Serviceniveau-overeenkomst DigiD voor afnemers
Serviceniveau-overeenkomst DigiD voor afnemers
Serviceniveau-overeenkomst DigiD voor afnemers
Deze Serviceniveau-overeenkomst DigiD voor afnemers (SNO) beschrijft de dienstverlening die Logius biedt en maakt de (service)afspraken concreet die in de Aansluitvoorwaarden DigiD staan. Door het ondertekenen van de Aansluitvoorwaarden DigiD wordt akkoord gegaan met deze SNO DigiD. DigiD Machtigen is een aparte voorziening met een eigen SNO en valt hiermee buiten scope.
Voor de betekenis van en toelichting op de gebruikte begrippen in dit document verwijzen we naar de begrippenlijst van Xxxxxx.
Versiegegevens
Publicatiedatum: 21 mei 2021
Versie: 3.0
Status: Definitief
Inleiding
Doel en functies DigiD
Deze SNO geeft als klant van Logius duidelijkheid over het niveau van de dienstverlening voor DigiD afnemers en legt dit niveau vast. DigiD heeft verschillende functies:
Authenticatie Laag (Inloggen met DigiD op basis van gebruikersnaam en wachtwoord.)
Authenticatie 2F (Inloggen met DigiD met 2 factor op basis van gebruikersnaam en wachtwoord, in combinatie met een One-Time-Password via SMS of een geactiveerde DigiD App.)
Authenticatie Substantieel (Inloggen met de DigiD App waarbij reeds met een fysiek middel zoals bijvoorbeeld het rijbewijs eerder identificatie heeft plaatsgevonden.)
Authenticatie Hoog (Inloggen met een identiteitskaart met behulp van een NFC-lezer.)
Aanvragen, herstellen, activeren Laag
Aanvragen, herstellen, activeren en verhogen met 2F en naar niveau Substantieel Activeren Hoog
Mijn DigiD (Accountbeheer voor burgers)
xxx.xxxxx.xx (Website van DigiD)
DigiD Balie (Applicatie voor baliemedewerkers, ten behoeve van uitgifte activeringscodes aan burgers) De volgende apps maken gebruik van DigiD:
DigiD App voor iOS en Android (Deze app acteert met DigiD en biedt de burger een 2-factor inlogoplossing op eIDAS niveau’s Laag, Substantieel en Hoog)
DigiD App voor MacOS en Windows (Deze app maakt het inloggen op eIDAS-niveau Hoog mogelijk)
CheckID App voor iOS en Android (Deze app acteert met DigiD en biedt burgers andere burgers zonder NFC-lezer in de smartphone te helpen de DigiD App op niveau Substantieel te activeren)
Doelgroep
Het document is bedoeld voor klanten van Logius die gebruik maken van DigiD (afnemers).
Beheer
Xxxxxx is eigenaar van de Serviceniveau overeenkomst DigiD. De vigerende versie van het document is te vinden op: xxx.xxxxxx.xx/xxxxxxxx/xxxxx/xxxxxxxxxxxx.
Op verzoek van afnemers of Logius vindt er een evaluatie plaats van de SNO.
Wijzigingen ten aanzien van deze SNO worden besproken in het operationeel overleg DigiD. Afhankelijk van de aard van de wijziging, bijvoorbeeld wijzigingen op de afgesproken serviceniveaus, dient goedkeuring plaats te vinden door de beleidsopdrachtgever/eigenaar. Dergelijke wijzigingen zullen ook in het Routekaartoverleg (RKO) DigiD moeten worden geagendeerd.
Geldigheid SNO
Afnemers maken gezamenlijk gebruik van DigiD. DigiD kan maximaal 10.000 authenticaties per minuut verwerken. Wanneer het aantal authenticaties, onder invloed van het gebruik door afnemers per minuut hoger is, kan Logius de werking van DigiD niet meer garanderen maar doet Xxxxxx alles wat redelijkerwijs binnen haar beïnvloedingsfeer ligt de serviceniveaus te respecteren. De overeengekomen SNO-afspraken zijn dan niet meer van toepassing.
