Hoofdinhoud
Overeenkomst tussen Logius – [naam wederpartij] inzake toepassing Meervoudig Assessment DigiD.
Overwegende dat:
- Leverancier in aanmerking wil komen voor het Meervoudig Assessment voor de aangesloten dienst en daarop aangesloten Aansluithouders;
- Elke Aansluithouder moet voldoen aan de meest recente versie van de voorwaarden die van toepassing zijn op die betreffend aansluiting;
- Dat Leverancier bij het uitbesteden van op DigiD aangesloten diensten (eind)verantwoordelijke blijft;
- Logius aan Leverancier het recht wil verlenen tot het toepassen van een Meervoudig Assessment;
- Partijen de afspraken voor het toepassen van een meervoudig assessement door de Leverancier in deze Overeenkomst wensen vast te leggen.
Komen overeen ...
1. Begripsbepalingen
Tenzij uit de context anders blijkt, gelden de volgende begripsbepalingen waarbij de hierna met een hoofdletter aangeduide begrippen en afkortingen in deze Overeenkomst de volgende betekenis hebben:
- Aansluithouder - Een partij die, via een leverancier, de dienst DigiD afneemt en die voor de uitoefening van een publieke taak of bevoegdheid elektronisch verkeer met andere overheden en burgers en/of bedrijven wenselijk acht en voldoet aan de daarvoor gestelde voorwaarden.
- Assessment - zie ‘Toetsing’ bij https://www.logius.nl/diensten/digid/ict-beveiligingsassessments
- Audit - Door een (externe) Register EDP-auditor afgenomen assessment tegen een vastgestelde norm. In de context van dit document is dit de DigiD beveiligingsassessment.
- Auditing - Het controleren van een organisatie. In de context van het Meervoudig assessment is dit een taak die de RE-auditor uitvoert bij de Leverancier.
- Audittrail - Het spoor van een audit of controle. Het stelt een onderneming of toezichthouder in staat om transacties administratief te volgen en te controleren. Zo een controlespoor kan voorafgaan aan een transactie, maar bijvoorbeeld ook voor het aansluiten van een nieuwe Aansluithouder.
- BSN - Afkorting van: Burgerservicenummer. Een burgerservicenummer is een uniek persoonsnummer voor iedereen die staat ingeschreven in de Basisregistratie personen (BRP).
- Controle - Het controleren van de juiste werking van beveiligingsmiddelen of de juiste registratie van beveiligingsinformatie. In de context van dit document zijn dit de controles, door de leverancier uitgevoerd, die nodig zijn om te borgen dat de aansluithouder voldoet aan de dan geldende Norm ICT-beveiligingsassessments DigiD.4.
- Register EDP-auditor - Een onafhankelijke, bij de Nederlandse Organisatie van Register EDP Auditors aangesloten, accountant/deskundige, ook wel RE-auditor genoemd.
- Gegevensclassificatie - Classificatie van data geeft antwoord over de hoeveelheid maatregelen die genomen moeten worden om die data adequaat te beschermen.
- Kwaliteitssysteem - Een systeem waarmee je kwaliteitsprocessen in de organisatie beheerst.
- Leverancier - De organisatie die de DigiD-aansluiting voor de Aansluithouder verzorgt en in geval van meervoudig aansluiting ervoor zorg draagt dat de Aansluithouder aan de daartoe gestelde eisen en Voorwaarden van DigiD voldoet.
- Logius - Dienst digitale overheid, baten-lastendienst van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
- Maatwerk - Onder maatwerk wordt verstaan, functionaliteiten die zijn toegespitst op de specifieke wensen van de klant en niet beschikbaar zijn voor andere klanten.
- Meervoudig - assessment De methode waarbij de Leverancier zorgt draagt voor assessments en auditing van de Aansluithouder om daartoe de Aansluithouder te ontzorgen.
- Norm ICT-beveiligingsassessments - DigiD De meest recent vastgestelde Beveiligingsnorm bedoeld voor organisaties die DigiD gebruiken en jaarlijks een ICT- beveiligingsassessments moeten doen. Te vinden via www.logius.nl.
