS. | Tijdige afhandeling | 95% binnen 5 werkdagen |
4. Algemene afspraken over de dienstverlening
4.1 Onderhoudstijden
Gepland onderhoud, uitgevoerd door of namens UWV, aan (een onderdeel van) de ICT-faciliteiten, vindt uitsluitend plaats buiten de afgesproken openstellingtijden.
Prestatienorm | 100% van het gepland onderhoud vindt plaats buiten de afgesproken openstellingtijden en binnen de onderhoudstijden |
Afwijkingen | Geconstateerde afwijkingen worden genoteerd door de Xxxxxxxxxxx XX van UWV en staan vermeld in de periodieke rapportage |
4.2 Privacy en beveiliging
In de Beveiligingsovereenkomst UWV Portaal voor Gemeenten staat vermeld hoe om te gaan met privacy en beveiliging.
Prestatienorm | Er zijn geen overschrijdingen toegestaan van de eisen van privacy en beveiliging zoals opgenomen in de Beveiligingsovereenkomst UWV Portaal voor Gemeenten. |
Afwijkingen | Geconstateerde afwijkingen worden genoteerd door de gemeentelijke Servicedesk en worden gemeld in het daarvoor aangewezen overleg. E.e.a. zoals uitgewerkt in deel D (Dossier Afspraken en Procedures). |
4.3 Escalaties
Partijen spreken in het Dossier Afspraken en Procedures (DAP) een escalatieprocedure af voor de gevallen dat:
⮚ de overeengekomen dienstverlening niet wordt nagekomen;
⮚ de afgesproken procedures niet worden gevolgd;
⮚ er een mogelijk beveiligingsincident is.
4.4 Frequentie rapportages
In de inleiding staat vermeld dat er periodiek gerapporteerd wordt door de Servicemanager van de leverende partij en dat bewaking plaatsvindt door de Servicemanager van de ontvangende partij. Het doel van de rapportages is om inzicht te verschaffen in de behaalde resultaten van de voorgaande maand(en), en om een prognose te geven van de te verwachten resultaten.
De periodieke service level rapportage bevat informatie betreffende de kwaliteit van de dienstverlening over een voorafgaande periode en vermeldt de incidenten van de voorafgaande periode en de ondernomen acties, alsmede een beoordeling van de kans dat deze incidenten zich opnieuw kunnen voordoen en de eventuele benodigde acties om dit te voorkomen.
De exacte frequentie evenals de inhoud van de rapportages wordt in onderling overleg vastgesteld. In ieder geval dient te worden gerapporteerd over het proces incidentmanagement.
Partijen kunnen incidenteel vragen om ad-hoc rapportage. Dit is een meer gedetailleerde rapportage naar aanleiding van storingen, problemen, releases en/of wijzigingen.
5. Specifieke afspraken en procedures
5.1 Aanleiding
In dit hoofdstuk specifieke afspraken & procedures staan de meer specifieke afspraken per gemeente vermeld alsmede de eventuele uitzonderingen.
5.2 Specifieke procedures en afspraken:
1.
2.
3.
5.3 Tijdelijke afwijkingen van de gestelde Service Level Parameters:
1.
2.
3.