Xxxxxx heeft maatregelen genomen om de continuïteit te waarborgen. Echter, er kan geen aanspraak gemaakt worden op de afspraken in deze SNO als de dienstverlening wordt verstoord door:
eigen toedoen als afnemer
calamiteiten binnen het domein van Logius waar tegen geen of slechts beperkt maatregelen te treffen zijn zoals aardbevingen, vulkaanuitbarstingen, terroristische aanslagen, etc.
verstoring van (publieke) internet (verbindingen)
Leeswijzer
Er zijn drie inhoudelijke hoofdstukken:
Hoofdstuk 2 Serviceniveaus: Hierin staan de serviceniveaus voor DigiD. Een beschrijving van de afgesproken prestatie- indicatoren (het wat) over de beschikbaarheid, performance, continuïteit en beveiliging van DigiD.
Hoofdstuk 3 Serviceniveau beheerprocessen: Dit hoofdstuk beschrijft de processen (het hoe), die aangeven hoe we de prestatie-indicatoren realiseren.
Hoofdstuk 4 Klantrapportage: Dit hoofdstuk geeft een beschrijving van de maandelijkse Klantrapportage.
2. Serviceniveau productkenmerken DigiD
Dit hoofdstuk beschrijft per productkenmerk wat de serviceniveaus voor DigiD zijn. De kwaliteit van DigiD als geheel borgen we door de serviceniveaus op de productkenmerken. Onderstaand een beschrijving van de volgende productkenmerken:
Beschikbaarheid van DigiD Openstellingsvenster Beschikbaarheidsvenster Servicevenster Oplostijden Onderhoudsvenster
Performance DigiD Continuïteit van DigiD
Informatiebeveiliging van DigiD Beschikbaarheid van DigiD Openstellingsvenster
De periode per dag dat DigiD wordt geacht beschikbaar te zijn, oftewel de tijd waarbinnen een omgeving, inclusief functionaliteit, door een afnemer en door de eindgebruikers te benaderen is. Alle omgevingen kennen een openstellingsvenster van 24 uur voor alle dagen per jaar. Xxxxxx geeft echter geen garanties af voor de werking van de dienst in het openstellingsvenster, wel tijdens het beschikbaarheidsvenster.
Beschikbaarheidsvenster
Het beschikbaarheidsvenster zijn de tijden, binnen het openstellingvenster, waarbinnen Logius garanties voor de beschikbaarheid van DigiD afgeeft. Het beschikbaarheidsvenster is het openstellingvenster minus het onderhoudsvenster.
Performance indicatoren voor beschikbaarheidvenster
Soort afspraak Openstellingsvenster Beschikbaarheidsvenster Minimaal te realiseren
beschikbaarheid per maand
Productieomgeving 24 uur x 7 24 uur x 7 (minus onderhoudsvenster)
99.5 %
Preproductieomgeving 24 uur x 7 Werkdagen 8:00 uur– 18:00 uur 99 %
beschikbaar.
Informatie website xxx.XxxxX.xx.
24 uur x 7 24 uur x 7 (minus onderhoudsvenster)
99.5 %
Werkdagen zijn alle kalenderdagen, behoudens weekenden, algemeen erkende feestdagen.
Indien er spoedonderhoud noodzakelijk is, wordt dit onderhoud altijd vooraf aangekondigd, en wordt dit gerapporteerd als onbeschikbaarheid van de dienst.
DigiD heeft verschillende functies zoals in hoofdstuk 1 is verwoord. Het kan dus zijn dat 1 of meerdere functies niet of beperkt beschikbaar zijn.
De performance-indicator voor de beschikbaarheid wordt als volgt gemeten: (Uren per maand -/- uren onbeschikbaar -
/- uren gepland onderhoud (gedeeld door) uren per maand -/- uren gepland onderhoud) X 100 = ...
Servicevenster
Het servicevenster is de tijd waarbinnen een afnemer Logius kan benaderen voor ondersteuning. Tijdens onderstaand servicevenster is Servicecentrum Logius bereikbaar voor meldingen over de dienstverlening en de producten. Denk daarbij aan incidenten, vragen en/of klachten.
Servicevenster
Bereikbaarheid Norm productieomgeving Norm preproductieomgeving
Voor afnemers het:
xxxxxx xxx (niet P1) incidenten
melden van klachten stellen van vragen
krijgen van ondersteuning bij het aansluiten
Werkdagen van 8:00 uur tot 17:00 uur Werkdagen van 8:00 uur tot
17:00 uur
Voor afnemers het:
melden van P1-incidenten
24 uur per dag, 7 dagen per week, alle dagen van het jaar
N.v.t.
