Gebruiksvoorwaarden Elektronische Toegangsdiensten voor de DienstVerlener
Gebruikersvoorwaarden DienstVerlener | |||
|---|---|---|---|
Versie | GVDV1.24 | Geldig vanaf versie van het AS | 1.13p |
Deze Gebruiksvoorwaarden zijn van toepassing op het verlenen van diensten door Deelnemers aan Dienstverleners in het kader van Elektronische Toegangsdiensten.
Artikel 1. Definities
Alle in deze Gebruiksvoorwaarden met een hoofdletter geschreven begrippen hebben de volgende betekenis.
Het geheel aan afspraken op gebied van organisatie, besturing, toezicht, beheer, architectuur, toepassingen, techniek. procedures en regels aangaande het Netwerk (voor Elektronische Toegangsdiensten) in een bepaalde vastgestelde versie. Het doel is betrouwbare authenticatie en verstrekking van identiteitsinformatie op basis van de eHerkenningsdiensten van een goed gereguleerd netwerk voor eHerkenning.
Een vereiste Rol binnen het Netwerk (voor Elektronische Toegangsdiensten) die door een Deelnemeraan het Afsprakenstelsel (AS) wordt ingevuld en die de verantwoordelijkheid heeft voor het authenticeren van natuurlijke personen op basis van het door de natuurlijk persoon gebruikte Middel.
Elektronisch identificatiemiddel (hierna te noemen "middel"): een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een onlinedienst.
De Beheerorganisatie van het Afsprakenstelsel (AS) die verantwoordelijk is voor het faciliteren van het beheer en de doorontwikkeling van het Afsprakenstelsel, alsmede de controle op en het monitoren van de naleving van het Afsprakenstelsel door de Dienstaanbieders (DA) en de Deelnemers in opdracht van de Eigenaar. De Beheerorganisatie is verantwoordelijk voor het goed laten functioneren van de Aggregator en kan in opdracht van de Eigenaar deelnemers toevoegen en verwijderen uit het netwerk.
Een relatief niveau van de sterkte van het bewijsmateriaal aangaande een authenticatie / identiteitsclaim, bevoegdheid, controle van bevoegdheid of wilsuiting dat wordt gevormd door een samenhangend geheel van factoren, waar van toepassing bestaande uit: de sterkte van de voorafgaande registratie, identificatie, authenticatie en uitgifte; de sterkte van het middel zelf en het gebruik van het middel (het authenticatiemechanisme).
Een gebeurtenis die een bedreiging vormt of kan vormen voor de betrouwbaarheid, vertrouwelijkheid of beschikbaarheid van een elektronische toegangsdienst en/of een inbreuk op beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.
Een partij die conform hetgeen daarover in het Afsprakenstelsel (AS) is vastgelegd één of meer rollen vervult binnen het Netwerk (voor Elektronische Toegangsdiensten). Deelnemers kunnen rollen voor eigen gebruik en/of voor gebruik door derden vervullen.
Een partij die Elektronische Toegangsdiensten gebruikt om een dienst af te nemen bij een dienstverlener. De dienstafnemer is een partij van de vorm
natuurlijk persoon die een onderneming drijft, of;
een niet-natuurlijk persoon, een entiteit die is ingeschreven in een gezaghebbende bron, of;
een natuurlijk persoon die als privépersoon een dienst afneemt van een dienstverlener, of;
een natuurlijk persoon die als burger een dienst afneemt van een dienstverlener die gerechtigd is het BSN te gebruiken.
Een dienstafnemer is de Gebruiker of wordt vertegenwoordigd door een gebruiker.
Nota bene
In proposities aan bedrijven en organisaties is het toegestaan de abstracte term “dienstafnemer” concreet te maken en te vervangen door “bedrijf of organisatie”.
Het ministerie BZK (een staatsecretaris) is verantwoordelijk voor de veilige en betrouwbare werking van het Afsprakenstelsel (AS) en als merkeigenaar verantwoordelijk voor de bescherming van het woord- en beeldmerk dat voor het Afsprakenstelsel wordt gebruikt.
Een Natuurlijk persoon die Electronische Toegangsdiensten gebruikt om een dienst af te nemen bij een dienstverlener.
Zie ook Dienstafnemer.
De partij die (op grond van wet of machtiging c.q volmacht) bevoegd is om in naam van de vertegenwoordigde bepaalde handelingen te verrichten waarvan de rechtsgevolgen worden toegerekend aan de vertegenwoordigde.