- Software - Een door een Leverancier beschikbaar gestelde ICT oplossing aan Aansluithouders. In de context van het Meervoudig assessment maken de Aansluithouders allen gebruik van dezelfde door het platform geboden functionaliteit (homogeen).
- Scope - In de context van het Assessment en het Meervoudig assessment, is de scope "de internet-facing webpagina's, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het inlogproces". Met systeemkoppelingen wordt de system-to-systemkoppeling (authenticatieverzoek en uitwisselen BSN en verificatieverzoek van webdienst) bedoeld.
- Voorwaarden - DigiD De meest recente, specifieke voorwaarden die gelden tussen Logius en Aansluithouders bij het gebruik van DigiD. Te vinden via www.logius.nl voor aansluiting op DigiD, of via www.dictu.nl voor de routeringsvoorziening van DICTU.
2. Voorwerp van de Overeenkomst
2.1 - Logius verleent hierbij aan Leverancier, zoals nader gespecificeerd in deze Overeenkomst inclusief haar bijlagen, om niet, het recht tot het uitvoeren van een Meervoudig Assessment bij Aansluithouders van DigiD.
2.2 - De navolgende documenten vormen gezamenlijk de Overeenkomst. Voor zover deze documenten met elkaar in tegenspraak zijn, prevaleert het eerdergenoemde document boven het later genoemde:
- dit document;
- afhankelijk van het type aansluiting, één van de volgende set toepasselijke voorwaarden:
- Voorwaarden DigiD; of
- Algemene Aansluitvoorwaarden Toegangverleningservice DICTU.
- Algemene voorwaarden Logius (bij afname dienst bij Logius);
- Norm ICT-beveiligingsassessments DigiD;
- Update NOREA Handreiking DigiD-assessment met meervoudige aansluitingen 2020 (versie 1.0);
- Verplichtingen tussen Leverancier en Aansluithouder.
2.3 - Indien na het ondertekenen van deze Overeenkomst door Partijen één van bovengenoemde documenten wordt opgevolgd door een nieuwe versie, maakt deze nieuwe versie automatisch onderdeel uit van deze Overeenkomst en Partijen verplichten zich reeds nu voor alsdan te handelen conform die nieuwe versie.
2.4 - Op beide Partijen rust een medewerkings-, informatie- en waarschuwingsplicht voor zover dit van belang is, respectievelijk kan zijn voor de uitvoering van deze overeenkomst. Logius heeft Leverancier afdoende geïnformeerd met betrekking tot alle feiten en doelstellingen van Logius aangaande deze overeenkomst.
3. Totstandkoming, tijdsplanning of duur van de Overeenkomst
3.1 - Deze Overeenkomst komt tot stand door ondertekening van de Overeenkomst door beide Partijen en heeft een initiële looptijd van zes (6) jaar.
3.2 - Partijen kunnen de Overeenkomst onder gelijkblijvende voorwaarden 3 keer voor een periode van twee jaar verlengen. Indien partijen van dit recht gebruik wensen te maken wordt uiterlijk twee (2) maanden voor het einde van de in artikel 3.1 bedoelde looptijd respectievelijk twee (2) maanden voor het einde van de verlengingsperiode schriftelijk mededeling gedaan.
3.3 - Leverancier of Logius kan deze Overeenkomst tussentijds, schriftelijk en met inachtneming van een opzegtermijn van twaalf (12) maanden alvorens het verantwoordingsjaar per 1 mei verloopt opzeggen. Gedurende het moment van opzeggen tot daadwerkelijke beëindiging, wordt de Overeenkomst onder gelijkblijvende voorwaarden uitgevoerd.
