GEMMA review Implicaties Architectuurprincipes NORA 2023
Op deze pagina staat het resultaat van de VNG-review van de implicaties van de NORA-architectuurprincipes. Zie voor ook de toelichting op NORA Online. De architectuurprincipes zijn al eerder gereviewd binnen VNG en door gemeentelijke architecten.
Onderstaande tabellen zijn als OpenDocument-bestand te downloaden
Toelichting[bewerken]
Hieronder staat twee tabellen met daarin de reviewopmerkingen:
In de eerste tabel begint het met het ID van de implicatie. Daarna een kolom met de titel van (inclusief verwijzing naar) de NORA Online-pagina van de betreffende implicatie. Daar staat nog meer informatie. Vervolgens wordt hierop de NORA-toelichting gegeven. In de vierde en vijfde kolom worden het VNG-commentaar en eventueel een voorstel gegeven indien VNG wil afwijken.
De tweede tabel heeft dezelfde opbouw, alleen is daar nog aan toegevoegd het VNG-voorstel op welke laag uit het vijflaagsmodel deze implicatie betrekking heeft.
Leveren van commentaar[bewerken]
Het is mogelijk om tot 6 februari 2023 commentaar te leveren op deze review. Gebruik daarvoor de volgende structuur in een spreadsheet.
- ID van de implicatie, bij een nieuw voorgestelde implicatie hoeft deze niet gevuld te worden.
- Opmerking over het VNG-reviewcommentaar of het VNG-voorstel. Voor de tweede tabel kunnen ook opmerkingen worden gemaakt m.b.t. de laag uit het vijflaagsmodel.
- Voorstel voor aanpassing en/of verbetering.
ID | Opmerking | Voorstel |
---|---|---|
IMP001 | <tekst opmerking> | <tekst voorstel> |
Download het lege reviewbestand met deze opzet.
Dit is alleen mogelijk door informatieobjecten voor een dienst, systematisch te beschrijven met behulp van een informatiemodel dat de semantiek en syntax van de gegevens vastlegt. Zo kunnen de betrokken gebruikers de relevante informatieobjecten vinden, toepassen, (her)gebruiken en archiveren.
Hoe beter deze structuur gevolgd wordt, hoe groter de kans dat er iets mee gedaan wordt. Stuur vervolgens het bestand naar de GEMMA-redactie
ID
(link naar NORA) |
Implicatie | Opmerking | Voorstel | Actie | Bron/besluit toevoegen | Nieuwe link met GAP toevoegen |
IMP001 | Beschrijf informatieobjecten in een model | Waarom alleen 'generiek'? Principe moet juist algemeen van aard zijn en dus ook op specifieke situaties van toepassing zijn. Verder is een informatiemodel ook slechts 1 manier van beschrijven maar is bijv. een beschrijving van een REST-service met OAS ook een voorbeeld van goed beschrijven van data. | Beschrijf informatie objecten op een gestandaardiseerde manier |
|
||
IMP002 | Voorkom verlies van informatie | Nav: "Leveranciersafhankelijkheid wordt voorkomen": dit is onmogelijk dus zou beter zijn: "maak afgewogen keuzes in relatie tot afhankelijkheid van betrokken leveranciers naar categorie 'te laat' " | Verwerken voor de GEMMA en reactie als voorstel terug naar NORA | |||
IMP002 | Voorkom verlies van informatie | Eens met de conclusie in de tekst dat dit meerdere implicaties lijken te zijn. Ze worden echter al geborgd door IMP091, IMP025, IMP034 en IMP047. | Duurzaamheid by design als implicatie. Uitleg van de tekst kan blijven staan. Overige is geborgd bij implicatie 091, | Verwerken voor de GEMMA en reactie als voorstel terug naar NORA | Archiefwet 2021 | |
IMP003 | Maak zoveel mogelijk data beschikbaar als open data | De aanbeveling om (linked) open data te gebruiken kent op zich ook weer allerlei implicaties. | Maak zoveel mogelijk relevante data proactief beschikbaar als open data waarbij linked open data de voorkeur heeft. | WHO en WOO en AVG | ||
IMP004 | Minimaliseer het gebruik van gegevens | Gegevens is te algemeen. Waarom zou je gebruik willen minimaliseren. Wellicht worden er vertrouwelijke gegevens bedoeld. | Pas dataminimalisatie toe | Verwerken voor de GEMMA en reactie als voorstel terug naar NORA | AVG | GAP 18 Regie op gegevens |
IMP005 | Bied één contactpunt (Single point of contact) | Richt een of meer contactpunten in die aansluiten bij gebruikersbehoeften. | Niets | |||
IMP006 | Ken je afnemers en stem diensten hierop af | Digitaal inclusief voor gemeenten is niet beperkt tot inwoners/afnemers maar ook voor gebruikers/interne medewerkers. Zeker gezien de leeftijdsopbouw in de personeelsbestanden van gemeenten. | Uitleg eerste en tweede alinea voldoende. Aanpassen voor de GEMMA en reactie terug naar de NORA | GAP19 Digitaal inclusief toegevoegd als principe in GEMMA | ||
IMP007 | Verwijs naar de bron | Gebruik brondata | Niets | Regeling besluit 10 basisregistraties en wet BRP en besluit BAG en besluit BRO | ||
IMP008 | Maak besluiten traceerbaar en controleerbaar | De vraag is of tijdsreizen op korte termijn de oplossing is. Dit gaat alleen werken als alle bronnen dit ondersteunen en dat is de komende jaren nog niet het geval. Een alternatief is het bij een besluit opnemen van de gebruikte gegevens en deze opslaan bij het besluit. | Tijdeizen is hiervoor een mogelijkheid. Alleen gaat dat werken als alle bronnen dit ondersteunen en dat is de komende jaren nog niet het geval. Een alternatief is het bij een besluit opnemen van de gebruikte gegevens en deze opslaan bij het besluit. | Voorstel met alternatief toevoegen in de tekst van de implicatie. Verwerken in de GEMMA. | ||
