TTP Werkwijze

Doel

Een essentieel uitgangspunt van MYOBI is dat alle Gebruikers participeren in het Informatie ecosysteem van MYOBI. Daarmee maken ze tevens gebruik van de Vertrouwensinfrastructuur, de Vertrouwensdiensten en overige Diensten van MYOBI. Wat betekent dit en wat is de toegevoegde waarde daarvan voor Gebruikers?

In dit document worden deze en andere vragen beantwoord. Het doel van dit document is Gebruikers op een laagdrempelige, begrijpelijke en toegankelijke wijze uit te leggen wat de dienstverlening van MYOBI inhoudt, wat zij er mee kunnen en er aan hebben, en dat zij worden geïnformeerd over de inhoud en betekenis van de TTP-policy waarvan dit document deel uitmaakt. Na lezing van dit document hebben zij als het goed is een beeld van de verwachtingen die zij mogen hebben van MYOBI en van andere Gebruikers van MYOBI; alsook van de verwachtingen die MYOBI en andere Gebruikers van MYOBI van hen mogen hebben.

Hoewel onontkoombaar, is er naar gestreefd om zo min mogelijk juridische taal en technische terminologie te gebruiken. Indien er tegenstrijdigheid bestaat tussen deze toelichting op de werkwijze van de TTP MYOBI en de TTP-overeenkomst en de TTP algemene voorwaarden, gaat het bepaalde in de TTP-overeenkomst en TTP algemene voorwaarden voor.  In deze toelichting op de TTP-werkwijze worden soms begrippen geschreven met een hoofdletter. De lezer kan de betekenis van het begrip nazoeken in artikel 2 van de TTP algemene voorwaarden, waar de definities van de begrippen zijn opgenomen. Waar ‘hij’, ‘hem’ of ‘zijn’ staat, kan ook ‘zij’ of ‘haar’ worden gelezen.  

Waarom participeren?

Participeren in het Informatie ecosysteem van MYOBI betekent dat Gebruikers de regie krijgen over hun eigen Persoons- en Bedrijfsgegevens. Daarmee krijgen zij grip op hun data die wordt rondgestuurd. Niet langer bepalen anderen wat er met hun gegevens gebeurt en wie ze mag inzien en gebruiken. De Gebruiker bepaalt dit voortaan zelf. Voor Personen betekent dit dat zij grip krijgen op hun eigen gegevens en daarmee op hun eigen vrijheid en leven. Voor Bedrijven betekent dit dat de betrouwbaarheid van hun Bedrijfsgegevens omhoog gaat en daarmee van hun informatiehuishouding. Zij kunnen meer steunen op hun informatiehuishouding. Zij hebben substantieel minder operationele en administratieve lasten. Hun kosten gaan substantieel omlaag. Het betekent kortom meer effectiviteit en kostenefficiëntie.

Wat is het?

“De Gebruiker staat aan het roer. Hij heeft de regie over zijn eigen Persoons- en Bedrijfsgegevens”

MYOBI biedt een omgeving aan, waarin Personen en Bedrijven hun Persoons- en Bedrijfsgegevens kunnen beheren en ontsluiten. Dat gebeurt altijd op zo’n manier dat de Gebruiker aan het roer staat. Hij oefent de controle uit over zijn eigen gegevens. Hij bepaalt wie kennis mag nemen van zijn gegevens. Hij bepaalt wie deze gegevens eventueel verder mag gebruiken. Hij corrigeert ook zo nodig gegevens als deze onjuist of onvolledig zijn.

MYOBI faciliteert en verleent verder Diensten waardoor de betrouwbaarheid van gegevens hoog is. Zo verwacht MYOBI dat Gebruikers zelf hun gegevens verifiëren en zonodig corrigeren.

MYOBI verleent daarnaast notarisdiensten. Zo stelt zij de identiteit van Personen en Bedrijven vast, geeft de benodigdheden uit voor het plaatsen en verifiëren van elektronische handtekeningen en waarmerkt desgewenst documenten zoals afgesloten contracten en bewaart deze.