6.1 Servicedesk gemeente
Onderwerp | Afspraak | Opmerking |
Telefoonnummer | 5.1.2.i | |
5.1.2.i @xxxxxxxxxxxxxx.xx | ||
Openingstijden | 7.00 tot 19.00 uur |
Contactpersonen gemeente
Naam of Afdeling | Functie | Telefoonnummer | |
x | x | x | x |
6.2 Servicedesk IV (InformatieVoorziening) UWV
Onderwerp | Afspraak | Opmerking | |
Telefoonnummer | 5.1.2.i | ||
Fax | 5.1.2.i | ||
5.1.2.i | @xxx.xx | ||
Openingstijden | van 07.00u tot 19.00u op werkdagen | buiten openstellingtijd: van 19.00 uur tot 07.00 uur en in het weekend via de 5.1.2.i | |
Melding per telefoon/email | Incidenten worden bij voorkeur per telefoon gemeld. | De reden is dat alle relevante informatie in één keer kan worden uitgewisseld, de Aanvraag indien mogelijk direct kan worden afgehandeld, waardoor de service levels het beste kunnen worden behaald. | |
Incidenten kunnen per mail worden gemeld. | De reactietijd is langer dan bij een telefonisch ingediend incident. | ||
Vragen kunnen zowel per telefoon als per mail worden gemeld. | Ten behoeve van de snelheid van afhandeling verdient melding per telefoon de voorkeur. | ||
Klachten worden uitsluitend per email gemeld. | uitsluitend via mail naar: 5.1.2.i @xxx.xx |
Contactpersonen UWV
Naam of Afdeling | Functie | Telefoon nummer | E-mailadres | ||
UWV Servicedesk IV | 5.1.2.i | @xxx.xx | |||
UWV Servicedesk IV | 5.1.2.i | @xxx.xx | |||
Beheer UWV Portaal voor Gemeenten | 5.1.2.i | @xxx.xx |
Communicatie over incidenten
5.1.2.e.h.i
Deel D. Dossier Afspraken en Procedures
1. Inleiding
Het UWV Portaal voor Gemeenten (in dit document kortweg het Portaal genoemd) voorziet in de ontsluiting door UWV van ICT faciliteiten aan gemeenten ten behoeve van de in de wet SUWI beschreven samenwerking op het gebied van Werk & Inkomen.
Naast gemeenten kunnen ook Sociaal Ontwikkelbedrijven (voorheen SW bedrijven) – in naam van het college van burgemeester en wethouders van een gemeente – en in een Gemeenschappelijke Regeling samenwerkende gemeenten toegang krijgen.
Voor het gebruik van het UWV Portaal heeft UWV met elk van de gemeenten een Overeenkomst afgesloten (bestaande uit Hoofdovereenkomst, Beveiligingsovereenkomst, SLA en Tekenblad).
Dit Dossier Afspraken en Procedures (DAP) is een aanvulling op die Overeenkomst met een verdere uitwerking van afspraken en andere relevante operationele informatie.
1.1 Doel Dossier Afspraken en Procedures
1.2 Uitgangssituatie voor het DAP
Voorafgaand aan het gebruik van het Portaal worden een aantal stappen doorlopen, waaronder:
⮚ De gemeente heeft aangetoond dat zij voldoet aan de aansluitvoorwaarden voor het Portaal.
⮚ UWV en gemeente hebben het contract (ic het tekenblad) getekend.
⮚ UWV heeft de ICT faciliteiten beschikbaar gesteld en ontsloten via het BKWI domein
⮚ De gemeente heeft het Portaal in gebruik genomen c.q. in gebruik laten nemen
Als aanvulling op het contract zullen beide partijen in dit DAP de gewenste operationele afspraken en gegevens vastleggen.
1.3 Opbouw DAP
Het DAP bestaat uit een algemene (generieke) tekst, geldig voor alle gemeenten, en enkele voor de betreffende gemeente specifieke bijlagen. In de praktijk zal doorgaans het invullen van Deel D, DAP bijlage 1 Gegevensblad volstaan. Daarin staan met name de actuele gegevens van alle betrokken contactpersonen. Daar waar het nodig is andere of aanvullende afspraken te maken, kunnen die worden vastgelegd in bijlage 2. Bijlage 3 is de generieke tekst, het “Protocol afhandeling datalekken” (zie 2.2.2).
1.4 Verdere documentatie
Met dit DAP is enerzijds geprobeerd een in zichzelf volledig en toegankelijk document op te leveren en anderzijds zo min mogelijk overlap te laten bestaan met reeds bestaande documenten, om ook de consistentie van informatie te waarborgen. Daarom wordt regelmatig verwezen naar andere documenten, en met name de onderliggende (getekende) Hoofdovereenkomst. Bij enige onduidelijkheid of inconsistentie prevaleert de Hoofdovereenkomst boven het DAP.
Alle relevante documentatie is terug te vinden op het Gemeentelijke Samenwerking en Documentatie Overzicht (GSDO), onder “Overige Documentatie”.
