Ondergetekende,
Bedrijf
| Naam: | ________________________________________ |
|---|---|
| Handelsnaam: | ________________________________________ |
| KvK nummer: | ________________________________________ |
Contactpersoon
| Naam: | ________________________________________ |
|---|---|
| Functie: | ________________________________________ |
| E-mailadres: | ________________________________________ |
| Telefoonnummer: | ________________________________________ |
verklaart hierbij voor zijn rol als Dienstverlener als bedoeld in het Afsprakenstelsel Elektronische Toegangsdiensten (“afsprakenstelsel”), aantoonbaar te voldoen en te blijven voldoen aan alle op hem rustende verplichtingen en vereisten van het afsprakenstelsel.
Meer in het bijzonder verklaart ondergetekende dat hij voldoet en blijft voldoen aan de volgende verplichtingen:
- De Dienstverlener is verantwoordelijk voor de juistheid en de actualiteit van zijn metadata en de gegevens voor al zijn Diensten in de Dienstcatalogus (Proces doorvoeren nieuwe dienstencatalogus).
- De dienstverlener beheerst de beveiligingsrisico’s van de technische componenten onderliggende aan de online diensten die hij aansluit; waaronder de betrokken eigen systemen, netwerkverbindingen, websites en de koppeling met de Herkenningsmakelaar (Proces instandhouding en naleven, Aansluiten als dienstverlener, Beleid voor informatiebeveiliging), meer specifiek de volgende normen uit de ICT-beveiligingsrichtlijnen voor webapplicaties (NCSC):
- De Dienstverlener voert beheerst wijzigingen door op de relevante systemen en wijzigingen worden steeds getest voordat deze in productie worden genomen (C.08).
- De Dienstverlener draagt zorg voor hardening van alle relevante ICT-componenten tegen aanvallen en beschikt hiervoor over een security baseline voor de relevante systemen (U/PW.07 en U/NW.06).
- De Dienstverlener heeft een patchmanagementproces ingericht zodat steeds de laatste (beveiligings-)patches zijn geïnstalleerd (C.09).
- De Dienstverlener beheerst het toegangsbeheer van de relevante systemen (B.02 en U/TV.01).
- De Dienstverlener draagt zorg voor het gebruik van veilige beheermechanismen zoals het gebruik van veilige netwerkprotocollen, beheerinterfaces die via het internet uitsluitend door middel van sterke authenticatie te benaderen zijn en het uitsluiten dat er gebruik wordt gemaakt van zogenaamde ‘backdoors’ om de systemen te benaderen (U/PW.05).
- De Dienstverlener draagt er zorg voor dat bij de ontwikkeling van applicaties gebruik wordt gemaakt van veilige ontwikkeltechnieken, zoals beschreven in de OWASP top 10 (U/WA.03, 04, 07 en U/PW.02).
- De Dienstverlener heeft sleutelbeheer ingericht waarbij minimaal gegarandeerd wordt dat sleutels niet onversleuteld op de servers zijn geplaatst en neemt maatregelen ter beveiliging van de privé sleutel (private key) (B.04).
- De Dienstverlener draagt zorg voor versleuteling van sessie cookies via de browser (U/WA.05).
- De Dienstverlener voert actief controles uit op logging, gericht op de operatie en beveiliging van systemen (C.07).
- De Dienstverlener draagt er zorg voor dat bij uitbesteding van activiteiten de relevante verplichtingen worden vastgelegd (in een overeenkomst) (B.05).
- De Dienstverlener beheerst de geheimhouding van vertrouwelijke stelsel gerelateerde informatie en de zorgvuldige omgang met persoonsgegevens van dienstafnemers (Aanvullende verplichtingen).
- De Dienstverlener beheert de juiste koppeling van de identiteit van de handelende persoon namens de dienstafnemer aan het account van die dienstafnemer bij de Dienstverlener (Aanvullende verplichtingen).
- De Dienstverlener beheerst de risico’s van de online dienst die hij aansluit. De Dienstverlener heeft het betrouwbaarheidsniveau van de dienst vastgesteld op basis van de analyse van deze risico’s (Aanvullende verplichtingen) en wordt geadviseerd hiervoor de Regelhulp Betrouwbaarheidsniveaus Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Regelhulp betrouwbaarheidsniveaus (regelhulpenvoorbedrijven.nl).
