GEMMA review Implicaties Architectuurprincipes NORA 2023


Op deze pagina staat het resultaat van de VNG-review van de implicaties van de NORA-architectuurprincipes. Zie voor ook de toelichting op NORA Online. De architectuurprincipes zijn al eerder gereviewd binnen VNG en door gemeentelijke architecten.

Onderstaande tabellen zijn als OpenDocument-bestand te downloaden

Toelichting[bewerken]

Hieronder staat twee tabellen met daarin de reviewopmerkingen:

  1. Review_NORA-implicaties
  2. Toevoegingen vanuit GEMMA review 1e ronde

In de eerste tabel begint het met het ID van de implicatie. Daarna een kolom met de titel van (inclusief verwijzing naar) de NORA Online-pagina van de betreffende implicatie. Daar staat nog meer informatie. Vervolgens wordt hierop de NORA-toelichting gegeven. In de vierde en vijfde kolom worden het VNG-commentaar en eventueel een voorstel gegeven indien VNG wil afwijken.

De tweede tabel heeft dezelfde opbouw, alleen is daar nog aan toegevoegd het VNG-voorstel op welke laag uit het vijflaagsmodel deze implicatie betrekking heeft.

Leveren van commentaar[bewerken]

Het is mogelijk om tot 6 februari 2023 commentaar te leveren op deze review. Gebruik daarvoor de volgende structuur in een spreadsheet.

  1. ID van de implicatie, bij een nieuw voorgestelde implicatie hoeft deze niet gevuld te worden.
  2. Opmerking over het VNG-reviewcommentaar of het VNG-voorstel. Voor de tweede tabel kunnen ook opmerkingen worden gemaakt m.b.t. de laag uit het vijflaagsmodel.
  3. Voorstel voor aanpassing en/of verbetering.
ID Opmerking Voorstel
IMP001 <tekst opmerking> <tekst voorstel>

Download het lege reviewbestand met deze opzet.

Dit is alleen mogelijk door informatieobjecten voor een dienst, systematisch te beschrijven met behulp van een informatiemodel dat de semantiek en syntax van de gegevens vastlegt. Zo kunnen de betrokken gebruikers de relevante informatieobjecten vinden, toepassen, (her)gebruiken en archiveren.

Hoe beter deze structuur gevolgd wordt, hoe groter de kans dat er iets mee gedaan wordt. Stuur vervolgens het bestand naar de GEMMA-redactie

Review NORA-implicaties[bewerken]

ID Implicatie Toelichting Review 1e ronde Implicaties 30-12-2022 Voorstel GEMMA implicaties indien afwijking
IMP001 Beschrijf informatieobjecten in een model Voor een optimale dienstverlening aan burgers en bedrijven en voor effectieve en efficiënte samenwerking in het leveren van diensten tussen en binnen overheidsorganisaties, is het belangrijk om een gezamenlijk beeld te hebben van de informatie die hierbinnen worden gebruikt en nodig zijn.


Dit is alleen mogelijk door informatieobjecten voor een dienst, systematisch te beschrijven met behulp van een informatiemodel dat de semantiek en syntax van de gegevens vastlegt. Zo kunnen de betrokken gebruikers de relevante informatieobjecten vinden, toepassen, (her)gebruiken en archiveren.

Beschrijf informatieobjecten in een generiek model
IMP002 Voorkom verlies van informatie Veranderingen in techniek, organisatie of gebruikerswensen mogen niet van negatieve invloed zijn op de duurzame toegankelijkheid van informatie. Hetzelfde geldt voor bitrot (verlies van informatie door verval van opslagmedia). Neem vooraf maatregelen om informatie toekomstbestendig te maken, zodat deze toegankelijk blijft voor de van toepassing zijnde vormen van (her)gebruik.


Dit betekent dat:

  • Leveranciersafhankelijkheid wordt voorkomen
  • Analyse wordt gemaakt van welke gevolgen veranderingen (in techniek, organisatie, of gebruikerswensen) hebben voor de duurzame toegankelijkheid van informatie. Bij het ontwerpen van informatiesystemen na wordt gedacht over de te gebruiken technologie voor het beheren van informatie.
 Dit lijken meerdere implicaties: voorstel om deze te beperken en te linken met nieuwe implicatie IMP091 archivering en duurzaamheid by design.
IMP003 Maak zoveel mogelijk data beschikbaar als open data Bij het ontwerpen van informatiesystemen na wordt gedacht over de te gebruiken technologie voor het beheren van informatie.



Vanuit o.a. de WOO richt de overheid zich op transparantie. Daarbij hoort het actief beschikbaar stellen dan wel delen van data. Wel met inachtneming van de beperkingen die daarbij gelden (bijv. vanuit de AVG).


Er zijn meerdere redenen om data actief beschikbaar te stellen. Zo kan het meer transparantie en inzicht geven in het overheidshandelen en zo de accountability vergroten. Bijvoorbeeld door begrotingen of inkoopgegevens als open data beschikbaar te stellen.

Het kan ook economische en maatschappelijke innovatie stimuleren, zoals de ontwikkeling van apps en informatiediensten op basis van overheidsdata.

Maak zoveel mogelijk relevante data proactief beschikbaar als open data waarbij linked open data de voorkeur heeft. GEMMA en data.png
IMP004 Minimaliseer het gebruik van gegevens Verzamel of vraag alleen die gegevens op die nodig zijn voor het strikte doel van de dienstverlening. En houd de gegevensverwerking die hierop volgt in proportie met het doel. Dit voorkomt dat vertrouwelijke of privacygevoelige gegevens onnodig worden verwerkt. GAP 18 Regie op gegevens relatie toevoegen, let op breder dan dienstverlening
IMP005 Bied één contactpunt (Single point of contact) Bied de dienst zo veel mogelijk vanuit één contactpunt aan richting burgers en bedrijven. Zo hoeven burgers en bedrijven niet met verschillende partijen te schakelen om de dienst af te kunnen nemen. Voor de gemeente worden vaak klantregiseurs (specifiek) of KCC ingezet.
IMP006 Ken je afnemers en stem diensten hierop af Verdiep je in de achtergronden van je afnemers en de context waarin zij van de dienst gebruik maken en vergewis je van de digitale vaardigheden van je doelgroep. Zorg dat de dienst is afgestemd op de (digi)vaardigheden en mogelijkheden van alle (potentiële) afnemers.