IMP009 | Geef de afnemer inzage in rechten en voorwaarden en plichten | |||||
IMP010 | Bied multi- en omni-channel dienstverlening | Bied multi- en omni-channel dienstverlening als dit voldoende meerwaarde biedt | Niets | GAP19 Digitaal inclusief toegevoegd als principe in GEMMA | ||
IMP011 | Sluit aan op het voorkeurskanaal van de gebruiker | WMEBV | GAP19 Digitaal inclusief toegevoegd als principe in GEMMA | |||
IMP012 | Maak de dienst toegankelijk voor alle gebruikers | Wet Digitale Toegankelijkheid | GAP19 Digitaal inclusief toegevoegd als principe in GEMMA | |||
IMP013 | Maak de dienst toegankelijk voor anderstaligen | Voor SDG-producten is dit een eis. Voor de overige gemeentelijke producten en diensten vraag ik me af je dit zou willen verplichten. | Maak de dienst en informatie daarover toegankelijk voor anderstaligen | Voorstel overnemen. | GAP19 Digitaal inclusief toegevoegd als principe in GEMMA | |
IMP014 | Elimineer overbodige processtappen (voor de afnemer) | Slechte formulering. "Elimineer overbodige" is zo vanzelfsprekend dat het niks meer zegt. | Biedt afnemers zo compact mogelijke processen. | Voorstel overnemen voor GEMMA en reactie als voorstel terug naar NORA | Linken met GAP16 Streef naar eenvoud! | |
IMP015 | Maak beveiligingsmaatregelen zo gebruiksvriendelijk mogelijk | Terechte opmerking die voor veel meer princpes geldt: naast gebruikersbelang heb je het belang om conform wet en beleid uit te voeren. Dat wordt bij de huidige formuleringen te weinig meegenomen. | Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds en ander onveilig gedrag. | Voorstel overnemen voor GEMMA en reactie als voorstel terug naar NORA | ||
IMP016 | Pas ontwerprichtlijnen toe bij websites en portalen en apps | Toepassen van ontwerprichtlijnen is een middel niet het doel. | Zorg dat websites, portalen en apps en frontends van componenten digitaal toegankelijk zijn als implicatie. Uitleg van implicatie toevoegen: zodanig dat de overheidswebsites voldoen aan WCAG richtlijnen en zet hiervoor bij voorkeur NLDesign systems voor in uit oogpunt van hergebruik. | Voorstel overnemen voor GEMMA en reactie als voorstel terug naar NORA | WCAG (Web Content Accessibilyty Guidelines) en Wet Digitale Toegankelijkheid | Aan kwaliteitsdoel Rechtmatig linken via GAP02 en linken aan GAP16 en GAO01 |
IMP017 | Zorg dat overheidsinformatie eenvoudig te raadplegen is | Gebruik van bijvoeglijke naamwoorden zoals 'eenvoudig' bij een principe voegen niks toe. Alles wat de overheid doet voor afnemers zou bij voorkeur eenvoudig moeten zijn. Het is ook geen principe maar een implicatie. | Implicatie: Zorg dat overheidsinformatie te vinden is met als Uitleg: een zoekfunctie beschikbaar moet zijn waarmee alle relevante informatieobjecten vindbaar zijn.De informatie moet kunnen worden gevonden zonder dat er (specifieke) en/of kennis van de zoekfunctionaliteit of de gezochte informatie benodigd is. | Zie voorstel in tabel https://redactie.gemmaonline.nl/index.php/GEMMA_review_Implicaties_Architectuurprincipes_NORA_2023 | ||
IMP017 | Zorg dat overheidsinformatie eenvoudig te raadplegen is | Ik kan deze als aparte implicatie niet helemaal plaatsen. Ik vraag me af of hij nodig is. | Laten vervallen voor de GEMMA | |||
IMP018 | Maak één organisatie verantwoordelijk voor de dienst | Niets | ||||
IMP019 | Maak stelselafspraken over identificatie en authenticatie | Zie IMP120 | Verwerken | |||
IMP019 | Maak stelselafspraken over identificatie en authenticatie | Wat een raar principe dat 'Maak stelselafspraken'. Dat is ook een middel maar niet het doel. | Implicatie: Gebruik overheidsbrede afspraken en standaarden voor identificatie en authenticatie ; Uitleg: Werk met PBAC (policy based access) voor nieuwe koppelingen en applicaties. Werk met RBAC voor bestaande ‘oude’ applicaties RBAC als deze niet met PBAC overweg kunnen. | Voorstel overnemen voor GEMMA en reactie als voorstel terug naar NORA | Common Ground architectuurprincipe: oud naast nieuw | |
IMP020 | Defineer de toegangsregels kanaalonafhankelijk | GAP 03 Lever een kanaalonafhankelijk resultaat | ||||
IMP021 | Bevorder hergebruik van gegevens | Wet Hergebruik Overheidsinformatie (WHO) toevoegen als bron hierin | GAP 12 Informeer bij de bron | |||
IMP022 | Neem oorspronkelijke grondslag mee bij hergebruik diensten | "Dit houdt in dat bij te ontwikkelen functionaliteit de oorspronkelijke grondslag bepalend is voor de hergebruikmogelijkheden" klopt volgens mij niet. Hangt ook af van het doel van hergebruik. | Voorstel is om deze te vervallen. Maar ook even bespreken. | |||
IMP023 | Regisseer hergebruik diensten in de keten | Leveren van functionaliteit voor gebruikers in de keten door inzet van meerdere gezamenlijke componenten. Zorg voor een register van diensten die voor hergebruik geschikt en beschikbaar zijn. | Voorstel overnemen voor GEMMA en reactie als voorstel terug naar NORA | |||
