Overzicht verantwoordelijkheden, rechten en plichten van de Beheerorganisatie behorende bij het Afsprakenstelsel eherkenning, versie 1

December  2012        

Overzicht  verantwoordelijkheden,  rechten  en  plichten  van  de  Beheerorganisatie   behorende  bij  het  Afsprakenstelsel  eHerkenning,  versie  1.5     Inleiding   Het  Afsprakenstelsel  eHerkenning  bestaat  uit  verschillende  documenten.  Deze  documenten  zijn   gepubliceerd  op  de  website  www.eHerkenning.nl.         Verspreid  over  deze  documenten  zijn  de  verantwoordelijkheden,  de  rechten  en  de  plichten  van  de       Beheerorganisatie  opgenomen.  In  onderstaand  overzicht  zijn  de  verantwoordelijkheden,  rechten  en   plichten  van  de  beheerorganisatie  zoals  deze  in  het  Afsprakenstelsel  versie  1.5  zijn  opgenomen,  op   hoofdlijnen  onder  elkaar  gezet.       Hulpmiddel     Het  overzicht  is  niet  bedoeld  als  een  uitputtende  opsomming.  Het  is  een  hulpmiddel    waarmee  een  beter   overzicht  wordt    verkregen  van  waar  de  beheerorganisatie  zich  op  grond  van  het  Afsprakenstelsel   eHerkenning  aan  moet  houden.         Opzet  van  het  overzicht   Het  overzicht  geeft  in  de  linker  kolom  een  beschrijving  op  hoofdlijnen  van  de  verantwoordelijkheden,  de   rechten  en  verplichtingen.  Deze  beschrijving  is  een  samenvatting  van  de  beschrijving  in  het   Afsprakenstelsel  van  het  betreffende  onderwerp.  Om  exact  te  weten  wat  de  specifieke   verantwoordelijkheid,  het  recht  of  de  plicht  inhoudt,  dient  u  te  allen  tijde  de  betreffende  tekst  in  het   Afsprakenstelsel  te  raadplegen.  In  de  rechterkolom  van  het  overzicht  is  per  item  de  vindplaats   opgenomen.         Wijzigingen  en  volledigheid   Dit  overzicht  zal  zo  vaak  worden  gewijzigd  als  nodig  is,  bijvoorbeeld  omdat  het  Afsprakenstelsel  wordt   gewijzigd.  Hoewel  er  gestreefd  is  naar  volledigheid  en  juistheid  van  het  overzicht,  aanvaardt  de   beheerorganisatie  noch  enige  andere  organisatie  of  instelling  enige  aansprakelijkheid.  Alleen  de  volledige   tekst  van  het  Afsprakenstelsel  is  bindend.   Onderwerp       Beheerorganisatie:  de  Beheerorganisatie  van  het   Afsprakenstelsel  die  verantwoordelijk  is  voor  het  faciliteren  van   het  beheer  en  de  doorontwikkeling  van  het  Afsprakenstelsel,   alsmede  de  controle  op  en  de  het  monitoren  van  de  naleving  van   het  Afsprakenstelsel  door  de  Dienstverlener  en   de  Deelnemers  op  basis  van  het  door  eHerkenning  vastgestelde   nalevingsbeleid.     Verantwoordelijkheid         De  Beheerorganisatie  is  verantwoordelijk  voor  het    beheer  en  de   regie  van  de  doorontwikkeling  van  het    Afsprakenstelsel   eHerkenning.      

1    

Vindplaats  in  het    afsprakenstelsel     Artikel  1  Gebruiksvoorwaarden   en  Bijlage  A  Begrippenlijst,   Algemene  Introductie.              