“MYOBI verleent notarisdiensten”

MYOBI maakt daarnaast een vorm van elektronisch contracteren, ook wel Smart contracting genoemd, mogelijk. Dit geldt ook voor Smart compliance, het afleggen van verantwoording over de naleving van de TTP-policy en andere wet- en regelgeving. Gebruikers moeten immers inzicht hebben in de mate van compliance van andere Gebruikers van MYOBI met wie zij bijvoorbeeld gegevens uitwisselen of Smart contracts mee afsluiten.  

“Gebruikers verantwoorden zich aan elkaar en aan het maatschappelijk verkeer”

Ook willen Gebruikers vaak graag grip krijgen op hun verantwoordelijkheids- en aansprakelijkheidsgebied en hebben Gebruikers vaak behoefte aan inzicht in het verantwoordelijkheids- en aansprakelijkheidsgebied van hun (zaken)partners. Dit faciliteert MYOBI met Legal Entity Management (LEM).

“Zo ontstaat een Informatie ecosysteem”

Drielagenmodel

De dienstverlening van MYOBI is opgebouwd uit een aantal lagen of blokken, te weten:

1. MYOBI Techniek

2. MYOBI Operationeel

3. Dienstverlening door Gebruikers

Deze lagen of blokken staan vanzelfsprekend in verband met elkaar en borduren op elkaar voort. Het een vormt de basis voor het volgende. Zo vormen de IT-infrastructuur en de IT-services de basis voor de Vertrouwensinfrastructuur met behulp waarvan MYOBI de Vertrouwensdiensten levert. De Vertrouwensdiensten op hun beurt vormen weer de basis voor het gebruik of toepassen van Diensten. Vanuit een PDS (onderdeel van Vertrouwensdiensten) worden Smart contracts door een Persoon aangeboden en door een andere Persoon namens een Bedrijf aanvaard en ondertekend met een elektronische handtekening (toepassing van een Dienst).

In de onderstaande figuur 1 is de samenhang tussen deze lagen of blokken weergegeven, waarna een korte toelichting per laag of blok volgt.

Figuur 1 MYOBI organisatie & TTP-policy

A. MYOBI Techniek

In deze laag of dit blok wordt de technische infrastructuur ontwikkeld en beheerd. We zouden kunnen zeggen dat dit de fabriek van MYOBI is. Hier wordt de techniek ontwikkeld, beheerd en onderhouden. Hier ligt het intellectuele eigenaarschap. Met techniek bedoelen we hier de IT infrastructuur en Services; de semantiek van data-elementen en de modellen. De IT-infrastructuur is met Microsoft Azure diensten opgebouwd. De semantiek wordt door MYOBI bepaald en is een basisvereiste om het Informatie ecosysteem in stand te houden. Juridische modellen zijn door de juristen van Duthler Associates en First Lawyers gemaakt en betreffen bijvoorbeeld de contractportfolio’s.

B. MYOBI Operationeel

In deze laag ontstaat het contact van MYOBI met de buitenwereld, met de Gebruikers. Bevindt de laag van MYOBI Techniek zich vooral achter de schermen; de laag van MYOBI operationeel vormt het venster naar buiten. MYOBI operationeel maakt gebruik van de technische infrastructuur van MYOBI Techniek om de Vertrouwensinfrastructuur en Vertrouwensdiensten te leveren.

De Vertrouwensinfrastructuur maakt in technische zin voor een belangrijk deel gebruik van het basisplatform Azure van Microsoft. Via dit platform worden de Vertrouwensdiensten van MYOBI aangeboden en ontsloten aan Gebruikers. Gebruikers loggen op dit basisplatform Azure in. Microsoft Azure is ook het platform waarop de PDS van Gebruikers wordt ingericht en gebruikt en van waaruit de servicesdesk & sales werken.

De Vertrouwensinfrastructuur en Vertrouwensdiensten maken voor een belangrijk deel gebruik van de juridische modellen voor contracten en gespecificeerde toestemmingsverklaringen. Het Informatie ecosysteem kan niet zonder de semantiek voor haar instandhouding en haar beheer.

C. Gebruiker

In deze laag spelen de activiteiten en Dienstverlening zich volop af in de buitenwereld. De TTP-policy vormt de grondslag daarvoor en bevat de afspraken die MYOBI maakt met Gebruikers over het gebruik van de Vertrouwensinfrastructuur, Vertrouwensdiensten en Diensten.

