Hoofdinhoud

Dit is een voorbeeld van het contract dat een Serviceorganisatie afsluit met Logius om gebruik te maken van de meervoudig assessmentmethodiek.

Nadat de aanvraag is ingediend maakt Logius een ingevuld contract ter ondertekening. Logius stuurt dit contract in pdf binnen tien werkdagen naar het e-mailadres waarmee de aanvraag is gedaan.

Publicatiedatum: 11 november 2025

Versie: 2.0

De Staat der Nederlanden, gevestigd te Den Haag, te dezen vertegenwoordigd door de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, namens deze, [naam],Productmanager ART xxx Logius, hierna te noemen: “Logius”,

en

[bedrijfsnaam + kvk adres + kvk nummer + vertegenwoordigd door], hierna te noemen: Leverancier

inzake toepassing Meervoudig Assessment DigiD (hierna gezamenlijk te noemen: Partijen)

Overwegende dat:

  • Leverancier in aanmerking wil komen voor het Meervoudig Assessment over haar en de door haar aangesloten Aansluithouders;
  • Elke Aansluithouder moet voldoen aan de meest recente versie van de voorwaarden die van toepassing zijn op die betreffende aansluiting;
  • Dat Leverancier bij het uitbesteden van op DigiD aangesloten diensten (eind)verantwoordelijke blijft;
  • Logius aan Leverancier het recht wil verlenen tot het toepassen van een Meervoudig Assessment;
  • Partijen de voorwaarden voor het toepassen van een meervoudig assessment door de Leverancier in deze Overeenkomst wensen vast te leggen.

Komen als volgt overeen:

1. Begripsbepalingen

Tenzij uit de context anders blijkt, gelden de volgende begripsbepalingen waarbij de hierna met een hoofdletter aangeduide begrippen en afkortingen in deze Overeenkomst de volgende betekenis hebben:

  • Aansluithouder(s) / AMA - Een partij (of partijen) die, via de Leverancier, de dienst DigiD afneemt en die voor de uitoefening van een publieke taak of bevoegdheid elektronisch verkeer met andere overheden en burgers en/of bedrijven wenselijk acht en voldoet aan de daarvoor gestelde voorwaarden.
  • Assessment – zie https://www.logius.nl/onze-dienstverlening/toegang/digid/ict-beveiligingsassessments-digid. In de context van dit document is dit het DigiD beveiligingsassessment.
  • Assessmentrapportage - zie https://www.logius.nl/onze-dienstverlening/toegang/digid/ict-beveiligingsassessments-digid. De rapportage van het Assessment.
  • Audit - Door een (externe) Register EDP-auditor afgenomen assessment tegen een vastgestelde norm. In de context van dit document is dit het Assessment.
  • Auditing - Het controleren van een organisatie. In de context van het Meervoudig assessment is dit een taak die de RE-auditor uitvoert bij de Leverancier.
  • BSN - Afkorting van: Burgerservicenummer. Een Burgerservicenummer is een uniek persoonsnummer voor iedereen die staat ingeschreven in de Basisregistratie Personen (BRP).
  • Controle - Het controleren van de juiste werking van beveiligingsmiddelen of de juiste registratie van beveiligingsinformatie. Zie NOREA Handreiking ICT-beveiligingsassessments DigiD Versie 2025 (1.00 – definitief).
  • Dienst - De dienstverlening die de AMA, volgens de LMA-methodiek, zoals geleverd op één (1) manier door de LMA, aanbiedt aan de burger, waarbij de geleverde dienst een generieke applicatie is waarop de burger middels DigiD zich kan authentiseren en dat een primair proces van de AMA uitvoert.
  • Register EDP-auditor - Een onafhankelijke, bij de Nederlandse Orde van Register EDP Auditors aangesloten, accountant/deskundige, ook wel RE-auditor genoemd.
  • Gegevensclassificatie - Classificatie van data geeft antwoord welke maatregelen genomen moeten worden om die data adequaat te beschermen.
  • Kwaliteitssysteem - Een systeem waarmee je kwaliteitsprocessen in de organisatie beheerst.
  • Leverancier / LMA - De organisatie die de DigiD-aansluiting voor de Aansluithouder verzorgt en ervoor zorgdraagt dat de Aansluithouder aan de daartoe gestelde eisen en Voorwaarden van DigiD voldoet.
  • Logius - Dienst digitale overheid, baten-lastendienst van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
  • Maatwerk - Onder maatwerk wordt verstaan, functionaliteiten die zijn toegespitst op de specifieke wensen van de Aansluithouder die niet geleverd worden aan andere Aansluithouders.
  • Meervoudig assessment - De methode waarbij de Leverancier zorgt draagt voor assessments en de Controle op de Aansluithouders om daartoe de Aansluithouders te ontzorgen.
  • Norm ICT-beveiligingsassessments DigiD - De meest recent vastgestelde Beveiligingsnorm bedoeld voor organisaties die DigiD gebruiken en daarom jaarlijks een Assessment moeten doen. Te vinden via https://www.logius.nl/onze-dienstverlening/toegang/digid/ict-beveiligingsassessments-digid.
  • Scope - In de context van het Assessment en het Meervoudig assessment, is de scope "de internet-facing applicatie, systeemkoppelingen en infrastructuur die met DigiD gekoppeld zijn en betrekking hebben op het inlogproces". Met systeemkoppelingen wordt de system-to-systemkoppeling (authenticatieverzoek en uitwisselen BSN en verificatieverzoek van webdienst) bedoeld.
  • Voorwaarden DigiD - De meest recente, specifieke voorwaarden die gelden tussen Logius en Aansluithouders bij het gebruik van DigiD. Te vinden via www.logius.nl voor aansluiting op DigiD, of via www.dictu.nl voor de routeringsvoorziening van DICTU.

