GEMMA review Implicaties Architectuurprincipes NORA 2023: verschil tussen versies

{| class="wikitable"

!ID

!Implicatie

!Review 1e ronde Implicaties 30-12-2022!!Voorstel GEMMA implicaties indien afwijking

|[https://www.noraonline.nl/wiki/Beschrijf_informatieobjecten_in_een_model Beschrijf informatieobjecten in een model]||Voor een optimale dienstverlening aan burgers en bedrijven en voor effectieve en efficiënte samenwerking in het leveren van diensten tussen en binnen overheidsorganisaties, is het belangrijk om een gezamenlijk beeld te hebben van de informatie die hierbinnen worden gebruikt en nodig zijn.

 

 

Dit is alleen mogelijk door informatieobjecten voor een dienst, systematisch te beschrijven met behulp van een informatiemodel dat de semantiek en syntax van de gegevens vastlegt. Zo kunnen de betrokken gebruikers de relevante informatieobjecten vinden, toepassen, (her)gebruiken en archiveren.  

|Beschrijf informatieobjecten in een generiek model||

|[https://www.noraonline.nl/wiki/Voorkom_verlies_van_informatie Voorkom verlies van informatie]||Veranderingen in techniek, organisatie of gebruikerswensen mogen niet van negatieve invloed zijn op de duurzame toegankelijkheid van informatie. Hetzelfde geldt voor bitrot (verlies van informatie door verval van opslagmedia). Neem vooraf maatregelen om informatie toekomstbestendig te maken, zodat deze toegankelijk blijft voor de van toepassing zijnde vormen van (her)gebruik.

 

 

Dit betekent dat:

 

*Leveranciersafhankelijkheid wordt voorkomen

*Analyse wordt gemaakt van welke gevolgen veranderingen (in techniek, organisatie, of gebruikerswensen) hebben voor de duurzame toegankelijkheid van informatie. Bij het ontwerpen van informatiesystemen na wordt gedacht over de te gebruiken technologie voor het beheren van informatie.

|Dit lijken  meerdere implicaties: voorstel om deze te beperken en te linken met nieuwe implicatie IMP091  archivering en duurzaamheid by design.||

|[https://www.noraonline.nl/wiki/Maak_zoveel_mogelijk_data_beschikbaar_als_open_data Maak zoveel mogelijk data beschikbaar als open data]||Bij het ontwerpen van informatiesystemen na wordt gedacht over de te gebruiken technologie voor het beheren van informatie.

 

 

 

 

Vanuit o.a. de WOO richt de overheid zich op transparantie. Daarbij hoort het actief beschikbaar stellen dan wel delen van data. Wel met inachtneming van de beperkingen die daarbij gelden (bijv. vanuit de AVG).

 

 

 

Er zijn meerdere redenen om data actief beschikbaar te stellen. Zo kan het meer transparantie en inzicht geven in het overheidshandelen en zo de accountability vergroten. Bijvoorbeeld door begrotingen of inkoopgegevens als open data beschikbaar te stellen.

 

Het kan ook economische en maatschappelijke innovatie stimuleren, zoals de ontwikkeling van apps en informatiediensten op basis van overheidsdata.  

|Maak zoveel mogelijk relevante data proactief beschikbaar als open data waarbij linked open data de voorkeur heeft.||[[Bestand:GEMMA en data.png|koppeling=Special:FilePath/GEMMA_en_data.png]]

|[https://www.noraonline.nl/wiki/Minimaliseer_het_gebruik_van_gegevens Minimaliseer het gebruik van gegevens]||Verzamel of vraag alleen die gegevens op die nodig zijn voor het strikte doel van de dienstverlening. En houd de gegevensverwerking die hierop volgt in proportie met het doel. Dit voorkomt dat vertrouwelijke of privacygevoelige gegevens onnodig worden verwerkt.||GAP 18 Regie op gegevens relatie toevoegen, let op  breder dan dienstverlening||

|[https://www.noraonline.nl/wiki/Bied_één_contactpunt_(Single_point_of_contact) Bied één contactpunt (Single point of contact)]||Bied de dienst zo veel mogelijk vanuit één contactpunt aan richting burgers en bedrijven. Zo hoeven burgers en bedrijven niet met verschillende partijen te schakelen om de dienst af te kunnen nemen.||Voor de gemeente worden vaak klantregiseurs (specifiek) of KCC ingezet.||

|[https://www.noraonline.nl/wiki/Ken_je_afnemers_en_stem_diensten_hierop_af Ken je afnemers en stem diensten hierop af]||Verdiep je in de achtergronden van je afnemers en de context waarin zij van de dienst gebruik maken en vergewis je van de digitale vaardigheden van je doelgroep. Zorg dat de dienst is afgestemd op de (digi)vaardigheden en mogelijkheden van alle (potentiële) afnemers.

 

 

 

 

Weet welke informatie afnemers doorgaans zoeken en waar ze deze zoeken. Deze informatie meld je aan op de voor de afnemers bekende vindplaatsen, zoals zoekmachines, portals, catalogi en registers. Ook de dienst zelf voorzie je van de nodige zoekfuncties.

 

|Digitaal inclusief voor gemeenten is niet beperkt tot inwoners/afnemers maar ook voor gebruikers/interne medewerkers. Zeker gezien de leeftijdsopbouw in de personeelsbestanden van gemeenten.||

|[https://www.noraonline.nl/wiki/Verwijs_naar_de_bron Verwijs naar de bron]||Verwijzen naar de bron heeft voorkeur boven een kopie uit die bron. Inzage in de bron heeft de voorkeur boven zelf opslaan. Afspraken daarover worden vastgelegd en bekend gemaakt. Vanuit legitimiteitsperspectief kan het nodig zijn een kopie vast te leggen.||Dubbel met IMP021  ?||