Voorzover gemachtigde een natuurlijk persoon is, geldt geen beperking ten aanzien van het voorkomen van niet ingezetenen als gemachtigde. Zo kan ook een buitenlandse natuurlijke persoon gemachtigde zijn.
In deze context wordt onder (electronische) herkenning verstaan: ieder van de functies van het Netwerk (voor Elektronische Toegangsdiensten) gericht op het handhaven en controleren van vertrouwen aangaande identiteiten, machtigingen, wilsuitingen en bevoegdheden in relaties of transacties tussen dienstverleners en bedrijven en de daarin betrokken gebruikers.
Diensten voor Herkenning, te weten: Authenticatie (authenticeren), controle van Bevoegdheid, vastlegging van een wilsuiting en de daarbij benodigde identificaties en garanties voor onweerlegbaarheid evenals de daartoe benodigde registratieprocessen.
Een vereiste Rol binnen het Netwerk (voor Elektronische Toegangsdiensten) die door een Deelnemer aan het Afsprakenstelsel (AS) wordt ingevuld en die het single point of contact vormt waarlangs Dienstverleners Herkenningsdiensten afnemen, die de verantwoordelijkheid heeft om het berichtenverkeer van en naar de dienstverleners te ontkoppelen van de interne berichten binnen het netwerk en die optreedt als routeerder naar alle deelnemende Authenticatiediensten en Machtigingenregisters.
Een Gebruiker met de bevoegdheid om namens een Dienstafnemer machtigingen te registreren, te schorsen, in te trekken en anderszins bijbehorende registratieprocessen uit te voeren.
Een vereiste Rol binnen het Netwerk (voor Elektronische Toegangsdiensten) die door een Deelnemer aan het Afsprakenstelsel (AS) wordt ingevuld en die de verantwoordelijkheid heeft voor het registreren, beheren, controleren van machtigingen en andere bevoegdheden en het afleggen van verklaringen over bevoegdheden (c.q. het op verzoek van de Gebruiker verstrekken van machtigingsverklaringen).
Een vereiste rol binnen het Netwerk (voor Elektronische Toegangsdiensten) die door een Deelnemer aan het Afsprakenstelsel (AS) wordt ingevuld en die de verantwoordelijkheid heeft voor het uitgeven van Middelen conform de eisen van het gespecificeerde Betrouwbaarheidsniveau.
De verzameling onderling verbonden componenten die gereguleerd worden door het Afsprakenstelsel (AS) en gezamenlijk Herkenningsdiensten leveren en daartoe bestaan uit tenminste één invulling door een Deelnemer van de rollen Herkenningsmakelaar (HM), Middelenuitgever (MU), Authenticatiedienst (AD), Machtigingenregister (MR) en BSNk, hun onderlinge verbindingen, de verbindingen tot en met het koppelvlak met dienstverleners en de processen voor uitgifte van middelen, registratie van bevoegdheden en aanmelding voor hergebruik vanuit bedrijven, inclusief de benodigde voorzieningen voor beheer conform het Afsprakenstelsel.
De overeenkomst tussen de Dienstafnemer en de Deelnemer, of de overeenkomst tussen de Dienstverlener (DV) en de Deelnemer, op grond waarvan de Deelnemer Herkenningsdiensten verleent en waarop de Gebruiksvoorwaarden van toepassing zijn.
Een persoon of samenwerkingsverband die in de context van Herkenning voorkomt of zou kunnen voorkomen en die zonodig uniek geïdentificeerd en geauthenticeerd kan worden. Voorbeelden van partijen zijn: Deelnemers, Dienstverleners, Dienst, vertegenwoordigden, gemachtigden, …
De term wordt gehanteerd als generalisatie.
Een functie die wordt gefaciliteerd zoals omschreven in het Afsprakenstelsel (AS), waardoor een authenticatie van een gebruiker wordt hergebruikt, waardoor deze gebruiker niet opnieuw hoeft in te loggen.
Het Ministerie BZK (een staatssecretaris) is Eigenaar van het Afsprakenstelsel voor elektronische toegangsdiensten. In de Wet Digitale Overheid (Wdo) die per 1 juli 2023 inwerking is getreden is de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als onafhankelijk toezichthouder.
RDI is gemandateerd om deelnemers in het stelsel aanwijzingen te geven zonder dat hiervoor een besluit van het ministerie BZK (een staatsecretaris) nodig is. Dit betreft:
Reguliere inspecties zonder hoge risico’s;
Thematische inspecties zonder hoge risico’s;
Proceswijzingen binnen bestaande kaders.
