Keten Service Level Agreement 13.0
Gezamenlijke elektronische Voorzieningen Suwi
Keten Service Level Agreement 13.0
Inhoud
1. Over de GeVS Keten SLA 4
1.1 Inleiding 4
1.2 Doel van de Keten SLA 4
1.3 Leeswijzer 4
1.4 Suwipartijen en niet Suwipartijen 4
1.5 BKWI en Inlichtingenbureau 5
1.6 Positie van de Keten SLA 5
1.7 Deelnemende organisaties 5
1.8 Bereik van de Keten SLA 6
1.9 Evaluatie, duur en wijziging van de Keten SLA 6
2. Algemene bepalingen 7
2.1 Informatieplicht en geheimhouding 7
2.2 Kosten en verdeling 7
2.3 Resultaatverplichting 7
2.4 Geschillen en escalatie 7
2.5 SUWI Standaarden 7
2.5.1 SGR en SuwiML 8
2.5.2 Verantwoordingsrichtlijn Informatiebeveiliging GeVS 8
2.5.3 Ketenarchitectuur 9
2.6 Beheerprocessen 9
2.6.1 Incidentbeheer 9
2.6.2 Wijzigings- en releasebeheer 11
2.6.3 Probleembeheer 13
2.6.4 Capaciteitsbeheer 13
2.6.5 Continuïteitsbeheer 13
2.6.6 Configuratiebeheer 14
2.6.7 Beschikbaarheidsbeheer 14
2.7 Logging, monitoring en rapportage 15
2.8 Releases en onderhoudsmomenten 15
2.9 Calamiteiten 16
2.10 Inzichtelijkheid verversing afgeleide databases 16
3. XML-diensten voor ketendiensten 17
3.1 Gegevenslevering 17
3.2 Beheer en beschikbaarstelling Testomgeving 17
4. Afspraken met betrekking tot de Centrale omgeving (BKWI) 19
4.1 Technisch beheer centrale omgeving GeVS 19
4.1.1 Beheer en beschikbaarstelling gebruikersadministratie 19
4.1.2 Logische toegangsbeveiliging 20
4.2 GeVS Managementrapportage 20
4.2.1 Specifieke beheerrapportages 20
Bijlage 1 – Beheerafspraken afnemers GeVS diensten en dienstverlening 21
1 Inleiding 21
2 Diensten 21
2.1 Suwinet-Inkijk 21
2.2 Suwinet-Inlezen 21
2.3 Suwinet-Mijn gegevens (Klantbeeld) 22
2.4 Suwinet-Mail 22
2.6 Suwinet-Meldingen 23
2.7 Suwinet-Autorisatie 23
2.8 Federatieve authenticatie service 23
2.9 Suwinet filtermechanisme (whitelist/werkvoorraad) 24
2.10 Ketenbrede Testomgeving 24
2.11 Suwinet Inkijk demo-omgeving 25
3 Dienstverlening van afnemers aan de keten 25
3.1 Servicedesk t.b.v. medewerkers van de aangesloten partijen 25
3.2 Wijziging- en releasebeheer 26
3.3 Logische toegangsbeveiliging 26
3.4 Logging, monitoring en rapportage 27
Bijlage 2 – Overlegvormen in de keten 28
1. Over de GeVS Keten SLA
1.1 Inleiding
Sinds 2004 wordt jaarlijks de GeVS Keten Service Level Agreement (Keten SLA) opgesteld met de afspraken tussen de partijen die via de Gezamenlijke elektronische Voorzieningen Suwi (GeVS) gegevens uitwisselen. In deze overeenkomst worden o.a. normen vastgesteld met betrekking tot beschikbaarheid, responstijden, openingstijden van systemen en oplostijden van incidenten. Deze Keten SLA (versie 13.0) vervangt versie 12.0.
1.2 Doel van de Keten SLA
De Keten SLA heeft als doel het vastleggen van concrete afspraken tussen de verschillende via de GeVS uitwisselende ketenpartijen, op basis waarvan de gezamenlijke prestaties gemeten en beoordeeld kunnen worden. De Keten SLA gaat uit van resultaatverplichtingen.
Met de vastlegging van deze afspraken kan worden geborgd en middels een Service Level Rapportage (GeVS Management Rapportage) aangetoond worden dat een bepaald niveau van dienstverlening door de verschillende partijen en de beheerder van de GeVS geleverd wordt. Bewaking van de resultaten en activiteiten ter verbetering vinden plaats in of onder regie van de Domeingroep ICT Beheer (DIB).
Daarnaast beschrijft de Keten SLA ook de specifieke beheerafspraken voor afnemers van GeVS diensten. Deze beheerafspraken zijn beschreven in bijlage 1 van deze Keten SLA. Deze bijlage bevatten afspraken waar de afnemers aan moeten voldoen en rechten waar zij als afnemers op mogen rekenen. De afspraken in deze bijlage zijn van toepassing op zowel Suwipartijen als niet Suwipartijen.
1.3 Leeswijzer
De Keten SLA is verdeeld in drie delen; een algemeen deel, een ketendiensten deel (bron) en een centrale omgeving Suwinet Services deel.
Hoofdstuk één bevat de algemene inleiding over deze Keten SLA. In hoofdstuk twee worden de algemene bepalingen beschreven. Hoofdstuk vier bevat de afspraken en normen die gelden voor de centrale omgeving Suwinet die in beheer is bij het Bureau Keteninformatisering Werk en Inkomen (BKWI). In bijlage 1 staan de beheerafspraken die gelden voor de verschillende voorzieningen en de dienstverleningsafspraken van de beheerder.
De Keten SLA wordt vastgesteld in het Ketenoverleg en wordt niet door de verschillende partijen ondertekend. Daarmee is de Keten SLA is een set van gezamenlijke overeengekomen afspraken tussen de ketenpartijen SVB, UWV en Gemeenten. Waarbij de Gemeente functioneel vertegenwoordigd wordt door VNG Realisatie. In bijlage 2 wordt weergegeven hoe de ketenpartijen vertegenwoordigd zijn in verschillende overleggen.
1.4 Suwipartijen en niet Suwipartijen
Met de invoering van de Wet SUWI in 2002 en de uit de Wet SUWI voortgekomen Regeling SUWI is een samenhangend stelselontwerp ontstaan voor de elektronische voorzieningen,
verantwoordelijkheden, afspraken, uitgangspunten en ketenproducten die nodig zijn voor digitale dossiervorming en gegevensuitwisseling in het domein Werk en Inkomen.
UWV, SVB en de gemeenten (m.b.t. uitvoering Participatiewet, IOAW en IOAZ) dragen gezamenlijk zorg voor de instandhouding van deze gezamenlijke elektronische voorzieningen SUWI (GeVS). Deze partijen worden de Suwipartijen genoemd.
Conform het Aansluitprotocol GeVS dienen niet Suwipartijen, die gegevens via de GeVS ontvangen, zich te conformeren aan de beheerafspraken in Keten SLA. Om de beheerafspraken te borgen zijn ze toegevoegd in bijlage 1. Voor alle diensten die in Gegevensleveringsovereenkomst opgenomen zijn is bijlage 1 van toepassing. Daarnaast zijn deze beheerafspraken ook van toepassing op Suwipartijen die diensten afnemen.
De gemeenten zijn betrokken bij de ketendienstverlening, in de rol van leverancier en afnemer. De gemeente is Suwipartij voor de taken benoemd in artikel 62 van de Wet SUWI (Participatiewet, IOAW, IOAZ en WGS), voor overige taken is zij een niet Suwipartij.
1.5 BKWI en Inlichtingenbureau
Het Bureau Keteninformatisering Werk & Inkomen (BKWI) treedt op als beheerder van het centrale deel van de GeVS zoals beschreven in de wet SUWI. Stichting Inlichtingenbureau (IB) verricht in het kader van de wet SUWI verwerkingsactiviteiten ter ondersteuning van gemeenten.
1.6 Positie van de Keten SLA
De basis voor de afspraken in de Keten SLA is vastgelegd in de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet SUWI) en de nadere uitwerking in het Besluit SUWI en de Regeling SUWI. De afspraken van de Keten SLA zijn nader uitgewerkt in het Keten Dossier Afspraken & Procedures (Keten DAP).
Als in documenten tegenstijdigheden staan geldt altijd het hiërarchisch hoger gelegen document.