Weet welke informatie afnemers doorgaans zoeken en waar ze deze zoeken. Deze informatie meld je aan op de voor de afnemers bekende vindplaatsen, zoals zoekmachines, portals, catalogi en registers. Ook de dienst zelf voorzie je van de nodige zoekfuncties.

Om de afnemer waar dat nodig is door te kunnen verwijzen, zorg je dat je op de hoogte bent van de andere plaatsen waar diensten te vinden zijn.

Digitaal inclusief voor gemeenten is niet beperkt tot inwoners/afnemers maar ook voor gebruikers/interne medewerkers. Zeker gezien de leeftijdsopbouw in de personeelsbestanden van gemeenten.
IMP007 Verwijs naar de bron Verwijzen naar de bron heeft voorkeur boven een kopie uit die bron. Inzage in de bron heeft de voorkeur boven zelf opslaan. Afspraken daarover worden vastgelegd en bekend gemaakt. Vanuit legitimiteitsperspectief kan het nodig zijn een kopie vast te leggen. Dubbel met IMP021 ?
IMP008 Maak besluiten traceerbaar en controleerbaar De overheid zorgt dat besluiten die burgers en bedrijven raken, ook door deze burgers en bedrijven te controleren zijn. Hierbij hebben zij de mogelijkheid om inzicht te krijgen op welke wijze en op basis van welke informatie besluiten tot stand zijn gekomen (traceerbaarheid). Voor gemeenten is het uitgangspunt tijdreizen hierin belangrijk. Dus welk besluit is genomen op welk moment op basis van het wettelijk kader wat toen gold. Gezien de veranderingen in wetgeving is hierin een hoge complexiteit ontstaan die het niet echt transparant maakt voor de inwoners/afnemers/gebruikers/medewerkers.
IMP009 Geef de afnemer inzage in rechten en voorwaarden en plichten De bij de dienst horende rechten, voorwaarden en plichten dienen op duidelijke en transparante wijze toegankelijk te worden gemaakt voor burgers en bedrijven die deze dienst af willen of moeten nemen. Voor gemeenten is het uitgangspunt tijdreizen hierin belangrijk. Dus welk besluit is genomen op welk moment op basis van het wettelijk kader wat toen gold. Gezien de veranderingen in wetgeving is hierin een hoge complexiteit ontstaan die het niet echt transparant maakt voor de inwoners/afnemers/gebruikers/medewerkers.
IMP010 Bied multi- en omni-channel dienstverlening Bied diensten aan via meerdere kanalen aan. Bij multichannel kunnen afnemers kiezen tussen enkele kanalen die niet direct op elkaar zijn afgestemd. Bij omnichannel gebruikt de afnemer heel veel verschillende kanalen die goed op elkaar zijn afgestemd. Relatie met GAP19 Digitaal inclusief toegevoegd als principe in GEMMA
IMP011 Sluit aan op het voorkeurskanaal van de gebruiker Sluit qua kanaal aan op de voorkeurkeuze van gebruikers. Digitale kanalen zijn hierin leidend, doch er mag niet voorbij worden gegaan aan het belang van burgers die geen of beperkte mogelijkheden hebben om digitaal te communiceren. Relatie met GAP19 Digitaal inclusief toegevoegd als principe in GEMMA
IMP012 Maak de dienst toegankelijk voor alle gebruikers Zorg dat alle gebruikers, ook die met functiebeperking, de volwaardige dienst kunnen afnemen. Het streven is digitale inclusiviteit voor iedereen (digitoegankelijk). Relatie met GAP19 Digitaal inclusief toegevoegd als principe in GEMMA
IMP013 Maak de dienst toegankelijk voor anderstaligen Zorg dat een (potentiële) anderstalige gebruiker de dienst ook kan afnemen, door deze ook in een algemeen toegankelijke taal aan te bieden (bv. Engels). Relatie met GAP19 Digitaal inclusief toegevoegd als principe in GEMMA
IMP014 Elimineer overbodige processtappen (voor de afnemer) Stel bij iedere processtap de vraag of deze stap waarde toevoegt voor de afnemer of dat de processtap evengoed weggelaten kan worden. Linken met GAP16 Streef naar eenvoud!
IMP015 Maak beveiligingsmaatregelen zo gebruiksvriendelijk mogelijk Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds en ander onveilig gedrag. Voor gemeenten is het uitgangspunt veilig (algemeen belang) en dan gebruikersvriendelijk (persoonlijk belang) en transparant in omschrijving weghalen. Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds en ander onveilig gedrag.
IMP016 Pas ontwerprichtlijen toe bij websites en portalen en apps Elke overheidsorganisatie is verantwoordelijk voor het goed toegankelijk maken van haar activiteiten voor burgers en bedrijven. Voor websites geldt dat deze moeten voldoen aan de standaarden zoals gedefinieerd in WCAG. Dit geldt met name voor websites die toegankelijk zijn voor het publiek, maar ook voor intern gerichte websites. WCAG staat voor 'Web Content Accessibility Guidelines'. De wetgever heeft bepaald dat alle (semi-)overheids websites per 23 september 2020 aan deze WCAG standaard moeten voldoen. Voor de gemeente toevoegen voldoen aan NLDesign systems en het geldt niet alleen voor interne websites maar ook voor de interactielaag van applicaties, componenten en na publiek toevoegen gebruikers/medewerkers. Elke overheidsorganisatie is verantwoordelijk voor het goed toegankelijk maken van haar activiteiten voor burgers en bedrijven en medewerkers. Voor websites en de interactielaag van applicaties en componenten geldt dat deze moeten voldoen aan de standaarden zoals gedefinieerd in WCAG. Dit geldt met name voor websites die toegankelijk zijn voor het publiek, maar ook voor intern gerichte websites en de interactielaag van applicaties en componenten.. WCAG staat voor 'Web Content Accessibility Guidelines'. De wetgever heeft bepaald dat alle (semi-)overheids websites per 23 september 2020 aan deze WCAG standaard moeten voldoen. Vanuit gebruiker centraal is daar NL Design system als als standaard toegevoegd.
IMP017 Zorg dat overheidsinformatie eenvoudig te raadplegen is De informatiegebruiker (mens of machine) kan een informatieobject of een verzameling informatieobjecten binnen redelijke tijd en inspanning gebruiken (zoals inzien, exporteren, bewaren en verwerken in de eigen gebruiksomgeving), nu en in de toekomst (gedurende de gehele levenscyclus). Deze implicatie splitsen, het eerste deel staat deels al bij IMP052
Daardoor is de informatiegebruiker zo min mogelijk afhankelijk van de beheeromgeving voor de toegang tot de informatie. Dit betekent dat:
Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben. Dit is een implicatie van doelbinding, en hoort hier eigenlijk niet thuis.
Onderscheid gemaakt moet worden in primaire en secundaire gebruikers op basis van doelbinding. Dit is een implicatie van doelbinding, en hoort hier eigenlijk niet thuis.
De informatie beschikbaar moet worden gesteld in een bestandsformaat dat samenhangt met het doel waarvoor de informatie wordt gebruikt. IMP052 al opgenomen. Kan hier vervallen.
Een zoekfunctie beschikbaar moet zijn waarmee alle relevante informatieobjecten vindbaar zijn. Deze mag hier blijven staan. Een zoekfunctie beschikbaar moet zijn waarmee alle relevante informatieobjecten vindbaar zijn.
De informatie moet kunnen worden gevonden zonder dat er (specifieke) en/of kennis van de zoekfunctionaliteit of de gezochte informatie benodigd is. De informatie moet kunnen worden gevonden zonder dat er (specifieke) en/of kennis van de zoekfunctionaliteit of de gezochte informatie benodigd is.
Van elk informatieobject een weergave en/of export beschikbaar moet zijn. Aparte implicatie toegevoegd, hier vervallen
IMP018 Maak één organisatie verantwoordelijk voor de dienst Eén organisatie is verantwoordelijk en aanspreekbaar voor de geleverde dienst. No wrong door en voorkom van kastje naar de muur gedrag
IMP019 Maak stelselafspraken over identificatie en authenticatie Maak stelselafspraken om te komen tot één generiek digitaal stelsel voor identificatie en authenticatie of sluit aan bij een bestaand kanaaloverstijgend stelsel met afspraken over betrouwbaarheidsniveau's. RBAC of PBAC???
IMP020 Defineer de toegangsregels kanaalonafhankelijk Formuleer uniforme regels die gelden voor toegang tot de entiteiten (dienst, informatie, object) onafhankelijk van het kanaal.
IMP021 Bevorder hergebruik van gegevens Maak zo veel mogelijk gebruik van gegevens die reeds beschikbaar zijn in plaats van deze gegevens opnieuw te verzamelen of te creëren. Wet Hergebruik Overheidsinformatie (WHO) toevoegen als bron hierin
IMP022 Neem oorspronkelijke grondslag mee bij hergebruik diensten Bij hergebruik van diensten kijken zowel aanbieder als afnemer opnieuw naar de oorspronkelijke grondslag en doelbinding. Als dat nodig blijkt passen zij pseudonimisering dan wel anonimisering van de data toe. Dit houdt in dat bij te ontwikkelen functionaliteit de oorspronkelijke grondslag bepalend is voor de hergebruikmogelijkheden.
IMP023 Regisseer hergebruik diensten in de keten Hergebruik van diensten in de keten moet onderling tussen de verschillende overheidsorganisaties georganiseerd en geregisseerd worden. Zorg voor een register van diensten die voor hergebruik geschikt en beschikbaar zijn. Leveren van functionaliteit voor gebruikers in de keten door inzet van meerdere gezamenlijke componenten.
IMP024 Maak heldere afspraken over aanbieden en afnemen van diensten Maak heldere afspraken over aanbieden en afnemen van diensten, waaronder eventueel van toepassing zijnde vergoedingen (afbakening van verantwoordelijkheden). Doe dit zowel vooraf als bij het afsluiten.



