Dienstverleningsafspraken GBA-V en TMV

Op deze pagina leest u het niveau van de dienstverlening voor alle afnemers die zijn aangesloten op Gemeentelijke Basisadministratie Verstrekkingen (GBA-V) of Terugmeldvoorziening (TMV) via webservice.

Systeembeschrijving

GBA-V is een onderdeel van het GBA-stelsel en komt voort uit de modernisering van de GBA. Het Logisch Ontwerp GBA is de functionele beschrijving van het GBA-stelsel. Deze kunt u vinden op de website van RvIG (www.rvig.nl).
GBA-V is een centraal systeem met een database voor de verstrekking van GBA- gegevens aan afnemers. De gegevens in de database zijn een kopie van de gegevens (persoonslijsten) in de verschillende GBA-systemen bij de gemeenten. Iedere wijziging in de GBA-gegevens bij een gemeente leidt tot een synchronisatiebericht1 aan GBA-V en daarmee tot een actualisering van de persoonslijst waarop de wijziging betrekking heeft. De gemeenten zijn verantwoordelijk voor de inhoudelijke correctheid van de GBA-gegevens.

Met de invoering van de GBA als basisregistratie ontstaat voor alle afnemers een terugmeldplicht: als afnemers twijfelen aan de juistheid van de authentieke gegevens dan hebben zij de plicht dit te melden aan de houder van de basisregistratie. Ook op niet-authentieke gegevens kan worden teruggemeld, maar hiervoor geldt geen verplichting. Gemeenten hebben vervolgens de plicht zulke terugmeldingen adequaat in behandeling te nemen.

De TerugMeldVoorziening (TMV) is een integraal onderdeel van het GBA-stelsel en geeft afnemers de mogelijkheid om bij gerede twijfel aan de juistheid van actuele authentieke gegevens uit de GBA te kunnen terugmelden aan de betreffende gemeente.
De TMV is een geautomatiseerde voorziening waarop afnemers kunnen worden aangesloten. Technisch gezien wordt TMV als onderdeel van GBA-V gerealiseerd. TMV maakt gebruik van gegevens in GBA-V.

Webservices

GBA-V kan via webservices bevraagd worden. Ook terugmelden aan de TMV gebeurt via een webservice. Een webservice is een interface van een applicatiecomponent die functionaliteit aanbiedt door middel van het uitwisselen van XML-berichten via HTTP. De XML-berichten zijn geformatteerd volgens de SOAP-standaard. Alle technische informatie over de gebruikte SOAP-berichten, de toegestane HTTP-aanroepen en de locatie van de webservices zijn te vinden in een WSDL2-bestand.

De actuele versies van deze WSDL’s zijn beschikbaar op de website van RvIG:

  • GBA-V Online LO3 Adhoc Service: deze webservice is bedoeld voor het online bevragen van de set persoonsgegevens vanuit de GBA-V. Afnemers met een GBA-autorisatie kunnen voor deze webservice worden geautoriseerd. Het wijzigen van het wachtwoord is bij deze WSDL inbegrepen.
  • TerugmeldVoorziening: deze webservice biedt functionaliteit voor het registreren van de terugmelding of het opvragen van dossiergegevens.
  • Wijzigen wachtwoord TMV: deze webservice dient voor de periodieke wachtwoordwijziging behorend bij het gebruikersaccount dat afnemers gebruiken voor het benaderen van de TMV.

Selecties

Vanuit GBA-V kunnen centraal selecties verstrekt worden. Sinds medio 2010 worden de selecties waarbij geen afnemersindicaties worden geplaatst niet meer verstrekt door gemeenten, maar centraal vanuit GBA-V. Deze selectieverstrekking kan geleverd worden op DVD, via FTPS of via het netwerk.
Naast de mogelijkheid om reguliere selecties zonder plaatsen van indicaties te verstrekken, zal op termijn (Full Service) ook de selecties met plaatsen en verwijderen van indicaties mogelijk worden. Hierdoor krijgen afnemers (mits geautoriseerd) een spontaan bericht van een mutatie op een geïndiceerde PL.
Een derde soort van selectieverstrekking is de gegevensverstrekking, veelal een eenmalig verzoek voor het kunnen uitvoeren van bijvoorbeeld bestandsvergelijking en bestandsschoning.

