EUROMOD is een metamodel voor statistische microsimulatie om modellen van fiscale maatregelen en fiscale voordelen op basis van het gezinsinkomen in de Europese landen te beschrijven. Dit metamodel maakt het mogelijk om de verschillende beleidsmaatregelen te simuleren, te evalueren en te vergelijken. Het wordt zowel gebruikt om de effecten van het bestaande beleid te berekenen als om het effect van wijzigingen op het vlak van fiscale voordelen op armoede, ongelijkheid en nationale begrotingen te evalueren.

Het model wordt gebruikt als een instrument om scenarioanalyses op basis van simulaties uit te voeren met behulp van statistische software van de klant, EUROMOD genaamd. Dit moet het werk van onderzoekers en besluitvormers vereenvoudigen om de verschillende politieke hypothesen te beoordelen. EUROMOD is een universeel, voor de EU gestandaardiseerd instrument dat ontworpen is om modellen en resultaten te produceren die relevant zijn voor alle Europese landen. 

EUROMOD is een open access tool bestaande uit 3 elementen: 

• de softwareapplicatie,
• ingebouwde beleidsregels die via software worden bijgewerkt om het bestaande beleid elk jaar op 30 juni weer te geven. Ze verrijken alle standaard EUROMOD-protocollen,
• ingevoerde microgegevens die door de software worden verwerkt

De tool werd ontwikkeld door het Institute for Social and Economic Research (ISER) van de University of Essex. Op 1 januari 2021 werd het beheer overgenomen door het Gemeenschappelijk Centrum voor Onderzoek van de Europese Commissie (https://euromodweb.jrc.ec.europa.eu/). 

Op Belgisch niveau wil de Federale Overheidsdienst Sociale Zekerheid (FOD-SZ), gesteund door partners, dit model verder gebruiken en aan de slag gaan met meer nauwkeurige administratieve gegevens uit verschillende gegevensbronnen om vooraf een aantal effecten van beleidswijzigingen op het gebied van de sociale bescherming te kunnen inschatten. Het kan hier zowel om de budgettaire impact gaan als om een raming van welke personen en gezinnen vooral hun inkomen zullen zien veranderen.
Dit onderdeel heet BELMOD of het TaxBEN microsimulatiemodel voor België.

Het BELMOD-model werd ontwikkeld als de modernisering van MIMOSIS, een project dat in augustus / september 2022 werd beëindigd. Het gebruik en de continue actualisering van BELMOD (het model, niet het project) is nu een operationele doelstelling van de FOD Sociale Zekerheid.

Het doel ervan was tweeledig:

• op technisch vlak beoogt het project de modernisering van het huidige microsimulatiemodel van de FOD Sociale Zekerheid (MIMOSIS) en 
• en inhoudelijk wordt er een inventaris opgemaakt van beleidsmaatregelen om de non-take-up (NTU) van sociale rechten in België te verminderen.

De huidige bijkomende gegevensbronnen zijn:

• administratieve gegevens uit het Datawarehouse Arbeidsmarkt en Sociale Bescherming
• data van de FOD Financiën: STIPAD/CADNET gegevens uit de patrimoniumdocumentatie en het kadaster en data uit de IPCAL belastingsaangiften (individuele belastingsbrieven) 
• STATBEL data

Het BELMOD-model wordt beheerd door de FOD-SZ en werd ontwikkeld in samenwerking met het Federaal Planbureau, de KU Leuven en de Universiteit Antwerpen.

Deze documentatie wordt regelmatig bijgewerkt. We proberen de informatie zo correct, volledig en zo duidelijk mogelijk weer te geven. Als u desondanks iets in de documentatie ziet dat niet correct is, niet overeenkomt met uw ervaring, of verdere verduidelijking vereist, maak dan een verzoek aan (type: verzoek om informatie) via ons portaal (https://sciensano.service-now.com/sp) of stuur ons een e-mail via support.healthdata@sciensano.be om dit documentatieprobleem te melden. Vergeet niet de URL of het webadres van de pagina met het documentatieprobleem te vermelden. Wij zullen de documentatie dan aanpassen. Bedankt!