Artikel 2. Toepassingsgebied
De Deelnemer dient deze Gebruiksvoorwaarden van toepassing te verklaren op de Overeenkomst die de Dienstafnemer en de Dienstverlener in het kader van het Netwerk voor Elektronische Toegangsdiensten sluiten met een Deelnemer.
Een Deelnemer kan één of meer van de volgende rollen vervullen.
De Middelenuitgever geeft middelen uit en identificeert natuurlijke personen.
De Authenticatiedienst authenticeert personen.
Het Machtigingenregister faciliteert het registreren, onderhouden en controleren van machtigingen.
De Herkenningsmakelaar vervult een routeer- en navigeerfunctie en vormt het koppelpunt tussen het Netwerk voor Elektronische Toegangsdiensten en de Dienstverleners.
Artikel 3. Tussentijdse beëindiging van de Overeenkomst door beëindiging deelname
De Overeenkomst eindigt van rechtswege indien en zodra de deelname van de Deelnemer aan het Afsprakenstelsel Elektronische Toegangsdiensten eindigt. De Deelnemer stelt de Dienstafnemer en/of de Dienstverlener met wie de Deelnemer een Overeenkomst is aangegaan, door middel van een aangetekende brief direct op de hoogte van deze beëindiging.
Indien de in dit artikel bedoelde tussentijdse beëindiging zich voordoet, is de Deelnemer verplicht alle medewerking te verlenen om de continuïteit van de verlening van Elektronische Toegangsdiensten door andere Deelnemers zeker te stellen.
Artikel 4. Beperking van aansprakelijkheid
De aansprakelijkheid van een Partij jegens de andere Partij is beperkt tot het eigen handelen en/of nalaten in het kader van (de rol binnen) het Afsprakenstelsel.
In het kader van de aansprakelijkheid gelden de algemene regels van het Nederlands recht ten aanzien van de inhoud en omvang van wettelijke verplichtingen tot schadevergoeding.
Artikel 5. Geheimhouding
5.1 Partijen zullen strikte geheimhouding in acht nemen ten aanzien van vertrouwelijke informatie en informatie waarvan men het vertrouwelijk karakter redelijkerwijs kan vermoeden, die in het kader van de uitvoering van de Overeenkomst wordt uitgewisseld, tenzij een wettelijke plicht of een rechterlijke uitspraak openbaarmaking van deze gegevens gebiedt.
Artikel 6. Achterhalen netwerkfalen
6.1 Onder een netwerkfalen wordt verstaan het niet naar behoren verlopen van een transactie tussen de Dienstafnemer en de Dienstverlener of tussen een Dienstaanbieder en een Dienstbemiddelaar, bijvoorbeeld als gevolg van een Beveiligingsincident dan wel naar aanleiding van de onjuiste verwerking en/of doorgeleiding van:
de authenticatie van een gebruiker en/of de Dienstafnemer;
de registratie van een machtiging;
een wilsuiting.
6.2 In geval van een vermoeden van een netwerkfalen, ondernemen de Partijen stappen om oorzaak van het netwerkfalen te achterhalen. De Dienstafnemer en Dienstverlener dienen hun medewerking hieraan te verlenen en te begrijpen dat de Beheerorganisatie en/of de Toezichthouder op enig moment ingeschakeld kunnen worden.
Artikel 7. Overdraagbaarheid rechten en verplichtingen Overeenkomst
7.1 Partijen zijn niet bevoegd hun rechten en verplichtingen uit de Overeenkomst over te dragen aan een derde, behalve na schriftelijke toestemming van de wederpartij. In het geval een Deelnemer zijn rechten en plichten uit de Overeenkomst wil overdragen, dient de overnemende partij eveneens toegelaten te zijn aan het Netwerk voor Elektronische Toegangsdiensten als Deelnemer in dezelfde rol.
Artikel 8. Toepasselijk recht
8.1 Op deze Gebruiksvoorwaarden is Nederlands recht van toepassing.
Artikel 14 Vaststellen openstellingsbesluit
14.1 De Dienstverlener voldoet aan alle op hem rustende verplichtingen op grond van het Afsprakenstelsel.
14.2 De Dienstaanbieder maakt kenbaar dat hij de elektronische weg heeft opengesteld en geeft daarbij aan welke diensten langs elektronische weg kunnen worden afgenomen.