GBA-Netwerk

Met ingang van Full Service zullen alle verstrekkingen aan afnemers over het GBA-netwerk worden uitgevoerd door GBA-V.
Die verstrekkingen zijn:

  •  spontane en conditionele verstrekkingen, vulberichten;
  • selecties met plaatsen of verwijderen van afnemersindicaties;
  • het beantwoorden van ad hoc-vragen en -adresvragen ;
  • plaatsen en verwijderen van afnemersindicaties.

GBA-V gaat al deze verstrekkingen overnemen van gemeenten en daarbij ook de bijhouding van de afnemersindicaties op de persoonslijsten.
Voor deze vormen van verstrekking is een GBA-autorisatie noodzakelijk.
De precieze werking van GBA-autorisaties is beschreven in het Logisch Ontwerp GBA.

Autorisatie en toegang

De autorisatieprocedure

De verstrekkingen aan afnemers zijn voor wat de feitelijke verstrekkingen betreft, gereguleerd door de autorisatiebesluiten. Daarnaast beschikt GBA-V over toegangbeheer in verband met authenticatie. De toegang tot GBA-V kan per afnemer worden ingesteld. Met behulp van deze functie kan de toegang tot GBA-V – tijdelijk – aan- of juist uitgezet worden.
In het GBA-aansluit- en autorisatietraject wordt elke afnemer de mogelijkheid geboden eveneens een aansluiting te verkrijgen op de TMV. Een aansluiting op de TMV zonder aansluiting op het GBA-netwerk is ook mogelijk. GBA-V gebruikt voor de terugmelding de actuele GBA-autorisatietabelregel die voor de afnemer geldt.

Autorisatie voor organisaties zonder GBA-aansluiting

Organisaties die nog niet zijn geautoriseerd voor gegevensverstrekking uit de GBA, volgen de uitgebreide aansluitprocedure. Deze procedure start met een schriftelijk verzoek aan RvIG (voor contactgegevens zie paragraaf 3.1.2). Uit dit verzoek moet de wettelijke grondslag blijken op basis waarvan een autorisatie verleend kan worden. Nadat het verzoek juridisch is getoetst, wordt een afspraak gemaakt met het Frontoffice RvIG (of de RvIG contactpersoon) voor een toelichting van het aansluittraject aan de hand van een stappenplan.

Autorisatie voor organisaties met GBA-aansluiting

Organisaties die al zijn geautoriseerd voor gegevensverstrekking van persoonsgegevens uit de GBA, kunnen gebruik maken van een verkorte aansluitprocedure. Deze verkorte procedure bestaat uit het indienen van een aanvraagformulier en het versturen van het publieke deel van het ‘Public Key Infrastructure’ (PKI) Overheid-certificaat (zie ook par. 3.2) aan RvIG.
Daarnaast moet de afnemer beschikken over een aangeschafte of zelf gebouwde clientapplicatie.
Het is voorlopig aan afnemers toegestaan om meerdere sessies met GBA-V op te zetten. Wel behoudt RvIG zich het recht voor om het aantal sessies aan een limiet te binden – hetzij een limiet per afnemer, hetzij een globale limiet voor alle afnemers. GBA-V weigert een verbinding als het aantal sessies voor dezelfde afnemer deze limiet overschrijdt (zie ook het Logisch Ontwerp 3.11 hoofdstuk C.6.2 ).

Neem voor meer informatie over de aansluitprocedure of vragen hierover contact op met het Frontoffice RvIG (of de RvIG contactpersoon):
RvIG Postbus 10451, 2501 HL Den Haag Turfmarkt 147, 2511 DP Den Haag
Telefoon: (088) 900 10 00 (lokaal tarief) E-mailadres: info@rvig.nl

Proefomgeving

De proefomgeving biedt dezelfde functionaliteit als de productieomgeving en is opgezet voor oefening, opleiding en instructie voorafgaand aan de aansluiting op de productieomgeving, maar ook voor het testen van nieuwe of aangepaste clientapplicaties voor bevraging van GBA-V of TMV. In de proefomgeving is een aantal sets met gegevens van gefingeerde personen opgenomen, die kunnen worden bevraagd of waarop kan worden teruggemeld. Deze testset is via de website in te zien of te downloaden.