In deze context kreeg healthdata.be de vraag om een "Desktop as a Service"-platform te implementeren en aan externe onderzoekers aan te bieden teneinde data in een beveiligde omgeving op afstand te kunnen raadplegen en analyseren.

Het systeem voor toegang op afstand (Citrix-omgeving) moet de gebruikers in staat stellen om de EUROMOD-software op afstand te gebruiken en de BELMOD-uitvoer te raadplegen zonder mogelijkheid om de gegevens te kopiëren. Aangezien de output van het microsimulatiemodel ook .txt-bestanden zijn met gegevens op individueel niveau, mogen deze bovendien gedownload kunnen worden. Gegevens worden opgeslagen op een bestandsserver, niet in databanken.

De SCN-P-XAWBELMOD machine is een alleenstaande server zonder toegang tot het Internet.

De BELMOD-omgeving zal gebruikt worden door meerdere organisaties, afhankelijk van de projecten.

KSZ en FOD-SZ uploaden de data naar de HD SFTP-server in de map BELMOD_IN. Via een automatisch proces worden de geüploade bestanden naar de desbetreffende map BELMOD_IN op de BELMOD-server overgebracht.

Deze data zijn via de Citrix-machine SCN-P-XAWBELMOD toegankelijk voor analyse door de onderzoekers. Zij plaatsen de gegenereerde rapporten in een validatiemap. Enkel een datapublisher kan de data valideren en het bestand (de bestanden) naar de exportmap verplaatsen naar de exportmap van het betreffende project.  

Hierna worden de bestanden automatisch geüpload naar de map BELMOD_OUT op de SFTP-server.

Via de VPN remote.healthstat.be hebben gebruikers toegang tot de Citrix-omgeving. Hierbij wordt gebruikt gemaakt van toegangen die voorzien zijn op de Active Directory (AD).  

De verbinding wordt via de Citrix controller (WIV-P-DDC01) tot stand gebracht, waarna de gebruikers toegang hebben tot de BELMOD server waarop de applicaties zijn geïnstalleerd. Deze applicaties worden gebruikt om de analyse uit te voeren. 

De BELMOD server bevindt zich in de eigen OU, afgescheiden van alle andere XAW servers.

De gebruikers zijn gegroepeerd in de AD. Deze groepen bevinden zich allemaal in dezelfde OU. De toegang tot de SCN-P-XAWBELMOD server gebeurt via twee verschillende accounttypes, namelijk:

• Standaard gebruikers: "BELMOD users SCN-P-XAWBELMOD" 
• Gelimiteerde gebruikers: "BELMOD users SCN-P-XAWBELMOD limited users" 

In de huidige situatie mogen standaard gebruikers verbinding maken met de desktopversie van de server. Gelimiteerde gebruikers mogen alleen verbinding maken met de EUROMOD gepubliceerde applicatie. Verder zijn gelimiteerde gebruikers ook beperkt in hun handelingen op de server, omdat ze tools zoals de Prullenbak, het Configuratiescherm etc. niet kunnen gebruiken. Ook zijn de verschillende schijven op de server ontoegankelijk voor alle gebruikers.

Gebruikers worden in de AD gegroepeerd in zogeheten "globale groepen". Deze globale groepen bevinden zich allemaal in dezelfde OU. 

Het computerobject en de verschillende gebruikersgroepen bevinden zich in het domein DHD.local.

General description of the application UM-EM

User manual of the application UM-EM

Technical manual of the application UM-EM

Support services UM-EM

Local manager of UM-EM

Service and Support portal of healthdata.be (Sciensano)

General description of the eHealth TTP service

User manual of the eHealth TTP service

Technical manual of the eHealth TTP service

Support services eHealth TTP service

Support portal of eHealth

General description of the application eHBox

User manual of the application eHBox

Technical manual of the application eHBox

Support services eHBox

Local manager of eHBox

Support portal of eHealth

General description of the application eHBox client

User manual of the application eHBox client

Technical manual of the application eHBox client

Support services eHBox client

Local manager of eHBox client

Support portal of healthdata.be (Sciensano)