1.7 Deelnemende organisaties
De ketenpartijen zijn volgens de SUWI-regelgeving verantwoordelijk voor het maken van afspraken met betrekking tot de prestaties van voorzieningen en beheer. De ketenpartijen zijn vertegenwoordigd in het ketenoverleg.
BKWI is beheerder van de centrale omgeving en heeft daarnaast met enkele partijen zoals Kadaster, Kamer van Koophandel (KVK) en Rijksdienst Wegverkeer (RDW) underpinning contracts afgesloten. De beheerder zorgt ervoor dat de afspraken die voor het afnemen van diensten van die partijen zoveel als mogelijk in lijn zijn met de Keten SLA.
IB is de beheerder van de decentrale voorziening ten behoeve van het gemeentelijk domein.
VNG Realisatie is deelnemer in het ketenoverleg en vertegenwoordigen de vraagkant (afnemers) van gemeenten. VNG Realisatie is niet verantwoordelijk om de naleving van deze Keten SLA door individuele gemeenten te waarborgen. Dit zijn verantwoordelijkheden van de gemeenten zelf.
De Keten SLA is een afsprakenset tussen: Uitvoeringsinstituut Werknemers Verzekeringen , Sociale Verzekeringsbank (SVB), het gemeentelijk domein vertegenwoordigd door Vereniging Nederlandse Gemeenten Realisatie en de beheerders Bureau Keteninformatisering Werk en Inkomen en Stichting Inlichtingenbureau.
1.8 Bereik van de Keten SLA
In de Keten SLA zijn de afspraken vastgelegd, die gemaakt zijn tussen partijen met betrekking tot de GeVS. De GeVS is een verzameling van centrale en decentrale voorzieningen die zorgdragen voor de gegevensuitwisseling tussen gegevensaanbieders en afnemers in de keten Werk en Inkomen. Deze voorzieningen zijn vastgelegd in artikel 5.21 van het Besluit SUWI, inclusief de taken op het gebied van de inrichting en beheer.
De definitie van de GeVS en daarmee de reikwijdte van deze Keten SLA is terug te vinden in de Ketenarchitectuur Werk en Inkomen; KarWeI. KarWeI is daarom leidend voor de scope van deze Keten SLA.
1.9 Evaluatie, duur en wijziging van de Keten SLA
De Keten SLA geldt vanaf het moment van publicatie na tekenen en blijft geldig tot opzegging of vervanging door een nieuwe Keten SLA. De Keten SLA wordt minimaal één keer per jaar geëvalueerd door de DIB.
Wanneer één der partijen, buiten de jaarlijkse evaluatie om, een wijziging in of beëindiging van de Keten SLA wenst, dan treden de partijen via de DIB in overleg en wordt de voorgenomen wijziging of beëindiging via de directeur BKWI voorgelegd ter besluit aan het Ketenoverleg.
2. Algemene bepalingen
2.1 Informatieplicht en geheimhouding
Partijen verplichten zich om elkaar tijdig alle informatie te verschaffen en medewerking te verlenen die noodzakelijk zijn voor het uitvoeren van de afspraken in de Keten SLA.
Alle in het kader van de Keten SLA ter beschikking gestelde of verkregen informatie over partijen, hun doelen en bedrijfsprocessen zal door de partijen strikt vertrouwelijk worden behandeld. Deze informatie zal niet worden aangewend voor andere doeleinden dan waarvoor deze is aangevraagd en verstrekt. Deze informatie wordt ook niet aangewend ten behoeve van derden zonder uitdrukkelijke en schriftelijke toestemming van betrokken partijen, tenzij juridisch vereist (bijvoorbeeld audits of toezichthouders).
2.2 Kosten en verdeling
Tenzij vooraf uitdrukkelijk anders wordt overeengekomen, dragen partijen elk zelf de kosten die voor hen aan de uitvoering van de Keten SLA zijn verbonden. Dit is conform de Wet SUWI.
2.3 Resultaatverplichting
De betrokken partijen rapporteren in de DIB aan elkaar over de algehele prestaties en de naleving van de binnen de keten geldende afspraken. BKWI rapporteert over de behaalde resultaten in de maandelijks op te leveren Service Level Rapportage aan de DIB. Waar nodig worden onderling de te nemen verbetermaatregelen benoemd en door de DIB belegd bij een eindverantwoordelijke. De DIB heeft hierin een coördinerende rol.
2.4 Geschillen en escalatie
Geschillen tussen partijen over de Keten SLA en de uitvoering hiervan worden te allen tijde schriftelijk (e-mail) bij elkaar ingediend. De DIB wordt op de hoogte gebracht van het geschil. Vervolgens treden partijen in overleg in de DIB, waarbij de voorzitter van de DIB de coördinerende rol voor haar rekening neemt.
Wanneer uit overleg tussen de partijen blijkt dat geen overeenstemming over het geschil kan worden bereikt, wordt het geschil ter bespreking en besluitvorming voorgelegd aan de directeur BKWI, die in overeenstemming met het Instellingsbesluit DIB gedelegeerd verantwoordelijke is.
De afgesproken escalatieprocedure is uitgewerkt in het Keten DAP en beschrijft escalatie voor de volgende gevallen:
- (dreigende) overschrijding van oplostijden van incidenten
- (vermoeden van) beveiligingsincident(en) en eventuele datalekken
- niet of verkeerd uitvoeren van procedures
- niet nakomen van ketenafspraken en/of verplichtingen
Escalatie naar de Security Officer van de eigen organisatie is verplicht bij (vermoeden van) beveiligingsincidenten.
2.5 SUWI Standaarden
Binnen de GevS kennen wij verschillende standaarden, naast de Keten SLA zijn de volgende ketenstandaarden van toepassing op uitwisseling via de GeVS.:
• SGR/SuwiML
• Verantwoordingsrichtlijn en Normenkader GeVS
• Ketenarchitectuur Werk en Inkomen (KarWeI)
2.5.1 SGR en SuwiML
Elke uitwisseling van gegevens via de Suwinet-Services dienen conform de afgesproken standaarden Suwi Gegevensregister (verder genoemd SGR) en SuwiML (Transactiestandaard en Berichtstandaard) te geschieden, met uitzondering van Suwinet-Mail, waarbij ongestructureerde berichten uitgewisseld worden.
Afwijkingen van de SGR- en SuwiML- standaarden resulteren - tenzij hierover nadere afspraken zijn gemaakt - in (centrale) afkeuring van het bericht en het stoppen van de doorlevering van het bericht aan afnemers en applicaties.
De DIB kan in samenspraak met de Domeingroep Gegevens en Berichten (DGB) en de Domeingroep Privacy en Beveiliging (DPB) beslissen om afgekeurde berichten toch tijdelijk door te leveren aan afnemers en applicaties als hiermee anders het organisatiebelang onevenredig wordt geschaad. Hierbij moet worden vastgelegd gedurende welke reële termijn dit mag plaatsvinden. De termijn wordt bewaakt door de DIB.
Afwijkingen van het SGR en de SuwiML standaarden worden als beveiligingsincident gemeld bij de leverende partij die is verplicht deze afwijking(en) van de standaard zo snel mogelijk maar uiterlijk binnen vier maanden op te lossen.
Prestatienorm | Afwijkingen van de SGR en SuwiML standaarden resulteren - tenzij hierover gezamenlijk nadere afspraken over zijn gemaakt - in (centrale) afkeuring van het bericht en het stoppen van de doorlevering van het bericht aan afnemers en (inlezende) applicaties |
Bijzonderheden | Centrale afkeuring vindt in het validatieproces bij BKWI plaats. Bij berichten die rechtstreeks tussen twee ketenpartijen uitgewisseld worden is de ontvangende partij/applicatie verantwoordelijk voor de validatie. |
Prestatienorm | Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht. |
Bijzonderheden | Eventuele discussies of een bericht een nieuwe versie van een bericht is of een compleet nieuw bericht worden in de Werkgroep Gegevens en Berichten beslecht. |
Prestatienorm | Afwijkingen van SGR en de SuwiML standaard worden als beveiligingsincident gemeld bij de leverende partij. De leverende partij is verplicht deze afwijking van de standaard zo snel mogelijk te herstellen, maar uiterlijk binnen vier maanden. |
Bijzonderheden | Geen |
2.5.2 Verantwoordingsrichtlijn Informatiebeveiliging GeVS
Partijen zijn verantwoordelijk voor privacybescherming en informatiebeveiliging. De privacybescherming wordt in de eerste plaats geregeld in de AVG.