Om de onbeschikbaarheid als gevolg van het wisselen van certificaten tot een minimum te beperken, is het aan te bevelen om een certificaatwissel aan afnemers-zijde in goed overleg met het Servicecentrum te plannen.
Oplostijden
In onderstaande tabel ziet u de oplostijden voor incidenten voor DigiD. In de paragraaf 'Incidentbeheer XxxxX' staat hoe de prioriteit wordt bepaald.
Oplostijden incident DigiD Productieomgeving (burgerapplicatie)
Type incident Oplostijd Norm
Prio 1 (P1) – Hoog 6 uur (klokuren) Per maand wordt 85 % van het aantal incidenten binnen de oplostijd
opgelost
Prio 2 (P2) – Midden 10 uur (kantooruren) Per maand wordt 85 % van het aantal incidenten binnen de oplostijd
opgelost
Prio 3 (P3) – Laag 18 uur (kantooruren) Per maand wordt 85 % van het aantal incidenten binnen de oplostijd
opgelost
Xxxxxx informeert afnemers binnen een half uur na detectie van een P1 of calamiteit wanneer dit impact heeft op de dienstverlening.
Definitie klokuren: 24 uur per dag 365 dagen per jaar. Definitie kantooruren: werkdagen van 08:00 uur tot 17:00 uur.
De reactietijden voor vragen of klachten staan in onderstaande tabel.
Reactietijden voor behandeling van DigiD vragen of klachten
Reactietijd Norm
Binnen 3 werkdagen Per maand wordt 99% van de vragen of klachten volgens de xxxx xxxxxxxxxx
Onderhoudsvenster
Het onderhoudsvenster stelt Xxxxxx in staat op vooraf vastgestelde tijdsvensters regulier onderhoud op DigiD uit te voeren. Dit onderhoud vindt plaats vanuit het Releasebeheer proces (zie paragraaf Releasebeheer DigiD) en gebeurt volgens de tabel opgenomen in deze paragraaf.
Tijdens het onderhoudsvenster kan het voorkomen dat (onderdelen van) DigiD tijdelijk niet beschikbaar is. Logius streeft ernaar om die periode zo kort mogelijk te houden. Het onderhoudsvenster valt onder gepland regulier onderhoud. Daarom nemen we dit niet mee in de beschikbaarheidsprestatieindicator (zie paragraaf Beschikbaarheidsvenster).
Performance-indicatoren voor onderhoudsvenster
Niet beschikbaar Norm productieomgeving Norm preproductieomgeving
Gepland functioneel en technisch onderhoud voor de diensten
Maximaal 2 keer per maand, gedurende maximaal 6 uur (0:00 uur.- 06:00 uur.)
Buiten het beschikbaarheidsvenster
Logius handelt naar gepland onderhoudsmomenten op de tweede maandag en woensdag van de maand. Bij afwijkingen wordt dit vooraf kenbaar gemaakt.
Het onderhoud op DigiD en DigiD app is te vinden op de website: xxxxx://xxxxxx.xx/xxxxxxx-xx-xxxxxxxxx of via de Logius App. In uitzonderingsgevallen, afhankelijk van de aard van het incident, kan het onderhoud plaatsvinden buiten het afgesproken onderhoudsvenster. Er is dan sprake van extra onderhoud of spoedonderhoud. In gevallen dat uitstel mogelijk is, zal Logius bij (mogelijke) onbeschikbaarheid het extra- of spoedonderhoud tussen 00:00 uur en 06:00 uur laten plaatsvinden.
Burgerondersteuning
Burgers kunnen vragen stellen, klachten indienen en incidenten melden aan Xxxxxx. Zij kunnen dit doen via telefoon, Twitter, email of post.