Wanneer (nog) geen toegang tot het Portaal beschikbaar is kan documentatie worden opgevraagd bij de betreffende Adviseur UWV Portaal. Beschikbare documenten zijn onder andere:
⮚ Hoofdovereenkomst, beveiligingsovereenkomst en SLA UWV Portaal voor Gemeenten
⮚ Aansluitvoorwaarden UWV Portaal
⮚ Gebruikerskader UWV Portaal
⮚ Formulieren voor het aanvragen, wijzigen of opheffen van accounts incl. autorisaties op het Portaal
⮚ Protocol melding datalekken
1.5 Beheer DAP
Het beheer van dit DAP (updates en nieuwe versies) is belegd bij UWV bij de afdeling Beheer UWV Portaal voor Gemeenten. Deze afdeling is ook verantwoordelijk voor het in gebruik nemen van het DAP, door samen met de gemeente de gegevens te inventariseren (zie bijlagen) en deze vast te leggen.
1.6 Governance
Voor afstemming over wijzigingen in beschikbare systemen en functionaliteit op het UWV Platform is een governance structuur voor UWV en gemeenten ingericht.
Accountverstrekking incl. autorisaties voor de systemen op het UWV Portaal zijn gebaseerd op één uniforme set van vooraf gedefinieerde functierollen, het “rollenmodel”. Deze functierollen dienen aan te sluiten op processen en gebruik bij gemeenten. Wijzigingen in en uitbreidingen op dit rollenmodel kunnen in de toekomst noodzakelijk zijn. Omdat dat impact kan hebben voor de bedrijfsvoering van gemeenten zullen wijzigingen vooraf goed gecommuniceerd moeten worden. Binnen de governance structuur wordt het Expertgroep Werk-overleg benut voor toetsing van voorgenomen aanpassingen van rollenmodellen.
2. Processen en procedures
2.1 Account- en autorisatiebeheer
Hier volgt een korte beschrijving van de procedures met betrekking tot account- en autorisatiebeheer. Dit is een aanvulling op artikel 3 en 4 van de Beveiligingsovereenkomst.
Door middel van Deel D, DAP bijlage 1 Gegevensblad bij dit document zijn de gemeenten bekend met waar de betreffende formulieren ingeleverd moeten worden.
2.1.1 Aanvragen, wijzigen en opheffen van accounts incl. autorisaties
Nieuwe accounts incl. autorisaties, wijzigingen op accounts incl. autorisaties en het opheffen van accounts incl. autorisaties kunnen de gemeenten aanvragen met het onderstaande beschikbaar gestelde formulier:
⮚ Aanvraagformulier_Accounts_UWV_Portaal_v.2020.6
Het formulier zal beoordeeld worden door een, door de Rayonmanager van UWV, aangewezen contactpersoon van UWV. Onderdeel van de toetsing is een beoordeling of het aangevraagde account incl. autorisaties noodzakelijk zijn voor de werkzaamheden van de betreffende medewerker in het kader van de Samenwerking Werk en Inkomen, en met in acht name van de lokale samenwerkingsafspraken.
De accounthouders worden via hun bedrijfsmail geïnformeerd over de beschikbaarheid van hun accounts incl. autorisaties en inloggegevens. De toekomstige gebruiker moet ten minste de betreffende e-learning voor de te gebruiken applicaties hebben doorlopen. Dat is daarmee onderdeel van het aanvraagproces.
De doorlooptijd van een aanvraag tot accountverstrekking incl. autorisaties of een wijzigingsverzoek daartoe is conform de SLA maximaal 5 werkdagen. Daarin is de benodigde tijd voor het volgen van de e-learning en de toetsing daarop niet inbegrepen. In spoedgevallen is het in overleg ook mogelijk om accounts incl. autorisaties per ommegaande op te heffen.
2.1.2 Automatische blokkering van accounts
2.1.3 Periodieke toetsing rechtmatigheid accounts
Contractueel verplichten de gemeenten die gebruikmaken van het Portaal, zich onder andere om de verstrekte accounts incl. autorisaties te laten wijzigen of opheffen, als:
a. de medewerker niet meer in dienst is van de gemeente of,
b. de medewerker wel in dienst is van de gemeente, maar inmiddels een andere rol heeft of betaalde bijbanen onverenigbaar met zijn functie heeft, of
c. de medewerker geen taken meer uitoefent zoals beschreven in de wet SUWI.