Op grond van de Verantwoordingsrichtlijn moeten partijen verder voldoen aan het in hun sector gebruikelijke normenkader – de Baseline Informatiebeveiliging Overheid (BIO) – en als ze afnemer of beheerder van Suwinet (om precies te zijn, de GeVS) zijn ook aan het voor hen geldende en vigerende Specifieke SUWI-verantwoordingsrichtlijn , zoals gepubliceerd op de BKWI-website (xxxxx://xxx.xxxx.xx).
Gemeenten volgen de ENSIA-systematiek en houden zich daarmee aan de Verantwoordingsrichtlijn Informatiebeveiliging GeVS.
2.5.3 Ketenarchitectuur
De ketenarchitectuur biedt gemeenschappelijke kaders, afspraken en een high-level design van de ketensamenwerking en de daarbinnen gebruikte standaarden en bouwstenen voor de gezamenlijke ontwikkeling van de keten. Partijen werken onder Architectuur en houden zich aan de afspraken en principes uit KArWeI.
2.6 Beheerprocessen
2.6.1 Incidentbeheer
Op keten niveau zijn afspraken gemaakt over het incidentbeheerproces. Afwijkend hierin is de geldende Wet Meldplicht Datalekken, waarbij geldt dat (mogelijke) datalekken binnen 72 uur gemeld moeten worden bij de Autoriteit Persoonsgegevens.
Binnen de keten maken we verschil tussen beschikbaarheid en ondersteuning:
• Beschikbaarheid van een dienst: het tijdsvenster waarin een dienst beschikbaar wordt gesteld aan de afnemer.
• Ondersteuning van een dienst: het tijdsvenster waarin helpdesk(en) actief meldingen ontvangen en in behandeling nemen.
Partijen zijn verantwoordelijk voor de inrichting van het eigen Incidentbeheerproces, waarbij geldt dat incidenten door de Suwidesk van BKWI aangemeld kunnen worden en opgepakt worden tussen 8:30 en 18:00 uur.
Prestatienorm | De ondersteuning door de Service desk van de gegevens leverende partij is voor de melding van incidenten en service requests door de Suwidesk bereikbaar op werkdagen (ma-vr) tussen 8:30-18:00 uur. |
Meetmethode | Handmatig |
Bijzonderheden | Partijen zijn vrij het eigen incidentbeheerproces in te richten, maar dragen er zorg voor dat incidenten op maandag tot en met vrijdag van 8:30 tot 18:00 uur aangemeld kunnen worden en gedurende deze tijden ook worden behandeld. Incidentmeldingen die aangeleverd worden buiten de openstellingstijden worden zoveel mogelijk opgepakt. |
Voor keten brede incidenten gelden de volgende oplostijden (in werkuren):
Prioriteit | Omschrijving | Reactietijd1 | Maximale oplostijd2 |
1 | Incidenten waarbij de dienst of bron in het geheel niet meer functioneert | Direct | 70 % binnen 6 uur binnen de ondersteuningstijd3 |
2 | Incidenten waarbij de functionaliteit dusdanig is afgenomen dat de dienst niet meer geheel functioneert. | 1 uur | 80 % binnen 12 uur binnen de ondersteuningstijd |
3 | Incidenten waarbij de dienst gedeeltelijk niet meer functioneert, maar waarbij met de overgebleven functionaliteit nog redelijk te werken is. | 2 uur | 24 uur binnen de ondersteuningstijd |
4 | Overige incidenten met minimale verlies van functionaliteit | 8 uur | In overleg |
4 | Service Requests Een service request is een verzoek van een gebruiker voor het leveren van informatie, advies, een standaard wijziging of toegang tot een service (autorisatie). | - | <3 werkdagen (streeftijd) |
Voor de demo- en testomgeving geldt dat incidenten behandeld worden als een prioriteit drie incident, waarbij geldt dat de reactie en maximale oplostijd streeftijden betreffen.
In onderstaand plaatje wordt aangegeven hoe de oplostijd wordt gemeten. Hierbij wordt gerapporteerd over de oplostijd die bij BKWI wordt geregistreerd.
1 Met reactietijd wordt bedoeld de tijd tussen de registratie van het incident /melding Suwidesk en de toewijzing aan een oplosgroep.
2 Keten partijen streven ernaar de dienstverlening zo spoedig mogelijk te herstellen en waar mogelijk stoppen de activiteiten voor herstel niet na de ondersteuningsuren.
3 Ondersteuningstijd is de tijd op werkdagen tussen 8:30 uur en 18:00 uur
Voor de oplostijd geldt dat dit de tijd is tussen registratie van het incident (melding Suwidesk) en de afmelding aan de oorspronkelijke aanmelder. Dat betekent dat incidenten vanuit gebruikersperspectief een langere oplostijd kunnen hebben dan in de tabel opgenomen, vanwege de overdracht tussen de verschillende servicedesks en oplosgroepen. De percentages maximale oplostijden worden op jaarbasis berekend.
Prestatienorm | Partijen houden zich aan de maximale oplostijden. |
Meetmethode | Incidentregistratietool: tijd tussen ontvangst van het incident en het oplossen van het incident. |
Meetperiode | Maandelijks wordt over deze norm gerapporteerd in de GeVS Managementrapportage. Voor de prioriteiten 1, 2 en 3 worden de percentages op jaarbasis berekend. |
Bijzonderheden | geen |
Prestatienorm | Elk – vermoeden van een – inbreuk op de privacy of op de beveiliging van de GeVS dient direct gemeld te worden aan de eigen Security en/of Privacy Officer. |
Meetmethode | Handmatig; geconstateerde afwijkingen worden gemeld bij de Suwidesk. |
Bijzonderheden | Geen |
Prestatienorm | Elk incident met gevolgen voor ketenpartijen dient direct gemeld te worden bij de Suwidesk. |
Meetmethode | Handmatig |
Bijzonderheden | Geen |
2.6.2 Wijzigings- en releasebeheer
Ten behoeve van het ketenbrede wijzigingsbeheerproces is een Centraal Meldpunt Ketenwijzigingen (CMK) ingericht voor de Suwipartijen en eventuele andere ketenpartijen. De partijen zijn verplicht en dragen zelf zorg voor de aanmelding van ketenbrede wijzigingen aan het CMK door vaste contactpersonen (wijzigingscoördinatoren) van de partijen.
Het CMK is verantwoordelijk voor het registreren, routeren en publiceren van de ketenwijzigingen en regelt de uitgifte van CMK-accounts, verwerken van impactbepalingen en het aanbieden van de wijzigingen aan het Keten CAB. Jaarlijks worden de ketenrelease momenten vastgesteld voor het volgende jaar in het Keten CAB.
2.6.2.1 Berichtondersteuning
Partijen ondersteunen altijd de meest recente versie van een bericht. De voorgaande versie van dit meest recente bericht dient nog minimaal één jaar ondersteund te worden na implementatie van een nieuwere versie van het bericht. Met implementatie van een nieuw bericht wordt bedoeld het moment dat het bericht geconfigureerd is en opvraagbaar is in de productieomgeving van BKWI.
Voor het uitfaseren van een oud bericht dient de leverende partij van dit bericht een CMK (wijzigingsverzoek via het Centraal Meldpunt Ketenwijzigingen) in, waarbij het bericht na bekendmaking via het CMK nog minimaal een jaar lang ondersteund wordt. Na dit jaar
vervallen alle rechten voor de afnemers en is de leverende partij gerechtigd het bericht technisch uit te faseren. Uitfaseren van het bericht kan eerder in overleg met de afnemers. De uitfaseringstermijn voor een bericht wordt in het Keten CAB gezamenlijk vastgesteld en vastgelegd in de CMK-applicatie. Vastlegging vindt plaats in het ingediende CMK voor de uitfasering van het desbetreffende bericht.
2.6.2.2 Suwi-partijen
Suwi-partijen zijn verplicht om impactbepalingen te leveren binnen 14 dagen na beschikbaarstelling van de wijziging via de CMK-applicatie. Partijen die deze verplichting niet nakomen worden geacht akkoord te zijn met de wijziging en accepteren alle risico's die aan de uitvoer van deze wijziging liggen.