|[https://www.noraonline.nl/wiki/Maak_besluiten_traceerbaar_en_controleerbaar Maak besluiten traceerbaar en controleerbaar]|| De overheid zorgt dat besluiten die burgers en bedrijven raken, ook door deze burgers en bedrijven te controleren zijn. Hierbij hebben zij de mogelijkheid om inzicht te krijgen op welke wijze en op basis van welke informatie besluiten tot stand zijn gekomen (traceerbaarheid).||Voor gemeenten is het uitgangspunt tijdreizen hierin belangrijk. Dus welk besluit is genomen op welk moment op basis van het wettelijk kader wat toen gold. Gezien de veranderingen in wetgeving is hierin een hoge complexiteit ontstaan die het niet echt transparant maakt voor de inwoners/afnemers/gebruikers/medewerkers.||

|[https://www.noraonline.nl/wiki/Geef_de_afnemer_inzage_in_rechten_en_voorwaarden_en_plichten Geef de afnemer inzage in rechten en voorwaarden en plichten]|| De bij de dienst horende rechten, voorwaarden en plichten dienen op duidelijke en transparante wijze toegankelijk te worden gemaakt voor burgers en bedrijven die deze dienst af willen of moeten nemen.||Voor gemeenten is het uitgangspunt tijdreizen hierin belangrijk. Dus welk besluit is genomen op welk moment op basis van het wettelijk kader wat toen gold. Gezien de veranderingen in wetgeving is hierin een hoge complexiteit ontstaan die het niet echt transparant maakt voor de inwoners/afnemers/gebruikers/medewerkers.||

|[https://www.noraonline.nl/wiki/Bied_multi-_en_omni-channel_dienstverlening Bied multi- en omni-channel dienstverlening]||Bied diensten aan via meerdere kanalen aan. Bij multichannel kunnen afnemers kiezen tussen enkele kanalen die niet direct op elkaar zijn afgestemd. Bij omnichannel gebruikt de afnemer heel veel verschillende kanalen die goed op elkaar zijn afgestemd.||Relatie met GAP19 Digitaal inclusief toegevoegd als principe in GEMMA||

|[https://www.noraonline.nl/wiki/Sluit_aan_op_het_voorkeurskanaal_van_de_gebruiker Sluit aan op het voorkeurskanaal van de gebruiker]||Sluit qua kanaal aan op de voorkeurkeuze van gebruikers. Digitale kanalen zijn hierin leidend, doch er mag niet voorbij worden gegaan aan het belang van burgers die geen of beperkte mogelijkheden hebben om digitaal te communiceren.||Relatie met GAP19 Digitaal inclusief toegevoegd als principe in GEMMA||

|[https://www.noraonline.nl/wiki/Maak_de_dienst_toegankelijk_voor_alle_gebruikers Maak de dienst toegankelijk voor alle gebruikers]||Zorg dat alle gebruikers, ook die met functiebeperking, de volwaardige dienst kunnen afnemen. Het streven is digitale inclusiviteit voor iedereen (digitoegankelijk).||Relatie met GAP19 Digitaal inclusief toegevoegd als principe in GEMMA||

|[https://www.noraonline.nl/wiki/Maak_de_dienst_toegankelijk_voor_anderstaligen Maak de dienst toegankelijk voor anderstaligen]||Zorg dat een (potentiële) anderstalige gebruiker de dienst ook kan afnemen, door deze ook in een algemeen toegankelijke taal aan te bieden (bv. Engels).||Relatie met GAP19 Digitaal inclusief toegevoegd als principe in GEMMA||

|[https://www.noraonline.nl/wiki/Elimineer_overbodige_processtappen_(voor_de_afnemer) Elimineer overbodige processtappen (voor de afnemer)]||Stel bij iedere processtap de vraag of deze stap waarde toevoegt voor de afnemer of dat de processtap evengoed weggelaten kan worden.||Linken met GAP16  Streef naar eenvoud!||

|[https://www.noraonline.nl/wiki/Maak_beveiligingsmaatregelen_zo_gebruiksvriendelijk_mogelijk Maak beveiligingsmaatregelen zo gebruiksvriendelijk mogelijk]||Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds en ander onveilig gedrag.||Voor gemeenten is het uitgangspunt veilig (algemeen belang) en dan gebruikersvriendelijk (persoonlijk belang) en transparant in omschrijving weghalen.||Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds en ander onveilig gedrag.

|[https://www.noraonline.nl/wiki/Pas_ontwerprichtlijen_toe_bij_websites_en_portalen_en_apps Pas ontwerprichtlijen toe bij websites en portalen en apps]||Elke overheidsorganisatie is verantwoordelijk voor het goed toegankelijk maken van haar activiteiten voor burgers en bedrijven. Voor websites geldt dat deze moeten voldoen aan de standaarden zoals gedefinieerd in WCAG. Dit geldt met name voor websites die toegankelijk zijn voor het publiek, maar ook voor intern gerichte websites. WCAG staat voor 'Web Content Accessibility Guidelines'. De wetgever heeft bepaald dat alle (semi-)overheids websites per 23 september 2020 aan deze WCAG standaard moeten voldoen.||Voor de gemeente toevoegen voldoen aan NLDesign systems en het geldt niet alleen voor interne websites maar ook voor de interactielaag van applicaties, componenten en na publiek toevoegen gebruikers/medewerkers.||Elke overheidsorganisatie is verantwoordelijk voor het goed toegankelijk maken van haar activiteiten voor burgers en bedrijven en medewerkers. Voor websites en de interactielaag van applicaties en componenten geldt dat deze moeten voldoen aan de standaarden zoals gedefinieerd in WCAG. Dit geldt met name voor websites die toegankelijk zijn voor het publiek, maar ook voor intern gerichte websites en de interactielaag van applicaties en componenten.. WCAG staat voor 'Web Content Accessibility Guidelines'. De wetgever heeft bepaald dat alle (semi-)overheids websites per 23 september 2020 aan deze WCAG standaard moeten voldoen. Vanuit gebruiker centraal is daar NL Design system als als standaard toegevoegd.