Afdeling Beheer UWV Portaal voor Gemeenten laat tot 2 keer per jaar een accountcontrole uitvoeren. De gemeente wordt daarbij op basis van een actueel accountoverzicht gevraagd per account te verklaren dat de betreffende medewerker nog werkzaam is bij de gemeente binnen het domein van werkzoekenden- en werkgeversdienstverlening en dat de medewerker het account dient te behouden voor het UWV Portaal voor Gemeenten. Accounts waarvoor dat niet verklaard kan worden zullen in de afhandeling van de accountcontrole definitief worden geblokkeerd.
De gemeente wordt verzocht binnen twee weken te reageren op het controleverzoek. Indien nodig wordt de gemeente na de twee weken gerappelleerd. Is één week na het rappel nog geen reactie ontvangen dan behoudt UWV zich het recht voor de betreffende accounts zonder verdere aankondiging definitief te blokkeren.
NB. Deze accountcontrole ontslaat gemeenten niet van de verplichting om alle hierboven vermelde wijzigingen onverwijld door te geven aan UWV.
2.2 Incidenten
5.1.2.e.h.i
2.3 Problemen
Beperkingen in de dienstverlening veroorzaakt door geplande wijzigingen of onderhoud zullen door UWV zoveel mogelijk vooraf worden gecommuniceerd, zie de voorgaande paragraaf.
2.4 Beëindiging Hoofdovereenkomst
Dit is een aanvulling op artikel 11 van de Hoofdovereenkomst. Voorafgaand aan beëindiging van de Hoofdovereenkomst voor het gebruik van het UWV Portaal voor Gemeenten vindt altijd overleg plaats tussen de contactpersoon (rechtsgeldig vertegenwoordiger) van de gemeente en een adviseur UWV Portaal voor Gemeenten. In dat overleg komen de volgende aspecten aan de orde:
⮚ De reden en gevolgen van beëindiging, beide partijen dienen de impact in kaart te brengen
⮚ Vastlegging van gezamenlijk afspraken over de beëindiging, op het gewenste detailniveau
⮚ Garanties voor de beschikbaarheid van (klant-)gegevens na beëindiging
⮚ Opheffen van accounts
UWV zal een eventuele beëindiging altijd formeel kenbaar maken per aangetekende brief.
3. Service level management
3.1 Service level rapportage
Als invulling van artikel 4.4 van de SLA is UWV bezig met de ontwikkeling van een service level rapportage die te zijner tijd beschikbaar zal komen. De rapportage geeft een beeld van de kwaliteit en beschikbaarheid van de via het Portaal geboden diensten ten behoeve van de aangesloten gemeenten. Daarna zal deze rapportage met een vaste frequentie worden gepubliceerd.
Voorlopige inhoud:
⮚ Prestatienormen en KPI’s UWV Portaal
⮚ Beschikbaarheidsrapportages
⮚ Incidentrapportages (waaronder beveiligingsincidenten)
⮚ (Eventueel) probleemrapportages
3.2 Rapportages toegang/gebruikershandelingen
3.3 Periodiek overleg
3.3.1 Partijen kunnen o.a. afspraken maken over ‘Servicelevel overleg tactisch/operationeel’:
⮚ Deelnemers (functies), in beginsel: contactpersonen op tactisch en operationeel niveau, van zowel gemeente als van UWV
⮚ Frequentie, in beginsel: min. 2 maal per jaar
⮚ Locatie: in overleg
⮚ Inhoud/agenda, in beginsel:
⮚ Servicelevel rapportage
⮚ Grote verstoringen, calamiteiten, escalaties, wijzigingen afgelopen periode
⮚ Specifiek privacy gerelateerde incidenten en problemen
⮚ Voorziene (infrastructurele) wijzigingen en implementaties komende periode
⮚ Kwaliteit dienstverlening, communicatie, ondersteuning
NB. Het servicelevel overleg wordt genoemd in de SLA. In het algemeen zal dit worden gecombineerd met het Gebruiksoverleg, zie hierna.