Maak duidelijke afspraken over de gegarandeerde levensduur van de aangeboden dienst.


Stem de opzet van je diensten af met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen. Voordat je een eigen dienst maakt, bekijk eerst of er al iets soortgelijks aanwezig is.


Vraag en aanbod van diensten vind plaats door bundeling op overheidsniveau.

Gebruik een standaardoplossing (zoals bijvoorbeeld een pakketoplossing) zoveel mogelijk ongewijzigd, dus zonder maatwerkaanpassingen. Pas bij de toepassing van een standaardoplossing je werkwijze aan bij de standaarden en de best-practices die aan de oplossing ten grondslag liggen. Volg waar het kan de inrichtingsfilosofie van leveranciers.

IMP025 Gebruik standaard oplossingen zonder maatwerk
IMP026 Pas je eigen proces en organisatie aan aan de standaard oplossing Pas je processen en organisatie aan de standaard oplossingen aan, in plaats van het omgekeerde. Zie ook EIF principle 4 "Reusability", aanbeveling 6+7.
IMP027 Gebruik open source Bij gelijke geschiktheid heeft Open Source software de voorkeur bij het ontwikkelen van een dienst. Zie ook EIF principle 2 "Openness", aanbeveling 3.
IMP028 Maak diensten herbruikbaar De dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruiken. De opzet van de dienst anticipeert op onvoorziene afnemers en gebruik.



Deze implicatie beoogt de dienst interoperabel en bruikbaar voor een zo groot mogelijke groep afnemers te maken. Dit draagt bij aan een hoger rendement van de dienst.