4. Verplichtingen Leverancier
4.1 - Leverancier draagt er zorg voor dat:
- De software online wordt aangeboden door de Leverancier en dat Leverancier zorg draagt voor de installatie, onderhoud en beheer van de software, waarbij de Aansluithouder geen enkele beheertoegang heeft tot het systeem;
- Gebruiksbeheer is – indien noodzakelijk – in de software geregeld;
- Leverancier geen maatwerk aanbiedt aan de Aansluithouder;
- Leverancier een kwaliteitssysteem heeft geïmplementeerd dat ervoor zorgt dat het gehele auditstelsel toetsbaar en inzichtelijk is;
- De vorm en inhoud van de bewijslast uniform zijn voor alle Aansluithouders;
- Aansluithouders een juridische grondslag hebben voor het gebruik van het Burgerservicenummer;
- Leverancier te allen tijde in staat is en de bevoegdheid en technische mogelijkheden heeft om een Aansluithouder af te sluiten van de dienstverlening, en hiertoe overgaat indien de Aansluithouder niet voldoet aan de afspraken tussen LMA-AMA.
4.2 - De volgende artikelen uit de Bijlagen 2a en 2b zijn niet van toepassing:
- Artikel 5.6 van de Voorwaarden DigiD is niet van toepassing.
- Artikel 1.1 sub 1.23 van de Algemene Aansluitvoorwaarden Toegangverleningservice DICTU is niet van toepassing.
4.3 - In aanvulling op artikel 4.2 geldt het volgende: Leverancier dient binnen twee maanden na het tot stand brengen van haar eerste twee aangesloten Aansluithouders, rekenend vanaf de datum van activatie van de eerste Aansluithouder, een Assessment in te dienen. Pas nadat dit Assessment is goedgekeurd door Logius mag Leverancier nieuwe Aansluithouders aansluiten. Na deze goedkeuring is Leverancier gerechtigd om nieuwe Aansluithouders aan te sluiten zonder daarvoor binnen twee maanden een Assessment bij Logius aan te leveren. Het eerstvolgende Assessment moet jaarlijks worden ingediend. Hierbij geldt: wanneer de activatie van de eerste aansluiting valt vanaf 1 januari tot 1 augustus, wordt de eerstvolgende jaarlijkse Assessment ingediend tussen 1 januari en 1 mei van het volgende jaar. Wanneer de activatie van de eerste aansluiting valt vanaf 1 augustus tot en met 31 december, mag het jaarlijkse Assessment worden opgeschort met een jaar.
4.4 - In afwijking op artikel 5.5 van de Voorwaarden DigiD en artikel 1.1 sub 1.22 van de Algemene Aansluitvoorwaarden Toegangverleningservice DICTU wordt, in het kader van de uitvoering van onderhavige Overeenkomst, de term ‘Afnemer’ vervangen door ‘Leverancier’.
4.5 - In Bijlage 6 (verplichtingen tussen Leverancier en Aansluithouder), is een overzicht weergegeven van de van toepassing verklaarde eisen die de Leverancier dient te borgen in de overeenkomst met de aansluithouder. Dit overzicht is tot stand gekomen op basis van de meest recente versie van Bijlage 5 (Update Handreiking DigiD-assessment met meervoudige aansluitingen 2020 (versie 1.0).
4.6 - Leverancier verplicht zich om, op basis van de kennis, die hem ter beschikking staat of zou moeten staan op grond van bij hem bekende feiten en omstandigheden, of de kennis die op grond van zijn specifieke expertise bij hem aanwezig is of zou moeten zijn, actief Logius te informeren over de risico’s, gevaren of gebeurtenissen die op enigerlei wijze de betrouwbaarheid van de dienstverlening van Logius kunnen bedreigen of beïnvloeden.
5. Rechten en verplichtingen van Logius
5.1 - Conform artikel 4 lid 1 onder f van deze Overeenkomst toetst Logius (indien van toepassing), per Aansluithouder of de aanbieder van een erkende routeringsvoorziening waar Logius gebruik van maakt, voldoet aan de genoemde eis en of deze gerechtigd is het Burgerservicenummer te gebruiken.
5.2 - Logius is gerechtigd een audit of controle uit te voeren of te laten uitvoeren bij twijfel over de kwaliteit over de dienstverlening, door een onafhankelijke derde, bij Leverancier om vast te stellen of Leverancier voldoet aan de gestelde eisen zoals neergelegd in deze Overeenkomst. Leverancier zal onmiddellijk en alle redelijke medewerking verlenen aan een dergelijk onderzoek, waaronder het toegang verlenen tot gebouwen, hardware, software en databases en het ter beschikking stellen van alle terzake relevante informatie welke voor deze audit of controle naar het oordeel van Logius noodzakelijk is. Leverancier is verplicht hieraan kosteloos zijn medewerking te verlenen.