Voorbeelden van Vertrouwensdiensten zijn het voor persoonlijke doeleinden gebruiken van de PDS in de zorg of het deponeren en waarmerken van contracten die zijn afgesloten met Smart contracting.

Andere voorbeelden van Vertrouwensdiensten zijn het faciliteren van het gebruik van een elektronische handtekening en het inrichten van een Personal Data Store (PDS). Een PDS is een persoonlijke omgeving van Gebruikers die gebruikt kan worden om hun Persoonsgegevens en gepersonaliseerde Bedrijfsgegevens te ontsluiten. Een Persoonlijke Gezondheidsomgeving (PGO), waarin medische gegevens van patiënten kunnen worden ontsloten, is een onderdeel van een PDS.  Vertrouwensdiensten zijn een noodzakelijke voorwaarde om bijvoorbeeld Smart contracting te kunnen toepassen of het Informatie ecosysteem in stand te kunnen houden. De Vertrouwensdiensten zijn met andere woorden randvoorwaardelijk voor de Professionele diensten.

Met Professionele diensten worden diensten bedoeld zoals Smart contracting, Smart compliance en Legal Entity Management (LEM), alsook ondersteuning bij het toepassen ervan. MYOBI maakt voor het verlenen van ondersteuning bij het toepassen van Smart contracting gebruik van de juristen van Duthler Associates en advocaten van First Lawyers. Ondersteuning bij Smart compliance wordt verleend door professionals van Duthler Associates.

Wat krijg ik?

Zonder volledig te zijn en om te voorkomen dat het onoverzichtelijk wordt, worden hier de belangrijkste concrete ‘producten en diensten’ genoemd.

Allereerst krijgen Gebruikers een Personal Data Store (PDS). Dat is een persoonlijke omgeving, van waaruit zij de regie houden over hun eigen Persoons- en Bedrijfsgegevens.

Ten tweede krijgen zij de deel te nemen aan een Informatie ecosysteem, waarin de Persoons- en Bedrijfsgegevens aan een voortdurende verificatie onderworpen zijn.

Ten derde krijgen Gebruikers de mogelijkheid gebruik te maken van Smart contracts die zo nodig en desgewenst bedrijfsspecifiek kunnen worden gemaakt. De bedrijfsjuridische functie wordt geoptimaliseerd. Dit kan een substantiële kostenbesparing opleveren.

Ten vierde kunnen Gebruikers gespecificeerde toestemming geven. Ook daarvoor maken zij gebruik van een Smart contract. Gespecificeerde toestemming kan worden gegeven voor bijvoorbeeld het delen van medische gegevens met bepaalde ziekenhuizen, zorginstellingen, dokters, apothekers en andere zorgaanbieders en  zorgverleners.

Ten vijfde krijgen Bedrijven een Accountability Seal, met behulp waarvan zij aan de buitenwereld laten zien in welke mate zij aantoonbaar voldoen aan de TTP-policy en eventuele andere wet- en regelgeving.

Wat krijgen Gebruikers concreet?

1. Een PDS met een PGO;

2. Deelname aan Informatie ecosysteem;

3. Smart contracts;

4. Gespecificeerde toestemming;

5. Accountability Seal.

Wat verwacht MYOBI van u en wat mag u van MYOBI verwachten?

Gebruik van MYOBI en deelname aan het Informatie ecosysteem is niet vrijblijvend. Noch voor MYOBI, noch voor Gebruikers. MYOBI verwacht van Gebruikers dat zij de hen betreffende Persoons- en Bedrijfsgegevens altijd verifiëren en zo nodig (laten) corrigeren. MYOBI verwacht dat Gebruikers gepaste beveiligingsmaatregelen treffen om te voorkomen dat ongeoorloofd of onrechtmatig gebruik of zelfs misbruik wordt gemaakt van hun PDS en de overige Diensten van MYOBI. MYOBI verwacht van Bedrijven dat zij zelf zorgen voor een juiste toewijzing van rollen en bevoegdheden aan medewerkers. MYOBI verwacht van Bedrijven dat zij verantwoording afleggen over de naleving van de TTP-policy.