2.6.2.3 Niet Suwi-partijen
Ook niet Suwi-partijen die gebruik maken van de GeVS-infrastructuur hebben een meldingsplicht (via het CMK) van wijzigingen die invloed (kunnen) hebben op de GeVS. Zij worden via het CMK en/of de relatiebeheerder van BKWI geïnformeerd over aankomende wijzigingen die de GeVS raken, echter de niet Suwi-partijen zijn niet verplicht altijd impactbepalingen te leveren op wijzigingen.
Prestatienorm | Alle wijzigingen (ook partij eigen wijzigingen) die invloed kunnen hebben op een juiste werking van de GeVS, dienen zo snel mogelijk als ketenwijziging gemeld te worden via het CMK. |
Meetmethode | Handmatig op basis van signalering uit het Incidentbeheer (via KIPO) en wijzigingsbeheerproces (Keten CAB) |
Prestatienorm | Ketenpartijen leveren uiterlijk binnen veertien dagen na de eerstkomende donderdag na indienen van de wijziging impact op ingediende ketenwijzigingen. |
Meetmethode | Handmatig op basis van evaluaties uit het Keten CAB en de CMK- applicatie |
Bijzonderheden | Partijen kunnen verzoeken om uitstel voor de levering van impactbepaling. |
Prestatienorm | Er worden geen wijzigingen uitgevoerd die niet volledig volgens het afgesproken ketenbrede wijzigingsproces zijn gelopen. |
Meetmethode | Handmatig |
Bijzonderheden | Geen |
Prestatienorm | Er volgen geen incidenten naar aanleiding van het doorvoeren van een wijziging. |
Meetmethode | Handmatig: aantal incidenten gerelateerd aan een specifieke geregistreerde wijziging. Deze worden verzameld na elke release specifieke evaluatie of uit onderzoek van de oorzaak van een opgetreden incident. |
Bijzonderheden | Geen |
Prestatienorm | Suwipartijen zijn verplicht om binnen 14 dagen impactbepalingen te leveren op wijzigingen die via het CMK zijn gepubliceerd, dan wel uitstel te vragen als de wijziging dusdanig complex is dat een impact binnen 14 dagen redelijkerwijs niet leverbaar is. |
Meetmethode | CMK-applicatie; maandelijks overzicht. |
Bijzonderheden | Geen |
2.6.3 Probleembeheer
In het Keten Incidenten en Problemen Overleg (KIPO) worden op basis van het incidentbeheerproces en andere signalen problemen geïdentificeerd en geprioriteerd. In het KIPO zijn in elk geval de Suwipartijen als gegevensleverende partij vertegenwoordigd. Het KIPO bepaalt wie verantwoordelijk is voor het oplossen van het probleem en of er een oplosgroep voor het benodigde onderzoek wordt samengesteld.
Uitwerking van het probleembeheer proces is te vinden in de GeVS Keten DAP.
Prestatienorm | Het KIPO belegt geconstateerde problemen binnen drie werkdagen bij een oplosgroep. |
Meetmethode | Handmatige meting naar aanleiding van een bijeenkomst van het KIPO |
Bijzonderheden | Geen |
Prestatienorm | Op verzoek van het KIPO levert een gegevens leverende partij adequate middelen om bij te dragen tot de oplossing van een probleem. |
Meetmethode | Handmatige meting |
Bijzonderheden | Geen |
2.6.4 Capaciteitsbeheer
Iedere op de GeVS aangesloten partij monitort zelf actief de capaciteit van de infrastructuur waarover de gegevens worden getransporteerd en verwerkt. Afnemende partijen maken vooraf een inschatting van gebruik en melden substantiële toename of afname van gebruik (zie afnemersdeel van de Keten SLA).
Prestatienorm | Ketenpartijen leveren impact op meldingen van gebruikstoename en doen voorstellen om aan de gevraagde capaciteit te voldoen. |
Meetmethode | Handmatige meting |
Bijzonderheden | Geen |
Prestatienorm | Gegevens leverende partijen zorgen ervoor dat gebruikte infrastructuur en hard- en software van voldoende niveau blijft om de normen in de Keten SLA te behalen. |
Meetmethode | Handmatige meting |
Bijzonderheden | Geen |
2.6.5 Continuïteitsbeheer
Partijen dragen zorg voor garanties van de continuïteit van de dienstverlening. Partijen zijn vrij hier zelf invulling aan te geven, onder voorwaarden dat beschikbaarheid van de voorzieningen gewaarborgd blijft volgens de beschikbaarheidsnormen van deze Keten SLA.
Continuïteitsbeheer omvat ook en sluit ook aan op maatregelen die erop zijn gericht om het optreden van een calamiteit te voorkomen. Partijen zijn vrij hier zelf invulling aan te geven, maar moeten bij calamiteiten in staat zijn de dienstverlening op korte termijn te herstellen.
2.6.6 Configuratiebeheer
Partijen zijn zelf verantwoordelijk voor het configuratiebeheer binnen de eigen organisatie en dragen er zorg voor dat dit afdoende wordt uitgevoerd ter ondersteuning van andere beheerprocessen.
2.6.7 Beschikbaarheidsbeheer
Iedere op de GeVS aangesloten partij is zelf verantwoordelijk voor de beschikbaarheid van de eigen infrastructuur (netwerk) en componenten (webservices e.d.). Onderscheid wordt gemaakt in beschikbaarheid ten behoeve van de eigen organisatie en beschikbaarheid waarbij andere organisaties afhankelijk zijn van deze beschikbaarheid. De eerste valt buiten de scope van de Keten SLA.
Prestatienorm | Partijen zorgen voor een netwerkbeschikbaarheid van minimaal 99,6 % (marktconforme waarde) van hun deel van het netwerk waarover de partijen gegevens met elkaar uitwisselen. |
Meetmethode | Wordt niet gemeten |
Bijzonderheden | De scope van dit netwerkdeel beperkt zich tot het netwerk vanaf de gegevensleverende applicatie of service tot het component waar de ketenpartij geen opdrachtgever of verantwoordelijke voor is |
Prestatienorm | Ketenpartijen zorgen voor beschikbaarheid van alle componenten die onderdeel uitmaken van de GeVS gegevensleveringen die vallen onder de scope van deze Keten SLA aan de verschillende (keten)partijen tussen 8:30 en 18:00 uur op werkdagen. |
Meetmethode | Handmatige meting |
Bijzonderheden | Geen |
Prestatienorm | Ketenpartijen hebben een proces ingericht waarmee andere ketenpartijen extra openstelling van systemen en bronnen kunnen aanvragen. |
Verzoeken tot extra openstelling worden uiterlijk twee weken vooraf aangevraagd. | |
Verzoeken tot extra openstelling worden door de gegevensleverende ketenpartij uiterlijk vier dagen voor de gevraagde openstelling afgehandeld. | |
Bijzonderheden | Aanvragen voor extra openstelling verlopen via de Suwidesk. In de Keten DAP is dit proces verder uitgewerkt. |
2.7 Logging, monitoring en rapportage
De verplichting geldt dat alle gebruikers- en beheerhandelingen vastgelegd worden en herleidbaar zijn naar een natuurlijk persoon, zodat eventueel misbruik gedetecteerd kan worden en deze informatie gebruikt kan worden als bewijslast.
BKWI logt en rapporteert op applicatie- en afnemerniveau de levering van berichten.
BKWI verstrekt regulier rapportages, op basis waarvan de op de GeVS aangesloten organisaties oneigenlijk gebruik en misbruik kunnen detecteren, daarnaast verstrekt BKWI partijen op verzoek specifieke rapportages over het gebruik van alle voorzieningen van de GeVS.
Afnemers voeren een actief beleid aangaande onderzoek naar oneigenlijk gebruik en misbruik.
Prestatienorm | Reguliere rapportages worden geleverd voor de 15e van de daaropvolgende maand. |
Bijzonderheden | Geen |
Prestatienorm | Specifieke rapportages worden geleverd binnen 1 week na opvragen bij de Suwidesk |
Bijzonderheden | Geen |
Prestatienorm | Loggings hebben een bewaartermijn van maximaal 18 maanden |
Bijzonderheden | Geen |
2.8 Releases en onderhoudsmomenten
Gepland onderhoud, uitgevoerd door (één van) de partijen, aan (een onderdeel van) de diensten vindt uitsluitend plaats buiten de afgesproken openstellingstijden (8:30-18:00 uur). Hiervan mag enkel afgeweken worden met goedkeuring van de DIB. Vastlegging hiervan vindt plaats in de notulen van de DIB of per mail.
De in de keten vastgestelde releasemomenten zijn terug te vinden in de Keten DAP.