Hiervoor is het nodig dat de dienst:

  • zó is beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden
  • maximaal gebruik maakt van (open) standaarden om zo min mogelijk drempels op te werpen voor gebruik
  • een minimum aan gebruiksvoorwaarden kent
  • is aangemeld bij een landelijk serviceregister.
 Linken aan GAP07 en GAP06P en Kwaliteitsdoel Interoperabiliteit
IMP029 Scheid proces van data Scheid proces van data en data van software. Zorg dat software hardware-agnostisch is. De afhankelijkheden tussen (proces-)onderdelen moeten bij voorkeur zo klein mogelijk zijn. Hierdoor blijft ontkoppeling op een later moment mogelijk. Vanuit GEMMA splitsen: Scheid proces van data IMP029 en toevoegen IMP110, Scheid data van software op de applicatielaag. Scheid proces van data . Zorg dat software hardware-agnostisch is. De afhankelijkheden tussen (proces-)onderdelen moeten bij voorkeur zo klein mogelijk zijn. Hierdoor blijft ontkoppeling op een later moment mogelijk.
IMP030 Scheiding van datasets Verdeel de informatie in afgebakende datasets, die ook elk afzonderlijk getoetst kunnen worden op het voldoen aan de AVG. Verdeel de informatie in afgebakende datasets, die ook elk afzonderlijk getoetst kunnen worden op het voldoen aan de AVG.
IMP031 Ontwerp op modulaire wijze Realiseer complexe systemen op modulaire wijze. Dit doe je door het systeem zodanig te ontwerpen dat deze opgedeeld kan worden in modules. Elke module moet eigenschappen bevatten die het mogelijk maken om ze (via gestandaardiseerde koppelvlakken) aan elkaar te koppelen. Zodanig vormen ze in het geheel een complex systeem. Complex weghalen Realiseer complexe systemen op modulaire wijze. Dit doe je door het systeem zodanig te ontwerpen dat deze opgedeeld kan worden in modules. Elke module moet eigenschappen bevatten die het mogelijk maken om ze (via gestandaardiseerde koppelvlakken) aan elkaar te koppelen. Zodanig vormen ze in het geheel een systeem.
IMP032 Ontwerp diensten met oog voor doelbinding en grondslag Ontwerp en implementeer diensten met oog voor doelbinding, data-minimalisatie en oorspronkelijke grondslag. Zie IMP privacy by design principe toegevoegd. Vervangen?
IMP033 Koppel bronsystemen op basis van een passende classificatie Verwerk als afnemer gegevens uit een bronsysteem met respect voor de classificatie van die gegevens. Geef het geen hogere classificatie voor beschikbaarheid en integriteit dan de bron, en geen lagere classificatie voor vertrouwelijkheid. Maak zonodig afspraken met de aanbieder om hun classificatie aan te passen en in hun dienst bijpassende maatregelen daarvoor te implementeren.
IMP034 Gebruik de standaard met het meest specifieke werkingsgebied Gebruik de standaard met het meest specifieke werkingsgebied. Als deze conflicteert met bredere (internationale) standaarden, zorg dan in de sector voor afstemming daarmee.
IMP035 Gebruik een actueel register met standaarden Maak gebruik van een actueel register met standaarden per tepassingsgebied. Functionele standaarden hebben betrekking op bijvoorbeeld gegevensuitwisseling, beveiliging, taalgebruik, digitale communicatie, etc. Standaarden met een organisatorisch werkingsgebied hebben betrekking op bijvoorbeeld de strafrechtketen, zorgketen, sociale zekerheid, financiën, etc.
IMP036 Pas open standaarden toe Verwerf producten die aan de standaard(en) voldoen. Hierbij geldt: Open standaarden tenzij.



Implementaties maken gebruik van de beschrijvingen uit de open standaarden om leveranciersonafhankelijkheid te behouden.

Maak met afnemers afspraken over de te gebruiken open standaarden. Anticipeer hierbij op de ontwikkeling van de open standaarden, bijvoorbeeld door nieuws over standaarden te volgen via noraonline.nl of www.forumstandaardisatie.nl/

Zorg dat standaarden vanuit andere dochters zoals Geonovum Open gemaakt worden. TOEVOEGEN in beschrijving.
IMP037 Pleeg onderhoud op de toegepaste standaarden Zorg via lifecyclemanagement voor toepassing van voldoende actuele versies van standaarden. Inventariseer de relevante standaarden en neem dat mee in het ontwerp van de dienst/voorziening.
IMP038 Gebruik gestandaardiseerde referentiedata Gebruik gestandaardiseerde referentiedata. Zie ook CBS referentiedata, of domeinspecifieke bronnen voor referentiedata.
IMP039 Zorg voor open specificaties Zorg voor open specificaties. Zodat deze hergebruikt kunnen worden over instellingen heen. Dit voorkomt dat verschillende organisaties hetzelfde wiel moeten uitvinden. Zie ook EIF principle 2: "Openness", aanbeveling 4. EIF-brochure (pdf)
IMP040 Stel een duidelijke Quality of Service (QoS) vast voor de dienst De dienst heeft een duidelijk beschreven 'Quality of Service'. Niet alleen op het technisch koppelvlak, maar juist ook op die aspecten die door de afnemers begrepen worden. Bijvoorbeeld in termen van beschikbaarheid, performance, supportniveau, etc.
IMP041 Leg per dienst vast aan welke standaarden deze voldoet Leg per dienst vast aan welke normen en standaarden je moet of wilt voldoen. Deze normen en standaarden moeten op hun beurt voldoen aan wet- en regelgeving. De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van deze norm worden geïdentificeerd.
IMP042 Leg een Service Level Agreement vast bij de dienst Leg de inhoud van de dienst en het akkoord hierop schriftelijk vast, in de vorm van een Service Level Agreement (SLA), een Gegevens Leverings Overeenkomst (GLO), of in wet- en regelgeving.



Dit is in elk geval noodzakelijk voor bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter. Hierbij is het akkoord en de inhoud daarvan schriftelijk vastgelegd.

De dienstverlener geeft hierbij ook aan welk betrouwbaarheidsniveau geldt voor de identificatie van de afnemer.