Aansluittoets

Een onderdeel van het aansluittraject is de aansluittoets op de proefomgeving. Een geautoriseerde afnemer krijgt voor de aansluittoets eerst een aansluiting op
definitief | Dienstverleningsafspraken GBA-V en TMV | 1-4-2019
P agina 8 van 16 de proefomgeving. Ook voor de proefomgeving is een PKIO-certificaat benodigd. Doel van de aansluittoets is op de proefomgeving bevragingen of terugmeldingen te doen zoals afnemers dit ook verwachten te doen op de productieomgeving van GBA-V resp. de TMV. Er zijn geen vaste test- of oefeningsscenario’s. Aangezien de proefomgeving gefingeerde gegevens bevat, is een ketentest niet mogelijk. Meer informatie over de aansluittoets krijgt de afnemer wanneer deze zich aanmeldt voor het aansluittraject.

Gebruikersnaam en wachtwoord

Afnemers kunnen als gevolg van meerdere taakstellingen ook meerdere autorisaties hebben. De autorisatie van de afnemer wordt geïdentificeerd door een afnemerindicatie.
Afnemers worden (per autorisatie / afnemerindicatie) geautoriseerd voor twee omgevingen: de proefomgeving (voor de aansluittoets) en de productieomgeving. Deze autorisaties bestaan uit een gebruikersaccount (veelal gelijk aan de afnemerindicatie) en een specifiek bij de omgeving behorend initieel wachtwoord.

Authenticatie van de afnemer vindt naast controle op geldigheid van de combinatie gebruikersaccount en wachtwoord ook plaats op een geldig PKIO-certificaat.

In het Logisch Ontwerp GBA worden de regels beschreven waaraan de wachtwoorden voor GBA-V moeten voldoen. Het Logisch Ontwerp GBA is te vinden op de website van RvIG (www.rvig.nl).

Beveiligingscertificaten

Om aan te sluiten op GBA-V of de TMV is een PKIO-certificaat nodig. Het PKIO-certificaat is noodzakelijk om de vereiste SSL3verbinding te kunnen maken met GBA-V en de TMV. De aansluitende organisatie moet dit PKIO-certificaat zelf aanvragen. Wanneer de aansluitende organisatie het PKIO-certificaat in bezit heeft, moet het PKIO-certificaat binnen de bevragingssoftware van afnemers zijn opgenomen in de lijst met vertrouwde certificaten.Er is slechts één certificaat per (gemeenschappelijke) server van een afnemer toegestaan. Dat wil zeggen dat met dit certificaat zowel de GBA-V als de TMV worden benaderd indien zij op dezelfde server draaien of via een gemeenschappelijke server worden ontsloten.
Aansluitingen op GBA-V / TMV vanuit verschillende servers met hetzelfde certificaat is niet toegestaan. Als GBA-V op een andere server draait als de TMV dan dient voor beide aansluitingen een separaat certificaat worden gebruikt.

Ook voor selectieverstrekkingen die via een bestand (op DVD of via FTPS) geleverd worden, moet met een PKIO-certificaat het resultaat versleuteld worden.

Kijk voor meer informatie over het aanvragen en de werking van deze certificaten op de website www.pkioverheid.nl en/of bij uw CSP (Certification Service Provider). Op de website van RvIG is ook een aantal FAQ’s opgenomen over PKIO-certificaten.