Prestatienorm | Releases en onderhoud vindt binnen de, in de Keten SLA vastgelegde, onderhoudstijden plaats. |
Meetmethode | Geconstateerde afwijkingen worden vastgelegd en volgens de procedure in het Keten DAP gemeld bij de Suwidesk. Maandelijks wordt hierover gerapporteerd. |
Bijzonderheden | Tijdens de releases en onderhoudsmomenten kan de beschikbaarheid van de diensten niet worden gegarandeerd. Partijen dienen rekening te houden met de volgende onderhoudsmomenten: |
UWV: | Onderhoudsmomenten vinden plaats ieder derde volle weekend van de maand m.u.v. december. |
SVB: | Onderhoudsmomenten worden in de weekenden gepland, maar staan over het algemeen los van de beschikbaarheid voor Suwinet Inkijk. Over alle weekenden van het jaar berekend levert SVB 85% beschikbaarheid in de weekenden. |
BKWI: | BKWI voert onderhoud uit (patches) volgens een jaarlijks opgesteld schema, waarbij deze tussen 18:00 en 22:00 worden uitgevoerd. |
Overige partijen: | Geen bijzonderheden. |
Prestatienorm | Partijen die buiten de eerder vastgestelde onderhoudsmomenten werkzaamheden willen uitvoeren, ook als deze buiten de vastgestelde openstellingstijden plaatsvinden, melden dit zo snel mogelijk bij de Suwidesk, die dit vervolgens communiceert naar de afnemers en publiceert in de Suwi-kalender (zodra beschikbaar). |
Bijzonderheid | - |
Meetmethode | Handmatig |
2.9 Calamiteiten
Iedere partij maakt na het optreden van een calamiteit zo snel mogelijk inzichtelijk wat de gevolgen hiervan zijn voor de afnemers en komt met een oplostermijn voor de herstelactiviteiten om de dienstverlening te herstellen. Communicatie hierover verloopt via de DIB.
Definitie calamiteit: een calamiteit is een ongeplande situatie met onbeschikbaarheid van diensten en producten tot gevolg, waarbij verwacht wordt dat de duur van de onderbreking de afgesproken drempelwaarden uit de SLA zal overschrijden. Calamiteiten zijn altijd een prioriteit 1 incident. Een calamiteit kan ook buiten het service-window optreden als de verwachting bestaat dat het incident niet voor het begin van het service-window weer beschikbaar is.
Voorbeelden van calamiteiten zijn brand in het datacentrum, kabelbreuk door graafwerkzaamheden, hackpogingen (P&B gerelateerd incident) en dergelijke.
Bij calamiteiten wordt altijd het reguliere incidentbeheerproces gevolgd echter start direct het proces van escalatie via de voorzitter van de DIB. Door de Suwidesk wordt met de houder van het incident de communicatie verzorgt richting de afnemers.
2.10 Inzichtelijkheid verversing afgeleide databases
Elke partij die gebruik maakt van gegevenslevering aan de keten via een tussenbestand (database), draagt op verzoek zorg voor inzichtelijkheid van de actualiteit van de verversing van deze tussenbestanden. Te allen tijde wordt getracht de verversing zo actueel mogelijk te houden. De partijen hebben hiervoor een inspanningsverplichting.
3. XML-diensten voor ketendiensten
3.1 Gegevenslevering
Partijen die gegevens leveren stellen een interface beschikbaar waarmee het mogelijk is om op basis van de standaard SuwiML, een vastgestelde set van gegevens op te halen uit de gegevensverzamelingen van partijen en in te lezen in de eigen applicatie of deze gegevens te tonen in Suwinet-Inkijk/Klantbeeld.
Prestatienorm | Berichten mogen enkel uitgewisseld worden onder voorwaarden dat de bronhouder hiermee akkoord is. |
Prestatienorm | Berichten worden uitgewisseld volgens de overeenkomsten tussen bronhouder en afnemers. |
Prestatienorm | Beschikbaarheid XML-diensten bij de verschillende partijen tijdens de openstellingstijden (ma-vr 8:30 tot 18:00 uur) op werkdagen. |
Meetmethode | Storingen die de beschikbaarheid van de XML-diensten aantasten worden geregistreerd. Foutmeldingen worden geanalyseerd. Op basis daarvan worden de storingen die de beschikbaarheid van gegevens aantasten geregistreerd. Kwaliteit van de gegevens blijft buiten beschouwing. |
Bijzonderheden | Geen |
Prestatienorm | Responsetijd XML-diensten: minder dan 6 seconden voor 95% van de bevragingen. |
Meetmethode | BKWI logging |
Bijzonderheden | In de responstijd zit een verwaarloosbaar tijd deel van leverende XML-dienst naar de Suwi-Broker. |
Het Inlichtingenbureau is niet verantwoordelijk voor de beantwoording van de XML services van individuele gemeenten. |
3.2 Beheer en beschikbaarstelling Testomgeving
Prestatienorm | Gegevensleverende partijen stellen infrastructuur en bijbehorende services van de keten brede testomgeving, inclusief data beschikbaar om te kunnen testen voor de verschillende Suwinet Services (o.a. Suwinet-Inkijk, Suwinet-Inlezen en Suwinet-Meldingen) |
Prestatienorm | Het gebruik van productiedata in de testomgeving is niet toegestaan. |
Prestatienorm | Partijen zijn verplicht om op verzoek van ketenpartijen testdata beschikbaar te stellen, waarmee de ketenpartij in staat is om te testen. |
Prestatienorm | Partijen dienen de testomgeving te reserveren bij de Suwidesk en dienen aan te geven wat zij gaan testen en welke onderdelen van de testomgeving gebruikt gaan worden (gegevens van partij, welke overzichtspagina’s, belasting etc.) |
Bijzonderheden | Afspraken over het beheer van de KIT zijn in het Keten DAP opgenomen. |
Gebruik van de testomgeving zonder reservering is mogelijk, echter de resultaten kunnen door andere testwerkzaamheden beïnvloed worden. | |
Prestatienorm | Beschikbaarheid KIT: 95% |
Meetmethode | Storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend. |
Bijzonderheden | Geen |
4. Afspraken met betrekking tot de Centrale omgeving (BKWI)
4.1 Technisch beheer centrale omgeving GeVS
Omschrijving dienst | Het beheren van de centrale omgeving van de GeVS, zodat gegevensuitwisseling tussen de partijen kan plaatsvinden. |
Eigenaar dienst | BKWI |
Bijzonderheden | De centrale omgeving bestaat uit o.a. het centrale netwerk, inkijkservers, Suwi-brokers, loadbalancers, (reverse) proxy’s, gebruikersadministratie, beveiliging en authenticatie software en de verschillende Suwinet Services (Suwinet-Inkijk, Suwinet-Inlezen, Suwinet-Mail, Suwinet-Meldingen en Suwinet-Autorisatie) |
Prestatienorm | Beschikbaarheid centrale omgeving zeven dagen in de week, 24 uur per dag: 99% met uitzondering van de vastgestelde onderhoudsmomenten. |
Meetmethode | De beschikbaarheid wordt gemeten o.b.v. 24 uur voor 7 dagen per week; hierover wordt maandelijks gerapporteerd in de GeVS Managementrapportage. |
Bijzonderheden | Niet beschikbaarheid veroorzaakt door gepland onderhoud geldt niet als onbeschikbaarheid. |
4.1.1 Beheer en beschikbaarstelling gebruikersadministratie
In de gebruikersadministratie wordt per organisatie bijgehouden welke top-level beheerder welke autorisaties en eigenschappen heeft voor Suwinet-Inkijk, de applicatie van UWV “WERKplein Intake Service” (afnemer gemeenten, ook wel WIS of Professional-module genoemd) en de applicatie van DUO “Inburgeringsportaal” (afnemer Gemeenten).