IMP024 | Maak heldere afspraken over aanbieden en afnemen van diensten | "Gebruik een standaardoplossing (zoals bijvoorbeeld een pakketoplossing) zoveel mogelijk ongewijzigd, dus zonder maatwerkaanpassingen. Pas bij de toepassing van een standaardoplossing je werkwijze aan bij de standaarden en de best-practices die aan de oplossing ten grondslag liggen. Volg waar het kan de inrichtingsfilosofie van leveranciers." => dit zijn toch geen implicaties die je in een overheidsbrede architectuur wilt hebben? - Verder ook hier weer bijvoegelijke naamwoorden in de implicatie die beter weg zouden kunnen ('Maak heldere afspraken') | Inzetten leveranciersmanagement en vraagbundeling bij gemeenten. | Voorstel overnemen voor GEMMA en reactie als voorstel terug naar NORA. Bespreken | ||
IMP025 | Gebruik standaard oplossingen zonder maatwerk | Idem. Kom op mensen, dit zijn bedrijfsmatige keuzes die je niet vanuit een architectuur voorschrijft en al helemaal niet vanuit een referentiearchitectuur. | Gebruik een standaardoplossing (zoals bijvoorbeeld een pakketoplossing) zoveel mogelijk ongewijzigd, dus zonder maatwerkaanpassingen. Pas bij de toepassing van een standaardoplossing je werkwijze aan bij de standaarden en de best-practices die aan de oplossing ten grondslag liggen. Volg waar het kan de inrichtingsfilosofie van leveranciers als deze standaard is. | Dit zijn implicaties op de bedrijfslaag. Laten staan. Alleen mis ik hier de uitleg van de implicatie. Kopie van NORA toegevoegd met een toevoeging. | ||
IMP026 | Pas je eigen proces en organisatie aan aan de standaard oplossing | Idem. Kom op mensen, dit zijn bedrijfsmatige keuzes die je niet vanuit een architectuur voorschrijft en al helemaal niet vanuit een referentiearchitectuur. | Pas voor standaardproducten en -diensten je eigen proces aan op de standaardinrichting. | Dit zijn implicaties op de bedrijfslaag. Laten staan. Voorstel GEMMA overnemen en reactie als voorstel terug naar NORA. | EIF principle 4 : Reusablitiy, aanbeveling 6+7 | |
IMP027 | Gebruik open source | Idem. Kom op mensen, dit zijn bedrijfsmatige keuzes die je niet vanuit een architectuur voorschrijft en al helemaal niet vanuit een referentiearchitectuur. | Dit zijn implicaties op de bedrijfslaag. Laten staan. | Wordt in Wet Digitale Overheid opgenomen en besluit van de Tweede Kamer bij voorkeur open source. Volgt Public code by public money en Wet Open Overheid die hierover transparantie wil. Bij gelijke geschiktheid heeft Open Source software de voorkeur bij het ontwikkelen van een dienst. Zie ook EIF principle 2 "Openness", aanbeveling 3. | ||
IMP028 | Maak diensten herbruikbaar | Dit is 1 van de standaard principes van service-orientatie. Door expliciet te benoemen dat de NORA serviceorientatie als leidende architectuurstijl gebruikt kun je voor al dit type principes en implicaties gebruik maken wat elders al (beter) is beschreven. Nu ontstaat er een mix van allerlei soorten principes: bedrijfskundig, informatiekundig, serviceorientatie, ... . Wat mij betreft te veelsoortig en daardoor minder goed bruikbaar. Geldt bijv. ook voor 31. | Opzoeken SOA principes en kijken of deze beter aansluiten. | Linken aan GAP07 en GAP06 en Kwaliteitsdoel Interoperabiliteit | ||
IMP029 | Scheid proces van data | Vanuit GEMMA splitsen: Scheid proces van data IMP029 en toevoegen IMP110, Scheid data van software op de applicatielaag. | Scheid proces van data . Zorg dat software hardware-agnostisch is. De afhankelijkheden tussen (proces-)onderdelen moeten bij voorkeur zo klein mogelijk zijn. Hierdoor blijft ontkoppeling op een later moment mogelijk. | Voorstel voor GEMMA overnemen en als reactie naar NORA | ||
IMP030 | Scheiding van datasets | |||||
IMP031 | Ontwerp op modulaire wijze | Complex weghalen | Realiseer complexe systemen op modulaire wijze. Dit doe je door het systeem zodanig te ontwerpen dat deze opgedeeld kan worden in modules. Elke module moet eigenschappen bevatten die het mogelijk maken om ze (via gestandaardiseerde koppelvlakken) aan elkaar te koppelen. Zodanig vormen ze in het geheel een systeem. | Voorstel voor GEMMA overnemen en als reactie naar NORA | ||
IMP032 | Ontwerp diensten met oog voor doelbinding en grondslag | Zie IMP privacy by design principe toegevoegd. Vervangen? | Deze laten vervallen. Is vervangen door nieuwe IMP094 | |||
IMP033 | Koppel bronsystemen op basis van een passende classificatie | |||||
IMP034 | Gebruik de standaard met het meest specifieke werkingsgebied | |||||
IMP035 | Gebruik een actueel register met standaarden | |||||
IMP036 | Pas open standaarden toe | Er staat nog “TOEVOEGEN in beschrijving.” in de tekst. Moet er nog iets toegevoegd worden? | Toevoegen bij Uitleg: Zorg dat standaarden vanuit andere dochters zoals Geonovum Open gemaakt worden. | Toevoegen in uitleg en voorstel voor GEMMA overnemen en als reactie naar NORA. | ||
IMP037 | Pleeg onderhoud op de toegepaste standaarden | |||||
IMP038 | Gebruik gestandaardiseerde referentiedata | |||||
IMP039 | Zorg voor open specificaties | |||||
IMP040 | Stel een duidelijke Quality of Service (QoS) vast voor de dienst | |||||
IMP041 | Leg per dienst vast aan welke standaarden deze voldoet | |||||
IMP042 | Leg een Service Level Agreement vast bij de dienst | |||||
IMP043 | Neem diensten op in een producten- en dienstencatalogus (PDC) | |||||
IMP044 | Hanteer bewaartermijnen voor informatie | |||||