⮚ Deelnemers (functies), in beginsel:
⮚ Contactpersonen gemeente op tactisch en operationeel niveau
⮚ Adviseur UWV Portaal
⮚ (eventueel) Rayonmanager
⮚ (eventueel) door Rayonmanager aangewezen contactpersoon
Deze opsomming is niet uitputtend, bijvoorbeeld ook gebruikers (met name de superuser) vanuit de uitvoering kunnen hier aanschuiven
⮚ Frequentie, in beginsel: 1 of 2 maal per jaar
⮚ Locatie: in overleg
⮚ Inhoud/agenda, in beginsel:
⮚ Actualiteit contractgegevens, organisatorische wijzigingen en samenwerkingsverbanden, toetsing aansluitvoorwaarden
⮚ Actualiteit Deel D, DAP bijlage 1 Gegevensblad en borging binnen gemeente
⮚ Mutaties gebruikersaccounts, toetsing autorisaties, gebruiksrapportage
⮚ Privacy gerelateerde incidenten en problemen, bekende risico’s/kwetsbaarheden
⮚ Technische/organisatorische maatregelen (logging, monitoring)
⮚ Kwaliteit van, tevredenheid over gebruik Sonar, WBS, GIP, GIP Informatie
⮚ Voorziene release wijzigingen en implementaties komende periode
⮚ Status en activiteiten t.a.v. bewustzijn privacy gevoeligheid en informatiebeveiliging
⮚ Samenwerking en communicatie
3.4 Audits
UWV is gerechtigd audits bij de gemeente uit te (laten) voeren naar de wijze waarop het gebruik van de ICT-faciliteiten door de gemeente voldoet aan het bepaalde in de Hoofdovereenkomst.
Partijen treden in overleg over de aard en inhoud van de audit. Aankondiging van een audit vindt plaats door de Rayonmanager bij de verantwoordelijke contactpersoon bij de gemeente. UWV zal de uitkomsten van eigen interne audits incl. de voorgenomen verbeterplannen delen met betreffende gemeenten voor zover die informatie daartoe relevant is.
Deel D, bijlage 1: Template Gegevensblad - Contactpersonen
Contactpersonen aangaande Hoofdovereenkomst UWV Portaal voor Gemeenten - Datum laatste wijziging: xxxxxxxxx
Gemeente
Rol Gegevens
UWV
Rol Gegevens
Gemeente (zoals vermeld op het tekenblad van de Hoofdovereenkomst)
Gemeente Súdwest-Fryslân zetelend te Xxxxxxxxxxx 00 0000 XX Xxxxx
Xxxxxxxxxxxxxxxxx
Xxxxxxxxx
Ondertekenaar van de Hoofdovereenkomst namens de gemeente (of, indien van toepassing, huidige opvolger)
Contactpersoon gemeente
m.b.t. uitvoering Hoofdovereenkomst op tactisch niveau (voor zover aangesteld)
Contactpersoon gemeente
m.b.t. uitvoering Hoofdovereenkomst op operationeel niveau (voor zover aangesteld)
5.1.2.e
Waarnemend Directeur Sociaal Domein en Klantcontacten
5.1.2.e
xxxxxxxxxxxxxx.xx
5.1.2.e
@xxxxxxxxxxxxxx.xx
Ondertekenaar: Landelijk Manager Landelijk Team Samenwerkingen
Contactpersoon: Rayonmanager UWV
Afdeling Beheer UWV Portaal voor Gemeenten
Adviseur UWV Portaal voor Gemeenten
5.1.2.e
5.1.2.e
5.1.2.i
5.1.2.e
xxx.xx
@xxx.xx
@xxx.xx
@xxx.xx
Door de gemeente
gemandateerde aanvrager van
5.1.2.e
Door de Rayonmanager benoemde contactpersoon
Bedrijfsbureau UWV Portaal voor Gemeenten
accounts incl. autorisaties en/of mutaties daartoe.