IMP043 Neem diensten op in een producten- en dienstencatalogus (PDC) Beschrijf diensten in een producten- en dienstencatalogus (PDC) inclusief de daarbij behorende spelregels. Datasets worden beschreven in een datacatalogus (interne afnemers). Open data van de overheid biedt dit inzicht aan externe afnemers. Zie data.overheid.nl
IMP044 Hanteer bewaartermijnen voor informatie Informatie wordt niet langer bewaard en niet eerder vernietigd dan wettelijk is toegestaan. Dit betekent dat:
  • Er een selectielijst is, waarin opgenomen de te vernietigen informatieobjecten of onderdelen daarvan.
  • Er vastgesteld in de organisatie verankerd beleid is met betrekking tot vernietigen.
  • Bevoegdheden, rollen en verantwoordelijkheden en beleid rondom vernietigen zijn belegd.
  • De organisatie inzicht heeft in informatieobjecten, bewaartermijnen, processen, informatiesystemen en hun onderlinge samenhang.
IMP045 Leg de doelbinding vast in de metadata van het gegevensobject De verwerkingshistorie inclusief doel van verwerking wordt vastgelegd bij het gegegevensobject als metadata. Dit betekent dat de historie van acties waarin een gegevensobject wordt verwerkt (opvragen / vastleggen / wijzigen / verwijderen) inclusief het doel van de actie vastgelegd wordt bij het gegevenobject. Waarom wordt gesteld dat de verwerkingshistorie inclusief doel van verwerking wordt vastgelegd bij het gegevensobject als metadata? Dat gaat in tegen de manier die we gekozen hebben in de GEMMA. Daar worden verwerkingen vastgelegd in een aparte (kern)registratie op basis van een verwerkingsactiviteit.
IMP046 Stel één verantwoordelijke vast voor ieder gegeven Voor ieder gegeven en voor iedere verwerking moet er een verantwoordelijke gegevenseigenaar zijn. Dat vraagt een inventarisatie van alle relevante gegevensobjecten.
IMP047 Pas de FAIR dataprincipes toe Pas de implicaties van de FAIR dataprincipes toe. Zie ook go.fair.org FAIR-principes. Volgens mij vervangt dit een aantal implicaties.
IMP048 Leg de context van een informatieobject vast in metadata Informatie-objecten moeten goed worden beheerd. Onderdeel hiervan is dat de context van een informatieobject goed moet zijn vastgelegd in metadata.



Informatie en gegevens moeten duidelijk binnen een bepaalde context te plaatsen zijn. Metadata is daar het passende instrument voor.


Context (vastgelegd in metadata) is nodig om gegevens te begrijpen voor verwerking.

Zie DUTO eisen (ISO 23081)

IMP049 Draag zorg voor juiste en actuele en volledige informatie Een gebruiker kan er op vertrouwen dat een informatieobject, zoals deze in de bron is vastgelegd, juist, actueel en volledig is. Fouten kunnen worden gemeld en hersteld. Daarbij is het van belang dat herstelwijzigingen worden gelogd, zodat traceerbaar is hoe foutieve gegevens zijn verwerkt en wat het effect daarvan is. Dit betekent dat:
  • De kwaliteit van de informatie transparant, verankerd en geborgd moet zijn binnen de processen van de verantwoordelijke en leverende organisatie (datamanagement).
  • Er gebruik moet worden gemaakt van gestandaardiseerde gegevensmodellen, gegevenswoordenboeken en catalogussen ten behoeve van machinematige verwerking van gegevens.
  • De informatie tijdens de gehele levenscyclus moet worden gemonitord, gecontroleerd, gevalideerd op basis van regels, kaders, normen en standaarden waarbij wijzigingen traceerbaar moeten worden gemaakt.
  • De informatie tijdens de gehele levenscyclus regelmatig moet worden getoetst aan wet- en regelgeving en daar verantwoording over moet worden afgelegd.
  • Er cyclisch gerapporteerd moet worden over de kwaliteit van de gegevens. Voor afwijkingen moeten de juiste maatregelen worden getroffen om de betrouwbaarheid en de kwaliteit van de informatie te kunnen waarborgen.
  • De informatie moet door de gehele lifecycle gevolgd kunnen worden vanaf de oorsprong tot aan het verwerken, opslaan, bewerken en beschikbaar stellen en/of vernietigen. (data-lineage).
  • Er gebruik moet worden gemaakt van authentieke- en/of kwalitatieve bronnen.
IMP050 Maak gegevens herleidbaar tot de bron (herkomst) Dit betekent dat inzichtelijk gemaakt moet worden hoe gegevens tot stand zijn gekomen, over de gehele verwerking in de keten heen. Dus van bronnen tot eindproduct. Van ieder gegeven zijn de herkomst en verwerkingen beschikbaar tot aan vernietiging
IMP051 Leg auditlogs vast bij de bronregistratie van het gegeven Als eigenaar van de bron wil je inzicht hebben in de toegang en inzage (CRUD) van de gegevens die vanuit de bron worden gebruikt. Voorkom dat auditgegevens verspreid raken over afnemende applicaties.
IMP052 Sla informatie op in een duurzaam toegankelijk bestandsformaat Informatie moet toegankelijk zijn voor gebruikers, zowel mens als machine. Hiervoor moeten de gebruikers geen speciale toepassingen of hulpmiddelen nodig hebben. Daarbij moet het formaat waar de informatie in wordt opgeslagen toekomstbestendig zijn, zodat de informatie ook in de toekomst nog toegankelijk is. Dit betekent dat:
  • Gebruik wordt gemaakt van een open standaard.
  • Bij doorontwikkeling van de gebruikte formaten, het originele bronbestand opgeslagen blijft in zijn huidige formaat en het voorlaatste bestandformaat actief wordt gemigreerd naar het nieuwe formaat.
  • Er voor het gebruik van het bestandsformaat geen afhankelijkheid is van één enkele leverancier en het onafhankelijk van hulpmiddelen of speciale toepassingen te gebruiken is.
  • Het bestandsformaat goed is gedocumenteerd.
  • Het formaat het eenvoudig uitwisselen met andere platforms en apparaten ondersteunt.
  • Fouten in de bitopslag automatisch gedetecteerd kunnen worden en te herstellen zijn.
  • Het formaat op grote schaal gebruikt wordt.
 Toevoegen Beschikbaar blijven van de informatie.


