Interpretatie Rating

De rating policy definieert een aantal ratings (A t/m F) om de betrouwbaarheid van Deelnemers binnen het Ecosysteem te kunnen beoordelen. Naast de ratings zelf is er een proces gedefinieerd waarmee Deelnemers van rating kunnen veranderen.

Betekenis ratings

Deelnemers met rating A t/m D zijn gecheckt om transacties mee aan te gaan.

Deelnemers met rating E hebben niet op tijd bewijs geupload dat ze hun interne systemen op orde hebben en/of zijn recentelijk in een licht dispuut terechtgekomen en schuldig bevonden. Ze kunnen nog transacties doen, maar moeten het vertrouwen terugwinnen.

Deelnemers met rating F t/m G zijn buiten spel gezet, en hebben handmatige vergiffenis van de DMI Beheerder nodig (rating F) of worden zelfs zo snel mogelijk uit het Ecosysteem gezet (rating G).

En gedetailleerde overzicht van wanneer welke rating wordt toegewezen:

  • WIT De standaard rating toegewezen bij toetreding en/of zolang een dispuut nog wordt behandeld door de Ecoraad. Over een Deelnemer met rating Wit kan worden nagedacht alsof de rating op het moment nog niet bepaald is.

  • A Afhankelijk van of een Deelnemer zich goed gedraagt en of deze zich aan de voorwaarden van transacties houdt, kan rating B worden opgewaardeerd naar rating A. De specifieke condities van deze upgrade moeten nader worden bepaald aan de hand van input van de Ecoraad.

  • B Afhankelijk van of een Deelnemer zich goed gedraagt en of deze zich aan de voorwaarden van transacties houdt, kan rating C worden opgewaardeerd naar rating B. De specifieke condities van deze upgrade moeten nader worden bepaald aan de hand van input van de Ecoraad.

  • C Bij het herhaaldelijk succesvol aantonen dat een Deelnemer voldoet aan ISAE 3000/ISAE 3402, kan een rating D worden opgewaardeerd naar rating C. Een Deelnemer met rating C heeft dus bewezen dat ze hun system en (business) processen over langere tijd op orde houden. Op het moment dat de Deelnemer een Type 2-attestatie upload die is ondertekend door een auditor, kan deze rating worden toegewezen.

  • D Rating D betekent dat een Deelnemer intern de systemen en (business) processen op orde heeft en dat dit is geverifieerd door een auditor. Het gaat in het specifiek over of de organisatie voldoet aan ISAE 3000/ISAE 3402. Op het moment dat de Deelnemer een Type 1-attestatie upload die is ondertekend door een auditor, kan deze rating worden toegewezen.

  • E Een Deelnemer met rating E heeft niet op tijd aangetoond dat ze hun interne systemen en (business) processen op orde hebben, en/of heeft zich schuldig gemaakt aan een zodanig serieuze schending van het Afsprakenstelsel dat het vertrouwen opnieuw moet worden gewonnen. Deze Deelnemers kunnen nog steeds transacties doen, maar eventuele zakenpartners moeten overwegen of ze de Deelnemer vertrouwen. Het uploaden van Type 1- of Type 2-attestaties kan de rating weer hoger brengen naar D of C. In het eerste geval hebben Deelnemers met rating Wit een jaar de tijd om een Type 1- of Type 2-attestatie te uploaden. Als dit niet gebeurd, dan kunnen Deelnemers rating E worden toegewezen. Deze periode kan worden verlengd door een zelfverklaring te uploaden, waarna de periode van een jaar opnieuw ingaat; of door te verklaren dat er begonnen is aan de audit nodig voor een Type 2-attestatie, waarna een jaar na het afronden van die audit alsnog rating E wordt toegewezen als er geen verklaring is geupload.

  • F Een Deelnemer met rating F heeft een zodanig serieuze schending van het Afsprakenstelsel gedaan dat ze geen transacties meer mogen doen. Er is toestemming van de DMI Beheerder nodig om een andere rating te krijgen toegewezen.

  • G Een Deelnemer met rating G is gemarkeerd om uit het Ecosysteem gezet te worden. Dit kan pas als lopende verplichtingen zijn afgehandeld; tot die tijd is rating G toegewezen en kunnen er geen nieuwe transacties worden gedaan. Dit kan worden toegewezen bij de meest serieuze schendingen van het Afsprakenstelsel.

Invulling van ISAE 3000/ISAE 3402

Aan de volgende voorwaarden moet worden voldaan om in aanmerking te komen voor een ISAE 3000/ISAE 3402-attestatie:

Passende informatiebeveiliging:

  • Vanuit wet- en regelgeving is de netwerk- en informatiebeveiligingsrichtlijn (NIS2), geïmplementeerd in de Cyberbeveiligingswet maatgevend.