2. Voorwerp van de Overeenkomst

2.1 - De navolgende documenten vormen gezamenlijk de Overeenkomst. Voor zover deze documenten met elkaar in tegenspraak zijn, prevaleert het eerdergenoemde document boven het later genoemde:

  1. onderhavige Overeenkomst;
  2. afhankelijk van de wijze van aansluiten geldt:
    1. bij aansluiten via Logius: Algemene voorwaarden Logius (bijlage 2) en Aansluitvoorwaarden DigiD (bijlage 3a), 

of

  1. bij aansluiten via DICTU: Algemene Aansluitvoorwaarden Toegangverleningservice DICTU (bijlage 3b).
  2. Norm ICT-beveiligingsassessments DigiD (bijlage 4);
  3. NOREA Handreiking ICT-beveiligingsassessments DigiD Versie 2025 (1.00 – definitief) (bijlage 5);
  4. Verplichtingen tussen Leverancier en Aansluithouder (bijlage 6).

2.2 - Indien na het ondertekenen van deze Overeenkomst door Partijen één van bovengenoemde documenten wordt opgevolgd door een nieuwe versie, maakt deze nieuwe versie automatisch onderdeel uit van deze Overeenkomst en Partijen verplichten zich reeds nu voor alsdan te handelen conform die nieuwe versie.

2.3 - Op beide Partijen rust een medewerkings-, informatie- en waarschuwingsplicht voor zover dit van belang is, respectievelijk kan zijn voor de uitvoering van deze overeenkomst. Logius heeft Leverancier afdoende geïnformeerd met betrekking tot alle feiten en doelstellingen van Logius aangaande deze overeenkomst.

3. Voorwaarden toepassen Meervoudig Assessment

3.1 – Logius verleent Leverancier het recht om jaarlijks de Meervoudige Assessment-methodiek toe te passen op haar AMA’s, nadat is voldaan aan de volgende randvoorwaarden:

  1. Leverancier dient binnen uiterlijk zes maanden, rekenend vanaf de datum van ondertekening van deze Overeenkomst, aantoonbaar twee AMA’s van een DigiD-aansluiting te voorzien.

     
  2. Leverancier dient binnen twee maanden na het tot stand brengen van deze eerste twee aansluitingen, rekenend vanaf de datum van activatie van de eerste AMA, een Assessmentrapportage in te dienen. Leverancier verplicht zich dat de twee aangesloten AMA’s onderdeel uitmaken van, en meewerken aan, de controle van de Leverancier op de AMA’s. Leverancier verplicht zich tot de uitvoering van het Assessment. Dit Assessment moet door Logius worden goedgekeurd vóórdat Leverancier nieuwe Aansluithouders ontsluit. 

3.2 – Nadat Leverancier aan de randvoorwaarden genoemd onder lid 1 van dit artikel voldoet mag Leverancier nieuwe Aansluithouders aansluiten zonder daarvoor binnen twee maanden een Assessment bij Logius aan te leveren. De eerstvolgende Assessmentrapportage moet jaarlijks worden ingediend. Hierbij geldt: wanneer de activatie van de eerste aansluiting valt in de periode 1 januari tot 1 augustus, wordt de eerstvolgende jaarlijkse Assessmentrapportage ingediend tussen 1 januari en 1 april van het volgende jaar. Wanneer de activatie van de eerste aansluiting valt in de periode 1 augustus tot en met 31 december, mag het indienen van de jaarlijkse Assessmentrapportage worden opgeschort met een jaar.