|[https://www.noraonline.nl/wiki/Zorg_dat_overheidsinformatie_eenvoudig_te_raadplegen_is Zorg dat overheidsinformatie eenvoudig te raadplegen is]|| De informatiegebruiker (mens of machine) kan een informatieobject of een verzameling informatieobjecten binnen redelijke tijd en inspanning gebruiken (zoals inzien, exporteren, bewaren en verwerken in de eigen gebruiksomgeving), nu en in de toekomst (gedurende de gehele levenscyclus).||Deze implicatie splitsen, het eerste deel staat deels al bij IMP052||

| || De informatie moet kunnen worden gevonden zonder dat er (specifieke) en/of kennis van de zoekfunctionaliteit of de gezochte informatie benodigd is.|| || De informatie moet kunnen worden gevonden zonder dat er (specifieke) en/of kennis van de zoekfunctionaliteit of de gezochte informatie benodigd is.

| ||Van elk informatieobject een weergave en/of export beschikbaar moet zijn.||Aparte implicatie toegevoegd, hier vervallen||

|[https://www.noraonline.nl/wiki/Maak_één_organisatie_verantwoordelijk_voor_de_dienst Maak één organisatie verantwoordelijk voor de dienst]||Eén organisatie is verantwoordelijk en aanspreekbaar voor de geleverde dienst.|| No wrong door en voorkom van kastje naar de muur gedrag||

|[https://www.noraonline.nl/wiki/Maak_stelselafspraken_over_identificatie_en_authenticatie Maak stelselafspraken over identificatie en authenticatie]||Maak stelselafspraken om te komen tot één generiek digitaal stelsel voor identificatie en authenticatie of sluit aan bij een bestaand kanaaloverstijgend stelsel met afspraken over betrouwbaarheidsniveau's.||RBAC of PBAC???||

|[https://www.noraonline.nl/wiki/Defineer_de_toegangsregels_kanaalonafhankelijk Defineer de toegangsregels kanaalonafhankelijk]||Formuleer uniforme regels die gelden voor toegang tot de entiteiten (dienst, informatie, object) onafhankelijk van het kanaal.|| ||

|[https://www.noraonline.nl/wiki/Bevorder_hergebruik_van_gegevens Bevorder hergebruik van gegevens]||Maak zo veel mogelijk gebruik van gegevens die reeds beschikbaar zijn in plaats van deze gegevens opnieuw te verzamelen of te creëren.||Wet Hergebruik Overheidsinformatie (WHO) toevoegen als bron hierin||

|[https://www.noraonline.nl/wiki/Neem_oorspronkelijke_grondslag_mee_bij_hergebruik_diensten Neem oorspronkelijke grondslag mee bij hergebruik diensten]||Bij hergebruik van diensten kijken zowel aanbieder als afnemer opnieuw naar de oorspronkelijke grondslag en doelbinding. Als dat nodig blijkt passen zij pseudonimisering dan wel anonimisering van de data toe. Dit houdt in dat bij te ontwikkelen functionaliteit de oorspronkelijke grondslag bepalend is voor de hergebruikmogelijkheden.|| ||

|[https://www.noraonline.nl/wiki/Regisseer_hergebruik_diensten_in_de_keten Regisseer hergebruik diensten in de keten]||Hergebruik van diensten in de keten moet onderling tussen de verschillende overheidsorganisaties georganiseerd en geregisseerd worden. Zorg voor een register van diensten die voor hergebruik geschikt en beschikbaar zijn.||Leveren van functionaliteit voor gebruikers in de keten door inzet van meerdere gezamenlijke componenten.||

|[https://www.noraonline.nl/wiki/Maak_heldere_afspraken_over_aanbieden_en_afnemen_van_diensten Maak heldere afspraken over aanbieden en afnemen van diensten]||Maak heldere afspraken over aanbieden en afnemen van diensten, waaronder eventueel van toepassing zijnde vergoedingen (afbakening van verantwoordelijkheden). Doe dit zowel vooraf als bij het afsluiten.

 

 

 

 

Maak duidelijke afspraken over de gegarandeerde levensduur van de aangeboden dienst.

 

 

 

Stem de opzet van je diensten af met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen. Voordat je een eigen dienst maakt, bekijk eerst of er al iets soortgelijks aanwezig is.

 

 

 

Vraag en aanbod van diensten vind plaats door bundeling op overheidsniveau.

 

Gebruik een standaardoplossing (zoals bijvoorbeeld een pakketoplossing) zoveel mogelijk ongewijzigd, dus zonder maatwerkaanpassingen. Pas bij de toepassing van een standaardoplossing je werkwijze aan bij de standaarden en de best-practices die aan de oplossing ten grondslag liggen. Volg waar het kan de inrichtingsfilosofie van leveranciers.  

| ||

|[https://www.noraonline.nl/wiki/Gebruik_standaard_oplossingen_zonder_maatwerk Gebruik standaard oplossingen zonder maatwerk]|| || ||

|[https://www.noraonline.nl/wiki/Pas_je_eigen_proces_en_organisatie_aan_aan_de_standaard_oplossing Pas je eigen proces en organisatie aan aan de standaard oplossing]||Pas je processen en organisatie aan de standaard oplossingen aan, in plaats van het omgekeerde. Zie ook EIF principle 4 "Reusability", aanbeveling 6+7.|| ||

|[https://www.noraonline.nl/wiki/Gebruik_open_source Gebruik open source]||Bij gelijke geschiktheid heeft Open Source software de voorkeur bij het ontwikkelen van een dienst. Zie ook EIF principle 2 "Openness", aanbeveling 3.|| ||

|[https://www.noraonline.nl/wiki/Maak_diensten_herbruikbaar Maak diensten herbruikbaar]|| De dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruiken. De opzet van de dienst anticipeert op onvoorziene afnemers en gebruik.

 

 

 

 

Deze implicatie beoogt de dienst interoperabel en bruikbaar voor een zo groot mogelijke groep afnemers te maken. Dit draagt bij aan een hoger rendement van de dienst.