- Indien (bijzondere) persoonsgegevens worden verwerkt, verklaart de Dienstverlener hiertoe gerechtigd te zijn en bewerkersovereenkomsten afgesloten te hebben met relevante partijen.
Voorts aanvaardt ondergetekende dat de Herkenningsmakelaar gedurende de looptijd van de overeenkomst met de dienstverlener beoordeelt of de dienstverlener blijft voldoen aan de op hem rustende verplichtingen op grond van het afsprakenstelsel.
Indien de Herkenningsmakelaar hieromtrent twijfelt of van mening is dat dit niet langer het geval is, geeft hij dit terstond door aan de Toezichthouder. Indien de Toezichthouder oordeelt dat de Herkenningsmakelaar dient te handhaven, zal de Herkenningsmakelaar terstond zijn dienstverlening aan de Dienstverlener schorsen of beëindigen .
| Datum: | ________________________________________ |
|---|---|
| Plaats: | ________________________________________ |
| Naam: | ________________________________________ |
Handtekening: | ________________________________________ |
Ondertekening dient plaats te vinden door een bevoegd vertegenwoordiger van de rechtspersoon. Dat kan zijn de statutair bestuurder van de rechtspersoon of een gevolmachtigde, in dat geval moet een kopie van een volmacht worden bijgevoegd. Indien dit document afgedrukt meerdere pagina's bestrijkt, graag alle voorliggende pagina's paraferen. Als PDF of Word document mag deze ook digitaal ondertekend worden.
Toelichting
In het Juridisch kader van het Afsprakenstelsel Elektronische toegangsdiensten (hierna: afsprakenstelsel) is het indirect toezicht opgenomen. Indirect toezicht houdt in dat de Toezichthouder er op toe ziet dat de Deelnemers van het afsprakenstelsel op afdoende wijze de naleving van de stelselvoorwaarden door hun Gebruikers van het afsprakenstelsel controleren.
Voor het indirecte toezicht op de Dienstverlener betekent dit concreet dat de Toezichthouder verantwoordelijk is voor de borging van de naleving van de verplichting van de Herkenningsmakelaar om:
- de naleving van de dienstverleningsovereenkomst die de Herkenningsmakelaar met de Dienstverlener heeft te monitoren, inclusief de hierop van toepassing zijnde Gebruiksvoorwaarden Elektronische Toegangsdiensten, alsmede
- te monitoren dat de dienstverlener blijvend voldoet aan de positieve testresultaten voor aansluiting .
Om ervoor te zorgen dat de Herkenningsmakelaar opvolging geeft aan de verplichting genoemd onder punt 1. is deze zelfverklaring opgesteld. Deze zelfverklaring is hiermee een nadere uitwerking van de wijze waarop binnen het afsprakenstelsel door de Herkenningsmakelaar invulling wordt gegeven aan het indirecte toezicht op de Dienstverlener ten aanzien van de naleving van de dienstverleningsovereenkomst die de Herkenningsmakelaar met de Dienstverlener heeft te monitoren, inclusief de hierop van toepassing zijnde Gebruiksvoorwaarden Elektronische Toegangsdiensten.
Gelet op het bovenstaande dient de Herkenningsmakelaar in het kader van het indirecte toezicht derhalve de volgende documenten aan de Toezichthouder te kunnen overleggen:
- een rechtsgeldig ondertekende Zelfverklaring door de Dienstverlener;
- een rechtsgeldig ondertekende dienstverleningsovereenkomst inclusief Gebruiksvoorwaarden Afsprakenstelsel Elektronische toegangsdiensten, en
- positieve testresultaten voor aansluiting .
Om deze documenten aan de Toezichthouder te kunnen overleggen dient de Dienstverlener in het kader van het indirecte toezicht bovengenoemde documenten aan de Herkenningsmakelaar te overleggen.
Hiermee is de zelfverklaring, in combinatie met de dienstverleningsovereenkomst, de Gebruiksvoorwaarden van het afsprakenstelsel en de testresultaten voor aansluiting, een middel om indirect toezicht te kunnen houden op de naleving van de afspraken van het afsprakenstelsel door de Dienstverlener.
De zelfverklaring wordt eenmalig ondertekend tenzij er sprake is van één van de situaties als genoemd in Indirect toezicht op de Dienstverlener.