Telefonie Norm
Service window telefonische ondersteuning
Max. responstijd beantwoorden oproep
Werkdagen van 8:00 uur tot 22:00 uur 99 %
20 seconden 80 %
Call abandon rate* ≤ 3%
Burgertevredenheid telefonie
Afnemerboordeling gemiddeld hoger dan 7,5 (op schaal 1-10). Op basis van COPC (Customer Operations Performance Center) beoordeling
100
%
E-mail Norm
Servicewindow e-mail/post 24 uur x 7 100
%
Xxx. responstijd 2 werkdagen 99 %
Twitter Norm
Servicewindow Twitter Werkdagen van 8:00 uur tot 22:00 uur 100
%
*Call abandon rate = Het percentage afgebroken gesprekken in het wachtveld (dus gesprekken die niet door een medewerker zijn opgenomen/opgepakt omdat de burger ervoor kiest uit de wachtrij te stappen).
Performance DigiD
Performance is datgene wat DigiD bereikt of levert, uitgedrukt in tijd of aantallen. Voor DigiD is de performance van essentieel belang voor de kwaliteitsbeleving van zowel afnemers als eindgebruikers.
Van de volgende performance-indicatoren is er een definitie:
Productie performance
99,5 %
Performance indicatoren Norm Minimaal te realiseren
Verwerkingstijd van DigiD.
Dit betreft het uitvoeren van de authenticatie
Verwerking gemiddeld afgehandeld binnen 4 seconden
Verwerkingscapaciteit maximaal 10.000 gelijktijdige authenticaties per minuut
Continuïteit van DigiD
Ondanks alle voorzorgsmaatregelen kan het voorkomen dat gegevens verloren gaan, bijvoorbeeld in het geval van calamiteiten. Logius heeft maatregelen genomen om schade door gegevensverlies zoveel mogelijk te beperken. Meer informatie is te vinden in artikel 3 van de Aansluitvoorwaarden DigiD.
Continuïteit performance indicatoren
Standaard service Maximale gegevensverlies
Maximum periode gegevensverlies 24 uur
DigiD heeft maatregelen genomen om de gegevensverlies te minimaliseren. De maatregelen bestaan uit: Het opslaan van data op minimaal 2 verschillende geografisch gescheiden locaties.
Het uitvoeren van een dagelijkse back-up. Dit betekent dat maximaal inloghistorie of aanmaak/mutaties in DigiD van 1 dag verloren gaan. Authenticaties zijn dan niet voor de burger in de historie zichtbaar en aanvragen dienen opnieuw gedaan te worden.
Logius voert minimaal 2 uitwijktesten uit per jaar. Bij de uitwijktest hanteert Logius de norm om binnen 4 uur weer operationeel te zijn op de uitwijklocatie en dat het gegevensverlies maximaal 1 uur mag bedragen.
Daarnaast wordt minimaal 1 keer per jaar de back-up- en restore- procedure getest.
Informatiebeveiliging van DigiD
Het stelsel van informatiebeveiligingsmaatregelen rond DigiD richt zich op de beschikbaarheid, integriteit en exclusiviteit. Logius waarborgt de informatiebeveiliging door het uitvoeren van periodieke assessments en tests.
De volgende assessments en testen worden jaarlijks uitgevoerd: ICT Beveiligingsassessment voor xxxx.xxxxx.xx
Toetsing BIO (Baseline Informatiebeveiliging Overheid)
Daarnaast wordt Xxxxxx gecontroleerd door de Algemene Rekenkamer en de Auditdienst Rijk in het kader van de wettelijke taken en verantwoordelijkheden.
De definitie van de drie eerdergenoemde aspecten luidt:
Beschikbaarheid: DigiD moet volgens afspraken voor een afnemer beschikbaar zijn. De normen en minimale realisatie voor de beschikbaarheid is te vinden in paragraaf 2.1 Beschikbaarheid van DigiD
Integriteit: De informatie binnen de systemen van DigiD moet juist, volledig en tijdig zijn
Exclusiviteit: Alleen daarvoor bevoegde personen mogen de gegevens van DigiD inzien
Toegankelijkheid
Een toegankelijkheidsverklaring is van toepassing voor zover de websites en apps vallen binnen de werkingssfeer van Tijdelijk besluit digitale toegankelijkheid overheid. Zie xxx.xxxxx.xx/xxx-xx-xxxxx/xxxxxxxxxxxxxxxxxxxxxxxxxxx voor meer informatie.