IMP045 | Leg de doelbinding vast in de metadata van het gegevensobject | Waarom wordt gesteld dat de verwerkingshistorie inclusief doel van verwerking wordt vastgelegd bij het gegevensobject als metadata? Dat gaat in tegen de manier die we gekozen hebben in de GEMMA. Daar worden verwerkingen vastgelegd in een aparte (kern)registratie op basis van een verwerkingsactiviteit. | De verwerkingshistorie inclusief doel van verwerking wordt vastgelegd in een aparte (kern)registratie op basis van verwerkingsactiviteit. | Eens voorstel voor GEMMA overnemen en als reactie naar NORA | ||
IMP046 | Stel één verantwoordelijke vast voor ieder gegeven | |||||
IMP047 | Pas de FAIR dataprincipes toe | In de tekst staat “Volgens mij vervangt dit een aantal implicaties.”. Welke implicaties zijn dit? | Niets | Zie https://www.go-fair.org/fair-principles/ | ||
IMP048 | Leg de context van een informatieobject vast in metadata | |||||
IMP049 | Draag zorg voor juiste en actuele en volledige informatie | |||||
IMP050 | Maak gegevens herleidbaar tot de bron (herkomst) | |||||
IMP051 | Leg auditlogs vast bij de bronregistratie van het gegeven | |||||
IMP052 | Sla informatie op in een duurzaam toegankelijk bestandsformaat | Er staat nog ‘TOEVOEGEN’ in de tekst. Wat moet toegevoegd worden? | Uitleg wordt: De informatiegebruiker (mens of machine) kan een informatieobject of een verzameling informatieobjecten binnen redelijke tijd en inspanning gebruiken (zoals inzien, exporteren, bewaren en verwerken in de eigen gebruiksomgeving), nu en in de toekomst (gedurende de gehele levenscyclus). Dit betekent dat: Gebruik wordt gemaakt van een open standaard.
Bij doorontwikkeling van de gebruikte formaten, het originele bronbestand opgeslagen blijft in zijn huidige formaat en het voorlaatste bestandformaat actief wordt gemigreerd naar het nieuwe formaat. Er voor het gebruik van het bestandsformaat geen afhankelijkheid is van één enkele leverancier en het onafhankelijk van hulpmiddelen of speciale toepassingen te gebruiken is. Het bestandsformaat goed is gedocumenteerd. Het formaat het eenvoudig uitwisselen met andere platforms en apparaten ondersteunt. Fouten in de bitopslag automatisch gedetecteerd kunnen worden en te herstellen zijn. Het formaat op grote schaal gebruikt wordt. De informatie beschikbaar moet worden gesteld in een bestandsformaat dat samenhangt met het doel waarvoor de informatie wordt gebruikt. |
Voorstel voor GEMMA overnemen en als reactie naar NORA | https://www.noraonline.nl/wiki/DUTO_(Normenkader_Duurzaam_Toegankelijke_Overheidsinformatie) voor Normenkader DUTO | |
IMP053 | Stel betrokkenen op de hoogte van het doel waarvoor gegevens verzameld worden | |||||
IMP054 | Leg de grondslag en het doel van de gegevensverwerking vast | |||||
IMP055 | Gegevens eenmalig uitgevraagd, uniek opgeslagen, meervoudig gebruikt | |||||
IMP056 | Registreer gegevens bij de bron | |||||
IMP057 | Weet welke (bron)gegevens in huis zijn | |||||
IMP058 | Stel voor ieder gegeven de unieke bron vast | |||||
IMP059 | Geef de voorkeur aan halen i.p.v. brengen van gegevens | |||||
IMP060 | Bepaal autorisaties met metadata | Autorisaties voor het verstrekken en gebruik van gegevens kan worden bepaald op basis van metadata. De beheerder die het gegeven beheert en het wil verstrekken voor verdere bewerking, voegt metadata toe aan de hand waarvan de beheerder en de afnemer een autorisatiebeslissing kan nemen. Worden autorisaties bepaald met metadata ? | Bespreken | |||
IMP061 | Reduceer rest-risico's | Rest bij rest risico's weghalen omdat dit niet in lijn is met normenkaders. | Besteed speciale aandacht aan de risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG en financieel normenkader zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het rest-risico. De verantwoordelijke voor het bedrijfsmiddel moet de rest-risico's accepteren. | Voorstel voor GEMMA overnemen en als reactie naar NORA | Financieel normenkader, link toevoegen | |
IMP062 | Evalueer de risicoanalyse bij veranderingen | |||||
IMP063 | Bepaal de continuïteitseisen | |||||
IMP064 | Stel onweerlegbaarheid vast | |||||
IMP065 | Verifieer de kwaliteit van gegevens van het begin tot het einde van het proces | |||||
IMP066 | Richt een sterke logging en audit-trail in | Ten aanzien van de implicatie kan je niet zondermeer stellen dat een log geen persoonsgegevens mag bevatten. Bijvoorbeeld een BSN als identificerend gegeven kan best in een log worden opgenomen als sleutelwaarde. | Logging is fundamenteel in applicaties. Richt een sterke logging en audit-trail in, voor elke applicatie en elk systeem. Logbestanden en audit-trails spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Logberichten moeten zo veel mogelijk informatie bevatten over hetgeen er gebeurd is (wie, wat, waar, wanneer) en moeten op het juiste niveau gelogd worden. Let er op dat logberichten zo min mogelijk persoonlijjke kenmerken (AVG) en geen security kenmerken (zoals wachtwoorden) mogen bevatten. | Eens. Zo min mogelijk toegevoegd. Voorstel voor GEMMA overnemen en als reactie naar NORA | ||
IMP067 | Verifieer de werking van algoritmes | |||||
IMP068 | Maak toegang tot applicaties en gegevens afhankelijk van authenticatieniveau | |||||
IMP069 | Hanteer het zero-trust model | Hanteer zero trust model ook op bedrijfslaag. Voldoende security by design nu geborgd? | Ga nooit uit van het impliciete vertrouwen dat wie op een bepaald netwerk of systeem komt daar ook hoort: Controleer overal het netwerkverkeer.