4. Verplichtingen Leverancier

4.1 - Leverancier draagt er zorg voor dat:

  1. De Leverancier de AMA in staat stelt om haar dienstverlening met de Dienst uit te voeren waarbij de Leverancier zorgdraagt voor de installatie, onderhoud en beheer van de Dienst en waarbij de AMA geen enkele beheertoegang heeft tot de Dienst;
  2. Gebruikersbeheer– indien noodzakelijk – in de Dienst is geregeld;
  3. Leverancier geen maatwerk levert in de Dienst aan de Aansluithouder;
  4. Leverancier een kwaliteitssysteem heeft geïmplementeerd dat ervoor zorgt dat het gehele controlestelsel toetsbaar en inzichtelijk is;
  5. De vorm en inhoud van de bewijslast uniform zijn voor alle Aansluithouders;
  6. Aansluithouders een juridische grondslag hebben voor het gebruik van het Burgerservicenummer;
  7. Leverancier te allen tijde in staat is en de bevoegdheid en technische mogelijkheden heeft om een Aansluithouder af te sluiten van de Dienst en de DigiD-aansluiting, en hiertoe overgaat indien de Aansluithouder niet voldoet aan de afspraken tussen LMA-AMA;
  8. Alle AMA’s beschikken over hun eigen unieke certificaat waarmee zij gekoppeld zijn met DigiD, zodat voor de burger zichtbaar is bij welke AMA de burger zich met DigD authentiseert. 

4.2 - In het kader van de uitvoering van onderhavige overeenkomst wordt de term ‘Afnemer’ in Bijlage 3a (Aansluitvoorwaarden DigiD) en 3b (Algemene Aansluitvoorwaarden Toegangverleningservice DICTU) vervangen door ‘Leverancier’.

  1. - De volgende artikelen uit de Bijlagen 3a (Aansluitvoorwaarden DigiD) en 3b (Algemene Aansluitvoorwaarden Toegangverleningservice DICTU) zijn niet van toepassing:
  • Artikel 5.5 en 5.6 van Bijlage 3a (Aansluitvoorwaarden DigiD) zijn niet van toepassing.
  • Artikel 1.1 sub 1.22 en 1.23 van Bijlage 3b (Algemene Aansluitvoorwaarden Toegangverleningservice DICTU) zijn niet van toepassing.

4.4 – Leverancier is verplicht te voldoen en blijvend te voldoen aan de "Norm ICT-beveiligingsassessments DigiD". Leverancier moet jaarlijks per clusteraansluiting aantonen dat de geleverde Dienst en de controle op alle AMA's voldoen aan de geldende "Norm ICT-beveiligingsassessments DigiD" door middel van een Assessmentrapportage die is afgegeven door een Register EDP-auditor. De periode waarin deze Assessmentrapportage jaarlijks moet worden ingediend is tussen 1 januari en 1 april.

4.5 - In Bijlage 6 (Verplichtingen tussen Leverancier en Aansluithouder) is een overzicht weergegeven van de van toepassing verklaarde eisen die de Leverancier dient te borgen in diens overeenkomst met de Aansluithouder. Dit overzicht is tot stand gekomen op basis van de meest recente versie van Bijlage 5 (NOREA Handreiking ICT-beveiligingsassessments DigiD Versie 2025 (1.00 – definitief).

4.6 - Leverancier verplicht zich om, op basis van de kennis die hem ter beschikking staat of zou moeten staan op grond van bij hem bekende feiten en omstandigheden, of de kennis die op grond van zijn specifieke expertise bij hem aanwezig is of zou moeten zijn, actief Logius te informeren over de risico’s, gevaren of gebeurtenissen die op enigerlei wijze de betrouwbaarheid van de dienstverlening van Logius kunnen bedreigen of beïnvloeden.

5. Rechten van Logius

5.1 - Logius is gerechtigd een audit of controle uit te voeren of te laten uitvoeren bij Leverancier, om vast te stellen of Leverancier voldoet aan de gestelde eisen zoals neergelegd in deze Overeenkomst. Logius zal Leverancier een redelijke termijn bieden om alle redelijke medewerking te verlenen aan een dergelijk onderzoek, waaronder het verlenen van toegang tot gebouwen, hardware, software en databases en het ter beschikking stellen van alle ter  zake relevante informatie welke voor deze audit of controle naar het oordeel van Logius noodzakelijk is. Leverancier is verplicht hieraan kosteloos zijn medewerking te verlenen.