Prestatienorm | Aangesloten partijen zijn autonoom wat betreft het voor de toegewezen rollen autoriseren van het eigen personeel. |
Prestatienorm | Op verzoek van geautoriseerde medewerkers van de aangesloten organisatie(s) maakt de Suwidesk (BKWI) een top-level beheerder aan of wijzigt zijn/haar autorisaties. |
Bijzonderheden | Randvoorwaarde: het verzoek tot het aanmaken van een autorisatie wordt in behandeling genomen wanneer dat door een daartoe bevoegde functionaris is gedaan. |
Prestatienorm | Het toekennen van rechten aan gebruikers is een taak van iedere partij afzonderlijk. |
Bijzonderheden | BKWI heeft hierin een adviserende rol. |
Prestatienorm | Onder voorwaarde dat de top-level-beheerder met de wijziging akkoord is/zijn, maakt of wijzigt BKWI een rol of profiel binnen 5 werkdagen. |
Meetmethode | Servicedesk registratiesysteem: tijd tussen registratie aanvraag en afsluiten call. |
Bijzonderheden | Geen |
Prestatienorm | BKWI verwerkt een autorisatieverzoek voor top-level-beheerders binnen 8 werkuur na ontvangst. |
Meetmethode | Servicedesk registratiesysteem: tijd tussen registratie aanvraag en afsluiten call |
Bijzonderheden | Geen |
Prestatienorm | Beschikbaarheid Gebruikersadministratie is 7 x 24 uur, met uitzondering van vooraf aangekondigde onderhouds- en releasemomenten en eventueel spoed ad hoc werkzaamheden. Buiten de openstellingstijden van Suwinet Inkijk is er echter geen ondersteuning beschikbaar. |
Meetmethode | Servicedesk registratiesysteem: storingen die de beschikbaarheid aantasten worden geregistreerd. Handmatig wordt hieruit de beschikbaarheid berekend. |
Bijzonderheden | Geen |
4.1.2 Logische toegangsbeveiliging
BKWI zorgt voor adequate logische toegangsbeveiliging en onderhoudt deze door tijdig essentiële updates door te voeren.
Prestatienorm | Beschikbaarheid van de logische toegangsbeveiliging is zeven dagen van 24 uur voor minimaal 99,9%, met uitzondering van vastgestelde onderhoudsmomenten. |
Meetmethode | Meting door beheerder van de centrale omgeving |
Bijzonderheden | Geen |
4.2 GeVS Managementrapportage
Maandelijks levert BKWI een rapportage over het behaalde niveau van dienstverlening met betrekking tot de GeVS. In deze GeVS Managementrapportage wordt gerapporteerd op basis van de prestatienormen die zijn vastgelegd in de Keten SLA. Doel van deze rapportage is te kunnen meten en (bij)sturen door de DIB op afwijkingen van deze Keten SLA.
Deze rapportage wordt uiterlijk in de derde week van de volgende maand opgesteld en wordt per mail verstuurd aan leden van de DIB.
Verzoeken ten aanzien van inhoud en vormgeving van de rapportage kunnen worden ingediend bij voorzitter van de Domeingroep ICT Beheer.
4.2.1 Specifieke beheerrapportages
BKWI produceert maandelijks rapportages voor bronnen en afnemers t.b.v. beheer- en verantwoordingstaken. Bronnen en afnemers kunnen bij BKWI een verzoek indienen voor eenmalige maatwerk rapportages. De verzoeken kunnen bij de Suwidesk ingediend worden door daarvoor gemandateerde personen.
Een overzicht van beschikbare rapportages is beschikbaar bij BKWI.
Bijlage 1 – Beheerafspraken afnemers GeVS diensten en dienstverlening
1 Inleiding
Deze bijlage beschrijft de GeVS diensten en dienstverlening aan afnemers. Daarnaast bevat het ook zaken die afnemers moeten regelen bij aansluiten op de GeVS.
Deze bijlage is onlosmakelijk verbonden met de Keten SLA.
2 Diensten
2.1 Suwinet-Inkijk
De voorziening waarmee een virtueel dossier van een klant, bestaande uit gegevens van één of meer leveranciers digitaal wordt getoond. De schermen waarop het virtuele dossier wordt getoond is afnemer specifiek. Het betreft hier een set van gegevens die op maat is en waarbij vooraf is bepaald dat deze gegevens binnen de juridisch toegestane set (op basis van doelbinding en proportionaliteit) van gegevens voor deze partij vallen.
Voor schermen welke gegevens tonen vanuit meerdere bronnen, is de zoeksleutel het BSN; voor schermen welke gegevens tonen vanuit een enkele bron, zijn mogelijk andere/meerdere zoeksleutels beschikbaar als de afnemer hiervoor geautoriseerd is.
Om toegang te krijgen tot Suwinet-Inkijk en de authenticatie en autorisatie voor gebruikers te regelen, wordt Suwinet-Autorisatie gebruikt. Het is ook mogelijk om op basis van Single Sign On (SSO) toegang te krijgen tot Suwinet-Inkijk. De verschillende autorisatieprofielen worden vastgelegd binnen Suwinet-Inkijk. Het beheer van de gebruikers met de toegekende autorisatie(s) blijft de verantwoordelijkheid van de afnemende organisatie.
Prestatienorm | Beschikbaarheid van de Suwinet-Inkijk applicatie is 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten. |
Meetmethode | Logging door BKWI |
Bijzonderheden | De gegevens leverende bronnen kennen mogelijk een afwijkende beschikbaarheid. De bronnen zijn in elk geval beschikbaar op werkdagen (ma-vr) tussen 8:30 en 18:00 (zie XML-diensten in leveranciersdeel). De vastgestelde onderhoudsmomenten zijn vastgelegd in de Keten DAP |
2.2 Suwinet-Inlezen
De voorziening waarmee professionals van overheidsorganisaties de mogelijkheid hebben om gegevens van diverse bronnen/leveranciers vanuit de bedrijfseigen applicaties te raadplegen. Het betreft hier een set van gegevens die op maat is en waarbij vooraf is bepaald dat deze gegevensset binnen de juridisch toegestane set (op basis van doelbinding en proportionaliteit) van gegevens voor deze partij vallen. De berichten op maat worden op basis van doelbinding en proportionaliteit samengesteld.
Elke organisatie moet zelf proportionaliteit op functie/medewerkersniveau nader uitwerken.
Prestatienorm | Beschikbaarheid van Suwinet-Inlezen is 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten. |
Meetmethode | Logging door BKWI |
Bijzonderheden | De gegevens leverende bronnen kennen mogelijk een afwijkende beschikbaarheid. De bronnen zijn in elk geval beschikbaar op werkdagen (ma-vr) tussen 8:30 en 18:00 (zie XML diensten in leveranciersdeel). |
Prestatienorm | Door de Inlezende applicatie opgevraagde berichten worden in 95% van de gevallen binnen zes seconden geleverd. |
Meetmethode | Logging door BKWI |
Bijzonderheden | Geen |
Prestatienorm | Iedere inlezende applicatie maakt gebruik van berichten die toegespitst zijn op het gebruik en waarvan de proportionaliteit en doelbinding zijn vastgesteld. |
Meetmethode | Handmatig |
Bijzonderheden | Geen |
Prestatienorm | Inlezende activiteiten worden enkel gevalsgewijs uitgevoerd. |
Bijzonderheden | Het op reguliere basis compleet bevragen van een grote populatie is enkel toegestaan na het maken van concrete afspraken met de gegevensleverende partij(en) en BKWI. Verzoeken hiervoor worden ingediend via de Suwidesk. |
2.3 Suwinet-Mijn gegevens (Klantbeeld)
De voorziening die burgers de mogelijkheid biedt om een deel van de eigen (persoons)gegevens welke uitgewisseld worden via de GeVS in te zien. Dit kan via xxxx.xx. Voor de authenticatie wordt gebruik gemaakt van DIGID.
Prestatienorm | Beschikbaarheid van Suwinet-Mijn gegevens is 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten. |
Meetmethode | Logging door BKWI |
Bijzonderheden | De gegevens leverende bronnen kennen mogelijk een afwijkende beschikbaarheid. De bronnen zijn in elk geval beschikbaar op werkdagen (ma-vr) tussen 8:30 en 18:00 (zie XML diensten in leveranciersdeel). |
2.4 Suwinet-Mail
De voorziening die op de GeVS aangesloten partijen de mogelijkheid biedt om ongestructureerde berichten (met hierin vertrouwelijke informatie) over een besloten netwerk te verzenden en ontvangen via hun eigen bestaande mailvoorziening. Aangezien deze voorziening gebruik maakt van een besloten netwerk, is het versturen van mailberichten veiliger dan via het publieke internet.
Prestatienorm | Beschikbaarheid van Suwinet Mail is 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten. |
Meetmethode | Logging door BKWI |
Bijzonderheden | Onderhoudsmomenten en het niet beschikbaar zijn van de centrale mailrelay-server resulteren niet in verlies van mails. |
2.6 Suwinet-Meldingen
De voorziening die digitale overdracht tussen systemen mogelijk maakt door middel van standaardberichten over het besloten Suwinet netwerk.