 

 

|Linken aan GAP07 en GAP06P en Kwaliteitsdoel Interoperabiliteit||

|[https://www.noraonline.nl/wiki/Scheid_proces_van_data Scheid proces van data]||Scheid proces van data en data van software. Zorg dat software hardware-agnostisch is. De afhankelijkheden tussen (proces-)onderdelen moeten bij voorkeur zo klein mogelijk zijn. Hierdoor blijft ontkoppeling op een later moment mogelijk.||Vanuit GEMMA splitsen: Scheid proces van data IMP029 en toevoegen IMP110, Scheid data van software op de applicatielaag.||Scheid proces van data . Zorg dat software hardware-agnostisch is. De afhankelijkheden tussen (proces-)onderdelen moeten bij voorkeur zo klein mogelijk zijn. Hierdoor blijft ontkoppeling op een later moment mogelijk.

|[https://www.noraonline.nl/wiki/Scheiding_van_datasets Scheiding van datasets]||Verdeel de informatie in afgebakende datasets, die ook elk afzonderlijk getoetst kunnen worden op het voldoen aan de AVG.|| ||Verdeel de informatie in afgebakende datasets, die ook elk afzonderlijk getoetst kunnen worden op het voldoen aan de AVG.

|[https://www.noraonline.nl/wiki/Ontwerp_op_modulaire_wijze Ontwerp op modulaire wijze]||Realiseer complexe systemen op modulaire wijze. Dit doe je door het systeem zodanig te ontwerpen dat deze opgedeeld kan worden in modules. Elke module moet eigenschappen bevatten die het mogelijk maken om ze (via gestandaardiseerde koppelvlakken) aan elkaar te koppelen. Zodanig vormen ze in het geheel een complex systeem.||Complex weghalen||Realiseer complexe systemen op modulaire wijze. Dit doe je door het systeem zodanig te ontwerpen dat deze opgedeeld kan worden in modules. Elke module moet eigenschappen bevatten die het mogelijk maken om ze (via gestandaardiseerde koppelvlakken) aan elkaar te koppelen. Zodanig vormen ze in het geheel een systeem.

|[https://www.noraonline.nl/wiki/Ontwerp_diensten_met_oog_voor_doelbinding_en_grondslag Ontwerp diensten met oog voor doelbinding en grondslag]||Ontwerp en implementeer diensten met oog voor doelbinding, data-minimalisatie en oorspronkelijke grondslag.||Zie IMP privacy by design principe toegevoegd. Vervangen?||

|[https://www.noraonline.nl/wiki/Koppel_bronsystemen_op_basis_van_een_passende_classificatie Koppel bronsystemen op basis van een passende classificatie]||Verwerk als afnemer gegevens uit een bronsysteem met respect voor de classificatie van die gegevens. Geef het geen hogere classificatie voor beschikbaarheid en integriteit dan de bron, en geen lagere classificatie voor vertrouwelijkheid. Maak zonodig afspraken met de aanbieder om hun classificatie aan te passen en in hun dienst bijpassende maatregelen daarvoor te implementeren.|| ||

|[https://www.noraonline.nl/wiki/Gebruik_de_standaard_met_het_meest_specifieke_werkingsgebied Gebruik de standaard met het meest specifieke werkingsgebied]||Gebruik de standaard met het meest specifieke werkingsgebied. Als deze conflicteert met bredere (internationale) standaarden, zorg dan in de sector voor afstemming daarmee.|| ||

|[https://www.noraonline.nl/wiki/Gebruik_een_actueel_register_met_standaarden Gebruik een actueel register met standaarden]||Maak gebruik van een actueel register met standaarden per tepassingsgebied. Functionele standaarden hebben betrekking op bijvoorbeeld gegevensuitwisseling, beveiliging, taalgebruik, digitale communicatie, etc. Standaarden met een organisatorisch werkingsgebied hebben betrekking op bijvoorbeeld de strafrechtketen, zorgketen, sociale zekerheid, financiën, etc.|| ||

|[https://www.noraonline.nl/wiki/Pas_open_standaarden_toe Pas open standaarden toe]||Verwerf producten die aan de standaard(en) voldoen. Hierbij geldt: Open standaarden tenzij.

 

 

 

 

 

|Zorg dat standaarden vanuit andere dochters zoals Geonovum Open gemaakt worden. TOEVOEGEN in beschrijving.

|[https://www.noraonline.nl/wiki/Pleeg_onderhoud_op_de_toegepaste_standaarden Pleeg onderhoud op de toegepaste standaarden]||Zorg via lifecyclemanagement voor toepassing van voldoende actuele versies van standaarden. Inventariseer de relevante standaarden en neem dat mee in het ontwerp van de dienst/voorziening.|| ||

|[https://www.noraonline.nl/wiki/Gebruik_gestandaardiseerde_referentiedata Gebruik gestandaardiseerde referentiedata]||Gebruik gestandaardiseerde referentiedata. Zie ook CBS referentiedata, of domeinspecifieke bronnen voor referentiedata.|| ||

|[https://www.noraonline.nl/wiki/Zorg_voor_open_specificaties Zorg voor open specificaties]||Zorg voor open specificaties. Zodat deze hergebruikt kunnen worden over instellingen heen. Dit voorkomt dat verschillende organisaties hetzelfde wiel moeten uitvinden. Zie ook EIF principle 2: "Openness", aanbeveling 4. EIF-brochure (pdf)|| ||

|[https://www.noraonline.nl/wiki/Stel_een_duidelijke_Quality_of_Service_(QoS)_vast_voor_de_dienst Stel een duidelijke Quality of Service (QoS) vast voor de dienst]|| De dienst heeft een duidelijk beschreven 'Quality of Service'. Niet alleen op het technisch koppelvlak, maar juist ook op die aspecten die door de afnemers begrepen worden. Bijvoorbeeld in termen van beschikbaarheid, performance, supportniveau, etc.|| ||

|[https://www.noraonline.nl/wiki/Leg_per_dienst_vast_aan_welke_standaarden_deze_voldoet Leg per dienst vast aan welke standaarden deze voldoet]||Leg per dienst vast aan welke normen en standaarden je moet of wilt voldoen. Deze normen en standaarden moeten op hun beurt voldoen aan wet- en regelgeving. De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van deze norm worden geïdentificeerd.|| ||

|[https://www.noraonline.nl/wiki/Leg_een_Service_Level_Agreement_vast_bij_de_dienst Leg een Service Level Agreement vast bij de dienst]||Leg de inhoud van de dienst en het akkoord hierop schriftelijk vast, in de vorm van een Service Level Agreement (SLA), een Gegevens Leverings Overeenkomst (GLO), of in wet- en regelgeving.