Controleer toegang per sessie. Hanteer dynamische policies en gebruik daarbij de gedligheidsduur van de laatste authenticatie. Blijf continue monitoren. Verzamel zoveel mogelijk gegevens om de beveiliging te blijven verbeteren. Vertaal dit naar business rules , met daarin toegang onafhankelijk van de binnenkomst . Dit wordt ook wel het 'zero-trust' model genoemd. |
Voorstel voor GEMMA overnemen en als reactie naar NORA Let op bedrijfslaag toegevoegd. | ||
IMP070 | Segmenteer het netwerk | |||||
IMP071 | Bepaal taken en verantwoordelijkheden van de gegevensverwerking | Voldoende geborgd bij IMP072. Is onderdeel van data governance namelijk. | Voorstel voor GEMMA deze laten vervallen en als reactie naar NORA. Zie IMP072 | |||
IMP072 | Richt data governance in | Zie ook 1 , verwijzing niet duidelijk. | Verwijzing weghalen. | |||
IMP073 | Stel van ieder gegeven de kwaliteit vast | |||||
IMP074 | Identificeer de voor de dienst relevante standaardoplossingen | |||||
IMP075 | Gebruik open standaarden voor modellering | Toevoegen aan voorbeelden: Metamodel voor informatiemodellen (MIM) | Voorbeelden van modelleerstandaarden zijn ArchiMate (architectuur), UML (data) en BPMN (processen), Metamodel voor informatiemodellen (MIM) | Toevoegen in uitleg en voorstel voor GEMMA overnemen en als reactie naar NORA. | Is MIM standaard op Forum Standaardisatie? | |
IMP076 | Maak afspraken over nieuwe (en oude) versies van standaarden | |||||
IMP077 | Stel de juridische aansprakelijkheid per gegevensobject vast | |||||
IMP078 | Bewaak de continuïteit en stel een calamiteitenplan op | Link leggen met GAP20 digitale weerbaarheid | ||||
IMP079 | Garandeer de beschikbaarheid van systemen | Vanuit GEMMA toevoegen: scheiding test- en productieomgeving in uitleg implicatie | Uitleg: ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door: Vermeervoudiging van systeemfuncties.
Herstelbaarheid en beheersing van verwerkingen. Voorspelling van discontinuïteit. Handhaving van functionaliteit en Scheiding test- en productieomgeving |
Voorstel voor Gemma overnemen en als reactie naar NORA. | ||
IMP080 | Controleer de verwerking van gegevens | |||||
IMP081 | Borg de vertrouwelijkheid van gegevens in maatregelen | Link leggen met GAP20 digitale weerbaarheid | ||||
IMP082 | Maak technische schuld inzichtelijk | |||||
IMP083 | Wissel gegevens tussen (web)applicaties uit met API's | Ik zou aanraden om te werken met APIs maar ik zou dit niet willen beperken tot de restful variant. Het scrumteam Asterix is aan het uitzoeken voor welk scenario welke variant van APIs toepasbaar is en daar komen ook scenarios uit waarin GraphQL en RPC gebruikt worden. | Gegevensuitwisseling tussen (web)applicaties gebeurt via API's. De broneigenaar levert API's die voldoen aan de moderne RESTful, RPC en GraphQL standaarden. API's dienen centraal te worden beheerd in een API management systeem. | Voorstel voor GEMMA overnemen en als reactie naar NORA. | ||
IMP084 | Versleutel gegevens in rust en transport | |||||
IMP085 | Kies bij cloudoplossingen SaaS boven PaaS boven IaaS | Voorstel is om deze te laten vervallen of aan te passen voor de GEMMA. Cloud sourcing is aan gemeenten waarbij data opslag en toegang veel belangrijker is dan SaaS, PaaS en IaaS. En cloud native toepassingen veel belangrijker zijn omdat nu applicaties SAAS genoemd worden terwijl ze eigenlijk niet SAAS zijn. | Implicatie: Zorg voor regie op je sourcing strategie Uitleg: Zorg als gemeente voor een goede sourcing strategie zodat je regie op gegevens en functionaliteit behouden blijft. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan. | Voorstel voor GEMMA aan te passen en als reactie naar NORA. vanuit Kamerbrief van Uffelen | Link leggen met GAP20 digitale weerbaarheid | |
IMP086 | Zorg dat software up-to-date is | |||||
IMP087 | Verwerk bericht-interactie persistent | Eens met de implicatie maar daar kunnen gemeenten niks aan doen. Vanuit de koppelvlakken zal geborgd moeten worden dat de integriteit van een ‘transactie’ gewaarborgd wordt. Op dit moment doen de koppelvlakken dit overigens niet. | Eens ondanks dat de koppelvlakken hieraan niet voldoen. | |||
IMP089 | Verleen alleen strikt noodzakelijke toegangsrechten | Typefout: ‘RABC’. Ten aanzien van de vraag is dit een van de potentiële problemen van RBAC. Het is met die methodiek bijna onmogelijk om toekenning van rechten zuiver te doen en te houden. | Implicatie laten staan. | |||
IMP089 | Gebruik standaard oplossingen (implicatie) | Toevoegen componenten | Ontwikkel geen eigen processen, systemen, componenten en technieken wanneer deze ergens anders al beschikbaar zijn. Stel je actief op de hoogte van beschikbare en geplande standaardoplossingen, om daar bij het maken van plannen rekening mee te houden. De bruikbare elementen van beschikbare standaardoplossingen zullen moeten worden ingepast in de eigen organisatie. Geen enkele standaardoplossing past altijd voor de volle honderd procent. Daarom zal de bereidheid tot het sluiten van compromissen aanwezig moeten zijn. | Voorstel voor Gemma overnemen en als reactie naar NORA. | CG Informatiekundige visie principe Informatiearchitectuurprincipe Componentgebaseerd. | Link leggen met GAP07 |