De informatie beschikbaar moet worden gesteld in een bestandsformaat dat samenhangt met het doel waarvoor de informatie wordt gebruikt. TOEVOEGEN

De informatiegebruiker (mens of machine) kan een informatieobject of een verzameling informatieobjecten binnen redelijke tijd en inspanning gebruiken (zoals inzien, exporteren, bewaren en verwerken in de eigen gebruiksomgeving), nu en in de toekomst (gedurende de gehele levenscyclus). Dit betekent dat:
  • Gebruik wordt gemaakt van een open standaard.
  • Bij doorontwikkeling van de gebruikte formaten, het originele bronbestand opgeslagen blijft in zijn huidige formaat en het voorlaatste bestandformaat actief wordt gemigreerd naar het nieuwe formaat.
  • Er voor het gebruik van het bestandsformaat geen afhankelijkheid is van één enkele leverancier en het onafhankelijk van hulpmiddelen of speciale toepassingen te gebruiken is.
  • Het bestandsformaat goed is gedocumenteerd.
  • Het formaat het eenvoudig uitwisselen met andere platforms en apparaten ondersteunt.
  • Fouten in de bitopslag automatisch gedetecteerd kunnen worden en te herstellen zijn.
  • Het formaat op grote schaal gebruikt wordt.
IMP053 Stel betrokkenen op de hoogte van het doel waarvoor gegevens verzameld worden Stel bij het verzamelen en opvragen van persoonsgegevens de betrokkenen op de hoogte van het doel waarvoor de gegevens worden verzameld en van de rechten die zij mogen uitoefenen.
IMP054 Leg de grondslag en het doel van de gegevensverwerking vast Leg de grondslag en het doel vast, waarvoor informatie wordt uitgevraagd bij burgers en bedrijven. Aan het doel gekoppeld worden ook de eisen (kwaliteitscriteria) vastgelegd waaraan deze informatie moet voldoen. Houd er rekening mee dat het doel in de loop der tijd kan wijzigen.
IMP055 Informeer bij de bron, eenmalige vastlegging Gegevens worden eenmalig uitgevraagd of verzameld, uniek opgeslagen, en vervolgens meervoudig gebruikt. Dit impliceert tevens dat de juistheid van de gebruikte informatie-objecten uit een bronregistratie niet voor gebruik opnieuw hoeft te worden gecontroleerd.
IMP056 Registreer gegevens bij de bron Registreer gegevens (zo dicht mogelijk) bij de bron, daar waar de gegevens ontstaan. Dit verhoogt de volledigheid, kwaliteit en de actualiteit van de gegevens aanzienlijk en voorkomt fouten. De vastgelegde gegevens kunnen daarna voor verschillende doeleinden worden gebruikt. Een ander belangrijk voordeel is dat het achteraf registreren van gegevens die eerder zijn ontstaan wordt voorkomen hetgeen de registratielast vermindert. Waar mogelijk, leg gegevens geautomatiseerd vast.
IMP057 Weet welke (bron)gegevens in huis zijn Weet welke gegevens de overheid of overheidsorganisatie al in huis heeft in de bronadministraties en op welke manier deze gegevens hergebruikt kunnen worden.
IMP058 Stel voor ieder gegeven de unieke bron vast Het niet hebben van een 'single point of truth (SPOT)' kan leiden tot divergerende data en mogelijk tot inconsistente beslissingen die op basis van de verschillende databronnen worden genomen.
[1]
IMP059 Geef de voorkeur aan halen i.p.v. brengen van gegevens Geef de voorkeur aan het halen (pull) i.p.v. het brengen van gegevens (push).
IMP060 Bepaal autorisaties met metadata Autorisaties voor het verstrekken en gebruik van gegevens kan worden bepaald op basis van metadata. De beheerder die het gegeven beheert en het wil verstrekken voor verdere bewerking, voegt metadata toe aan de hand waarvan de beheerder en de afnemer een autorisatiebeslissing kan nemen Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben op basis van RBAC (Role Based Acces Control) methode, TOEVOEGEN als nieuwe implicatie . Deze laten vervallen?
IMP061 Reduceer rest-risico's Besteed speciale aandacht aan de rest-risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het rest-risico. De verantwoordelijke voor het bedrijfsmiddel moet de rest-risico's accepteren. Toevoegen financeel normenkader en rest bij rest risico's weglaten. CHECK financieel normenkader link toevoegen. Besteed speciale aandacht aan de risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG en financieel normenkader zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het rest-risico. De verantwoordelijke voor het bedrijfsmiddel moet de rest-risico's accepteren.
IMP062 Evalueer de risicoanalyse bij veranderingen Een verandering in het dreigingsprofiel, of in een bedrijfsproces of in de onderliggende voorzieningen kan een mogelijke kwetsbaarheid introduceren of gevolgen hebben voor de veiligheidsbelangen van stakeholders. Een verandering kan de kans of de impact van een dreiging veranderen.
IMP063 Bepaal de continuïteitseisen Continuïteitseisen vormen de input voor het maken van een calamiteitenplan. Voorbeelden van continuïteitseisen zijn Maximum Tolerable Outage (MTO), Recovery Time Objective (RTO), Recovery Point Objective (RPO).
IMP064 Stel onweerlegbaarheid vast Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is, zodat daarvoor aanvullende maatregelen genomen kunnen worden.
IMP065 Verifieer de kwaliteit van gegevens van het begin tot het einde van het proces Controleer de kwaliteit van gegevens vanaf invoer en op ieder koppelvlak aan de hand van de vastgestelde kwaliteitseisen. Eenmaal geverifieerd hoeft een verificatie niet opnieuw plaats te vinden als de eerder uitgevoerde verificatie nog betrouwbaar is.
IMP066 Richt een sterke logging en audit-trail in Logging is fundamenteel in applicaties. Richt een sterke logging en audit-trail in, voor elke applicatie en elk systeem. Logbestanden en audit-trails spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten.



Logberichten moeten zo veel mogelijk informatie bevatten over hetgeen er gebeurd is (wie, wat, waar, wanneer) en moeten op het juiste niveau gelogd worden.

Let er op dat logberichten geen persoonlijke kenmerken (AVG) of security kenmerken (zoals wachtwoorden) mogen bevatten.