Kwaliteit van de dienstverlening

Beschikbaarheid

Openstelling dienst

De openstelling is de tijd waarbinnen de dienst beschikbaar is voor de afnemers. De openstellingtijden zijn met uitzondering van gepland onderhoud (zie Onderhoudswindow) als volgt:

Openstelling dienst
Soort afspraak Niveau Criteria
Beschikbaarheid van GBA-V/TMV
(productieomgeving)
De productieomgeving van GBA-V / TMV is 7*24 uur, alle dagen van het jaar, beschikbaar voor:
  • Het stellen van zoekvragen aan GBA-V
  • Het doen van nieuwe terugmeldingen of wijzigen van een terugmelding
  • Het opvragen van dossiergegevens (statussen)
  • Het wijzigen van het wachtwoord
99%
Beschikbaarheid van
GBA-V/TMV
(proefomgeving)
De proefomgeving van GBA-V / TMV is op werkdagen van 9.00 uur tot 17.00 uur beschikbaar; Op overige tijden is deze zo mogelijk beschikbaar. 95%

Openstelling Frontoffice RvIG (servicewindow)

Het servicewindow is de tijd waarbinnen de afnemer ondersteuning mag verwachten van RvIG. Het servicewindow geeft aan wanneer een verstoring, incident, vraag of klacht kan worden gemeld. Onderstaande tabel geeft inzicht in de servicewindows van de ondersteuning door het Frontoffice RvIG voor afnemers en leveranciers.

Servicewindow

Soort afspraak Niveau Niveau
Productieomgeving Proefomgeving
Ondersteuning voor het melden van incidenten door afnemers Werkdagen van 8.30 uur tot 17.00 uur Werkdagen van 8.30 uur tot 17.00 uur
Ondersteuning voor het melden van klachten en het stellen van vragen door afnemers Werkdagen van 8.30 uur tot 17.00 uur Werkdagen van 8.30 uur tot 17.00 uur
Ondersteuning voor het melden van calamiteiten door afnemers Werkdagen van 8.30 uur tot 17.00 uur bij het Frontoffice RvIG; Buiten kantooruren via het noodnummer van RvIG (menukeuze 4)

n.v.t.

Onderhoudswindow

Het onderhoudswindow is de periode waarbinnen GBA-V mogelijk niet beschikbaar is voor de afnemer door het uitvoeren van noodzakelijk onderhoud. Het niet beschikbaar zijn van GBA-V in verband met systeembeheertaken is beperkt tot maximaal 50 uur per jaar. Dit onderhoud kan – wanneer noodzakelijk - plaatsvinden op zondag van 09.00 uur tot 17.00 uur. In uitzonderingsgevallen kan hiervan worden afgeweken. Bij onderhoud dat van invloed is op de performance of dienstverlening van een afnemer stelt RvIG afnemers hiervan uiterlijk twee weken vooraf op de hoogte via de website van RvIG op www.rvig.nl.
Onderstaande tabel geeft inzicht in het onderhoudswindow voor het uitvoeren van onderhoud.

Onderhoudswindow
Soort afspraak Niveau Niveau
Productieomgeving Proefomgeving
Structureel gepland onderhoud of onderhoud voor technische installaties Maximaal 1 keer per maand, gedurende maximaal 6 uur.
Dit gebeurt zoveel mogelijk buiten het servicewindow.
Maximaal 1 keer per maand, gedurende maximaal 24 uur
Grootschalig onderhoud of migratietrajecten Maximaal 1 keer per jaar gedurende maximaal 24 uur Maximaal 1 keer per jaar gedurende maximaal 24 uur

Als afnemers door bepaalde (jaarlijkse) campagnes / activiteiten afhankelijk zijn van een volledige beschikbaarheid van GBA-V / TMV moet hiervoor contact worden opgenomen met het Frontoffice RvIG (of de RvIG contactpersoon).

Capaciteit- en performancebeheer

Voor het vaststellen van de gemiddelde responsetijd wordt gekeken naar de servertijd binnen het systeem vanaf het moment dat een complete en correcte vraag of terugmelding wordt ontvangen tot het moment waarop een antwoord of bevestiging het systeem verlaat.

Performance indicator capaciteit en performance GBA-V en TMV
Niveau Criteria
Gemiddelde responsetijd bij maximale belasting van 8 vragen per seconde 1 seconde Minimaal 90 %
Gemiddelde responsetijd bij maximale belasting van 8 vragen per seconde 3 seconde Minimaal 98 %

De GBA-V Online LO3 Adhoc Service faciliteert het zoeken met jokertekens (wildcards), maar de zoektijd neemt dan wel toe. Op de website van RvIG staan diverse tips over een snellere afhandeling van vragen door slim te zoeken.