Toevoegingen vanuit GEMMA review 1e ronde[bewerken]
ID | Implicatie | Toelichting | Review 1e ronde Implicaties 30-12-2022 | Voorstel GEMMA implicaties indien afwijking | Grondslagenlaag | Organisatorische laag | Informatielaag | Applicatielaag | Netwerklaag |
---|---|---|---|---|---|---|---|---|---|
IMP090 | Voldoen aan wetgeving en vastgetelde gemeentelijke normenkaders. | De gemeente is verantwoordelijk voor het uitvoeren van wettelijke taken en voldoen aan normenkaders zoals Gibit/Arbit, Ensia/BIO en ISO270002 en dit te verantwoorden. | Linken met rechtmatig als kwaliteitsdoel | Laag 1 | |||||
IMP091 | Archivering en duurzamheid by desgin | Hanteer in de procesinrichting en informatie inrichting van de gemeente archivering by design om te kunnen voldoen aan digitale duurzaamheid en Archiefwet en wettelijke normenkaders op dit gebied. | Linken met rechtmatig als kwaliteitsdoel | Laag 1 | Laag 2 | ||||
IMP092 | Open by design | Hanteer in de organisatieinrichting , procesinrichting en informatie inrichting van de gemeente open by design om te kunnen voldoen aan een open overheid. | Vanuit de WOO | Laag 1 | Laag 2 | ||||
IMP093 | Security by design | Bij beveiliging (security) gaat het erom dat waarborgen zijn getroffen ten behoeve van beschikbaarheid, integriteit, en vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens. De noodzakelijk waarborgen hebben onder andere betrekking op
|
Linken met GAP018 Regie op gegevens | Leidende principes Regie op Gegevens | |||||
IMP094 | Privacy by design | Hanteer in de organisatieinrichting , procesinrichting en informatie inrichting van de gemeente privacy by design om de privacy van de inwoners te borgen en te voldoen aan de AVG. | Let op definitie inwoner/afnemer. | Laag 1 | Laag 2 | ||||
IMP095 | Het recht om vergeten te worden | Om de privacy van de inwoners te borgen is het recht om vergeten te worden waarbij gegevens ook vernietigd worden van inwoners. | Linken met GAP18, Regie op gegevens. Let op definitie inwoner/afnemer.
|
Laag 1 | Laag 2 | Laag 3 | |||
IMP096 | Gebruik basisregistraties | Gebruik als overheid de basisregistraties ter voorkoming van dubbele opslag en daarmee kwaliteitsverlies van je gegevens en uiteindelijk fouten in de participatie, procesuitvoering en dienstverlening | Deze toegevoegd vanuit de GEMMA Check Hoe zit het met verplicht gebruik SOR? Linken met architectuurprincipe Regie op Gegevens | Laag 2 | |||||
IMP097 | Testen in UX lab | Vooraf testen in UX lab als borging voor het voldoen aan wetgeving en normen rondom digitale toegankelijkheid | Interactie laag / borgen Link met GAP10 en GAP12 | Laag 1 | Laag 4 | ||||
IMP098 | Inzet van NLX (standaard) API gateway om te kunnen voldoen aan de verantwoordingsplicht van gemeenten. | NLX (standaard) / API gateway voor protocollering en het maken van een audittrail in het kader van de verantwoordingsplicht van gemeenten. | Vanuit CG | Laag 3 | Laag 4 | ||||
IMP099 | Terugkoppeling en betaling aan afnemer via mijn overheid | Vanuit Product Dienst Status (PDS) terugkoppeling over status van aanvraag en afhandeling zoals een betaling via mijn overheid als extra dienst | Vanuit Omnichannel architectuur | Laag 4 | |||||
IMP100 | Van elk informatieobject een weergave en/of export beschikbaar moet zijn. | Voor de duurzaamheid en onafhankelijk hergebruik van informatieobjecten moet er een weergave en/of export beschikbaar zijn zonder afhankelijkheid van speciale software en hardware. | Van IMP017 | Laag 3 | |||||
IMP101 | Dataclassificatie en doelbinding op dataniveau | Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben. | Van IMP017 | Laag 3 | |||||
IMP102 | Waardegedreven digitalisering | Digitalisering moet bijdragen aan creatie van publieke waarden waarbij algemeen nut zonder persoonlijk winstbejag het uitgangspunt is waardoor er een circulaire innovatieve economie ontstaat. | Linken aan ??? | Laag 1 | |||||
IMP103 | Comply or Explain | Hanteer bij het werken onder architectuur bij gemeente het principe Comply or Explain | Toevoegen als Gemeentelijk Architectuur principe ipv Implicatie?? | Laag 1 | |||||
IMP104 | Open democratie | De informatiepositie van afnemers is gelijkwaardig om te kunnen participeren in de besluitvorming en hierdoor ontstaat een open democratie waarbij de gemeente verantwoording af moet leggen. | Relatie met Architectuurprincipe GA019 Digitale exclusiviteit | Laag 2 | |||||
IMP105 | Inzet van Co creatie voor waardecratie | In de netwerksamenleving wordt door inzet van co creatie met afnemers en gemeenten maatschappelijke waarde gecreëerd. | Laag 2 | ||||||