  Paragraaf  1.4,  Algemene   Introductie        

December  2012           Het  betreft  de  volgende  operationele  beheerprocessen  met  als   doel  het  merk  eHerkenning  te  beheren:     1  .Proces  change  en  releasemanagment:  Het  proces  voor  het   door  ontwikkelen  van  het  afsprakenstelsel.  De  gewenste   wijzigingen  worden  vastgesteld  en  vervolgens  in  de   productieversie  van  het  netwerk  geïmplementeerd.     De  deelnemers  en  de  beheerorganisatie  voeren  het   implementatieplan  uit  op  basis  waarvan  een  nieuwe  release  van   het  afsprakenstelsel  wordt  geïmplementeerd.       2.  Toetreden:  Dit  proces  beschrijft  de  stappen  die  genomen   moeten  worden  om  deel  te  mogen  nemen  aan  het  netwerk  en  de   naam  eHerkenning  te  mogen  voeren.  Nieuwe  partijen  kunnen   geïnteresseerd  zijn  in  deelname  aan  het  netwerk.  Huidige   deelnemers  kunnen  hun  rollen   en/of  betrouwbaarheidsniveaus  willen  uitbreiden.     3.  Uittreden:  Op  eigen  verzoek  of  op  verzoek  van  EZ  kan  een   deelnemer  uittreden.  Dit  proces  beschrijft  de  stappen  die  moeten   worden  genomen  om  op  zorgvuldige  wijze  uit  te  treden.     4.  Incidentmanagement:  Incidenten  kunnen  bij  de   beheerorganisatie  worden  gemeld.  Deze   worden  vervolgens  geprioriteerd  waarna  het  incidentenproces   in  werking  treedt.     5.  Contentmanagement:  Het  proces  voor  het  managen  van  de   content  van  externe  communicatiemiddelen  van  eHerkenning.   Hiermee  wordt  bewaakt  dat  externe  communicatie  in  lijn  is  met   het  afsprakenstelsel.     6.  Distributie  afsprakenstelsel:  Proces  voor  het  distribueren  en   publiceren  van  het  afsprakenstelsel.  Het  afsprakenstelsel  moet   beschikbaar  zijn  voor  de  partijen  die  hiervan  gebruik  willen   maken.     7.  Managementinformatie  rapporteren:  Het  proces  om   managementinformatie  over  het  gebruik  van  het   netwerk  te  verzamelen,  te  anonimiseren  en  te  verspreiden.     8.  Naleving:  Het  proces  om  naleving  van  het  afsprakenstelsel  af   te  dwingen  en  indien  nodig  tot  sancties  te  komen.     9.  Metadata:  Het  proces  heeft  tot  doel  nieuwe  geaggregeerde   metadata  op  een  snelle  en  betrouwbare  manier  door  te  voeren  in   de  systemen  van  de  deelnemers.     10.  Onderhouden  netwerk:  Processen  voor  het  beheren  van  de   simulator,  het  acceptatienetwerk,  de  dienstencatalogus,  de   helpdesk,  alsmede  het  organiseren  en  doen  uitvoeren  van   penetratietesten.           De  informatietaak  van  de  beheerorganisatie:  publicatie  wat   conform  het  afsprakenstelsel  verstrekt  dient  te  worden  en   bescherming  van  concurrentiegevoelige  informatie.    

2    

Operationeel  Handboek     Proces  change  en   releasemanagement                 Operationeel  Handboek,    Proces   Toetreden                   Operationeel  Handboek,  Proces   uittreden       Operationeel  Handboek,  proces   Incidentmanagement         Proces  Contentmanagement,   Operationeel  Handboek           Proces  distributie   afsprakenstelsel,  Operationeel   Handboek       Proces  Managementinformatie,   Operationeel  Handboek       Proces  is  nog  niet  opgenomen  in     het  Operationeel  Handboek.                 Proces  Metadata:  Operationeel   Handboek       Proces  netwerk  onderhouden:    