6. Aansprakelijkheid en vrijwaring
6.1 - In het kader van aansprakelijkheid gelden de algemene regels van het Nederlands recht ten aanzien van de inhoud en omvang van wettelijke verplichtingen tot schadevergoedingen.
6.2 - Indien één der Partijen tekortschiet in de nakoming van haar verplichtingen uit de Overeenkomst, kan de andere Partij haar in gebreke stellen door middel van een aangetekend schrijven. De nalatige Partij is echter onmiddellijk in verzuim als nakoming van de desbetreffende verplichtingen anders dan door overmacht binnen de overeengekomen termijn reeds blijvend onmogelijk is. De ingebrekestelling geschiedt schriftelijk, waarbij aan de nalatige Partij een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is de nalatige Partij in verzuim.
6.3 - De ingebrekestelling, zoals bedoeld in het vorige lid, is niet vereist indien de termijn waarbinnen de overeengekomen diensten verricht hadden moeten zijn, voor de afloop daarvan is verlengd. Indien de in het vorige lid bedoelde nakoming ook niet heeft plaatsgevonden voor het eind van de verlengde termijn, is de nalatige Partij vanaf dat moment direct in verzuim.
6.4 - Indien een partij toerekenbaar tekortschiet in de nakoming van haar verplichtingen tegenover de andere partij, is zij aansprakelijk voor de door geleden dan wel te lijden schade.
6.5 - Leverancier vrijwaart Logius voor vorderingen van de aansluithouder, uit welke hoofde dan ook, ten gevolge van de uitvoering en beëindiging van deze Overeenkomst.
7. Continuïteit
7.1 - Onverminderd het overige in deze Overeenkomst bepaalde, garandeert Leverancier de continuïteit van de overeengekomen dienstverlening en neemt daarbij alle mogelijke maatregelen om deze continuïteit te waarborgen.
8. Vertrouwelijkheid
8.1 - Partijen erkennen dat de informatie welke aan hen bekend wordt in het kader van de uitvoering van de Overeenkomst van vertrouwelijke aard is. Partijen verzekeren geheimhouding tegenover derden met betrekking tot alle gegevens en kennis omtrent de bedrijfsaangelegenheden van de andere Partij of zijn cliënten waarvan deze bij de totstandkoming en/of uitvoering van de Overeenkomst kennisneemt.
8.2 - Partijen zullen alle redelijke maatregelen treffen om te voorkomen dat personen die geen kennis behoren te dragen van de in het eerste lid bedoelde informatie, toegang verkrijgen tot bedoelde informatie.
9. Beëindiging van de Overeenkomst
9.1 - Onverminderd hetgeen overigens in de Overeenkomst is vastgelegd, kan elk van de Partijen de Overeenkomst door middel van een aangetekend schrijven buiten rechte geheel of gedeeltelijk ontbinden, indien de andere Partij in verzuim is dan wel nakoming blijvend of tijdelijk onmogelijk is, tenzij het een tekortkoming betreft die gezien haar bijzondere aard of geringe betekenis de ontbinding niet rechtvaardigt.
10. Geschillenbeslechting en toepasselijk recht
10.1 - Ieder geschil tussen Partijen ter zake van de Overeenkomst wordt bij uitsluiting voorgelegd aan de daartoe bevoegde rechter in het arrondissement Den Haag, tenzij Partijen alsnog een andere vorm van geschillenbeslechting zullen overeenkomen.
10.2 - Op deze Overeenkomst is Nederlands recht van toepassing.
11. Overdracht
11.1 - Leverancier mag alleen na voorafgaande schriftelijke toestemming van Logius rechten en verplichtingen uit deze Overeenkomst aan derden overdragen. Aan een dergelijke toestemming kunnen door Logius voorwaarden worden verbonden.