IMP106 | Digitale veiligheid en handhaving | Zorg als gemeente voor digitale veiligheid door bewustwording campagnes, beveiligingsmaatregelen en handhaving daarop.Door afnemers vanuit de gemeente te informeren en bewust te maken wat de risico's en impact is en hoe te handelen als er uitval is en deze campagnes ter herhalen worden de risico's voor uitval geminimaliseerd | Relatie met Architectuurprincipe GA020 Digitale weerbaarheid | Laag 2 | |||||
IMP107 | Inzet van Case workflow | Inzet van case workflow voor het efficiënt, effectief en duurzaam afhanelen van zaken binnen de wettelijke kaders zoals de Archiefwet | Linken aan GAP02 en GAP09 | Laag 2 | Laag 4 | ||||
IMP108 | Standaardiseer en hergebruik basisprocessen | Door standaardisering, vereenvoudiging en hergebruik van basisprocessen wordt de bedrijfsvoering en dienstverlening efficiënter, effectiever en minder complex. | Linken aan GAP06 en GAP08 en GAP016 | Laag 2 | |||||
IMP109 | Uitbreiding basisproces | Basisprocessen kunnen uitgebreid worden met optionele handelingen | Linken aan GAP16 | Laag 2 | |||||
IMP110 | Volgorde basisproces aanpassen | Handelingen in een basisproces kunnen in volgorde worden aangepast als er geen dwingende relatie is met een voorgaande of opvolgende handeling. | Linken aan GAP16 | Laag 2 | |||||
IMP111 | Basis proces register | Basisprocessen en hun onderdelen worden gezamenlijk beheerd en ontsloten via registers. | GAP14 | Laag 2 | |||||
IMP112 | Standaardmodellering basisprocessen | Basisprocessen zijn gemodelleerd volgens de BPMN versie 2 standaard. | GAP08 | Laag 2 | |||||
IMP113 | Scheid data van applicatie | Zorg dat software hardware-agnostisch is en werk hierin met onafhankelijke bouwblokken. | Van IMP029 deels | Laag 3 | Laag 4 | ||||
IMP114 | Voorkom leveranciersafhankelijkheid | Stel informatie beschikbaar in een marktconform standaard bestandsformaat. | DUTO implicatie | Laag 2 | Laag 3 | ||||
IMP115 | Risico minimalisatie door spreiding van leveringen functionalitetit | Door spreiding van levering van functionaliteit zodat er indien nodig overgeschakeld kan worden van de ene locatie / leverancier naar een andere leverancier worden de risico's voor uitval geminimaliseerd. | Relatie met GAP20 Zorg voor digitale weerbaarheid | Laag 4 | |||||
IMP116 | Zorg voor gescheiden (opslag) locacties | Voor het borgen van continuïteit van digitalisering is het belangrijk om gescheiden (data) locaties te hebben als gemeente en de uitwijk regelmatig te oefenen op basis van een continuiteitsplan. | Relatie met GAP20 Zorg voor digitale weerbaarheid | Laag 3 | |||||
IMP117 | Gebeurtenis gericht werken | Door gebeurtenis gericht werken wordt meer vanuit de leefwereld van de afnemer dienstverlening geboden door gemeenten. | Relatie met GAP01 / vanuit 1e reviewronde | Laag 1 | |||||
IMP118 | Organiseren en evalueren voor ethiek, verantwoording en controle | Door het organiseren van een landelijk algoritmeregister is het mogelijk te evalueren en verantwoording af te leggen ter controle door een gemeente. | Relatie met GAP19
|
Laag 1 | Laag 3 | ||||
IMP119 | Digitale authenticiteit informatie objecten | Door het digitaal waarmerken van informatieobjecten kan de afnemer uitgaan van de authenticiteit van een informatie object. | Relatie met IMP018 | Laag 3 | |||||
IMP120 | Autorisatie obv PBAC | Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben op basis van PBAC (Policy Based Access Control) | Vanuit de GEMMA en het Werken met API’s hebben we geconstateerd dat RBAC onvoldoende waarborg geeft voor security en privacy. We raden voor het werken met PBAC (policy based access) aan. Voor de bestaande ‘oude’ applicaties zou RBAC gebruikt kunnen worden. Een combinatie van methoden dus afhankelijk van de soort toepassing. | ||||||
IMP121 | Digitale identiteit | Een fysieke identiteit van een persoon ontstaat vanuit een digitale identiteit en en hierbij volgen we eIDAS en landelijke ontwikkelingen op dit gebied . |
GEMMA | ||||||
IMP090 | GEMMA toevoegen | Laag 1 en linken met rechtmatig als kwaliteitsdoel | ||||
IMP091 | Archivering en duurzaamheid zijn twee heel verschillende zaken. Deze niet combineren in één implicatie | Implicatie voorstel: Archivering by design Uitleg: Hanteer in de procesinrichting en informatie inrichting van de gemeente archivering by design om te kunnen voldoen aan digitale duurzaamheid en Archiefwet en wettelijke normenkaders op dit gebied. | Wijzigingen verwerken voor GEMMA en reactie naar NORA | Archiefwet 2021 en DUTO normenkader | Laag 1 en laag 2 en linken met rechtmatig kwaliteitsdoel. | |
IMP092 | Dit is al gedekt in IMP003. Klopt niet, | GEMMA toevoegen | Laag 1 en 2 | |||
IMP093 | GEMMA toevoegen | Laag 1 en 2 | Linken met GAP018 Regie op Gegevens en GAP20 Zorg voor digitale weerbaarheid | |||
IMP094 | GEMMA toevoegen | Laag 1 en 2 | Linken met GAP 11 Pas doelbinding toe | |||