  • De Cybersecurity Act heeft bovendien een cybersecurity certificatiestelsel neergezet, uitgevoerd door ENISA. Acceptabele certificeringen van datadienstverleners: SecNumCloud, BSI-C5, CISPE, EU Cloud CoC, CSA CCM, ISO/IEC 27001, TISAX, SWIPO, en alles wat verder acceptabel is volgens ENISA

  • Een SOC2 verklaring (system and organization controls) met de juiste scope is acceptabel Een ENSIA verklaring van een Nederlandse overheidsorganisatie is acceptabel (audit van de BIO)

  • Een maatgevende manier om ISO/IEC 27001 te implementeren is het model-beheersingkader beschreven in ISO/IEC 27002. Deze geldt voor Nederlandse overheden als ‘pas toe of leg uit standaard’ in de context van de BIO. Voor datadiensten voor overheden kan dus een vergelijkbare zekerheid verwacht worden in de inkoopvoorwaarden. Zie voor de inkoopvoorwaarden van gemeenten: Inkoopvoorwaarden GIBIT 2023, art. 29 en 35

Het gebruik van data in overeenstemming met datadeelovereenkomsten en wet -en regelgeving

  • Vanuit wet- en regelgeving is de General Data Protection Regulation (GDPR), of Algemene Verordening Gegevensbescherming (AVG), maatgevend voor persoonsgegevens. De European Data Protection Board (EDPB) bepaalt certificatiecriteria.

  • Het begrip doelbinding in de zin van de AVG is breder toepasbaar op iedere voorwaarde die beperkingen oplegt op ‘use cases’ in een overeenkomst. Ook auteursrechten en databaserechten zijn wettelijk beschermd en kunnen dienen als kader voor beperkingen. In voorkomende gevallen kan data gedeeld zijn onder voorwaarden van de Data Act. Ook Digital Services Act, of Digital Markets Act zijn theoretisch mogelijk, maar liggen in de DMI context minder voor de hand.

  • EU Cloud CoC met level 2 compliance is acceptabel voor de GDPR, en alles wat de EDPB acceptabel vindt

  • Een SOC2 verklaring (system and organization controls) met de juiste scope is acceptabel voor de GDPR

  • Een ENSIA verklaring van een Nederlandse overheidsorganisatie is acceptabel voor de GDPR. Zie voor de inkoopvoorwaarden van gemeenten: VNG Model Algemene Inkoopvoorwaarden voor leveringen en diensten, art. 8-9, Inkoopvoorwaarden GIBIT 2023, art. 20 en 28, Verwerkersovereenkomst en Overeenkomst voor Gezamenlijke Verwerkingsverantwoordelijken van VNG

Transparant en op passende wijze data aanbieden

  • Naleving van artikel 33 van de Data Act binnen de data space waarin data (afhankelijk van type en use case) valt is maatgevend voor dit onderdeel. Sectortoezichthouders kunnen eigen eisen stellen. Het is aan de Deelnemer deze in kaart te brengen.

  • European Data Innovation Board (EDIB) bepaalt welke geharmoniseerde standaarden toegepast mogen worden, en Data Spaces Support Centre (DSCC) en European Multi-Stakeholder Platform on ICT Standardization adviseren.

  • Nederland kent een eigen lijst ‘pas toe of leg uit’ standaarden (Forum Standaardisatie), die grotendeels in de Europese context past.

  • Voor datadiensten voor overheden kan een vergelijkbare zekerheid verwacht worden in de inkoopvoorwaarden. Zie voor de inkoopvoorwaarden van gemeenten: Inkoopvoorwaarden GIBIT 2023, art. 8 Gemeentelijke ICT-kwaliteitsnormen , 3.3

Controleerbaarheid en rapportage en het melden van incidenten aan betrokken partijen

  • De eisen omtrent controleerbaarheid en meldingen zijn een ondersteunende voorwaarde voor auditors om hun werk effectief te doen, en om de Rating te laten functioneren.

  • In het voorkomende geval dat een auditor zijn werk doet namens een tegenpartij op basis van een verplichting (uit wet of overeenkomst), kan ervaren gebrek aan medewerking reden zijn om een geschil te melden dat tot aftrek van de Rating kan leiden.

  • GDPR en NIS2 kennen hun eigen kader voor verplichte meldingen.

  • European Cloud CoC is een voorbeeld van een acceptabele certificatie voor meldingen. Een SOC2 verklaring (system and organization controls) met de juiste scope is ook acceptabel.

  • Voor datadiensten voor overheden kan dus een vergelijkbare zekerheid verwacht worden in de inkoopvoorwaarden. Zie voor de inkoopvoorwaarden van gemeenten: Inkoopvoorwaarden GIBIT 2023, art. 10, 12, 25

Passend verzekerd zijn voor incidenten

PreviousInterpretatie AVGNextImplementatie Handhaving en Toetsing

Last updated