14.3 In het openstellingbesluit maakt de Dienstaanbieder een keuze voor één of meer Betrouwbaarheidsniveaus. Bij het maken van de keuze voor één of meer Betrouwbaarheidsniveaus kan de Regelhulp Betrouwbaarheidsniveaus of de handreiking voor overheidsorganisaties Betrouwbaarheidsniveaus voor digitale dienstverlening worden gebruikt. De keuze voor een Betrouwbaarheidsniveau is de uitsluitende verantwoordelijkheid van de Dienstaanbieder. De Deelnemer en de Dienstbemiddelaar zijn niet aansprakelijk voor schade die ontstaat ten gevolge van een door de Dienstaanbieder vastgesteld Betrouwbaarheidsniveau. Dit laat de aansprakelijkheid van de Deelnemer voor de eigen dienstverlening onverlet.
Artikel 15. Melding onregelmatigheden
15.1 In het geval de Dienstverlener ten aanzien van aan haar verstrekte herkenningsgegevens onregelmatigheden constateert of een vermoeden daarvan heeft, doet de Dienstverlener hiervan direct melding aan de Herkenningsmakelaar waarmee zij een Overeenkomst heeft afgesloten.
Artikel 16. Beveiliging dienstverlener
16.1 De Dienstverlener is verantwoordelijk voor de beveiliging en controle van de eigen systemen en netwerken die worden gebruikt, de website en de koppeling met de Herkenningsmakelaar. De Dienstverlener voldoet aan de eisen van het Afsprakenstelsel inzake onder meer de beveiliging van de verbinding en haar systemen, de website en de koppeling met de Herkenningsmakelaar.
16.2 Voor zover de Dienstverlener een publiekrechtelijk rechtspersoon is, wordt door deze overheidsdienstverlener – naast de door Elektronische Toegangsdiensten in het Afsprakenstelsel bekendgemaakte (technische) eisen en voor geschreven beveiligingsmaatregelen - tevens voldaan aan de door het Nationaal Cyber Security Center vastgestelde eisen ten aanzien van beveiliging voor elektronische dienstverlening.
16.3 Indien naar het oordeel van de Herkenningsmakelaar de Dienstverlener niet voldoet aan de in artikel 16.1 en 16.2 bedoelde beveiligingseisen is de Herkenningsmakelaar, overeenkomstig artikel 23 van deze Gebruiksvoorwaarden gerechtigd de Dienstverlener af te sluiten. Het nemen van een dergelijke maatregel wordt door de Herkenningsmakelaar met redenen omkleed.
16.4 De Dienstverlener geeft toestemming tot een controle door een door de Herkenningsmakelaar aan te wijzen auditeur bij het redelijke vermoeden of na het veroorzaken van een Beveiligingsincident.
Artikel 17. SSO
17.1 Het Netwerk voor Elektronische Toegangsdiensten ondersteunt SSO. De Dienstverlener is verantwoordelijk voor de keuze om SSO al dan niet toe te staan voor zijn dienstverlening.
17.2 De Dienstverlener geeft bij registratie van de dienst in de dienstencatalogus op of deze SSO toestaat.
17.3 De Dienstverlener zorgt voor laagdrempelige en adequate informatieverstrekking over het gebruik en de werking van SSO aan de Dienstafnemer.
Artikel 18. Melden wijzigingen aan HM
18.1 De Dienstverlener moet te allen tijde voldoen aan de voorwaarden van het afsprakenstelsel wanneer zij diensten aanbieden voor eHerkenning of eIDAS. Deze voorwaarden zijn mede onderdeel van de zelfverklaring.
Voor het functioneren en de belasting van de dienstverlening binnen het Netwerk (voor Elektronische Toegangsdiensten) MOETEN Dienstverleners daarnaast voorgenomen wijzigingen met impact op bestaande dienstverlening en machtigingen, ter beoordeling voorleggen aan de HM voor het bepalen van de omvang van de mogelijke impact. Hieronder vallen:
een wijziging in de juridische entiteit van de Dienstverlener (bijvoorbeeld overname of splitsing) en/of;
een wijzing aan reeds aangesloten diensten op basis van grote herinrichting met mogelijke impact op uitgegeven machtigingen op middelen, zoals
wijzigingen van het betrouwbaarheidsniveau, tenzij dit gebeurt onder een nieuwe ServiceUUID voor de nieuwe dienst.
bestaande diensten onderbrengen onder een portaaldienst of andere juridische entiteit.
het wijzigen van het doel en de scope van een bestaande dienst, tenzij dit gebeurt onder een nieuwe ServiceUUID voor de nieuwe dienst.
wijziging van technisch contactpersoon bij de Dienstverlener en/of technische implementatie partij MOET worden gemeld aan de HM.