5.2 – Logius behoudt zich het recht voor om (beveiligings-)maatregelen te treffen, waaronder maar niet beperkt tot een deactivatie van de clusteraansluiting, mits dat gegeven de omstandigheden noodzakelijk en proportioneel is. 

6. Aansprakelijkheid en vrijwaring

6.1 - Partijen sluiten aan bij de algemene regels van het Burgerlijk recht ten aanzien van de inhoud en omvang van aansprakelijkheid en wettelijke verplichtingen tot schadevergoedingen.

6.2 - Indien een Partij toerekenbaar tekortschiet in de nakoming van haar verplichtingen tegenover de andere Partij, is zij aansprakelijk voor de door deze geleden dan wel te lijden schade.

6.3 - Leverancier vrijwaart Logius voor vorderingen van derden, waaronder begrepen de Aansluithouder(s), uit welke hoofde dan ook, ten gevolge van de uitvoering en/of beëindiging van deze Overeenkomst.

7. Vertrouwelijkheid

7.1 - Partijen erkennen dat de informatie welke aan hen bekend wordt in het kader van de uitvoering van de Overeenkomst van vertrouwelijke aard is. Partijen verzekeren geheimhouding tegenover derden met betrekking tot alle gegevens en kennis omtrent de bedrijfsaangelegenheden van de andere Partij of zijn cliënten waarvan deze bij de totstandkoming en/of uitvoering van de Overeenkomst kennisneemt.

7.2 - Partijen zullen alle redelijke maatregelen treffen om te voorkomen dat personen die geen kennis behoren te dragen van de in het eerste lid bedoelde informatie, toegang verkrijgen tot bedoelde informatie.

8. Beëindiging van de Overeenkomst

8.1 - Elk van de Partijen kunnen deze Overeenkomst tussentijds, schriftelijk en met inachtneming van een opzegtermijn van twaalf (12) maanden alvorens het verantwoordingsjaar per 1 april verloopt opzeggen, zonder hiervoor een vergoeding verschuldigd te zijn. Gedurende het moment van opzeggen tot daadwerkelijke beëindiging, wordt de Overeenkomst onder gelijkblijvende voorwaarden uitgevoerd.

8.2 - Onverminderd hetgeen in de Overeenkomst is vastgelegd, kan elk van de Partijen de Overeenkomst door middel van een aangetekend schrijven buiten rechte geheel of gedeeltelijk ontbinden, indien de andere Partij in verzuim is in de nakoming van diens verplichtingen onder deze Overeenkomst, dan wel nakoming blijvend of tijdelijk onmogelijk is, tenzij het een tekortkoming betreft die gezien haar bijzondere aard of geringe betekenis de ontbinding niet rechtvaardigt.

9. Totstandkoming, tijdsplanning of duur van de Overeenkomst

9.1 - Deze Overeenkomst komt tot stand door ondertekening van de Overeenkomst door beide Partijen en heeft een initiële looptijd van zes (6) jaar.

9.2 – Partijen treden vóór het einde van de looptijd zoals bedoeld in het eerste lid met elkaar in overleg over een eventuele hernieuwing van de Overeenkomst. 

9.3 – Indien de stand van de techniek of voortschrijdende inzichten het noodzakelijk maken om de Overeenkomst aan te passen treden Partijen met elkaar in overleg. Wijzigingen kunnen enkel schriftelijk worden overeengekomen.

10. Geschillenbeslechting en toepasselijk recht

10.1 - Ieder geschil tussen Partijen ter zake van de Overeenkomst wordt bij uitsluiting voorgelegd aan de daartoe bevoegde rechter in het arrondissement Den Haag, tenzij Partijen alsnog een andere vorm van geschillenbeslechting zullen overeenkomen.

10.2 - Op deze Overeenkomst is Nederlands recht van toepassing.

11. Overdracht

11.1 - Leverancier mag alleen na voorafgaande schriftelijke toestemming van Logius, rechten en verplichtingen uit deze Overeenkomst aan derden overdragen. Aan een dergelijke toestemming kunnen door Logius voorwaarden worden verbonden.

Aldus in tweevoud overeengekomen,

 

Logius                                                                        Leverancier

 

 



 

 

(naam+functie)                                                                      (naam+functie)