Paragraaf  3.2,  Juridisch  Kader  

December  2012           De  beheerorganisatie  stelt  Gebruiksvoorwaarden  eHerkenning   vast  die  de  deelnemer  dient  te  hanteren  bij  de  levering  van   herkenningsdiensten  aan  dienstverleners  of   dienstafnemers.       Het  voeren  van  het  secretariaat  van  de  Stelselraad  eHerkenning.   Agenda's  en  vergaderstukken  van  de  Stelselraad  eHerkenning   worden  tijdig  bekendgemaakt  aan  al  de  in  de  raad  afgevaardigde   partijen.  Verslagen  worden  gepubliceerd  op   www.eherkenning.nl.       De  Beheerorganisatie  organiseert  en  faciliteert  een   Gebruikersraad  Overheidsorganisaties.  Vanuit  de   Gebruikersraad  wordt  inbreng  geleverd  aan  de  werkgroepen.       De  beheerorganisatie  voert  het  secretariaat  van  het  Operationeel   overleg.       De  beheerorganisatie  verleent  aan  de  deelnemer  het  niet-­‐ exclusieve  en  niet-­‐overdraagbare  recht  om,  gedurende  de   looptijd  van  de  Deelnemersovereenkomst,  het   Merk  te  gebruiken  in  verband  met  het  uitvoeren  van   eHerkenningsdiensten  en  het  vervullen  van  de  overeengekomen   rol(len),  in  overeenstemming  met  deze   Deelnemersovereenkomst  en  de  daaruit  voortvloeiende   voorschriften.       De  beheerorganisatie  als  opdrachtnemer  van  EZ  en  uitvoerder   van  de  beheertaken,  zien  toe  op  een  correcte  naleving  van  het   afsprakenstelsel.       Tot  de  taken  van  de  beheerorganisatie  behoort  de  monitoring  en   controle  van  de  naleving  van  het  afsprakenstelsel  door  de   deelnemers  en  de  dienstverleners.  De  beheerorganisatie   monitort  de  prestaties  van  eHerkenning  en  voert  de  naleving  uit.       De  bevoegdheid  tot  het  opleggen  van  sancties  komt  aan  de   beheerorganisatie  toe,  als  uitvloeisel  van  de   taak  om  het  merk  te  beheren.  Deze  beslissing  wordt  genomen   door  andere  personen  dan  degenen  die  tot  dan   toe  namens  de  beheerorganisatie  betrokken  waren  bij  de   monitoring  en  de  procedure  bij  vermoedelijke  niet  naleving.   Door  deze  functiescheiding  wordt  een  onafhankelijke  en   objectieve  beoordeling  van  het  dossier  gewaarborgd.       Het  nalevingsdossier  voorleggen  aan  en  bespreken  met  EZ  als  de   beheerorganisatie  van  mening  is  dat  het  opleggen  van  de   sancties  schorsing  of  beëindiging  van  de   deelnemersovereenkomst  aan  de  orde  is.    

3    

Paragraaf  3.2,  Juridisch  Kader    

Paragraaf  4.1.1,  Juridisch  Kader    

Paragraaf  4.1.3,  Juridisch  Kader  

Paragraaf  4.1.6,  Juridisch  Kader  

Artikel  3.2   Deelnemersovereenkomst    

Overweging  IX   Deelnemersovereenkomst,  en       paragraaf  5.13,  Juridisch  Kader     Paragraaf  5.2,  Juridisch  Kader    

Paragraaf  5.4  en  5.6,  Juridisch   Kader    

Paragraaf  5.6,  Juridisch  Kader    

December  2012           De  beheerorganisatie  zal  zich  ter  zake  terdege  (laten)   informeren  over  de  naleving  van  (een  of  meer  afspraken  van)  het   afsprakenstelsel.  Deze  informatie  kan  afkomstig  zijn  uit  alle   mogelijke  bronnen.  Zo  kan  de  informatie  bijvoorbeeld  worden   verkregen  uit  de  diverse  rapportages  die  in  het  kader  van  het   afsprakenstelsel  worden  overgelegd,  maar  ook  uit  informatie  die   beschikbaar  is  bij  de  beheerorganisatie  of  uit  openbare  bronnen.       Als  de  bugs  of  issues  die  naar  voren  komen  bij  het  testen  door   dienstverlener  en  herkenningsmakelaar  die  van  belang  zijn  voor   het  hele  netwerk  zal  de  beheerorganisatie  hier   verantwoordelijkheid  voor  nemen.       De  werking  van  het  netwerk  is  de  verantwoordelijkheid  van  de   beheerorganisatie.  Het  testen  van  het  netwerk  wordt  dan  ook   door,  of  onder  verantwoordelijkheid  van  de  tijdelijke   beheerorganisatie  uitgevoerd.     De  beheerorganisatie  ontvangt  voor  toetreding  van   de  deelnemers  de  ingevulde  checklists.  Aan  de  hand  van  de   checklists  zal  de  beheer  organisatie  adviseren  over  de  toelating   en/of  de  duur  van  het  verdere  traject.     Zijn  alle  testen  volgens  de  deelnemer  naar  behoren  verlopen  dan   zal  de  beheerorganisatie  over  gaan  tot  het   uitvoeren  van  toetredingstesten.       De  beheerorganisatie  zal  in  samenspraak  met  de  deelnemers   periodiek  penetratietesten  uit  laten  voeren  door  een   gespecialiseerde  partij.  De  scope  van  deze  testen  zal  per  keer   worden  bepaald.  Voor  het  uitvoeren  van  een  penetratietest  is   altijd  toestemming  nodig  van  de  deelnemers  die  getest  gaan   worden.       Om  te  toetsen  of  het  stelsel  van  maatregelen  dat  genomen  is   daadwerkelijk  effectief  en  adequaat  is,  wordt  bij  de  deelnemers   van  eHerkenning  en  bij  de  Beheerorganisatie  periodiek,  in   beginsel  twee  maal  per  jaar,  een  zogenaamde  penetratietest   uitgevoerd.  Deze  test  wordt  uitgevoerd  door  een  externe   specialist.       Verplichtingen    