18.2 Een dienstverlener is verantwoordelijkheid voor afstemming met de HM en over wijzigingen aan infrastructuur en aansluitingen die onderliggend zijn aan de online dienst(en) van de dienstverlener, zoals:
grootschalige vervangingen van apparatuur en overige wijzigingen die impact (kunnen) hebben op de configuratie of beschikbaarheid van de dienst(en) van de dienstverlener en/of;
opvoeren van nieuwe online diensten van de Dienstverlener en/of (nieuwe diensten volgens eisen https://afsprakenstelsel.etoegang.nl/Startpagina/as/service-catalog) en/of;
een grote technische wijziging die impact heeft op het koppelvlak DV-HM (bijvoorbeeld het aansluiten op een ander eHerkenning koppelvlak waarvoor nieuwe metadata dient te worden ingeladen) en/of;
wijziging van uit te vragen persoonlijke gebruikersgegevens (uitvragen persoonlijke gegevens dient plaats te vinden in lijn met https://afsprakenstelsel.etoegang.nl/Startpagina/as/service-catalog ) en/of;
wijzigingen van het betrouwbaarheidsniveau op een nieuw ServiceUUID (hanteren betrouwbaarheidsniveau in lijn met https://www.forumstandaardisatie.nl/onderwerpen/veilig-internet/betrouwbaarheidsniveaus en https://afsprakenstelsel.etoegang.nl/Startpagina/as/service-catalog).
Artikel 19. Beveiliging
19.1 De Deelnemer is verantwoordelijk voor de beveiliging en controle van de netwerkverbindingen, native apps en systemen die hij gebruikt in het kader van Elektronische Toegangsdiensten. De Deelnemer voldoet daarbij aan de eisen van het Afsprakenstelsel.
Artikel 20. Betrouwbaarheidsniveaus
20.1 De Deelnemer ondersteunt de Betrouwbaarheidsniveaus zoals vastgelegd in de Overeenkomst.
Artikel 21. Informatieverplichting
21.1 De Deelnemer is verplicht alle informatie, waaronder informatie over de Overeenkomst, te verstrekken aan de Toezichthouder voor zover deze informatie voor de Toezichthouder noodzakelijk is om (voortzetting van) deelname aan het Netwerk voor Elektronische Toegangsdiensten te kunnen beoordelen, naleving van de afspraken van het Afsprakenstelsel te kunnen controleren, dan wel indien dit noodzakelijk is vanwege een klacht of een handhavingsverzoek.
Artikel 22. Privacy
22.1 De Deelnemer gebruikt aan hem verstrekte informatie slechts voor het doel waarvoor deze informatie aan hem is verstrekt. De Deelnemer verstrekt geen informatie aan anderen dan degenen waaraan de Deelnemer uit hoofde van de Overeenkomst informatie mag verstrekken c.q. op grond van een wettelijke verplichting moet verstrekken.
22.2 De Deelnemer verwerkt uitsluitend persoonsgegevens indien en voor zover dit noodzakelijk is ter uitvoering van de Overeenkomst.
22.3 De Deelnemer verstrekt geen persoonsgegevens die betrekking hebben op de gebruiker, tenzij:
de Dienstverlener of de Dienstafnemer deze gegevens opvraagt in het kader van een juridische procedure; of
er sprake is van een vordering van een bevoegde opsporingsinstantie of toezichthouder; en
een en ander geschiedt conform de geldende rechtsregels inzake de verstrekking van persoonsgegevens.
22.4 De verwerking van persoonsgegevens in het kader van uitvoering van de Overeenkomst, geschiedt door de Deelnemer overeenkomstig de bepalingen van de AVG.
Artikel 23. Cookies
23.1 Bij bepaalde instellingen die de Gebruiker zelf kiest, wordt gebruik gemaakt van functionele cookies, dat wil zeggen cookies waarvoor geen expliciete toestemming vereist is. Deze cookies worden niet gebruikt voor andere doeleinden dan het faciliteren van de door de Gebruiker gekozen instelling.
Artikel 24. Toezicht
24.1 De Toezichthouder houdt toezicht op de Deelnemers, de Beheerorganisatie, de centrale voorzieningen die noodzakelijk zijn om het Netwerk van elektronische toegangsdiensten te laten functioneren en behandelt handhavingsverzoeken, meldingen en klachten over de veilige en betrouwbare werking van het Afsprakenstelsel.
24. 2 De Deelnemer schorst de toegang tot zijn dienst in geval van acuut gevaar voor de veilige en betrouwbare werking van het Afsprakenstelsel en overlegt met de Toezichthouder over verder te ondernemen stappen.
24.3 De Toezichthouder behandelt geen zakelijke geschillen tussen Deelnemers of Dienstafnemers.