 

 

 

 

Dit is in elk geval noodzakelijk voor bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter. Hierbij is het akkoord en de inhoud daarvan schriftelijk vastgelegd.

 

| ||

|[https://www.noraonline.nl/wiki/Neem_diensten_op_in_een_producten-_en_dienstencatalogus_(PDC) Neem diensten op in een producten- en dienstencatalogus (PDC)]||Beschrijf diensten in een producten- en dienstencatalogus (PDC) inclusief de daarbij behorende spelregels. Datasets worden beschreven in een datacatalogus (interne afnemers). Open data van de overheid biedt dit inzicht aan externe afnemers. Zie data.overheid.nl|| ||

|[https://www.noraonline.nl/wiki/Hanteer_bewaartermijnen_voor_informatie Hanteer bewaartermijnen voor informatie]||Informatie wordt niet langer bewaard en niet eerder vernietigd dan wettelijk is toegestaan. Dit betekent dat:

 

* Er een selectielijst is, waarin opgenomen de te vernietigen informatieobjecten of onderdelen daarvan.

* Er vastgesteld in de organisatie verankerd beleid is met betrekking tot vernietigen.

| ||

|[https://www.noraonline.nl/wiki/Leg_de_doelbinding_vast_in_de_metadata_van_het_gegevensobject Leg de doelbinding vast in de metadata van het gegevensobject]|| De verwerkingshistorie inclusief doel van verwerking wordt vastgelegd bij het gegegevensobject als metadata. Dit betekent dat de historie van acties waarin een gegevensobject wordt verwerkt (opvragen / vastleggen / wijzigen / verwijderen) inclusief het doel van de actie vastgelegd wordt bij het gegevenobject.|| Waarom wordt gesteld dat de verwerkingshistorie inclusief doel van verwerking wordt vastgelegd bij het gegevensobject als metadata? Dat gaat in tegen de manier die we gekozen hebben in de GEMMA. Daar worden verwerkingen vastgelegd in een aparte (kern)registratie op basis van een verwerkingsactiviteit.

|[https://www.noraonline.nl/wiki/Stel_één_verantwoordelijke_vast_voor_ieder_gegeven Stel één verantwoordelijke vast voor ieder gegeven]||Voor ieder gegeven en voor iedere verwerking moet er een verantwoordelijke gegevenseigenaar zijn. Dat vraagt een inventarisatie van alle relevante gegevensobjecten.|| ||

|[https://www.noraonline.nl/wiki/Pas_de_FAIR_dataprincipes_toe Pas de FAIR dataprincipes toe]||Pas de implicaties van de FAIR dataprincipes toe. Zie ook go.fair.org FAIR-principes.||Volgens mij vervangt dit een aantal implicaties.||

|[https://www.noraonline.nl/wiki/Leg_de_context_van_een_informatieobject_vast_in_metadata Leg de context van een informatieobject vast in metadata]||Informatie-objecten moeten goed worden beheerd. Onderdeel hiervan is dat de context van een informatieobject goed moet zijn vastgelegd in metadata.

 

 

 

 

Informatie en gegevens moeten duidelijk binnen een bepaalde context te plaatsen zijn. Metadata is daar het passende instrument voor.

 

 

 

Context (vastgelegd in metadata) is nodig om gegevens te begrijpen voor verwerking.

 

Zie DUTO eisen (ISO 23081)  

| ||

|[https://www.noraonline.nl/wiki/Draag_zorg_voor_juiste_en_actuele_en_volledige_informatie Draag zorg voor juiste en actuele en volledige informatie]||Een gebruiker kan er op vertrouwen dat een informatieobject, zoals deze in de bron is vastgelegd, juist, actueel en volledig is. Fouten kunnen worden gemeld en hersteld. Daarbij is het van belang dat herstelwijzigingen worden gelogd, zodat traceerbaar is hoe foutieve gegevens zijn verwerkt en wat het effect daarvan is. Dit betekent dat:

 

* Er gebruik moet worden gemaakt van gestandaardiseerde gegevensmodellen, gegevenswoordenboeken en catalogussen ten behoeve van machinematige verwerking van gegevens.

* De informatie tijdens de gehele levenscyclus moet worden gemonitord, gecontroleerd, gevalideerd op basis van regels, kaders, normen en standaarden waarbij wijzigingen traceerbaar moeten worden gemaakt.

| ||

|[https://www.noraonline.nl/wiki/Maak_gegevens_herleidbaar_tot_de_bron_(herkomst) Maak gegevens herleidbaar tot de bron (herkomst)]||Dit betekent dat inzichtelijk gemaakt moet worden hoe gegevens tot stand zijn gekomen, over de gehele verwerking in de keten heen. Dus van bronnen tot eindproduct. Van ieder gegeven zijn de herkomst en verwerkingen beschikbaar tot aan vernietiging|| ||

|[https://www.noraonline.nl/wiki/Leg_auditlogs_vast_bij_de_bronregistratie_van_het_gegeven Leg auditlogs vast bij de bronregistratie van het gegeven]||Als eigenaar van de bron wil je inzicht hebben in de toegang en inzage (CRUD) van de gegevens die vanuit de bron worden gebruikt. Voorkom dat auditgegevens verspreid raken over afnemende applicaties.|| ||

|[https://www.noraonline.nl/wiki/Sla_informatie_op_in_een_duurzaam_toegankelijk_bestandsformaat Sla informatie op in een duurzaam toegankelijk bestandsformaat]||Informatie moet toegankelijk zijn voor gebruikers, zowel mens als machine. Hiervoor moeten de gebruikers geen speciale toepassingen of hulpmiddelen nodig hebben. Daarbij moet het formaat waar de informatie in wordt opgeslagen toekomstbestendig zijn, zodat de informatie ook in de toekomst nog toegankelijk is. Dit betekent dat:

 

|Toevoegen Beschikbaar blijven van de informatie.