De gemiddelde responsetijd van de webservices kan ook worden beïnvloed door kortere of langere piekbelastingen in de vorm van het aantal gelijktijdig gestelde vragen (op een bepaald moment), het aantal gestelde vragen per minuut en het aantal gelijktijdige gebruikers (= het totaal aan openstaande sessies). Bij piekbelastingen geldt een aangepaste performancenorm, waarbij het systeem binnen maximaal 30 seconden een antwoord geeft. Als de zoektijd de tijdslimiet van 30 seconden echter overschrijdt, reageert GBA-V met een time-out. Pas in dat geval uw zoekvraag aan.

Gelijktijdige bevragingen

Het geautomatiseerd stellen van een reeks vragen op GBA-V/TMV (zogenaamde batchbevragingen) is niet toegestaan zonder expliciete schriftelijke toestemming van RvIG. Wanneer een afnemer meer dan 5.000 bevragingen in één uur wil uitvoeren, moeten de volgende regels in acht worden genomen:

  •  Batchbevragingen moeten op uniek identificerende sleutelrubrieken (zoals A-nummer, BSN-nummer) plaatsvinden;
  • Batchbevragen moeten buiten kantooruren (de uren zoals genoemd in het servicewindow in par. 4.1.2) plaatsvinden;
  • De afnemer moet rekening houden met het onderhoudswindow (zie par 4.1.3) of het eventuele aangekondigde onderhoud buiten dit onderhoudswindow.
  • Het maximaal toegestane aantal batchbevragingen is 10.000 per uur.

In alle andere gevallen moet contact worden opgenomen met het Frontoffice RvIG (of de RvIG contactpersoon).

Maximum aantal zoekresultaten

Het maximale aantal gegevenssets in een zoekresultaat is tien (10). Bevragingen moeten zo zijn opgebouwd dat het resultaat het aantal van 10 zoekresultaten niet overschrijdt. Een hoger aantal in het zoekresultaat levert een foutbericht met reden ‘P’ (teveel zoekresultaten) op. Pas in dat geval uw zoekvraag aan.

Overige bijzondere acties afnemers

  • Wijziging in gebruiksvolume
    Bij het aansluittraject is door afnemer het volume van het aantal bevragingen aangegeven. Indien de afnemer verwacht dat dit volume substantieel zal wijzigen (toe- of afname van meer dan 10 %) dient de afnemer dit aan te geven bij het Frontoffice RvIG (of de RvIG contactpersoon). Het Frontoffice RvIG (of de RvIG contactpersoon) zal op haar beurt contact opnemen met de afnemer indien de door de afnemer aangegeven volumes afwijken van de werkelijke volumes.
  • Massaal plaatsen van afnemerindicaties / opschonen van bestanden. Alle bijzondere acties die afnemers willen uitvoeren die tot gevolg hebben dat tijdelijk een verhoogd volume in het gebruik van GBA-V / TMV plaatsvindt (massale bevragingen of een substantiële verhoging van het aantal berichten door bijvoorbeeld het plaatsen van indicaties) dienen vooraf met het Frontoffice RvIG (of de RvIG contactpersoon) afgestemd te worden.

Incidentbeheer / afhandeling vragen en klachten

Voor het melden van incidenten, storingen, klachten, informatieverzoeken, wijzigingen en andere verzoeken tot ondersteuning kan contact worden opgenomen met het Frontoffice RvIG, bij voorkeur door de geregistreerde contactpersoon van de GBA-V afnemer.
Dit kan per email naar info@rvig.nl of telefonisch via
(088) 900 10 00. Zie paragraaf 4.1.2 voor een overzicht van de openingstijden van het Frontoffice RvIG. Buiten deze openingstijden kan het Frontoffice RvIG ook benaderd worden via bovengenoemd e-mailadres.