Paragraaf  5.5,  Juridisch  Kader        

Inleiding,  Testen  voor   Dienstverleners      

Paragraaf  2.3,  2.4.  Testen   Dienstverleners      

Hoofdstuk  2,  Testen  voor   Deelnemers    

Hoofdstuk  2,  Testen  voor   Deelnemers  

Paragraaf  3.5,   Informatiebeveiliging    

 

    De  beheerorganisatie  heeft  een  inspanningsverplichting  om  de   op  haar  rustende  verplichtingen  naar  beste  vermogen  na  te   komen,  met  inachtneming  van  de  belangen  van  alle  betrokken   partijen.       Publicatie  van  een  actueel  overzicht  van  de  tot  eHerkenning   toegelaten  authenticatiemiddelen  op  www.eHerkenning.nl.    

4    

Artikel  2.6   Deelnemersovereenkomst  

Paragraaf  4.2.1,  Algemene   Introductie      

December  2012             Het  toevoegen  van  de  metadata,    die  de  beheerorganisatie   ontvangt  via  de  herkenningsmakelaar  opdat  een  dienstverlener   kan  testen,    aan  de  metadata  van  de  bestaande  A  en  P-­‐systemen,   en  de  verzamelde  metadata  publiceren.         Ten  behoeve  van  het  communiceren  over  onderhoud  richt  de     beheerorganisatie  een  mailinglist  in.         Ten  behoeve  van  de  uitwisseling  van  ervaringen  rondom  het   Service  Level  van  het  netwerk  organiseert  de  beheerorganisatie   een  maandelijks  overleg  waaraan  de  beheerders  van  de   deelnemers  mogen  deelnemen.         In  geval  van  wijzigingen  in  de  onderhoudsplanning  brengt  de   beheerorganisatie  alle  abonnees  van  de  mailinglist  binnen  één   werkdag  van  de  inhoud  van  deze  wijziging  op  de  hoogte.           De  beheerorganisatie  is    beschikbaar  voor  ondersteuning  aan   deelnemers  op  werkdagen  tussen  9.00  en  17.00.       Gedurende  verstoringen  brengt  de  beheerorganisatie  minimaal   elke  vier  uur  de  abonnees  van  de  mailinglist   op  de  hoogte  stellen  van  de  status.       In  geval  van  calamiteiten  belegt  de  beheerorganisatie  binnen  24   uur  een  (telefonische)  bijeenkomst  waarbij  alle  benodigde   contactpersonen  aanwezig  moeten  zijn.   Gedurende  calamiteiten  stelt  de  beheerorganisatie  minimaal  elke   vier  uur  de  abonnees  van  de  mailinglist  op  de  hoogte  van  de   status.         De  beheerorganisatie  deelt  alle  gerapporteerde  informatie  die   deelnemers  maandelijks  aanleveren  voor  het  einde  van  de   kalendermaand  met  alle  deelnemers  en  dienstverleners.  Alle   informatie  wordt  hierbij  geaggregeerd  zodat   concurrentiegevoelige  informatie  zoveel  mogelijk  verborgen   blijft.       Het  controleren  van  de  Service  Level.  Zij  doet  dit  in  de  eerste   plaats  door  het  analyseren  van  de  door  deelnemers  opgeleverde   rapportages,  maar  ook  het  uitvoeren  van  steekproeven  behoort   tot  de  mogelijkheden.  In  geval  van  klachten  van  een   gebruiker/bedrijf,  dienstverlener  of  deelnemer  kan  een   onderzoek  worden  ingesteld  en  kunnen  eventueel  sancties  aan   de  deelnemer  worden  opgelegd.  In  het  operationeel  handboek  is   het  proces  om  te  komen  tot  sancties  beschreven.       De  coördinatie  van  geschillen  omtrent  de  indiening  van  een  

