Document toolboxDocument toolbox

Incident- en probleemmanagement

Deze pagina beschrijft het incident- en probleemmanagementproces. Hierin wordt onder meer ingaan op het doel, de verantwoordelijkheden van de betrokken partijen en de stappen in het proces.

Incidentmanagement

Onder incidenten vallen zowel verstoringen als informatiebeveiligingsincidenten. Een verstoring is het gedeeltelijk of niet beschikbaar zijn van de Mitz-voorziening buiten het geplande onderhoud om. Een verstoring kan zowel lokaal (Mitz, Mitz Connector of zorgaanbiedersystemen) of ketenbreed zijn.

In het PvE AMC (zie https://vzvz.atlassian.net/wiki/spaces/MA11/pages/127535727) zijn normen opgenomen voor de beschikbaarheid van de Mitz Connector.

Doelstelling

Het doel van het incidentmanagementproces is om verschillende typen incidenten op gestructureerde wijze in de keten af te handelen. Daarbij dient de dienstverlening zo min mogelijk te worden verstoord.

Classificatie van incidenten

In onderstaande tabel is de classificatie van incidenten beschreven.

Classificatie

Omschrijving

Classificatie

Omschrijving

Incident

Een gebeurtenis die niet tot de standaardoperatie van de Mitz-toestemmingsvoorziening behoort en die mogelijk impact en/of risico oplevert ten aanzien van de kwaliteit, beschikbaarheid, integriteit en vertrouwelijkheid van de Mitz-informatieketen.

Incidenten kunnen bijvoorbeeld gaan om:

  • verstoringen: gebeurtenissen die ertoe leiden dat de dienstverlening van Mitz beperkt of niet beschikbaar is; het kan gaan om lokale verstoringen in de dienstverlening van Mitz, de Mitz Connector of zorgaanbiedersystemen en verstoringen die in de hele keten hinder veroorzaken

  • informatiebeveiligingsincidenten zoals verlies van informatie of signalering van hackpogingen of malware

  • fraude of vermoeden van fraude

Prio 1:

  • bedrijfskritische systeemfunctionaliteit is niet beschikbaar of niet bruikbaar

  • de verstoring heeft impact op minimaal 25% van de eindgebruikers

  • er is geen workaround beschikbaar op het moment dat de verstoring zich voordoet of er is een ingreep noodzakelijk om het systeem weer naar behoren te laten functioneren

  • de verstoring vindt plaats op de productieomgeving

  • een Prio 1 kan potentieel uitgroeien tot een calamiteit

Prio 2:

  • belangrijke systeemfunctionaliteit is niet beschikbaar of niet bruikbaar, of het totale systeem presteert niet volgens de norm

  • functionele problemen of performanceproblemen belemmeren eindgebruikers in het uitvoeren van hun werkzaamheden

Prio 3:

  • niet-kritieke of niet-belangrijke systeemfunctionaliteit is niet beschikbaar of niet bruikbaar, of het totale systeem presteert niet volgens de norm

  • de verstoring belemmert de eindgebruikers niet bij het uitvoeren van hun werkzaamheden

Calamiteit

Een incident is een calamiteit wanneer:

  • de verwachte verstoringsduur de afgesproken responsetijden binnen het Beschikbaarheidsvenster overstijgt

  • tenminste twee Mitz Connectors betrokken zijn

  • directe en ernstige hinder wordt ondervonden

  • het impact heeft op vertrouwelijkheid en integriteit

  • sprake is van een meldplichtig datalek als bedoeld in de meldplicht datalekken

  • het een grote impact heeft op het imago van Mitz en het vertrouwen van burgers, zorgaanbieders en deelnemers in de voorziening

  • de verwachte verstoring ofwel onbeschikbaarheid van het stelsel langer dan 4 uur duurt

  • er politieke beslissingen of implicaties spelen, bijvoorbeeld in het geval van een uitspraak van de Autoriteit Persoonsgegevens

  • het een fundamentele juridische of technische kwetsbaarheid betreft en dus betrekking heeft op de opzet of structuur van Mitz

Uitgangspunten incidentmanagement

Voor het incidentmanagement gelden de volgende uitgangspunten:

  1. gepland onderhoud wordt niet als incident geregistreerd, maar wordt aangemeld onder vermelding van de impact van het onderhoud

  2. bij de oplossing van operationele of technische issues zijn alleen die personen en partijen betrokken die een directe operationele bijdrage kunnen leveren aan het oplossen van het probleem

  3. bij het noemen van een rol of functie in verband met het uitvoeren van een taak geldt dat bij afwezigheid van die functionaris standaard de plaatsvervanger van die rol of functie de taak overneemt

  4. als er besluiten met een grotere reikwijdte moeten worden genomen, kunnen mogelijk andere partijen in de governance een rol gaan spelen

  5. de servicedesk Mitz registreert incidenten die betrekking hebben op de Mitz-voorziening

  6. de servicedesk Mitz monitort op incidenten

  7. de monitoringfunctionaliteiten moeten op elkaar afgestemd zijn en niet dubbelop zijn:

    1. uitgangspunt is dat de Mitz-beheerder betrokken wordt in ketenafspraken die de MC-leverancier en zorgaanbieder maken. De Mitz-beheerder monitort het netwerkverkeer naar en van Mitz

    2. de monitoringfunctionaliteiten worden vastgelegd in een DAP tussen Mitz en de MC-leverancier

  8. root cause analyses (RCA): in geval van prio 1-incidenten vindt een Root Cause Analysis (RCA) plaats. Deze wordt binnen vijf werkdagen opgeleverd aan VZVZ. Afhankelijk van de ernst kan op verzoek van VZVZ ook van een prio 2-incident een RCA gemaakt worden. In geval van een onderhanden RCA wordt wekelijks een RCA-overzicht met de status van de acties opgeleverd.