 

 

| De informatiegebruiker (mens of machine) kan een informatieobject of een verzameling informatieobjecten binnen redelijke tijd en inspanning gebruiken (zoals inzien, exporteren, bewaren en verwerken in de eigen gebruiksomgeving), nu en in de toekomst (gedurende de gehele levenscyclus). Dit betekent dat:

 

|[https://www.noraonline.nl/wiki/Stel_betrokkenen_op_de_hoogte_van_het_doel_waarvoor_gegevens_verzameld_worden Stel betrokkenen op de hoogte van het doel waarvoor gegevens verzameld worden]||Stel bij het verzamelen en opvragen van persoonsgegevens de betrokkenen op de hoogte van het doel waarvoor de gegevens worden verzameld en van de rechten die zij mogen uitoefenen.|| ||

|[https://www.noraonline.nl/wiki/Leg_de_grondslag_en_het_doel_van_de_gegevensverwerking_vast Leg de grondslag en het doel van de gegevensverwerking vast]||Leg de grondslag en het doel vast, waarvoor informatie wordt uitgevraagd bij burgers en bedrijven. Aan het doel gekoppeld worden ook de eisen (kwaliteitscriteria) vastgelegd waaraan deze informatie moet voldoen. Houd er rekening mee dat het doel in de loop der tijd kan wijzigen.|| ||

|[https://www.noraonline.nl/wiki/Informeer_bij_de_bron,_eenmalige_vastlegging Informeer bij de bron, eenmalige vastlegging]||Gegevens worden eenmalig uitgevraagd of verzameld, uniek opgeslagen, en vervolgens meervoudig gebruikt. Dit impliceert tevens dat de juistheid van de gebruikte informatie-objecten uit een bronregistratie niet voor gebruik opnieuw hoeft te worden gecontroleerd.|| ||

|[https://www.noraonline.nl/wiki/Registreer_gegevens_bij_de_bron Registreer gegevens bij de bron]||Registreer gegevens (zo dicht mogelijk) bij de bron, daar waar de gegevens ontstaan. Dit verhoogt de volledigheid, kwaliteit en de actualiteit van de gegevens aanzienlijk en voorkomt fouten. De vastgelegde gegevens kunnen daarna voor verschillende doeleinden worden gebruikt. Een ander belangrijk voordeel is dat het achteraf registreren van gegevens die eerder zijn ontstaan wordt voorkomen hetgeen de registratielast vermindert. Waar mogelijk, leg gegevens geautomatiseerd vast.|| ||

|[https://www.noraonline.nl/wiki/Weet_welke_(bron)gegevens_in_huis_zijn Weet welke (bron)gegevens in huis zijn]||Weet welke gegevens de overheid of overheidsorganisatie al in huis heeft in de bronadministraties en op welke manier deze gegevens hergebruikt kunnen worden.|| ||

|[https://www.noraonline.nl/wiki/Stel_voor_ieder_gegeven_de_unieke_bron_vast Stel voor ieder gegeven de unieke bron vast]||Het niet hebben van een 'single point of truth (SPOT)' kan leiden tot divergerende data en mogelijk tot inconsistente beslissingen die op basis van de verschillende databronnen worden genomen.|| ||

|[https://www.noraonline.nl/wiki/Geef_de_voorkeur_aan_halen_i.p.v._brengen_van_gegevens Geef de voorkeur aan halen i.p.v. brengen van gegevens]||Geef de voorkeur aan het halen (pull) i.p.v. het brengen van gegevens (push).|| ||

|[https://www.noraonline.nl/wiki/Bepaal_autorisaties_met_metadata Bepaal autorisaties met metadata]||Autorisaties voor het verstrekken en gebruik van gegevens kan worden bepaald op basis van metadata. De beheerder die het gegeven beheert en het wil verstrekken voor verdere bewerking, voegt metadata toe aan de hand waarvan de beheerder en de afnemer een autorisatiebeslissing kan nemen||Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben op basis van RBAC (Role Based Acces Control) methode, TOEVOEGEN als nieuwe implicatie . Deze laten vervallen?||

|[https://www.noraonline.nl/wiki/Reduceer_rest-risico's Reduceer rest-risico's]||Besteed speciale aandacht aan de rest-risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het rest-risico. De verantwoordelijke voor het bedrijfsmiddel moet de rest-risico's accepteren.||Toevoegen financeel normenkader en rest bij rest risico's weglaten. CHECK financieel normenkader link toevoegen.||Besteed speciale aandacht aan de risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG en financieel normenkader zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het rest-risico. De verantwoordelijke voor het bedrijfsmiddel moet de rest-risico's accepteren.

|[https://www.noraonline.nl/wiki/Evalueer_de_risicoanalyse_bij_veranderingen Evalueer de risicoanalyse bij veranderingen]||Een verandering in het dreigingsprofiel, of in een bedrijfsproces of in de onderliggende voorzieningen kan een mogelijke kwetsbaarheid introduceren of gevolgen hebben voor de veiligheidsbelangen van stakeholders. Een verandering kan de kans of de impact van een dreiging veranderen.|| ||

|[https://www.noraonline.nl/wiki/Bepaal_de_continuïteitseisen Bepaal de continuïteitseisen]||Continuïteitseisen vormen de input voor het maken van een calamiteitenplan. Voorbeelden van continuïteitseisen zijn Maximum Tolerable Outage (MTO), Recovery Time Objective (RTO), Recovery Point Objective (RPO).|| ||

|[https://www.noraonline.nl/wiki/Stel_onweerlegbaarheid_vast Stel onweerlegbaarheid vast]||Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is, zodat daarvoor aanvullende maatregelen genomen kunnen worden.|| ||

|[https://www.noraonline.nl/wiki/Verifieer_de_kwaliteit_van_gegevens_van_het_begin_tot_het_einde_van_het_proces Verifieer de kwaliteit van gegevens van het begin tot het einde van het proces]||Controleer de kwaliteit van gegevens vanaf invoer en op ieder koppelvlak aan de hand van de vastgestelde kwaliteitseisen. Eenmaal geverifieerd hoeft een verificatie niet opnieuw plaats te vinden als de eerder uitgevoerde verificatie nog betrouwbaar is.|| ||

|[https://www.noraonline.nl/wiki/Richt_een_sterke_logging_en_audit-trail_in Richt een sterke logging en audit-trail in]||Logging is fundamenteel in applicaties. Richt een sterke logging en audit-trail in, voor elke applicatie en elk systeem. Logbestanden en audit-trails spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten.