5    

  Paragraaf  2.4  en  2.5,  Testen   Dienstverleners    

Paragraaf  3.1,  Service  Level  

Paragraaf  3.1,  Service  Level  

Paragraaf  3.4,  Service  Level  

Paragraaf  3.5,  Service  Level      

Paragraaf  3.6,  Service  Level  

Paragraaf  3.8,  Service  Level  

Paragraaf  3.9,  Service  Level      

Paragraaf  3.10,  Service  Level    

Paragraaf  3.2,  

December  2012         verzoek  van  een  partij  bij  een  deelnemer  om  gearchiveerde   gegevens.         Het  ter  beschikking  stellen  van  een  promokit  voor  deelnemers   en  dienstverleners  via  www.eherkenning.nl.             Publicatie  van  de  dienstencatalogus  op  een  vaste  locatie.       Een  deelnemer  MOET  periodiek  op  een  vooraf  door  de   beheerorganisatie  gekozen  tijdstip,  de  dienstencatalogus   verwerken.  Gegevens  over  de  URL  en  de  periodiciteit  staan   beschreven  in  [Operationeel  handboek].       Beveiliging         De  beheerorganisatie  is  verantwoordelijk  voor  het  management   van  de  informatiebeveiliging  op  het  niveau  van  het  netwerk  voor   eHerkenning  en  de  externe  verantwoording  daarover.  De   beheerorganisatie  geeft  daartoe  een  Third  Party  Mededeling   (TPM)  af  over  de  opzet,  het  bestaan  en  de  werking  van  de   informatiebeveiliging  van  het  netwerk  voor  eHerkenning.  Voor   de  TPM  wordt  o.a.  gebruikt  gemaakt  van  de  auditdossiers  over   de  verantwoording  die  de  deelnemers  en  de  beheerorganisatie   afleggen.       De  beheerorganisatie  beveiligt  en  controleert  haar  eigen   systemen  die  zij  gebruikt  voor  eHerkenning  en  implementeert   daarvoor  de  toepasselijke  controls  uit  de  norm  ISO/IEC  27002   en  maatregelen  implementeren  conform  het   Gemeenschappelijke  Normenkader  Informatiebeveiliging   eHerkenning.       De  beheerorganisatie  heeft  een  systeem  voor  het  management   van  informatiebeveiliging  inrichten  waarin  minimaal  zijn   dienstverlening  voor  eHerkenning  is  ondergebracht.  Het   managementsysteem  moet  zijn  ingericht  conform  de  ISO/IEC   27001  standaard  en  zou  formeel  moeten  zijn  gecertificeerd.  Als   alternatief  mag  de  beheerorganisatie  beschikken  over  een  TPM   (inclusief  conformiteitsverklaring)  die  middels  een  TPM  door   een  onafhankelijke  Register  IT  auditor  is  bevestigd.  De  toetsing   van  opzet,  bestaan  en  werking  van  geïmplementeerde  controls   en  implementatie  van  de  stelselafspraken  over  de  technische   invulling  maken  onderdeel  uit  van  het  certificaat  of  de  TPM   (inclusief  conformiteitsverklaring).       De  beheerorganisatie  wordt  geacht  de  stelselrisicoanalyse  te   gebruiken  als  input  voor  de  risicoanalyses  op  haar   beheerprocessen,  dit  in  het  kader  van  de  stelselverantwoording.   De  risicoanalyse  wordt  tenminste  jaarlijks  herijkt.       De  te  nemen  beveiligingsmaatregelen  worden  bepaald  aan  de  

6    

Informatiebeveiliging       Handboek  Huisstijl  

Paragraaf  6.2  Koppelvlak  DV-­HM           Ook  opnemen  bij  andere   deelnemers         Paragraaf  2.1   Informatiebeveiliging         Ook  opnemen  bij  andere   deelnemers  