Niveaus van verantwoordelijkheid en coördinatie

Afhankelijk van de storing of het incident zijn er meerdere partijen betrokken waarbij het uitgangspunt is dat zaken die lokaal spelen (binnen de Mitz Connector en/of zorgaanbiedersystemen) zoveel mogelijk lokaal worden opgepakt. De soorten incidenten die zich kunnen voordoen betreffen een lokaal incident bij een zorgaanbieder, een incident waarbij een of meerdere zorgaanbieders betrokken zijn en een storing bij de centrale Mitz-voorziening (dit kan een storing zijn die meerdere Mitz Connectors treft).

Zorgaanbieders nemen in eerste instantie contact op met de servicedesk van de MC-leverancier, die vervolgens contact opneemt met de Servicedesk Mitz. Dit volgens de volgende niveaus van verantwoordelijkheid:

  1. in het geval van een lokaal incident bij een zorgaanbieder(systemen) is de (eigen servicedesk van) de zorgaanbieder verantwoordelijk voor de coördinatie

  2. in het geval van een incident bij de MC-leverancier of een incident waarbij één of meerdere zorgaanbieders van een MC-leverancier zijn betrokken, is de servicedesk van de MC-leverancier verantwoordelijk voor de coördinatie, waarbij samenwerking nodig is met (de servicedesks van) de aangesloten zorgaanbieders

  3. wanneer er een incident is in de Mitz-voorziening, is de Servicedesk Mitz verantwoordelijk voor de coördinatie en communicatie

NB: Burgers die MijnMitz gebruiken kunnen bij storingen of vragen contact opnemen met de https://vzvz.atlassian.net/wiki/spaces/MA11/pages/127535246.

Verantwoordelijkheden

De volgende partijen kunnen een melding van een incident doen:

  • een zorgaanbieder bij de MC-leverancier waarop het aangesloten is. De melding wordt geregistreerd bij de MC-leverancier

  • een MC-leverancier bij de servicedesk Mitz; de Servicedesk Mitz registreert de melding

  • infolijn Mitz en de servicelijn Mitz; de Servicedesk Mitz registreert de melding

Daarnaast gelden de volgende verantwoordelijkheden voor de MC-leverancier:

  • informatiebeveiligingsincidenten moeten altijd gemeld worden aan de Information Security Officer van Mitz S&B zodat deze de impact en vervolgstappen kan bepalen.

  • incidenten in de categorie calamiteit of crisis moeten altijd gemeld worden aan de servicedesk Mitz en de Mitz Service Level Manager.

  • de beheerorganisatie van het door een verstoring getroffen systeem bepaalt de prioriteit van de verstoring. Elke verstoring met impact op de toestemmingsvoorziening moet de beheerorganisatie direct melden bij de Servicedesk Mitz. Ook wanneer onduidelijk is wat de impact op de keten is, kan de beheerorganisatie contact opnemen met de Servicedesk Mitz, omdat de servicedesk inzicht heeft in wat de impact van de verstoring voor het totale Mitz-berichtenverkeer is.

  • de Information Security Officer van Mitz S&B beslist of incidenten in verband met vertrouwelijkheid buiten het meldsysteem om behandeld moeten worden.

Processtappen in het geval van een incident

In het geval van een incident worden de volgende stappen doorlopen:

  1. intake incident

  2. beoordeling

  3. behandelen/oplossen:

    1. behandelen incident

    2. behandelen calamiteit

    3. behandelen crisis

  4. monitoren, informeren, communiceren en ondersteunen

  5. sluiten incident

  6. opstellen rapportage derden

Probleemmanagement

Een probleem is een verstoring die veel voorkomt of niet structureel opgelost is. Conform ITIL worden incidenten een probleem wanneer er geen (spoedige) oplossing is.

Doelstelling

Het doel van een probleemmanagementproces is tweeledig:

  • op uniforme en efficiënte wijze afhandelen van problemen

  • beschikbaarheid van Mitz in de gehele keten optimaliseren

Verantwoordelijkheden

De Servicedesk Mitz is de procesverantwoordelijke en zorgt voor de afhandeling van het probleem en schakelt indien nodig met de betrokken MC-leveranciers. De MC-leverancier is de probleemeigenaar en stemt de voortgang en afwikkeling van het probleem af met de Servicedesk Mitz. De Service Level Manager acteert als gedelegeerd procesverantwoordelijke en is aanspreekpunt voor de voortgang van het probleem.

Processtappen

Bij een probleem worden de volgende processtappen doorlopen:

  1. registreren van het probleem of opschaling van incident naar probleem

  2. registreren van het probleem in een probleemrapport:

    1. analyseren en vastleggen van het probleem in het probleemrapport

    2. overdragen van het probleemrapport aan de probleemeigenaar
      of

    3. bepalen welke beheerders of probleemeigenaren betrokken moeten worden

  3. coördineren van het probleem:

    1. de voortgang bewaken

    2. de oplossing verifiëren

    3. communicatie naar betrokken partijen verzorgen

    4. monitoren, informeren, communiceren en ondersteunen

  4. oplossing zoeken, testen en implementeren

  5. verifiëren en accepteren van de oplossing

  6. sluiten van het probleem

  7. opstellen van rapportage voor derden