@xxxxxxxxxxxxxx.xx
voor de arbeidsmarktregio
5.1.2.i
@xxx.xx
Contactpersoon escalaties (Escalatiemanager) gemeente | 5.1.2.e @xxxxxxxxxxxxxx.xx | Escalatiemanager UWV | 5.1.2.e xxx.xx | ||
Regievoerder datalekken voor de gemeente | 5.1.2.e @xxxxxxxxxxxxxx.xx | Regievoerder datalekken namens UWV (Rayonmanager UWV) | 5.1.2.e @xxx.xx Overigens moeten datalekken bij UWV altijd via email worden gemeld aan: 5.1.2.i @xxx.xx | ||
Functionaris Gegevens- bescherming (FG) gemeente | 5.1.2.e @xxxxxxxxxxxxxx.xx | Functionaris Gegevens- bescherming (FG) UWV Wilt u contact opnemen met de functionaris gegevensbescherming? Bijvoorbeeld omdat u een klacht heeft over de manier waarop UWV is omgegaan met uw persoonsgegevens? Xxx xxxx u een brief sturen naar: | Bureau gegevensbescherming UWV Functionaris gegevensbescherming Xxxxxxx 00000 0000 XX XXXXXXXXX U kunt ook een e-mail sturen naar: xxxxxxx@xxx.xx U kunt via dit e-mailadres geen verzoek doen voor het inzien, wijzigen of verwijderen van uw persoonsgegevens. | ||
Chief Information Security Officer (CISO) gemeente | 5.1.2.e xxxxxxxxxxxxxx.xx | Chief Information Security Officer (CISO) UWV | 5.1.2.e @xxx.xx | ||
ICT Servicedesk van de gemeente | 5.1.2.i @xxxxxxxxxxxxxx.xx | 5.1.2.e Servicemanager UWV Servicedesk IV | 5.1.2.i @xxx.xx (op werkdagen van 7.00 tot 19.00 uur) |
Overige contactpersonen
Gemeente | UWV | |||
Rol | Gegevens | Rol | Gegevens | |
Expertgroep Werk | Naam, M/V, functie, telefoonnummer, mailadres | |||
SuperUser UWV Portaal | Naam, M/V, functie, telefoonnummer, mailadres | |||
… |
NB1. In bovenstaande tabel kan één naam vaker voorkomen, vaak zullen meerdere rollen door één persoon worden uitgevoerd
NB2. De aanstelling van een functionaris voor de Gegevensbescherming (FG) is door de Algemene Verordening Gegevensbescherming (AVG), die is ingevoerd per 25 mei 2018, verplicht gesteld voor alle overheidsinstanties.
NB3. Dit is een template, in de praktijk wordt dit gegevensblad nader ingevuld en ook door partijen steeds onderling up-to-date gehouden.
Deel D, bijlage 2: Specifieke afspraken en procedures
Daar waar voor een gemeente specifieke afspraken worden gemaakt (aanvullend of afwijkend van de contractdocumenten of het algemene DAP), dienen die hieronder te worden vastgelegd:
Datum laatste wijziging:
Afspraak | Datum | Door wie | Details |
Deel D, bijlage 3: Protocol afhandeling datalekken
7
Protocol afhandeling datalekken t.b.v. het UWV Portaal voor Gemeenten
1. Regievoering
Partijen hebben een regievoerder.
⮚ Namens de gemeente (respectievelijk Intergemeentelijke Sociale Dienst [ISD], Gemeenschappelijke Regeling [GR] of het SW-bedrijf) kan de regievoerder de ondertekenaar van de Overeenkomst UWV Portaal voor Gemeenten of een door hem/haar aangewezen manager in het sociaal domein zijn;
⮚ Namens UWV is dit de rayonmanager van de arbeidsmarktregio waarvan de gemeente (respectievelijk ISD, GR) deel uitmaakt of waarmee het SW-bedrijf een samenwerking is aangegaan in een regionaal Werkgeversservicepunt (WSP).
2. Constateren mogelijk datalek
⮚ Indien bij één der partijen het vermoeden ontstaat van een mogelijk datalek ten aanzien van de door UWV Portaal voor gemeenten beschikbaar gestelde ICT-faciliteiten van UWV zal de andere partij daarvan direct op de hoogte worden gesteld.
⮚ Dit betekent dat deze melding een vast onderdeel uitmaakt van het werkproces dat bij partijen is ingericht voor de situatie van een mogelijk datalek.
⮚ Partijen overleggen direct over de aard van het lek en komen tot een oordeel welk van de partijen in het betreffende geval de rol op zich neemt om als verwerkingsverantwoordelijke het mogelijke datalek op te pakken en af te handelen.