Gebruikers mogen van MYOBI verwachten dat zij verzoeken om correctie van Persoons- en Bedrijfsgegevens honoreert en uitvoert; dat zij gebruik maakt van een betrouwbaar platform en IT-services; dat zij passende technische en organisatorische maatregelen treft ter beveiliging van het platform en IT-services; dat zij gebruik maakt van betrouwbare systemen voor de opslag en transport van verstrekte Persoons- en Bedrijfsgegevens en dat zij passende technische en organisatorische maatregelen treft tegen vervalsing en diefstal van Persoons- en Bedrijfsgegevens.

Hoe werkt het?

A. Onboarden

Gebruiker worden van MYOBI begint met onboarden. Zonder onboarding is het niet mogelijk gebruik te maken van de Diensten van MYOBI. Onboarding is het proces van het treffen van de nodige voorbereidingen, waaronder het identificeren en authenticeren van Gebruikers en het controleren van bedrijfsgegevens inclusief de vertegenwoordigingsbevoegdheid.

Dat gebeurt als volgt.

B. Identificatie en authenticatie natuurlijke personen

Personen

De identificatie en authenticatie van een natuurlijk persoon vindt plaats aan de hand van zijn e-mailadres en mobiele telefoonnummer. Dit e-mailadres kan door deze persoon zelf worden verstrekt, door een Gebruiker van MYOBI of door een medewerker van de Servicedesk. MYOBI controleert of het e-mailadres en of het mobiele telefoonnummer ieder op zichzelf en in combinatie unieke gegevens zijn, die nog niet eerder zijn verstrekt door andere personen. 

Er zijn verschillende niveaus van zekerheid omtrent de betrouwbaarheid van de identiteit van een natuurlijk persoon. Deze zekerheid kan worden verhoogd door de identiteit door meerdere ‘identiteitsleveranciers’ te laten bevestigen.

Het is mogelijk om ook met andere methoden of andere (authentieke) bronnen de identiteit van de Persoon te authenticeren, zodat de betrouwbaarheid van de identiteit van de Persoon wordt verhoogd.[1]

Na de succesvolle identificatie en authenticatie van de natuurlijke persoon, kan het Onboardingsproces worden vervolgd.

C. Aanmaken Personal Data Store (PDS)

Na een succesvolle identificatie en authenticatie van de natuurlijke persoon, maakt MYOBI vervolgens een Personal Data Store (PDS) aan. Dat doet MYOBI pas als de natuurlijke persoon akkoord is gegaan met de TTP-policy. MYOBI biedt de TTP-policy met behulp van smart contracting aan. Na acceptatie en ondertekening van het smart contract door de natuurlijke persoon en MYOBI, maakt MYOBI een PDS aan en krijgt de natuurlijke persoon toegang tot zijn PDS. De ondertekende TTP-policy wordt opgeslagen in en ontsloten via de PDS van de natuurlijke persoon. Deze natuurlijke persoon noemen we ook wel PDS-gebruiker. Ook kan de natuurlijke persoon de PDS gebruiken voor het toepassen van een elektronische handtekening.   

D. Identificatie en authenticatie bedrijven

Een natuurlijk persoon kan aan MYOBI vragen het Onboardingsproces te starten voor een bedrijf. De persoon overlegt de identiteits- of bedrijfsgegevens van het Bedrijf en de identiteitsgegevens van de wettelijk vertegenwoordiger aan MYOBI. MYOBI vergelijkt vervolgens de bedrijfsgegevens met die uit het uittreksel inschrijving uit het handelsregister van de Kamers van Koophandel.[2] Als de gegevens ten aanzien van de wettelijk vertegenwoordiger met elkaar overeenstemmen, identificeert en authenticeert MYOBI de identiteit van de wettelijk vertegenwoordiger op de hierboven beschreven wijze. Ook maakt MYOBI een PDS aan voor de wettelijk vertegenwoordiger.

MYOBI biedt vervolgens aan de wettelijke vertegenwoordiger de TTP-policy als een smart contract aan, die deze met behulp van Smart contracting aanvaardt. Na aanvaarding en ondertekening van de TTP-policy door de wettelijk vertegenwoordiger en MYOBI, kan het Bedrijf gebruik maken van de PDS van de wettelijk vertegenwoordiger. De wettelijk vertegenwoordiger kan met behulp van LEM-dienstverlening van MYOBI een LEM-manager aanwijzen die weer aan andere (Personen met) bepaalde rollen bevoegdheden kan toewijzen.