Afhandeling incidenten

Onder een incident wordt verstaan: elke gebeurtenis die niet tot de standaardoperatie van een dienst behoort en die een interruptie of een vermindering van de kwaliteit van die dienst kan veroorzaken. Incidenten worden door afnemers of leveranciers gemeld bij het Frontoffice RvIG. Afhankelijk van de complexiteit worden incidenten direct opgelost of doorgezet naar een tweede- dan wel derdelijns oplosgroep.

Als een achterliggende oplosgroep niet tot een definitieve oplossing kan komen, wordt voor een incident na de implementatie van een tijdelijke oplossing of work-around, een probleem gedefinieerd. Ook wordt voor incidenten die zich herhaaldelijk voordoen een probleem gedefinieerd om zo tot een structurele oplossing te komen. Een incident is opgelost zodra de dienstverlening weer hersteld is en het incident zich niet meer voordoet. In de volgende paragraaf wordt de afhandeling van incidenten, vragen en klachten beschreven. De prioriteit wordt bepaald door de combinatie van impact en ernst:

Afhandeling incidenten
Prioriteit uitgedrukt naar impact en ernst Individueel Lokaal Regionaal Landelijk
Geen beperking (4) 4 4 3 3
Work around (3) 4 3 3 2
Hinder (2) 3 3 2 1
Onbeschikbaar (1) 3 2 1 1

De volgende performance-indicatoren gelden voor het oplossen van incidenten:

Productieomgeving
Prioriteit Oplostijd binnen servicewindow Minimaal te realiseren per maand
1= spoed 4 uur 90 %
2= hoog 1 werkdag 90 %
3= midden 5 werkdagen 90 %
4= overig 15 werkdagen 90 %
Proefomgeving
Prioriteit Oplostijd binnen servicewindow Minimaal te realiseren
1= spoed 2 werkdagen 90 %
2= hoog 4 werkdagen 90 %
3= midden 10 werkdagen 90 %
4= overig 15 werkdagen 90 %

Een incident wordt na oplossing teruggekoppeld aan de melder en afgemeld nadat melder akkoord is.

Vragen en klachten

Vragen en/of klachten kunnen telefonisch, via e-mail of per brief worden gesteld en worden als volgt geclassificeerd:

Prioriteit hoog:
Vragen die betrekking hebben op meerdere afnemers / leveranciers en vragen die gevolgen hebben voor de beschikbaarheid van de dienstverlening

Alle andere vragen vallen onder de Prioriteit overig.

Classificatie
Soort afspraak Niveau Criteria
Beantwoording van vragen met hoge prioriteit 4 uur (binnen de tijden van het servicewindow) 95 %
Beantwoording van overige vragen 5 werkdagen (binnen de tijden van het servicewindow) 98 %

Calamiteitenbeheer

Er is sprake van een calamiteit bij een gebeurtenis die tot gevolg heeft dat de dienstverlening zodanig wordt getroffen dat aanzienlijke, niet vooraf te plannen, maatregelen moeten worden getroffen om deze te herstellen. Als een calamiteit zich voordoet, treedt een calamiteitenplan in werking. RvIG bepaalt of en wanneer een gebeurtenis definitief aan te merken is als calamiteit.
Bij een calamiteit gelden de volgende procedurele afspraken:

  • Gedurende de calamiteit kunnen de overige dienstverleningsafspraken genoemd in dit document niet worden gegarandeerd;
  • Zodra een calamiteit wordt geconstateerd plaatst RvIG hierover informatie op de website. Zodra een calamiteit is opgelost wordt dit op de website vermeld en na enige tijd van de website verwijderd.