IMP095 | Het recht om vergeten te worden is niet zomaar toepasbaar op persoonsgegevens bij gemeenten. Dit recht kan enkel uitgeoefend worden op gegevens waarvoor de gemeente geen wettelijke bewaarplicht op heeft. | Uitleg: Om de privacy van de inwoners te borgen is het recht om vergeten te worden waarbij gegevens ook vernietigd worden van inwoners waarvoor de gemeente geen wettelijke bewaarplicht heeft. | Voorstel aan GEMMA toevoegen | Laag 1 en laag 2 en linken met rechtmatig kwaliteitsdoel en bron is AVG en Archiefwet 2021 | Linken met GAP 11 Pas doelbinding toe en GAP018 Regie op gegevens | |
IMP096 | Laag 1 en 3 Bronnen: besluit Basisregistraties BAG, BRO, BRP en wet BRP | Linken met GAP12 Informeer bij de bron en GAP10 Neem gegevens als fundament en GAP08 Standaardiseer waar mogelijk en GAP Regie op gegevens | ||||
IMP097 | Dit is al gedekt in IMP012. Niet voorschijrven hoe getest moet worden. | Laten vervallen na de GEMMA review | ||||
IMP098 | NLX als product kunnen we niet verplichten. Voor de verantwoordingsplicht is het uberhaupt de vraag of NLX daarvoor gebruikt kan worden. Hier loopt nog een (juridisch) onderzoek. Ik zou deze implicatie laten vervallen. | Laten vervallen na de GEMMA review | Common Ground architectuurprincipe | |||
IMP099 | Wij kunnen niet dicteren wat MijnOverheid binnen scope van hun voorziening trekt. Betalingen via MijnOverheid zou ik zeker niet als implicatie noemen. | Omnichannel Architectuur thema | ||||
IMP099 | Terugkoppeling over de betaling wel via MijnOverheid. De betaling zelf niet. | Toon statusinformatie van een aanvraag of afhandeling van een dienst vian mijn overheid | Voorstel aan GEMMA toevoegen | |||
IMP100 | Van IMP017 | Implicatie: Van elk informatieobject een weergave en/of export beschikbaar moet zijn Uitleg: Voor de duurzaamheid en onafhankelijk hergebruik van informatieobjecten moet er een weergave en/of export beschikbaar zijn zonder afhankelijkheid van speciale software en hardware. | Laag 3 | |||
IMP101 | Van IMP017 | Implicatie: Dataclassificatie en doelbinding op dataniveau Uitleg: Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben. | Laag 3 | |||
IMP102 | GEMMA toevoegen | Laag 1 en laag 2 | Linken met GAP15 Streef naar eenvoud, Kwaliteitsdoel: duurzaamheid en Kernwaarde: van maatschappelijke waarde | |||
IMP103 | Nederlandse termen gebruiken | Pas toe of leg uit | Voorstel aan GEMMA toevoegen | Laag 1 | ||
IMP104 | GEMMA toevoegen | Laag 2 | Linken met GAP019 Dig. Incl., Kernwaarde Vertrouwen, KwaliteitsDoel: betrouwbaar en rechtmatig | |||
IMP105 | GEMMA toevoegen | Laag 2 | Linken met GAP019 Dig. Incl. Kernwaarde: van maatschappelijke waarde | |||
IMP106 | GEMMA toevoegen | Laag 2 | Linken met GA020 Digitale weerbaarheid | |||
IMP109 | Er is geen regel of implicatie dat uitbreiden niet mag. Deze implicatie heeft geen toegevoegde waarde | IMP109 laten vervallen | Laten vervallen na de GEMMA review | |||
IMP110 | Het voert veel te ver om dit in een implicatie op te nemen. Dit is aan ontwikkelaars van oplossingen. | IMP110 laten vervallen | Laten vervallen na de GEMMA review | |||
IMP111 | Basis proces register | Basisprocessen en hun onderdelen worden gezamenlijk beheerd en ontsloten via registers. | GEMMA toevoegen | Laag 2 | Linken met GAP14 | |
IMP112 | Standaardmodellering basisprocessen | Basisprocessen zijn gemodelleerd volgens de BPMN versie 2 standaard. | GEMMA toevoegen | Laag 2 | Linken met GAP08 | |
IMP113 | Van IMP029 | Implicatie: Scheid data van applicatie Uitleg: Zorg dat software hardware-agnostisch is en werk hierin met onafhankelijke bouwblokken. | Voorstel GEMMA toevoegen en reactie naar NORA | Laag 3 en 4 | ||
IMP114 | Toevoegen bron | Bron: DUTO | ||||
IMP118 | Er is ondertussen een landelijk algoritme register. Is de implicatie dat gemeente hun algoritmen hierin zouden moeten opnemen? | Gemeenten nemen hun algoritmen op in "Het Algoritmeregister van de Nederlandse Overheid" | Voorstel GEMMA toevoegen en reactie naar NORA | Laag 1 | Linken met GAP019 Dig. Incl. Kernwaarde: van maatschappelijke waarde en open , ethisch verantwoord, vertrouwen en kwaliteitsdoelen Transparant en betrouwbaar en verantwoord en privacy en ontvankelijk. | |
IMP120 | Ik zou RBAC niet willen noemen. Vanuit de GEMMA en het Werken met API’s hebben we geconstateerd dat RBAC onvoldoende waarborg geeft voor security en privacy. We raden voor het werken met PBAC (policy based access) aan. Voor de bestaande ‘oude’ applicaties zou RBAC gebruikt kunnen worden. Een combinatie van methoden dus afhankelijk van de soort toepassing. | Voor het werken met API's heeft PBAC (policy based access) de voorkeur. Voor de bestaande oude applicaties kan RBAC nog ingezet worden. | Zie IMP19. Voorstel na review hier laten vervallen | Laag 3 en 4 | ||
IMP121 | De implicatie is geformuleerd als een vraag. Ik zou het er op houden dat een fysieke identiteit van een persoon ontstaat vanuit een digitale identiteit en dat we eIDAS en het landelijke ontwikkelingen op dit gebied volgen. | Een fysieke identiteit van een persoon ontstaat vanuit een digitale identiteit en hierbij volgen we eIDAS en landelijke ontwikkelingen op dit gebied. | Voorstel GEMMA toevoegen en reactie naar NORA | Laag 1 | Linken met kerwnaarde veilig | |