 

 

 

 

 

Let er op dat logberichten geen persoonlijke kenmerken (AVG) of security kenmerken (zoals wachtwoorden) mogen bevatten.  

| Ten aanzien van de implicatie kan je niet zondermeer stellen dat een log geen persoonsgegevens mag bevatten. Bijvoorbeeld een BSN als identificerend gegeven kan best in een log worden opgenomen als sleutelwaarde.

|[https://www.noraonline.nl/wiki/Verifieer_de_werking_van_algoritmes Verifieer de werking van algoritmes]||Kijk doorlopend hoe applicaties functioneren en of uitkomsten van functies en modellen passen binnen de specificaties en dat er geen sprake is van zaken als model drift, of het ontstaan van bias.|| ||

|[https://www.noraonline.nl/wiki/Maak_toegang_tot_applicaties_en_gegevens_afhankelijk_van_authenticatieniveau Maak toegang tot applicaties en gegevens afhankelijk van authenticatieniveau]||Een gebruiker dient allereerst geautoriseerd te zijn om een applicatie te mogen gebruiken of gegevens te mogen inzien. Hierbij speelt het behaalde niveau van authenticatie een rol. Als bijvoorbeeld informatie met een tweede factor (MFA) moet zijn afgeschermd krijgt de gebruiker geen toegang als hij/zij slechts met een gebruikersnaam/wachtwoord combinatie kan authenticeren. Na succesvolle authenticatie kan bepaald worden of een gebruiker de applicatie mag gebruiken (of informatie mag inzien) aan de hand van autorisatieregels.||Voor gemeente betekent dit het kunnen autoriseren  van informatieobjecten, zaaktypes en document types.||Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben.

|[https://www.noraonline.nl/wiki/Hanteer_het_zero-trust_model Hanteer het zero-trust model]|| Ga nooit uit van het impliciete vertrouwen dat wie op een bepaald netwerk of systeem komt daar ook hoort:

 

*Hanteer dynamische policies en gebruik daarbij de gedligheidsduur van de laatste authenticatie.

|Toevoegen : Vertaal dit naar business rules , met daarin toegang onafhankelijk van de binnenkomst . Dus hanteer zero trust model ook op bedrijfslaag.

 

 

|[https://www.noraonline.nl/wiki/Segmenteer_het_netwerk Segmenteer het netwerk]||Het segmenteren van het netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld, waartussen een inspectiepunt ontstaat. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoS-aanvallen beperkt.|| ||

|[https://www.noraonline.nl/wiki/Bepaal_taken_en_verantwoordelijkheden_van_de_gegevensverwerking Bepaal taken en verantwoordelijkheden van de gegevensverwerking]||Verantwoordelijkheden, bevoegdheden en taken bij gegevensverwerking zijn bepaald en bekend.||Voldoende geborgd bij IMP071, deze is onderdeel van data governance||

|[https://www.noraonline.nl/wiki/Richt_data_governance_in Richt data governance in]||Data governance staat aan de basis van goed gegevenbeheer. Het betreft alle afspraken (en structuren) waarmee je vastlegt hoe gebruik te maken van de beschikbare gegevens en de gegevenskwaliteit en veiligheid hiervan te waarborgen. Hierbij hoort ook het vastleggen van datastandaarden, visie en strategie. Inclusief wie welke verantwoordelijkheid hierin heeft. Zie ook [1]||Verantwoordelijkheden, bevoegdheden en taken bij gegevensverwerking zijn bepaald en bekend.||Data governance staat aan de basis van goed gegevenbeheer. Het betreft alle afspraken (en structuren) waarmee je vastlegt hoe gebruik te maken van de beschikbare gegevens en de gegevenskwaliteit en veiligheid hiervan te waarborgen. Hierbij hoort ook het vastleggen van datastandaarden, visie en strategie. Inclusief wie welke verantwoordelijkheid(verantwoordelijkheden, bevoegdheden en taken) hierin heeft. Zie ook [1]

|[https://www.noraonline.nl/wiki/Stel_van_ieder_gegeven_de_kwaliteit_vast Stel van ieder gegeven de kwaliteit vast]||Stel voor ieder gegeven de kwaliteit vast volgens kenmerken van compleetheid, actualiteit en tijdigheid.|| ||

|[https://www.noraonline.nl/wiki/Identificeer_de_voor_de_dienst_relevante_standaardoplossingen Identificeer de voor de dienst relevante standaardoplossingen]||Inventariseer de voor de dienst relevante standaardoplossingen voor gebieden zoals:

 

*presentatie en vormgeving

 

Beoordeel de oplossingen op geschiktheid. Bij geschiktheid worden ze opgenomen in de opzet van de dienst.  

| ||

|[https://www.noraonline.nl/wiki/Gebruik_open_standaarden_voor_modellering Gebruik open standaarden voor modellering]||Organisaties werken volgens een open standaard voor o.a. architectuur-, data- en procesmodellering die door alle samenwerkende partijen op uniforme wijze wordt toegepast. De gekozen open standaard is bepalend voor de keuze van modelleersystemen die deze standaard ondersteunen.

 

 

 

 

 

| Toevoegen aan voorbeelden: Metamodel voor informatiemodellen  (MIM)

|[https://www.noraonline.nl/wiki/Maak_afspraken_over_nieuwe_(en_oude)_versies_van_standaarden Maak afspraken over nieuwe (en oude) versies van standaarden]||De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard. Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is.|| ||

|[https://www.noraonline.nl/wiki/Stel_de_juridische_aansprakelijkheid_per_gegevensobject_vast Stel de juridische aansprakelijkheid per gegevensobject vast]||Stel per informatie-object de de bron vast, en daarmee de juridische aansprakelijkheid voor de juistheid van het object.|| ||

|[https://www.noraonline.nl/wiki/Bewaak_de_continuïteit_en_stel_een_calamiteitenplan_op Bewaak de continuïteit en stel een calamiteitenplan op]||Bewaak de continuïteit van voorzieningen zodat bij bedreiging van de continuïteit alarm geslagen wordt en er voorzien is in een calamiteitenplan. Test en evalueer dit plan op regelmatige basis.|| ||Link met GAP20 digitale weerbaarheid

|[https://www.noraonline.nl/wiki/Garandeer_de_beschikbaarheid_van_systemen Garandeer de beschikbaarheid van systemen]||ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door:

 

|Vanuit GEMMA toevoegen:

|ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door:

 

|[https://www.noraonline.nl/wiki/Controleer_de_verwerking_van_gegevens Controleer de verwerking van gegevens]||Controleer de verwerking van gegevens:

 

*Zijn de criteria voor juistheid, en tijdigheid vastgesteld?