In eerste instantie is het Bedrijf een Participerende partij. Sluit het Bedrijf meer dan vijf contracten af met behulp van Smart contracting of gaat het bedrijf gebruik maken van ook andere Diensten van MYOBI dan Smart contracting, dan krijgt het bedrijf de status van Initiërende partij. Het Bedrijf krijgt een signaal van MYOBI op het moment dat ze drie contracten heeft afgesloten met behulp van Smart contracting. Het Bedrijf wordt dan door MYOBI geïnformeerd dat ze nog twee contracten kan afsluiten via MYOBI voordat ze Initiërende partij en dus betalende Gebruiker wordt.

E. Elektronische handtekening

Voor de toepassing van elektronische handtekeningen wordt gebruik gemaakt van sleutelparen. Deze sleutelparen worden onder controle van de PDS-gebruiker gegenereerd in de gepersonaliseerde omgeving van de PDS.  MYOBI heeft op geen enkele wijze toegang tot de private sleutel.

F. Personal Data Store (PDS)

De PDS dient meerdere doelen. Ook kan een PDS de status hebben van actief of passief. Een actief PDS is een PDS van een Initiërende partij. Een passief PDS is een PDS van een Participerende partij. Een Initiërende partij die zijn actieve PDS niet meer wil gebruiken, kan dat via een RfS (Request for Service) MYOBI laten weten. Vanaf het moment dat een dergelijk verzoek is gehonoreerd door MYOBI krijgt de PDS de status van passief.

Vanuit een passief en actief PDS past een Initiërende partij of Participerende partij zijn of haar elektronische handtekening toe.

Vanuit een actief en passief PDS kan de PDS-gebruiker ondertekende contracten ontsluiten.[3]

Alleen vanuit een actief PDS kan een Initiërende partij via een RfS (Request for Service) Diensten van MYOBI afnemen.

De gegevens in een passief PDS – dit kunnen ook contracten zijn – worden drie jaar bewaard. Dit betekent dat de PDS na drie jaar wordt geschoond en de gegevens niet meer benaderbaar zijn. Een Participerende partij kan MYOBI binnen de bewaartermijn van drie jaar verzoeken weer een Initiërende partij te worden. Hiervoor zal MYOBI de identiteit van de PDS-gebruiker opnieuw authenticeren, waarbij zij niet alleen zal afgaan op het e-mailadres en het mobiele telefoonnummer dat door de PDS-gebruiker zelf wordt verstrekt.

G. Request for Service (RfS)

Een RfS kan onder meer betrekking hebben op:

1. Verzoek tot onboarding van een natuurlijke persoon of Bedrijf;

2. Verzoek om aanbod van een bepaalde dienst, zoals die van LEM, Smart contracting of toetsing zelfverklaring in het kader van compliance aan bijvoorbeeld de Avg;

3. Verzoek om toegang tot LPF, Baseline en Toegepaste regels;

4. Verzoek om een afschrift uit een commerciële of authentieke bron, zoals die van het handelsregister van de Kamer van Koophandel;

5. Verzoek tot legal support;

6. Verzoek tot beëindiging status Initiërende partij;

7. Verzoek om een factuur.

Een RfS is ook wel te herkennen aan en wordt zichtbaar gemaakt met een button ‘ticket’.

Voor betaalde Requests for Services wordt door de Servicedesk eerst een smart contract aangeboden. Een verzoek om een service wordt dan beschouwd als het vragen tot het doen van een aanbod. MYOBI doet vervolgens al of niet het aanbod. Dit aanbod wordt vervolgens geaccepteerd door de Initiërende partij. Het voordeel hiervan is dat onweerlegbaar vastligt, dat het verzoek tot de Dienst is gedaan, dat de gevraagde Dienst is aangeboden en dat de Initiërende partij het aanbod heeft geaccepteerd. Vervolgens wordt het verzoek ingewilligd.