Binnen de desktopapplicatie van BELMOD (SCN-P-XAWBELMOD machine) gelden de volgende beperkingen voor alle gebruikers:

• geen toegang tot het Internet 
• geen toegang tot de C:\ drive
• eigenschappen van bestandsen of mappen controleren en wijzigen is niet mogelijk
• software installeren is niet mogelijk 
• de server uitschakelen en herstarten is niet mogelijk 
• copy-paste tussen de BELMOD server en de lokale machine is niet mogelijk 

Er kunnen twee type gebruikers worden onderscheiden: 

• Gebruikers van de Euromod applicatie: hebben toegang tot de Euromod Citrix applicatie.
• Gebruikers van de volledige applicatie: hebben toegang tot de BELMOD Citrix desktopapplicatie met alle vereiste applicaties (inclusief EUROMOD) – zie volledige lijst via de sectie De analyse van de data.

Er zijn ook lokale beheerders met extra privileges en toegang tot alle bestanden en mappen op de E:\ drive.

Opmerking: Als de lokale beheerders een nieuw project willen aanmaken, moet er via Service Now een RFI worden gemeld (zie sectie Hoe een verzoek om informatie aanmaken en verzenden) met vermelding van de naam van het project, van de betreffende mappen en van de gebruikers die toegang nodig hebben en tot welke groep(en) deze toegang nodig hebben.

Gebruikers hebben toegang tot de Citrix server via volgende link →  https://remote.healthstat.be/vpn/index.html

Opmerking: Als er nieuwe credentials nodig zijn, dient een lokale beheerder een ticket via Service Now aan te maken en te verzenden (zie sectie Hoe een verzoek om informatie aanmaken en verzenden) met vermelding van de volgende informatie:

• Voornaam, familienaam 
• Telefoonnummer
• E-mailadres
• Gelimiteerde Citrix-gebruiker of Citrix-gebruiker met volledige toegang 
• Gebruikerstoegang → lid van welke groep(en)

Op de E:\ drive is permanent een back-up beschikbaar. 
Gebruikers kunnen de bestanden die ze zelf hebben verwijderd, via de tool "Prullenbak" herstellen. 
Als het niet mogelijk is om een bestand te herstellen, kan een ticket worden aangemaakt via Service Now, zodat healthdata.be de aanvraag tot herstel naar Arxus kan doorsturen. 

De dienst healthdata.be (Sciensano) behandelt elke melding van een incident volgens een Standard Operating Procedure (SOP). Een publieke versie van deze SOP "HD Incident Management Process" is ook beschikbaar op deze docs.healthdata.be portaal. . 

Om een incident te melden met betrekking tot de projecten en applicaties die in productie zijn, en gefaciliteerd of beheerd worden door de service healthdata.be van Sciensano, moet u eerst inloggen op het healthdata.be serviceportaal: https://sciensano.service-now.com/sp.

Na de inlogstap komt u op de hoofdpagina van het portaal. 

Als u de eerste keer inlogt, moet u uw profiel vervolledigen, dwz. contactgegevens vermelden, om uw ticket te kunnen opvolgen. Zodra u het profiel hebt verzonden, keert u terug naar de hoofdpagina van het portaal.  

Op de hoofdpagina selecteert u "Hulp vragen". 

Er verschijnt een nieuwe pagina met de titel "Creëer een incident".

U kunt nu uw incident of probleem documenteren door de volgende informatie te verstrekken (velden aangeduid met een * zijn verplicht in te vullen):

Geef aan hoe dringend het is dat uw probleem moet worden opgelost op basis van de bedrijfskritische aard ervan.

Na selectie van uw Rol verschijnt er een lijst van Applicaties die relevant zijn voor u: selecteer de applicatie waarmee u een probleem ervaart. 

Zoek en selecteer het gewenste project door een trefwoord, het HD projectnummer of de projectafkorting in te voeren. 

Geef een duidelijke en korte beschrijving (1 zin) van het onderwerp van uw probleem.