*Worden gegevens die vanuit een systeemvreemde omgeving ingevoerd zijn eerst gecontroleerd op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt?

*Worden te versturen gegevens gecontroleerd op juistheid, volledigheid en tijdigheid?

*Worden ter verwerking aangeboden gegevens gecontroleerd op juiste, volledig en tijdige verwerking?

*Worden kritieke gegevens die in verschillende gegevensverzamelingen voorkomen periodiek met elkaar vergeleken op consistentie? (Dit geldt alleen zolang de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens)

| ||

|[https://www.noraonline.nl/wiki/Borg_de_vertrouwelijkheid_van_gegevens_in_maatregelen Borg de vertrouwelijkheid van gegevens in maatregelen]|| De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens.|| ||

|[https://www.noraonline.nl/wiki/Maak_technische_schuld_inzichtelijk Maak technische schuld inzichtelijk]||Maak technische schuld zichtbaar en stuur op het oplossen van technische schulden. Technische schuld (technical debt) treedt op als er - al dan niet bewust - voor een oplossing wordt gekozen die op de korte termijn voordelig is (of lijkt) en gelijktijdig op de langere termijn extra kosten met zich meebrengt en de algehele complexiteit verhoogt.|| ||

|[https://www.noraonline.nl/wiki/Wissel_gegevens_tussen_(web)applicaties_uit_met_API's Wissel gegevens tussen (web)applicaties uit met API's]||Gegevensuitwisseling tussen (web)applicaties gebeurt via RESTful API's. De broneigenaar levert API's die voldoen aan de moderne RESTful standaarden. API's dienen centraal te worden beheerd in een API management systeem.||  ||

|-

|IMP084

|[https://www.noraonline.nl/wiki/Versleutel_gegevens_in_rust_en_transport Versleutel gegevens in rust en transport]||Versleutel alle gegevensdragers waarop niet-publieke informatie staat, inclusief smartphones en laptops, conform de laatst bekende en geldende richtlijnen. Dit reduceert het risico op een gegevenslek bij verlies van een dergelijk apparaat. Neem voor niet-publieke gegevens ook adequate beveiligingsmaatregelen om ze te beschermen in ransit. Dit kan door de verbinding te beveiligen, danwel door encryptie van de informatie zelf. Dit laatste heeft de voorkeur.|| ||

|[https://www.noraonline.nl/wiki/Kies_bij_cloudoplossingen_SaaS_boven_PaaS_boven_IaaS Kies bij cloudoplossingen SaaS boven PaaS boven IaaS]||Bij het kiezen voor een cloud oplossing, geef de voorkeur aan SaaS boven PaaS boven IaaS. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteitstandaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan.

 

 

 

 

Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. Voorbeelden hiervan zijn Customer Relations Management, e-mail & Instant Messaging, Financiën, HRM en Project Management. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken.

 

Opmerking: deze implicatie daagt uit om tot een zo hoog mogelijk niveau ontzorgd te worden. Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas.

 

|Voorstel is om deze te laten vervallen of aan te passen voor de GEMMA. Cloud sourcing is aan gemeenten waarbij data opslag en toegang veel belangrijker is dan SaaS, PaaS en IaaS||Zorg als gemeente voor een goede sourcing strategie. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan.

|-

|IMP086

 

 

 

 

 

 

Een opvragingsbericht daarentegen heeft geen mutatie tot gevolg. Responsetijd heeft hier meer prioriteit. Bij verlies van een opvragingsbericht (door bv. een storing) wordt de opvraging opnieuw gedaan. Verwerk een opvragingsbericht daarom niet-persistent verwerkt.  

| Eens met de implicatie maar daar kunnen gemeenten niks aan doen. Vanuit de koppelvlakken zal geborgd moeten worden dat de integriteit van een ‘transactie’ gewaarborgd wordt. Op dit moment doen de koppelvlakken dit overigens niet.

|[https://www.noraonline.nl/wiki/Verleen_alleen_strikt_noodzakelijke_toegangsrechten Verleen alleen strikt noodzakelijke toegangsrechten]||Ken geen rollen en toegangsrechten toe aan accounts van gebruikers en services tenzij dat strikt noodzakelijk is (Least Privilege).||Hoe verhoudt dit zich tot RBAC? Dit is een van de potentiële problemen van RBAC. Het is met die methodiek bijna onmogelijk om toekenning van rechten zuiver te doen en te houden.||

|IMP089

|[https://www.noraonline.nl/wiki/Gebruik_standaard_oplossingen Gebruik standaard oplossingen]||Ontwikkel geen eigen processen, systemen en technieken wanneer deze ergens anders al beschikbaar zijn. Stel je actief op de hoogte van beschikbare en geplande standaardoplossingen, om daar bij het maken van plannen rekening mee te houden. De bruikbare elementen van beschikbare standaardoplossingen zullen moeten worden ingepast in de eigen organisatie. Geen enkele standaardoplossing past altijd voor de volle honderd procent. Daarom zal de bereidheid tot het sluiten van compromissen aanwezig moeten zijn.||Toevoegen componenten||Ontwikkel geen eigen processen, systemen, componenten en technieken wanneer deze ergens anders al beschikbaar zijn. Stel je actief op de hoogte van beschikbare en geplande standaardoplossingen, om daar bij het maken van plannen rekening mee te houden. De bruikbare elementen van beschikbare standaardoplossingen zullen moeten worden ingepast in de eigen organisatie. Geen enkele standaardoplossing past altijd voor de volle honderd procent. Daarom zal de bereidheid tot het sluiten van compromissen aanwezig moeten zijn.