Paragraaf  2.1  en  2.2,   Informatiebeveiliging    

Paragraaf  2.1   Informatiebeveiliging  

Paragraaf  1.2,  Stelsel   Risicoanalyse  

Paragraaf  2.2,  

December  2012         hand  van  een  risicoanalyse.  De  Stelselrisicoanalyse  wordt  als   input  meegenomen  in  de  risicoanalyses  van  deelnemers  en   beheerorganisatie  in  het  kader  van  de  verplichte  ISO  27001   certificering.         De  beheerorganisatie  stelt  een  beveiligingsplan  voor  het  netwerk   voor  eHerkenning  op  waarin  de  samenhang  van  de   informatiebeveiliging  binnen  het  netwerk  is  geborgd.         De  beheerorganisatie  stelt  het  Gemeenschappelijke   Normenkader  Informatiebeveiliging  eHerkenning  en  de   bijbehorende  Stelselrisicoanalyse  op  en  is  verantwoordelijk  voor   het  beheer  hiervan:       De  beheerorganisatie  moet  om  voor  certificatie  of  TPM  in   aanmerking  te  komen  individueel  een  risicoanalyse  uitvoeren  en   moet  daarbij  onder  meer  de  Stelselrisicoanalyse  als  input   gebruiken.       De  beheerorganisatie  faciliteert  deelnemers  bij  verstoringen,   calamiteiten  en  beveiligingsincidenten  en  coördineert   activiteiten  indien  nodig.       De  medewerkers  van  eHerkenning  worden  gescreend.             Rechten       De  beheerorganisatie  heeft  recht  op  een  deel  van  de  opbrengst  in   het  geval  de  compensatieregeling  van  toepassing  is  en  voor   zover  de  beheerorganisatie  haar  deel  van  het  betreffende   implementatieplan  goed  heeft  nageleefd.       De  beheerorganisatie  is  gerechtigd  om  aan  anderen  dan  de   deelnemer  toestemming  te  geven  één  of  meer  rollen  in  het   netwerk  voor  eHerkenning  te  vervullen.       De  beheerorganisatie  is  bevoegd  te  (doen)  onderzoeken  of  een   deelnemer  de  afspraken  van  het  afsprakenstelsel  naleeft  en/of   deelnemer  voldoet  aan  de  eisen  en  voorwaarden  die  aan  zijn  rol   worden  gesteld  in  het  afsprakenstelsel.       De  beheerorganisatie  kan  de  Deelnemersovereenkomst  in  de   navolgende  situaties  beëindigen:     1. Op  basis  van  het  nalevingsbeleid  indien  de  deelnemer  enige   verplichting  uit  de  Deelnemersovereenkomst  of  het     afsprakenstelsel  niet  nakomt  en  hem  de  sanctie  van   beëindiging  van  de  Deelnemersovereenkomst  door  het   ministerie  van  Economische  Zaken  wordt  opgelegd;  

7    

Informatiebeveiliging  en     [eHerkenning  –  Stelsel   risicoanalyse]  

Paragraaf  2.2,   Informatiebeveiliging  

Paragraaf  2.2  en  2.3     Informatiebeveiliging  

Paragraaf  3.1,   Informatiebeveiliging    

Paragraaf  2.2.  Proces   Incidentmanagement,   Operationeel  Handboek       Paragraaf  3.4,   Informatiebeveiliging       Paragraaf  5.8.1  Juridisch  Kader    

Artikel  2.4     Deelnemersovereenkomst      

Artikel  7.1   Deelnemersovereenkomst    

Artikel  5.2   Deelnemersovereenkomst    

December  2012         2. Het  ministerie  van  Economische  Zaken  de  opdracht  aan  de   beheerorganisatie  intrekt  om  op  te  treden  als   beheerorganisatie  binnen  het  stelsel  van   3. eHerkenning;   4. De  klachten-­‐  en  geschillencommissie  hiertoe  adviseert  naar   aanleiding  van  een  klacht  of  geschil;   5. De  deelnemer  de  belangen  schaadt  van  het  netwerk  voor   eHerkenning  waaronder  de  reputatie  van  het  Merk;   6. De  deelnemer  failliet  is  verklaard  of  aan  hem  surseance  van   betaling  is  verleend;   7. De  beheerorganisatie  besluit  haar  activiteiten  te  staken.      

 

8