3. Serviceniveau beheerprocessen DigiD
Hieronder wordt per beheerproces beschreven hoe de serviceniveaus voor DigiD worden gehaald. Er is een beschrijving van de volgende functies en beheerprocessen:
Servicecentrum Logius Incidentbeheer Wijzigingen Releasebeheer Continuïteitsbeheer Capaciteitsbeheer
Servicecentrum Logius
Het servicecentrum is de ingang voor afnemers binnen Logius en vervult daarmee de loketfunctie. Het servicecentrum is verantwoordelijk voor support op uw meldingen over DigiD.
Servicecentrum Logius
Telefoon: 0900 555 4555 (10 cent per minuut)
E-mail: gebruik het contactformulier De support betreft:
het ondersteunen bij het gebruik van DigiD het verstrekken van informatie
aannemen en beantwoorden van vragen (ook van burgers)
in behandeling nemen van storingen en klachten over DigiD en de dienstverlening daarover (helpen) aan te sluiten op DigiD
(helpen) testen en hertesten van aansluitingen
beheer van afnemer gegevens (vastleggen contactgegevens en productafname) bewaken van de gemaakte serviceafspraken
(helpen) aansluiten van DigiD Buitenland balies
Ten behoeve van burgers is de 1e-lijns ondersteuning als volgt bereikbaar: telefonisch via de helpdesk van DigiD (088 – 0230435)
email (xxxx@xxxxx.xx)
brief (Servicecentrum Logius, Xxxxxxx 00000, 0000 XX Xxx Xxxx)
Incidentbeheer DigiD
Incidentbeheer heeft als doel zo snel mogelijk de normale gang van zaken te hervatten en de impact op de bedrijfsprocessen te minimaliseren.
Onder incidenten verstaan we elke gebeurtenis die niet tot de standaardoperatie van een dienst behoort en die een interruptie of een vermindering van de kwaliteit van die dienst kan veroorzaken.
Om op een juiste wijze met de incidenten om te gaan, prioriteren we deze volgens onderstaande tabel. Impact en urgentie lichten we in de tabellen daaronder toe.
Impact
Hoog Midden Laag
Hoog 1 | 2 | 3 |
Urgentie Midden 2 | 3 | 3 |
Laag 3 | 3 | 3 |
Met urgentie geven we aan of en hoe er uitstel van herstel mogelijk is.
Urgentie
Hoog
Uitstel van de dienstverlening is niet mogelijk. De dienstverlening moet onmiddellijk worden hersteld (voorbeeld: informatiesysteem onbruikbaar, er worden schadelijke gegevens gegenereerd, er spelen veiligheidsrisico's en beveiligingsincidenten).
Midden Uitstel is mogelijk, bijvoorbeeld tot het einde van de dag, waarna ’s nachts herstel mogelijk is
Laag Uitstel is mogelijk. Het moment van herstel wordt in overleg met u bepaald (kan enkele dagen, weken of maanden duren)
Met impact geven we aan wat de graad van de uitval van DigiD is. In onderstaande tabel ziet u hoe we het impactniveau bepalen.
Impact
Hoog DigiD functioneert in het geheel niet. Uitval van het volledige informatiesysteem of één van de primaire functies van DigiD.
Midden DigiD genereert ongewenste resultaten die niet schadelijk zijn voor u een afnemer en/of eindgebruiker Laag DigiD vertoont ongewenste resultaten, maar niet zodanig dat het geclassificeerd wordt als hoog of midden
Bereikbaarheid
Bij het Servicecentrum Logius kan een incident worden aangemeld.
Wijzigingen DigiD
Wijzigingen in DigiD komen op verschillende wijzen tot stand. Belangrijk te realiseren is dat het werk wat noodzakelijk is om de wijziging te realiseren per drie maanden gepland en ook geprioriteerd wordt. Het prioriteren van het werk wordt voor het grootste deel van het werk gedaan in het zogenaamde Routekaartoverleg waar naast het productmanagement en de beleidsopdrachtgever, de belangrijkste externe stakeholders zijn vertegenwoordigd. Zij bepalen gezamenlijk de koers.
Voorstellen voor wijzigingen kunnen op verschillende manieren ingebracht worden: via de Business Consultant;
via het contactformulier.