Gelieve het probleem in detail te beschrijven. De volgende aspecten zijn belangrijk voor ons om het probleem te begrijpen en op te lossen: 

• een beschrijving van de acties die u wilt uitvoeren maar niet kunt uitvoeren (Bv.: geef ons veldnaam, validatieregel, knop, etc.)
• een beschrijving (indien mogelijk) van de opeenvolgende stappen die u neemt om de healthdata.be-service of -applicatie waarvoor u ondersteuning nodig hebt, te gebruiken
• een korte beschrijving van het technische probleem dat u ondervindt (Bv.: foutmeldingen) 

Wij raden u aan een schermafbeelding toe te voegen die het probleem beschrijft (BELANGRIJK: Verstrek ons geen patiëntgegevens!).

U kunt de schermafbeelding toevoegen door op "Add attachments" te drukken. 

Aan de rechterkant van het formulier staan de verplichte informatie-elementen van het Incidentenformulier. Wanneer deze velden zijn ingevuld, verdwijnen deze veldnamen in het vak "Required information" (verplichte informatie). 

Alleen als alle verplichte velden zijn ingevuld, kan een formulier worden verzonden, door op de groene "Indienen" knop te drukken. 

Indien niet alle verplichte velden zijn ingevuld, verschijnt bovenaan het formulier een waarschuwingsbericht. 

Ook zullen de ontbrekende verplichte velden groen gemarkeerd worden.

Als het incidentenformulier met succes is ingediend, verschijnt in een nieuw scherm een overzicht van uw indiening. 

Aan de rechterkant van het scherm vindt u de details, waaronder het Incidentnummer. 

Aan de linkerkant van het scherm vindt u een tijdlijn van de afhandeling van uw incident, te beginnen met de creatie ervan. 

Om een verzoek om informatie te creëren, volgt u de healthdata.be werkinstructies zoals hieronder beschreven.

Overzichtsschema van de procedure

Procedure in de vorm van werkinstructies

STAP 1. De gebruiker vraagt om informatie

Actie: Een gebruiker vraagt om informatie. Dit kan zijn:

• Een uitleg over een project
• Een lijst
• ...

STAP 2. SD maakt een RFI ticket aan (Request for Information)

Actie: Als de gebruiker geen ticket vanuit het portaal heeft aangemaakt, maakt de Service Desk namens de gebruiker een ticket aan van het type Verzoek om informatie

Verplichte velden zijn het onderwerp en de beschrijving. 

De aanvraag wordt ingediend door op "Order now" te klikken.

STAP 3. SD onderzoekt het verzoek en verrijkt het verzoek

Actie: Service Desk opent het gevraagde item, gekoppeld aan het verzoek, en onderzoekt de behoeften van de aanvrager. Indien nodig voegt de Service Desk verduidelijkingsinformatie toe in de communicatie met de klant, die zichtbaar is voor de gebruiker. 

STAP 4. Het verzoek inwilligen

Actie: Als de Service Desk weet hoe het gevraagde item moet worden uitgevoerd, voert hij de actie uit. Als ze niet weten hoe, zullen ze eerst onderzoeken of ze het gevraagde item kunnen vervullen of dat ze het gevraagde item aan een andere toewijzingsgroep moeten toewijzen (stap 6).

STAP 5. Zet het gevraagde item op 'Closed Complete'

Actie: Service Desk of 2L-toewijzingsgroep zal de gebruiker informeren door een gebruiksvriendelijke opmerking in het veld "Customer communication" in te voeren en het gevraagde item in de status "Closed Complete" te zetten.

STAP 6. Het gevraagde item toewijzen aan 2L-groep

Actie: indien geen vervulling mogelijk is, wijst de Service Desk het gevraagde item toe aan een 2L-toewijzingsgroep.

STAP 7. Het verzoek inwilligen

Actie: de 2L-toewijzingsgroep zal het gevraagde item vervullen en stap 5 uitvoeren.