Prestatienorm | Beschikbaarheid Suwinet Meldingen 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten. |
Meetmethode | Logging door BKWI van die berichten die via BKWI getransporteerd worden. |
Bijzonderheden | Partijen die Suwinet-Meldingen bilateraal uitwisselen, zijn hebben zelf de verantwoordelijkheid om een logging bij te houden. |
Meldingen die niet via de Suwi-Broker uitgewisseld worden, worden niet in rapportages meegenomen. |
2.7 Suwinet-Autorisatie
De voorziening waarin de toegangsrechten voor (autorisaties) Suwinet-Inkijk zijn vastgelegd. Deze voorziening is ook te gebruiken als autorisatievoorziening voor andere applicaties.
Prestatienorm | Beschikbaarheid Suwinet-Autorisaties 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten. |
Meetmethode | Logging door BKWI |
Bijzonderheden | Suwinet autorisaties wordt ook gebruikt door Werkplein Intake Services (WIS) en Inburgeringsportaal. |
Bijzonderheden | Als een afnemer gebruikmaakt van de Single Sign On mogelijkheid gelden de eigen beschikbaarheidsnormen. |
2.8 Federatieve authenticatie service
De voorziening waarmee partijen die gebruik maken van Suwinet-Inkijk op basis van hun eigen toegangsvoorziening toegang krijgen tot deze applicatie. Deze service maakt Single- Sign-On mogelijk.
Prestatienorm | Beschikbaarheid Federatieve authenticatie service 99,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten. |
Meetmethode | Logging door BKWI |
Bijzonderheden | Voor die partijen gebruik die maken van deze service, vervalt de mogelijkheid op het rapporteren over aantallen gebruikers die toegang hebben tot de applicatie Suwinet-Inkijk. |
2.9 Suwinet filtermechanisme (whitelist/werkvoorraad)
Dit betreft de voorziening binnen Suwinet-Inkijk die verschillende filters kan toepassen bij verschillende afnemers. Met deze filters kunnen gegevensleveringen beperkt worden.
1. Een filter op basis van businessrules (bijvoorbeeld leeftijd of postcode)
2. Een filter op basis van een vooraf gedefinieerde populatie, de zogenaamde whitelist.
Bij de filter op een vooraf gedefinieerde populatie dient de partij zelf zorg te dragen voor de vulling van het filter. Het filteren op de levering van gegevens aan een applicatie kan door het leveren van de populatie op basis van het Burgerservicenummer (BSN). Een BSN wordt uit het filter verwijderd een jaar na de aangegeven einddatum. Dit geschiedt via een automatisch proces dat dagelijks wordt uitgevoerd.
Logging van alle activiteiten die invloed hebben op de vulling van het filtermechanisme met BSN's wordt 18 maanden bewaard.
Prestatienorm | Beschikbaarheid filtermechanisme 99,0% op basis van 24x7, buiten de vastgestelde onderhoudsmomenten. |
Meetmethode | Logging door BKWI |
Bijzonderheden | Als een afnemer zelf een filter ter beschikking stelt, zal deze minimaal aan de beschikbaarheidsnormen en openstellingstijden voldoen van deze SLA voor XML-diensten. |
Bij onbeschikbaarheid van de eigen beschikbaar gestelde filtering - bijvoorbeeld door middel van een webservice- zullen er geen gegevens beschikbaar gesteld worden aan desbetreffende partij. | |
Ketenpartijen die een eigen filterservice aanbieden houden ook een eigen logging bij van het gebruik van deze functionaliteit. |
2.10 Ketenbrede Testomgeving
De ketenpartijen bieden een testomgeving aan ten behoeve van de afnemers voor het uitvoeren van ketentesten bij het aansluiten van een partij of bij aanpassingen die invloed kunnen hebben op de werking van de producten.
Prestatienorm | De Ketenbrede (Integratie) Testomgeving (KIT) kent een beschikbaarheid van 95% op basis van 24x7 op jaarbasis m.u.v. vastgestelde onderhoudsmomenten. |
Meetmethode | Logging door BKWI op jaarbasis |
Bijzonderheden | Voor het gebruik van de testomgeving dient deze bij de Suwidesk te worden gereserveerd. Testresultaten bij gebruik van de testomgeving zonder reservering zijn voor risico van de gebruiker. BKWI behoudt het recht de KIT beschikbaar te houden voor eigen werkzaamheden voorafgaand aan releases en bij incidenten van prio 1 of 2. |
Bijzonderheden | Afspraken over het beheer van de KIT zijn in het Keten DAP opgenomen. |
Prestatienorm | De aangesloten bronnen zorgen dat voor alle uit te wisselen berichten testdata beschikbaar is. |
Bijzonderheden | Deze norm is alleen van toepassing op Suwibronnen. Als niet Suwi- bronnen geen passende testvoorziening heeft, zal BKWI met die bronnen naar een passende oplossing zoeken. |
Prestatienorm | Beschikbaarheid testdata 95% op jaarbasis m.u.v. vastgestelde onderhoudsmomenten. |
Meetmethode | Handmatig |
Bijzonderheden | De testdata kan bestaan uit gegevens geleverd uit een fysiek bronsysteem bij een ketenpartij of uit gegevens geleverd uit een teststub. De teststubs kunnen zowel centraal als decentraal worden gebruikt. De beschikbaarheid van testdata uit teststubs kan alleen door BKWI gegarandeerd worden als de testomgeving door een testende partij is gereserveerd. Voor de testomgeving geldt dat incidenten behandeld worden als een prioriteit drie incident , waarbij geldt dat de reactie en maximale oplostijd streeftijden betreffen. |
2.11 Suwinet Inkijk demo-omgeving
Ten behoeve van geïnteresseerden en voor het gebruik ten behoeve van instructie van medewerkers is een Demo-omgeving beschikbaar gesteld. Deze demo-omgeving bevat alleen testdata en geen directe koppeling met gegevensleverende systemen van ketenpartijen.
Prestatienorm | Beschikbaarheid Suwinet-Inkijk demo-omgeving 95,0% op basis van 24x7, met uitzondering van de vastgestelde onderhoudsmomenten. |
Meetmethode | Logging door BKWI |
3 Dienstverlening van afnemers aan de keten
3.1 Servicedesk t.b.v. medewerkers van de aangesloten partijen
Iedere partij is zelf verantwoordelijk voor de eerstelijns ondersteuning van de eigen gebruikers. Voor een servicedesk van individuele gemeenten geldt, dat zij contact op nemen met de servicedesk van het Inlichtingenbureau. Iedere partij kan ervoor kiezen om één (of meerdere) servicedesks in te richten.
Deze servicedesk mag namens de partij incidenten melden bij de Suwidesk. Het is niet de bedoeling dat individuele gebruikers direct contact opnemen met de Suwidesk.
Voor de servicedesks is de Suwidesk het single point of contact waar zij terecht kunnen voor:
- het stellen van algemene vragen (service requests)
- het melden van storingen of het indienen van klachten
- autorisatiebeheer aangelegenheden
Afnemers zorgen voor een koppeling met het Ketenbrede Incidentbeheerproces door Incidenten vanuit de eerstelijn over te zetten naar de tweedelijns ondersteuning via de Suwidesk. De tweedelijns ondersteuning is ook de ingang voor de melding van incidenten die buiten het eigen domein van de afnemer optreden.
Inlezende gebruikers van de gemeenten worden ondersteund door het Inlichtingenbureau. De Suwidesk van BKWI fungeert als tweedelijns (of derdelijns) Servicedesk, ter ondersteuning van de Servicedesken van de op de GeVS aangesloten partijen.
Voor alle afnemers van Xxxxxxx-Inkijk geldt dat zij altijd rechtstreeks contact opnemen met de Suwidesk. Dus ook servicedesks van gemeenten.