Wijzigingsbeheer

Wijzigingsbeheer garandeert een planmatige en gecontroleerde verwerking van wijzigingsvoorstellen (changes), om een probleem op te lossen of nieuwe functionaliteit toe te voegen. Afnemers kunnen via het Frontoffice RvIG (of de RvIG contactpersoon) een wijzigingsverzoek indienen. Wijzigingsbeheer evalueert verzoeken of laat deze evalueren, beschrijft de impact en bereidt besluitvorming en communicatie voor. Geaccepteerde wijzigingen worden ingepland op de releasekalender, gecommuniceerd aan afnemers en vervolgens doorgevoerd tijdens de eerder gedefinieerde onderhoudswindow. In uitzonderingsgevallen, bijvoorbeeld naar aanleiding van incidenten of calamiteiten of in het geval van uitzonderlijk lange doorlooptijden, kan het doorvoeren van wijzigingen buiten de gedefinieerde onderhoudswindow plaatsvinden (zie par.4.1.3). Maatgevend voor de kwaliteit van het wijzigingsbeheer is het percentage succesvol en conform de planning doorgevoerde wijzigingen zonder onaangekondigde verstoring van performance of continuïteit. RvIG hanteert voor GBA-V / TMV een gemiddelde van vier releases per jaar. Voor foutherstel kunnen tussentijdse patches worden geïnstalleerd.

Betrouwbaarheid- en integriteitbeheer

Informatiebeveiliging

RvIG kent een duurzaam stelsel van beveiligingsmaatregelen in en rondom GBA-V / TMV. Het Informatiebeveiligingsbeleid wordt concreet gemaakt door voor verschillende objecten van informatiebeveiligingsmaatregelen te beschrijven en te nemen. RvIG hanteert als kaders voor de implementatie van informatiebeveiliging het Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007), het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI), de Wet bescherming Persoonsgegevens (WBP) en de Wet Computercriminaliteit.

Het stelsel van informatiebeveiligingsmaatregelen rondom GBA-V / TMV richt zich op de beschikbaarheid, integriteit en exclusiviteit van GBA-V / TMV. Deze drie aspecten worden als volgt gedefinieerd:

  • Beschikbaarheid. GBA-V / TMV moet conform afspraken beschikbaar zijn voor hiertoe geautoriseerde afnemers.
  • Integriteit. De informatie binnen de systemen van RvIG en die wordt uitgewisseld met webdiensten en authenticatievoorzieningen moet juist, volledig en tijdig zijn en de programmatuur van GBA-V / TMV moet volgens de gestelde specificaties werken.
  • Exclusiviteit. Gegevens van GBA-V / TMV mogen alleen worden ingezien door degenen die daartoe bevoegd zijn.

Alle bij RvIG betrokken partijen zijn onderhevig aan het informatiebeleid en het informatiebeveiligingsplan van RvIG.

Door middel van periodieke audits op de opzet en het bestaan van het stelsel van beveiligingsmaatregelen wordt bepaald of de beveiligingsmaatregelen zijn vastgelegd, of deze in ontwerp toereikend zijn om het gewenste niveau van informatiebeveiliging te borgen, of deze maatregelen in de praktijk zijn geïmplementeerd en worden nageleefd.

Actualiteit van gegevens

De persoonslijsten in de GBA-V database zijn een kopie van de persoonslijsten in de verschillende GBA-systemen bij de gemeenten. Iedere wijziging in de persoonslijsten bij gemeenten leidt tot een synchronisatiebericht aan GBA-V. De GBA-V software voert een controle uit op deze synchronisatieberichten voordat de persoonslijsten in de database worden opgenomen. Deze controle kan tot uitval van synchronisatieberichten leiden. De actualiteit van de database is afhankelijk van het GBA-berichtenverkeer en van de hoeveelheid uitval.
De uitval wordt op werkdagen dagelijks weggewerkt. In uitzonderingsgevallen komt het voor dat een uitvalbericht nader onderzocht moet worden en/of dat er contact met een gemeente voor nodig is. Deze gevallen worden alsnog zo spoedig mogelijk verwerkt. Het aantal uitvalberichten per dag is momenteel te verwaarlozen.
Momenteel ontvangt GBA-V gemiddeld per dag ruim 100.000 synchronisatieberichten. Bij onderhoud tijdens het onderhoudswindow kunnen processen die zorg dragen voor het verzenden en ontvangen van berichten of voor het verwerken van de berichten tijdelijk stopgezet worden. In dat geval kan de actualiteit van de gegevens enigszins achter raken. Na afloop van het onderhoud worden deze processen direct weer opgestart en zal de achterstand binnen enkele uren weer zijn ingehaald.
De actualiteit van de gegevens is sterk afhankelijk van het GBA-berichtenverkeer, de alertheid van de afnemer tot het doen van terugmeldingen en de voortgang van het onderzoek bij de gemeente.