In dit geval wordt de volgende informatie uitgevraagd:
Wijzigingsverzoek – benodigde informatie
Indiener Naam en contactgegevens van de indiener van het wijzigingsverzoek
Voorgestelde wijziging Doe een voorstel voor de voorgestelde wijziging in termen van op te leveren resultaat (wat is er klaar als het klaar is?)
Beoogde voordelen Een korte omschrijving van de voordelen die de wijziging met zich meebrengt Huidige nadelen Een korte omschrijving van de nadelen van de huidige situatie
Releasebeheer DigiD
De doelen van Releasebeheer zijn: opstellen van releaseplannen/kalender
succesvol uitrollen van release packages zorgen voor een minimale verstoring van DigiD
Geaccepteerde wijzigingen plannen we op de releasekalender in en communiceren we aan de afnemers. Vervolgens voeren we deze wijzigingen door tijdens het eerder gedefinieerde onderhoudsvenster (zie paragraaf Onderhoudsvenster).
Bereikbaarheid
U vindt de releasekalender voor DigiD onder xxx.xxxxxx.xx/xxxxxxxx/xxxxx/xxxxxx.
Continuïteitbeheer DigiD
De doelen van continuïteitsbeheer zijn:
zorgen dat de gewenste continuïteits- en herstelmechanismen klaar zijn voor gebruik het onderhouden van continuïteitsplannen en herstelplannen
het houden van reguliere business-impactanalyse
Calamiteiten die de continuïteit in gevaar brengen, kunnen door verschillende oorzaken optreden. Voorbeelden zijn een ernstig beveiligingsincident of een ernstige verstoring. Voor technische verstoringen bestaat een uitwijkmogelijkheid.
Bereikbaarheid
Servicecentrum Logius informeert u wanneer een uitwijk nodig is.
Capaciteitsbeheer
Wanneer uit het capaciteitsmanagement proces blijkt dat een grotere capaciteit nodig is, zal Logius maatregelen nemen om de capaciteit te vergroten.
4. Klantrapportage DigiD
In de Klantrapportage wordt de DigiD Serviceniveau overeenkomst voor Klant als basis gebruikt, waarbij de norm en KPI- afspraken de inhoud vormen voor de maandelijkse rapportage. Er wordt gerapporteerd over de gemaakte afspraken met de afnemers van de dienst.
Inhoud van de Klantrapportage
In de rapportage wordt er gerapporteerd over de volgende onderdelen: Beschikbaarheid
Oplostijd Onderhoud Performance Authenticaties
Waar nodig wordt de Klantrapportage inhoudelijk ondersteund door een verstoringsanalyse. Deze verstoringsanalyse wordt alleen meegezonden indien zich er een gebeurtenis heeft voorgedaan welke de beschikbaarheid van DigiD heeft beïnvloed, uitgezonderd wanneer de onbeschikbaarheid is veroorzaakt door een DDoS gebeurtenis.
Klantrapportage ter publicatie
Uit de inhoud van de Klantrapportage wordt ook een versie opgesteld ter publicatie op de website van Xxxxxx. Deze versie van de rapportage bevat een extractie van de informatie uit de reguliere Klantrapportage en zonder inhoudelijke toelichting op gebeurtenissen. Deze Klantrapportage is terug te vinden op: xxxxx://xxxxxx.xx/xxxxxxxx/xxxxx/xxxxxxxxxxxx
Frequentie en distributie
De Klantrapportage wordt waar mogelijk uiterlijk de laatste werkdag van de maand verstuurd over de maand ervoor. De distributie vindt plaats naar de afnemers die deelnemen aan het Operationeel Overleg of op specifiek verzoek.
Documentgeschiedenis
Versie Datum Aanpassingen
2.4.1 Mei 2014 Gepubliceerde SNO DigiD
2.4.2 April 2015 Aanpassingen vanuit werkgroep SNO
2.5 Mei 2015 Aanpassingen vanuit Logius
2.6 Maart 2016 Aanpassing performance
2.7 Februari 2017 Aanpassing vanuit Logius
2.8 December 2017
Aanpassing vanuit Logius voor Substantieel
2.9 Oktober 2019 Aanpassing informatiebeveiliging
3.0 Mei 2021 Herziening na review met deelnemers Operationeel Overleg. Hoofdstuk Klantrapportage toegevoegd