Deze documentatie wordt regelmatig bijgewerkt. We proberen de informatie zo correct, volledig en zo duidelijk mogelijk weer te geven. Als u desondanks iets in de documentatie ziet dat niet correct is, niet overeenkomt met uw ervaring, of verdere verduidelijking vereist, maak dan een verzoek aan (type: verzoek om informatie) via ons portaal (https://sciensano.service-now.com/sp) of stuur ons een e-mail via support.healthdata@sciensano.be om dit documentatieprobleem te melden. Vergeet niet de URL of het webadres van de pagina met het documentatieprobleem te vermelden. Wij zullen de documentatie dan aanpassen. Bedankt!

WAT IS HET PROBLEEM?

We blokkeren e-mails van uw organisatie omdat de configuratie van uw e-mail- en/of DNS-diensten mogelijk misbruik door spammers / hackers mogelijk maakt. Meer in het bijzonder stelt uw huidige configuratie andere afzenders in staat om zich als uw organisatie voor te doen door hen toe te staan de "Header From" van de e-mail van uw organisatie na te bootsen.

Met andere woorden, ze kunnen phishing- en spamberichten versturen die niet te onderscheiden zijn van echte e-mails van uw organisatie.

Als u verantwoordelijk bent voor het beheer van uw ICT-infrastructuur, lees dan verder. Als u niet de verantwoordelijke bent, geef dit bericht dan door aan uw ICT-afdeling of aan de ICT-dienst die uw ICT-infrastructuur beheert.

HOE LOST U DIT OP?

U dient te controleren of uw configuratie voldoet aan de beveiligingseisen voor “Sender Alignment”. Meer specifiek moeten uw maildiensten en DNS geconfigureerd worden volgens ICT-standaarden.

Deze configuraties zijn gangbaar, goed gedocumenteerd en worden ondersteund door hostingbedrijven:

• https://dmarcian.com/alignment/
• https://mxtoolbox.com/dmarc/spf/spf-alignment
• https://o365info.com/how-does-sender-verification-work-how-we-identify-spoof-mail-the-fiveheros-spf-dkim-dmarc-exchange-and-exchange-online-protection-part-9-of-9/

We hebben gemerkt dat dit probleem vaak voorkomt bij organisaties die hun ICT-infrastructuur hebben verplaatst naar Cloud services zoals Microsoft (O365), Amazon, Google en MS Azure zonder de ICT-infrastructuur goed te configureren. (Die wordt immers niet beheerd door deze providers).

De configuraties en aanbevelingen moeten worden geïmplementeerd op de ICT-infrastructuur van de klant, ongeacht of die intern of extern is. DNS en Mailservices zijn de belangrijkste ICT-platformen voor deze acties.

HET GEBRUIK VAN VERSCHILLENDE DOMEINEN BIJ HET VERZENDEN VAN E-MAILS

E-mails bevatten een "Envelope From" en een "Header From". Beide moeten overeenkomen om te voorkomen dat de e-mail wordt geblokkeerd.

Enkele voorbeelden:

1. Een openbare dienst gebruikt zijn nieuwe domeinnaam in de “Header From” en zijn oude domeinnaam in de “Envelope From”.

• Envelope From = noreply@publicservice.fgov.be
• Header From = noreply@publicservice.belgium.be

➔ Deze e-mails worden geblokkeerd.

Remark: Omdat het een noreply adres is, zal de afzender niet eens merken dat de e-mail geweigerd wordt …

2. Een organisatie gebruikt een Cloud-service (Freshservice) voor haar helpdesktool en de “Envelope From” is niet aangepast.

• EnvelopeFrom = bounces+us.3.52773-helpdesk=organisation.be@emailus.freshservice.com
• Header From = helpdesk@organisation.be

➔ Deze e-mails worden geblokkeerd.

3. Een bedrijf gebruikt een Cloud service (Amazon SES) om de leveringsmelding te versturen en de “Envelope From” is niet aangepast.

• Envelope From = 01020188573f374-96de6437-9134-45f4-8aa6-3e9ac18d5848-000000@euwest-1.amazonses.com
• Header From = noreply@company.be

➔ Deze e-mails worden geblokkeerd.