Prestatienorm | De tweedelijns ondersteuning door de Suwidesk is voor de melding van incidenten en service requests op werkdagen (ma-vr) bereikbaar tussen 8:30-18:00 uur. |
Meetmethode | Handmatig |
Bijzonderheden | Dezelfde openstellingstijden gelden voor het Inlichtingenbureau. |
Werkdagen zijn alle dagen van maandag tot en met vrijdag, behalve erkende feestdagen, te weten; • Nieuwjaarsdag • Koningsdag • Bevrijdingsdag (1 keer per 5 jaar beginnend in 2000) • Tweede paasdag • Hemelvaartsdag • Tweede pinksterdag • Eerste en Tweede kerstdag De andere ketenpartijen zorgen voor een aanspreekpunt voor incidenten tussen 08:30 uur en 18:00 uur, partijen bepalen zelf hoe zij dit inrichten, maar garanderen bereikbaarheid | |
Voor BKWI geldt dat zij conform CAO een aantal dagen in het jaar verplicht gesloten zijn. Deze dagen worden tijdig gemeld in de Domeingroep ICT beheer en gecommuniceerd naar de afnemers. Gedurende deze dagen is er geen ondersteuning van BKWI beschikbaar. |
3.2 Wijziging- en releasebeheer
Suwi-partijen hebben een geautoriseerde wijzigingscoördinator die wijzigingsverzoeken via de CMK-applicatie kunnen indienen. Niet Suwi-partijen kunnen verzoeken tot wijziging via de relatiebeheerder van BKWI indienen.
3.3 Logische toegangsbeveiliging
Logische Toegangsbeveiliging is het geheel van maatregelen om de toegang tot gegevens en systemen te beheersen
Prestatienorm | Afnemers zijn verplicht om personeelsmutaties die invloed hebben op autorisaties binnen 48 uur verwerkt te hebben in de autorisaties voor de Suwinet services. |
Meetmethode | Handmatig |
Bijzonderheden | Geen |
3.4 Logging, monitoring en rapportage
De verplichting geldt dat alle gebruikershandelingen vastgelegd worden en herleidbaar zijn naar een natuurlijk persoon, zodat eventueel misbruik gedetecteerd kan worden en deze informatie gebruikt kan worden als bewijslast.
Prestatienorm | Afnemers die gebruik maken van Suwinet-Inlezen loggen het gebruik tot op eindgebruikersniveau in hun eigen afnemende applicatie. |
Bijzonderheden | Voor de applicatie Suwinet-Inkijk logt BKWI alle handelingen van eindgebruikers voor afnemers. |
Prestatienorm | Loggings hebben een bewaartermijn van maximaal 18 maanden |
Bijzonderheden | Elke applicatie die gebruik maakt van gegevens vanuit de GeVS is verplicht handelingen van gebruikers binnen die applicatie te loggen. |
Bijlage 2 – Overlegvormen in de keten
Overlegstructuur
De dienstverlening zoals verwoord in de Keten SLA komt aan de orde in onderstaande overlegvormen (zie illustratie hierboven). Bij alle overlegvormen zijn de Suwi-partijen deelnemer. Hieronder een overzicht van de verschillende overlegvormen in relatie tot de Keten SLA. Het Ketenoverleg heeft de directeur van BKWI aangewezen als gedelegeerd opdrachtgever voor de Domeingroepen.
De directeur van BKWI is namens het Ketenoverleg verantwoordelijk voor het goed functioneren van de domeingroep en overlegt hierover desgewenst met de voorzitter, zonder de voorstellen en adviezen van de domeingroep inhoudelijk te toetsen. Die laatste bevoegdheid is voorbehouden aan het Ketenoverleg. Bij escalaties vanuit de Domeingroep is de Directeur van BKWI het eerstvolgende niveau in het escalatieproces.
In de verschillende overleggen binnen de keten samenwerking hebben alleen ketenpartijen of vertegenwoordigers van ketenpartijen zitting.
Figuur 1 Overzicht overleggen
De overleggen
Soort overleg | Ketenoverleg |
Doel | Sturing en opdrachtgeverschap BKWI; |
Formeel vaststellen nieuwe versies ketenstandaarden. |
Soort overleg | Domeingroep ICT Beheer (DIB) |
Doel | Bewaken van het algehele niveau van ICT- dienstverlening; |
Beheren, evalueren en verbeteren van de Keten SLA en de keten brede beheerprocessen; | |
Wijzigingsvoorstellen maken m.b.t. de Keten SLA; | |
Voorstellen doen bij nalatige partij om passende maatregelen te nemen. | |
Escalaties starten bij afwijkingen van deze Keten SLA |
Soort overleg | Keten Incidenten en Problemen Overleg (KIPO) |
Doel | Afstemming tussen ketenpartijen met betrekking tot Incidenten en Problemen; |
Beslissen over de promotie van incidenten naar problemen; | |
Knelpunten in de Incident afhandelingen oplossen. |
Soort overleg | Keten Change Advisory Board (Keten CAB) |
Doel | Het Keten CAB is het orgaan dat adviseert over ketenwijzigingen op de elementen proces, ICT en tijd. Zij beoordelen, stemmen af en bewaken de ketenwijzigingen. Zij bepalen o.a. de impact op ketenwijzigingen of dragen in elk geval zorg voor het achterhalen van de impact op de eigen organisatie.; |
Het Keten CAB stelt in gezamenlijk overleg de prioriteit vast van specifieke wijzigingen die onderdeel uitmaken van de Ketenreleases.; | |
Het Keten CAB vertegenwoordigt ook de business in de keten en beslist over de wenselijkheid van ketenbrede functionele wijzigingsverzoeken.; | |
Zorgdragen dat de gebruikersorganisatie van de partijen op een juiste wijze vertegenwoordigd wordt; | |
Beheren, evalueren en verbeteren van de “Uitvoeringsafspraken ketenwijzigingen en releases”; | |
Middels het CMK registreren en bewaken van wijzigingsverzoeken die de GeVS (kunnen) raken. |
Soort overleg | Domeingroep Gegevens en Berichten (DGB) |
Doel | Uitvoeren van het ketenprogramma/ketenplan en/of de delen daarvan op het gebied van Gegevens en Berichten; |
Adviseren met betrekking tot het vaststellen van een nieuwe versies van het SGR. Nieuwe versies van het SGR worden in hoogste instantie vastgesteld door middel van de ministeriele regeling. SuwiML-, Transactiestandaard en Berichtstandaard worden voorbereid door de DGB en vastgesteld door het Ketenoverleg. | |
Beoordelen van de impact van nieuwe of gewijzigde wet- en regelgeving vanuit haar verantwoordelijkheid; | |
Sturen en coördineren van de werkzaamheden van de WGB en WGX; | |
Zorgdragen voor het uitdragen van SGR/SuwiML. |
Soort overleg | Werkgroep Gegevens en Berichten (WGB) |
Doel | Beoordelen van de impact op het SGR van nieuwe of gewijzigde wet- en regelgeving; |
Signaleren van ontwikkelingen binnen het Suwi-domein en het beoordelen van de impact hiervan op het SGR; |
Verantwoordelijk voor het beleid ten aanzien van de beschikbaarstelling en verspreiding van het SGR; | |
Beoordelen van (de impact van) wijzigingsvoorstellen voor SGR; | |
Opstellen van nieuwe releases van het SGR; | |
Bevorderen van het gebruik van het SGR en bespreken van eventuele problemen in het gebruik van het SGR; | |
Adviseren over gebruik en toepassing van het SGR. |
Soort overleg | Werkgroep XML (WGX) |
Doel | Adviseren over het beheer van de XML-aspecten en technische aspecten van SuwiML, onder meer voor het SuwiML Berichtstandaard, de richtlijnen voor berichtschema’s en de SuwiML Transactiestandaard; |
Verantwoordelijk voor het beleid ten aanzien van het beheer en de beschikbaarstelling van de betrokken SuwiML standaarden; | |
Bevorderen van de toepassing van SuwiML; | |
Beoordelen van voorstellen voor berichtschema’s op SuwiML- compliance; | |
Volgen van de ontwikkelingen van de verschillende XML-standaards en deze vertalen naar SuwiML. |
Soort overleg | Domeingroep Architectuur (DA) |
Doel | De behandeling van architectuur issues en ontwikkelen van een binnen de keten gedeelde architectuurvisie en vastleggen van keten brede architectuur afspraken. |
Daarnaast geeft de DA advies omtrent de vertaling naar ICT van veranderende wet- en regelgeving, functionele behoeften van deelnemende partijen en actuele gebeurtenissen. |
Soort overleg | Domeingroep Privacy & Beveliging |
Doel | Advies aan Ketenoverleg over een passend niveau van informatiebeveiliging en privacybescherming. Beheer en onderhoud van normenkader en verantwoordingsrichtlijn. |