H. Legal support

Het is denkbaar dat Gebruikers behoefte hebben aan professionele of juridische ondersteuning bij de toepassing van Smart contracting, Smart compliance of Legal Entity Management. Dit wordt gefaciliteerd door de Servicedesk. Via hun PDS kunnen zij bij de Servicedesk een RfS doen. De Servicedesk zet het verzoek door naar Duthler Associates of First Lawyers.

Legal support wordt verstrekt door juristen van Duthler Associates of advocaten van First Lawyers. Legal support kan bestaan uit het geven van juridisch advies, het begeleiden van contractonderhandelingen of het verlenen van rechtsbijstand. Dit gebeurt op uurtarief en nacalculatiebasis onder de verantwoordelijkheid en voorwaarden van Duthler Associates of First Lawyers. Hiertoe sluiten Gebruikers een Smart contract af en zorgen voor een voldoende saldo op hun rekening-courant. Als het rekening-courant uitgeput dreigt te raken, dan laat de Servicedesk dat aan de Gebruiker weten. Maandelijks of op afroep stelt de Servicedesk een factuur samen dat is gebaseerd op het werkelijk aantal verbruikte uren.   

I. Servicedesk

De Servicedesk voert het hierboven beschreven proces van Onboarding uit.

De Servicedesk handelt Requests for Services af. Zij informeert Gebruikers zo nodig proactief over de mogelijkheid van professionele ondersteuning van de bedrijfsjuridische en compliance functie. Ook informeert zij Gebruikers proactief of op verzoek over het verbruik van eventuele professionele ondersteuning. Deze informatie wordt via de PDS beschikbaar en toegankelijk gemaakt.

De Servicesdesk is beschikbaar voor operationele en praktische vragen en verstrekt achtergrondinformatie. Ook kan ze op eigen initiatief contact zoeken met Gebruikers of potentiële Gebruikers om problemen of onduidelijkheden op te lossen.

Ten behoeve van het proces van Onboarding voert de Servicedesk van MYOBI geautomatiseerd en continu de volgende controles uit:

  • Uniciteit van e-mailadressen en telefoonnummers, afzonderlijk en in combinatie
  • Uniciteit van Bedrijfsgegevens
  • Vergelijking aangeleverde persoons- en bedrijfsgegevens met authentieke en openbare bronnen.

J. Compliance

MYOBI legt over het gebruik van de Diensten door Initiërende partijen verantwoording af aan deze Initiërende partijen via hun Personal Data Store.

De governance van MYOBI en de inrichting van het platform van MYOBI, de Vertrouwensinfrastructuur en van de Vertrouwensdiensten voldoen aan de Europse algemene verordening gegevensbescherming (Avg), aan de eIDAS-verordening en de uitvoeringswet eIDAS -verordening, Implementatiewet richtlijn consumentenrechten en aan de Wet verkoop op afstand alsmede aan de lagere regelgeving die hierop is gebaseerd.

De inrichting van het platform van MYOBI, de Vertrouwensinfrastructuur en van de Vertrouwensdiensten voldoen aan de Wet koop op afstand, de Europese richtlijn digitale inhoud en digitale diensten’ (2019/770).

Daarnaast legt MYOBI jaarlijks verantwoording af over de effectieve werking van de door haar getroffen (beheers)maatregelen om aan de Avg te voldoen.

K. Technische aspecten

Microsoft Azure vormt het basisplatform voor de Vertrouwensinfrastructuur en het verlenen van Vertrouwensdiensten van MYOBI. Daarnaast worden software servicecomponenten ingezet als crypto vaults, active directory en databases.


[1] Door €0,01 over te maken naar een bankrekeningnummer of gebruik te maken van IRMA. Zie https://privacybydesign.foundation/en/.

[2] Dit is een geautomatiseerd proces. Ook toetst MYOBI in haar eigen database of de bedrijfsgegevens niet al daarin voorkomen. Een bedrijf kan slechts één maal daarin voorkomen. Daarnaast kan de servicedesk van MYOBI andere (openbare) bronnen zoals websites, media en social media gebruiken om de verstrekte bedrijfsgegevens te verifiëren.   

[3] Smart contracts die Gebruikers hebben gesloten met andere Gebruikers en door PDS-houders zijn ondertekend, kunnen worden gewaarmerkt door MYOBI. Het waarmerken vindt ook plaats met behulp van een elektronische handtekening.