Gegevensverlies

RvIG verplicht zich tot het nemen van maatregelen om schade als gevolg van gegevensverlies zoveel mogelijk te beperken. De maximum periode gegevensverlies is 24 uur.
De maximale duur van gegevensverlies heeft betrekking op:

  • applicatie GBA-V / TMV;
  • alle databases;
  • loggings (acties van gebruikers, acties van beheerders en processen).

Statistiek, gebruiksgegevens en protocollering

Statistiek en gebruiksgegevens

Per afnemer wordt een administratie bijgehouden van het aantal bevragingen aan GBA-V. Deze administratie wordt ondermeer gebruikt voor de doorberekening van gebruikskosten aan afnemers voor het gebruik van GBA-V.

Protocollering

De privacyprocedures zoals beschreven in hoofdstuk vier van het Logisch Ontwerp (LO) GBA zijn van kracht. Het systeem protocolleert daarom alle verstrekkingen, onder meer voor het inzagerecht van de burger. Bij inwerking treden van de wet Brp wordt de bewaartermijn van deze protocolgegevens 20 jaar.
De registratie van protocolgegevens geschiedt volgens de in het LO gestelde eisen.

Facturering

Gewijzigd financieringsmodel

De wijziging van het financieringsmodel voor het in stand houden van de GBA infrastructuur is met ingang van 1 januari 2012 gewijzigd. Met de wijziging wordt de systematiek van jaarabonnementen geïntroduceerd. Deze nieuwe systematiek past in het beleid voor de bevordering van het gebruik van de basisregistraties en zorgt voor administratieve lastenverlichting. Het nieuwe financieringsmodel kent een abonnementenstructuur. Deze structuur gaat uit van indeling in klassen naar aantal ontvangen en verzonden berichten. Per klasse geldt een vastgesteld tarief. De klassenindeling en de kosten hiervoor worden jaarlijks door de minister van BZK vastgesteld. Deze vaststelling gebeurt op basis van de verwachte kosten en het verwachte aantal berichten.
De abonnementenstructuur is te vinden op de website www.rvig.nl.
De gebruikers waarvoor geen afspraken zijn gemaakt over de budgetfinanciering ontvangen op dit moment iedere maand een factuur. Met het nieuwe financieringsmodel ontvangen zij nog maar één factuur per jaar. Dit betekent een verlichting van de administratieve lasten. Voor elk van deze afnemers geldt de klasse gebaseerd op het totale verbruik aan berichten in het voorafgaande jaar. Bij meer verbruik geldt automatisch een hogere klasse en ontvangt de afnemer een aanvullende factuur. Bij een lager verbruik dan de ingedeelde klasse vindt geen restitutie plaats. De afnemer ontvangt ook geen restitutie als hij het abonnement voortijdig beëindigt.

Budgetfinanciering

In 2008 is de systematiek van budgetfinanciering ingevoerd. Hierbij is door verschillende ministeries voor aan hen verbonden organisaties (gemeenten, GGD’s, etc) budget overgeboekt naar de begroting van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Het nieuwe financieringsmodel verandert niets aan deze afspraken. De organisaties die vallen onder de budgetfinanciering ontvangen onder het nieuwe model dus geen factuur voor het reguliere gebruik van de GBA (en GBA-V).
Voor meer informatie kunt u de website van RvIG raadplegen door te zoeken op “Budgetfinanciering”.

Doorberekening van kosten selectieverstrekking

Voor eenmalige selecties zullen de gemaakte kosten in rekening gebracht worden bij de afnemer. Hiervoor zijn de bedragen te vinden op de website www.rvig.nl.
Voor de andere reguliere selecties (zonder en met plaatsen van afnemerindicaties) gelden andere bedragen. Ook deze zijn te vinden op de website.
De spontane berichten aan afnemers vanuit GBA-V worden tegen de geldende berichtprijs verrekend.