Bepalend hierbij is het antwoord op de vraag of het mogelijke datalek is ontstaan bij een verwerking van persoonsgegevens door een gemeentemedewerker (of anderszins aan de gemeente toe te rekenen), dan wel door een verwerking van persoonsgegevens door een UWV-medewerker (of anderszins aan de UWV toe te rekenen). In het eerste geval pakt de gemeente het mogelijke datalek op en in het tweede geval is het UWV die het mogelijke datalek oppakt.
⮚ Deze partij draagt zorg voor al hetgeen een verwerkingsverantwoordelijke behoort te doen. De verwerkingsverantwoordelijke handelt conform de verplichtingen en afhandeltermijnen die de AVG stelt.
⮚ Partijen onderhouden een actueel overzicht van medewerkers (en hun vervangers) die vanuit hun functie een rol hebben in deze eerste fase van het vermoeden van een datalek. Partijen verplichten zich de andere partij van alle wijzigingen hierin op de hoogte te brengen.
3. Uit te zetten acties
⮚ De partij die in het betreffende geval wordt aangemerkt als verantwoordelijk voor het afhandelen van het datalek (meldingsverantwoordelijke) zet intern de procedure in werking die daartoe is ontwikkeld.
⮚ Afhankelijk van de verdere inhoudelijke beoordeling van het datalek binnen de organisatie van de meldingsverantwoordelijke door daartoe aangewezen personen wordt het lek indien noodzakelijk gemeld bij de Autoriteit Persoonsgegevens. Tevens wordt de afweging gemaakt of betrokkenen op de hoogte dienen te worden gesteld van het datalek.
7 Conform art. 26 AVG bepalen partijen hier, als verwerkingsverantwoordelijken, gezamenlijk de doeleinden en middelen van de verwerking en zijn daarom gezamenlijke verwerkingsverantwoordelijken. Partijen stellen in dit document en in hun openbare privacy-statement, op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van de AVG vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en de verplichting om de in de artikelen 13 en 14 AVG bedoelde informatie te verstrekken.
⮚ De meldingsverantwoordelijke informeert de betrokkenen (indien nodig). Dit kunnen klanten of medewerkers zijn, waarvan de gegevens verloren zijn gegaan of onbedoeld in handen van derden zijn gekomen. Zij zijn dan in de gelegenheid om de nodige maatregelen te treffen, bijvoorbeeld opheffing van account, aanpassing wachtwoorden. De meldingsverantwoordelijke handelt conform de verplichtingen en afhandeltermijnen die de Meldplicht datalekken hieraan stelt.
⮚ Partijen zijn steeds op de hoogte van elkaars procedure en van de gegevens van contactpersonen die belast zijn met het uitvoeren van de meldprocedure.
4. Melding Autoriteit Persoonsgegevens
⮚ Indien nodig meldt de meldingsverantwoordelijke het datalek bij de Autoriteit Persoonsgegevens en informeert de andere partij direct en volledig over de stand van zaken.
5. Gevolgen van de melding en leereffect
⮚ De meldingsverantwoordelijke informeert de andere partij over de eventuele bindende aanwijzing of nader onderzoek van de Autoriteit persoonsgegevens.
⮚ Conclusies over onvoldoende beveiliging, falende procedures en/of aanmerkingen op controle of houding en gedrag van medewerkers worden door de meldingsverantwoordelijke gedeeld met de andere partij.
⮚ De meldingsverantwoordelijke gaat altijd na of er maatregelen genomen kunnen worden om herhaling te voorkomen, dan wel de kans op herhaling te verkleinen en informeert de andere partij over de afweging om deze maatregelen al dan niet te implementeren.
Het wettelijk kader hiervoor wordt gevormd door de Algemene Verordening Gegevensbescherming, in het bijzonder de artikelen 33 en 34. Zij luiden als volgt:
Artikel 33 Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit
1. Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
2. De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
3. In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld
a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
4. Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
5. De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren.
Artikel 34 Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
1. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.
2. De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 33, lid 3, punten b), c) en d), voorgeschreven gegevens en aanbevelingen.
3. De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:
a) de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
b) de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
c) de mededeling onevenredige inspanningen zou vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
4. Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de toezichthoudende autoriteit, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in lid 3 bedoelde voorwaarden is voldaan.