Page Comparison

Scoping van de verantwoordelijkheden

Aansprakelijkheid (Algemeen) 

Conform het raamcontract ligt de aansprakelijkheid van de verwerking steeds bij de opdrachtgever/Klant van het ecosysteem. 

• Bij gebruik van gedeelde infrastructuur zal Digitaal Vlaanderen in de rol van ‘bestuur’ optreden als opdrachtgever en waken voor een aangepast risico niveau bij het gebruik van deze gedeelde infrastructuur: Netwerk-, werkplek- en datacenter diensten. 

• Bij de applicatiediensten ligt de aansprakelijkheid bij de individuele opdrachtgevers. 

Verantwoordelijkheid (In scope kwetsbaarhedenbeheer, identificatie van risico’s) 

Conform het raamcontract is de verwerker verantwoordelijke voor: 

• De identificatie en herstel van kwetsbaarheden (Risico’s genoemd in het contract) met een potentiële impact op zijn dienstenaanbod en in het verlengde naar het volledige ecosysteem. 

• Voor het beheer van risico’s binnen zijn dienstenaanbod; 

• Mitigeren/Patchen 

• Verwijderen (van het betrokken component uit de verwerking, vervangen door een functioneel alternatief) 

• Verplaatsen- (rest risico op een aanvaardbaar niveau brengen door gebruik te maken van diensten van een derde partij) 

• Aanvaarden door de aansprakelijke partij 

Voor de identificatie en het beheer van kwetsbaarheden (Risico’s) kan de verwerker desgewenst eigen processen en tools inrichten of gebruik maken van het aanbod van andere dienstenleveranciers (incl. SIAM) om de noodzakelijke veiligheidsgaranties te waarborgen. 

Merk op

Kwetsbaarheden als resultaat van configuratiewijzigingen aangebracht onder ‘eigen beheer’ van de opdrachtgever zijn als gevolg de aansprakelijkheid én verantwoordelijkheid van de opdrachtgever en niet van de dienstenleverancier. 

De verantwoordelijkheid van de dienstenleverancier bij ‘eigen beheer’ beperkt zich contractueel tot het identificeren van alle kwetsbaarheden met mogelijke impact risico’s voor zijn diensten naar zowel de opdrachtgever die de risico’s introduceert als naar de andere afnemers van zijn dienstverlening. 

We maken als gevolg onderscheid tussen kwetsbaarheden die voortkomen vanuit de dienstverlening en deze kwetsbaarheden die werden geïntroduceerd door de opdrachtgever, al dan niet in samenwerking met een leverancier die geen deel uitmaakt van het ecosysteem van dienstverleners in het ICT raamcontract. 

Rapportering van de kwetsbaarheden 

De dienstenleveranciers moeten in staat zijn om een onderscheid te maken tussen kwetsbaarheden die voortvloeien uit hun eigen dienstenaanbod, ook indien ze dit uitbesteden aan een derde partij in opdracht van deze dienstenleverancier, al dan niet een partij binnen het ecosysteem. 

De rapportering is in staat dit onderscheid weer te geven en de evaluatie van de performantie van de dienstverlening beperkt zich tot de verantwoordelijkheden in eigen dienstverlening. Zijnde … 

• Identificatie en rapportering van kwetsbaarheden (CCVS/CVE) aan de SIAM, gekoppeld aan de asset tag van het betrokken component/asset 

• Opsplitsing van componenten binnen eigen dienstverlening en deze die worden toegevoegd door de opdrachtgever (bvb installatie eigen software) 

• Rapportering aan de opdrachtgever van kwetsbaarheden toegevoegd door de opdrachtgever  

• Rapportering aan ‘het bestuur’ door de SIAM van de kwetsbaarheden uit de eigen dienst activiteiten.