Ten aanzien van de implicatie kan je niet zondermeer stellen dat een log geen persoonsgegevens mag bevatten. Bijvoorbeeld een BSN als identificerend gegeven kan best in een log worden opgenomen als sleutelwaarde.
IMP067 Verifieer de werking van algoritmes Kijk doorlopend hoe applicaties functioneren en of uitkomsten van functies en modellen passen binnen de specificaties en dat er geen sprake is van zaken als model drift, of het ontstaan van bias.
IMP068 Maak toegang tot applicaties en gegevens afhankelijk van authenticatieniveau Een gebruiker dient allereerst geautoriseerd te zijn om een applicatie te mogen gebruiken of gegevens te mogen inzien. Hierbij speelt het behaalde niveau van authenticatie een rol. Als bijvoorbeeld informatie met een tweede factor (MFA) moet zijn afgeschermd krijgt de gebruiker geen toegang als hij/zij slechts met een gebruikersnaam/wachtwoord combinatie kan authenticeren. Na succesvolle authenticatie kan bepaald worden of een gebruiker de applicatie mag gebruiken (of informatie mag inzien) aan de hand van autorisatieregels. Voor gemeente betekent dit het kunnen autoriseren van informatieobjecten, zaaktypes en document types. Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben.
MP069 Hanteer het zero-trust model Ga nooit uit van het impliciete vertrouwen dat wie op een bepaald netwerk of systeem komt daar ook hoort:
  • Controleer overal het netwerkverkeer.
  • Controleer toegang per sessie.
  • Hanteer dynamische policies en gebruik daarbij de gedligheidsduur van de laatste authenticatie.
  • Blijf continue monitoren. Verzamel zoveel mogelijk gegevens om de beveiliging te blijven verbeteren.
  • Dit wordt ook wel het 'zero-trust' model genoemd.
 Toevoegen : Vertaal dit naar business rules , met daarin toegang onafhankelijk van de binnenkomst . Dus hanteer zero trust model ook op bedrijfslaag.


Voldoende security by design nu geborgd.

IMP070 Segmenteer het netwerk Het segmenteren van het netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld, waartussen een inspectiepunt ontstaat. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoS-aanvallen beperkt.
IMP071 Bepaal taken en verantwoordelijkheden van de gegevensverwerking Verantwoordelijkheden, bevoegdheden en taken bij gegevensverwerking zijn bepaald en bekend. Voldoende geborgd bij IMP071, deze is onderdeel van data governance
IMP072 Richt data governance in Data governance staat aan de basis van goed gegevenbeheer. Het betreft alle afspraken (en structuren) waarmee je vastlegt hoe gebruik te maken van de beschikbare gegevens en de gegevenskwaliteit en veiligheid hiervan te waarborgen. Hierbij hoort ook het vastleggen van datastandaarden, visie en strategie. Inclusief wie welke verantwoordelijkheid hierin heeft. Zie ook [1] Verantwoordelijkheden, bevoegdheden en taken bij gegevensverwerking zijn bepaald en bekend. Data governance staat aan de basis van goed gegevenbeheer. Het betreft alle afspraken (en structuren) waarmee je vastlegt hoe gebruik te maken van de beschikbare gegevens en de gegevenskwaliteit en veiligheid hiervan te waarborgen. Hierbij hoort ook het vastleggen van datastandaarden, visie en strategie. Inclusief wie welke verantwoordelijkheid(verantwoordelijkheden, bevoegdheden en taken) hierin heeft. Zie ook [1]
IMP073 Stel van ieder gegeven de kwaliteit vast Stel voor ieder gegeven de kwaliteit vast volgens kenmerken van compleetheid, actualiteit en tijdigheid.
IMP074 Identificeer de voor de dienst relevante standaardoplossingen Inventariseer de voor de dienst relevante standaardoplossingen voor gebieden zoals:
  • identificatie
  • authenticatie
  • autorisatie
  • onweerlegbaarheid
  • encryptie
  • semantiek
  • toegankelijkheid
  • presentatie en vormgeving

Beoordeel de oplossingen op geschiktheid. Bij geschiktheid worden ze opgenomen in de opzet van de dienst.

IMP075 Gebruik open standaarden voor modellering Organisaties werken volgens een open standaard voor o.a. architectuur-, data- en procesmodellering die door alle samenwerkende partijen op uniforme wijze wordt toegepast. De gekozen open standaard is bepalend voor de keuze van modelleersystemen die deze standaard ondersteunen.



Wissel modellen uit tussen organisaties op basis van open standaarden.

Voorbeelden van modelleerstandaarden zijn ArchiMate (architectuur), UML (data) en BPMN (processen).

Toevoegen aan voorbeelden: Metamodel voor informatiemodellen (MIM)
IMP076 Maak afspraken over nieuwe (en oude) versies van standaarden De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard. Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is.
IMP077 Stel de juridische aansprakelijkheid per gegevensobject vast Stel per informatie-object de de bron vast, en daarmee de juridische aansprakelijkheid voor de juistheid van het object.
IMP078 Bewaak de continuïteit en stel een calamiteitenplan op Bewaak de continuïteit van voorzieningen zodat bij bedreiging van de continuïteit alarm geslagen wordt en er voorzien is in een calamiteitenplan. Test en evalueer dit plan op regelmatige basis. Link met GAP20 digitale weerbaarheid
IMP079 Garandeer de beschikbaarheid van systemen ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door:
  • Vermeervoudiging van systeemfuncties.
  • Herstelbaarheid en beheersing van verwerkingen.
  • Voorspelling van discontinuïteit.
  • Handhaving van functionaliteit.
 Vanuit GEMMA toevoegen:

scheiding test en productieomgeving

ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door:
  • Vermeervoudiging van systeemfuncties.
  • Herstelbaarheid en beheersing van verwerkingen.
  • Voorspelling van discontinuïteit.
  • Handhaving van functionaliteit.
IMP080 Controleer de verwerking van gegevens Controleer de verwerking van gegevens:
  • Zijn de criteria voor juistheid, en tijdigheid vastgesteld?
  • Worden gegevens die vanuit een systeemvreemde omgeving ingevoerd zijn eerst gecontroleerd op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt?
  • Worden te versturen gegevens gecontroleerd op juistheid, volledigheid en tijdigheid?
  • Worden ter verwerking aangeboden gegevens gecontroleerd op juiste, volledig en tijdige verwerking?
  • Worden kritieke gegevens die in verschillende gegevensverzamelingen voorkomen periodiek met elkaar vergeleken op consistentie? (Dit geldt alleen zolang de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens)
IMP081 Borg de vertrouwelijkheid van gegevens in maatregelen De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens.
IMP082 Maak technische schuld inzichtelijk Maak technische schuld zichtbaar en stuur op het oplossen van technische schulden. Technische schuld (technical debt) treedt op als er - al dan niet bewust - voor een oplossing wordt gekozen die op de korte termijn voordelig is (of lijkt) en gelijktijdig op de langere termijn extra kosten met zich meebrengt en de algehele complexiteit verhoogt.
IMP083 Wissel gegevens tussen (web)applicaties uit met API's Gegevensuitwisseling tussen (web)applicaties gebeurt via RESTful API's. De broneigenaar levert API's die voldoen aan de moderne RESTful standaarden. API's dienen centraal te worden beheerd in een API management systeem.
IMP084 Versleutel gegevens in rust en transport Versleutel alle gegevensdragers waarop niet-publieke informatie staat, inclusief smartphones en laptops, conform de laatst bekende en geldende richtlijnen. Dit reduceert het risico op een gegevenslek bij verlies van een dergelijk apparaat. Neem voor niet-publieke gegevens ook adequate beveiligingsmaatregelen om ze te beschermen in ransit. Dit kan door de verbinding te beveiligen, danwel door encryptie van de informatie zelf. Dit laatste heeft de voorkeur.
IMP085 Kies bij cloudoplossingen SaaS boven PaaS boven IaaS Bij het kiezen voor een cloud oplossing, geef de voorkeur aan SaaS boven PaaS boven IaaS. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteitstandaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan.



Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. Voorbeelden hiervan zijn Customer Relations Management, e-mail & Instant Messaging, Financiën, HRM en Project Management. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken.

Opmerking: deze implicatie daagt uit om tot een zo hoog mogelijk niveau ontzorgd te worden. Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas.

Voorstel is om deze te laten vervallen of aan te passen voor de GEMMA. Cloud sourcing is aan gemeenten waarbij data opslag en toegang veel belangrijker is dan SaaS, PaaS en IaaS Zorg als gemeente voor een goede sourcing strategie. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan.
IMP086 Zorg dat software up-to-date is Houd alle gebruikte software en software-componenten, van applicatief tot infrastructureel, actueel. Volg de update-cyclus van leveranciers strikt: voer updates, patches en beveiligingsupdates zo snel mogelijk door op alle relevante systemen. Hanteer hierbij versie -1
IMP087 Verwerk bericht-interactie persistent Zorg dat een bericht dat een mutatie tot gevolg heeft, bijvoorbeeld een bericht dat een betalingsopdracht representeert, niet verloren kan gaan. Een dergelijk 'transactioneel' bericht moet een incident als uitwijk of storing kunnen overleven.



Alle onderdelen van een verwerkingsketen nemen verantwoordelijkheid voor het bericht en zorgen ervoor dat het bericht niet verloren gaat. Correcte verwerking heeft prioriteit boven verwerkingssnelheid.

Persistentie houdt in dat een (transport-)transactie pas is voltooid als het bericht is opgeslagen in een 'persistent store', zoals een bestand of database.

Een opvragingsbericht daarentegen heeft geen mutatie tot gevolg. Responsetijd heeft hier meer prioriteit. Bij verlies van een opvragingsbericht (door bv. een storing) wordt de opvraging opnieuw gedaan. Verwerk een opvragingsbericht daarom niet-persistent verwerkt.

Eens met de implicatie maar daar kunnen gemeenten niks aan doen. Vanuit de koppelvlakken zal geborgd moeten worden dat de integriteit van een ‘transactie’ gewaarborgd wordt. Op dit moment doen de koppelvlakken dit overigens niet.
IMP088 Verleen alleen strikt noodzakelijke toegangsrechten Ken geen rollen en toegangsrechten toe aan accounts van gebruikers en services tenzij dat strikt noodzakelijk is (Least Privilege). Hoe verhoudt dit zich tot RBAC? Dit is een van de potentiële problemen van RBAC. Het is met die methodiek bijna onmogelijk om toekenning van rechten zuiver te doen en te houden.
IMP089 Gebruik standaard oplossingen Ontwikkel geen eigen processen, systemen en technieken wanneer deze ergens anders al beschikbaar zijn. Stel je actief op de hoogte van beschikbare en geplande standaardoplossingen, om daar bij het maken van plannen rekening mee te houden. De bruikbare elementen van beschikbare standaardoplossingen zullen moeten worden ingepast in de eigen organisatie. Geen enkele standaardoplossing past altijd voor de volle honderd procent. Daarom zal de bereidheid tot het sluiten van compromissen aanwezig moeten zijn. Toevoegen componenten Ontwikkel geen eigen processen, systemen, componenten en technieken wanneer deze ergens anders al beschikbaar zijn. Stel je actief op de hoogte van beschikbare en geplande standaardoplossingen, om daar bij het maken van plannen rekening mee te houden. De bruikbare elementen van beschikbare standaardoplossingen zullen moeten worden ingepast in de eigen organisatie. Geen enkele standaardoplossing past altijd voor de volle honderd procent. Daarom zal de bereidheid tot het sluiten van compromissen aanwezig moeten zijn.

Toevoegingen vanuit GEMMA review 1e ronde[bewerken]

ID Implicatie Toelichting Review 1e ronde Implicaties 30-12-2022 Voorstel GEMMA implicaties indien afwijking Grondslagenlaag Organisatorische laag Informatielaag Applicatielaag Netwerklaag
IMP090 Voldoen aan wetgeving en vastgetelde gemeentelijke normenkaders. De gemeente is verantwoordelijk voor het uitvoeren van wettelijke taken en voldoen aan normenkaders zoals Gibit/Arbit, Ensia/BIO en ISO270002 en dit te verantwoorden. Linken met rechtmatig als kwaliteitsdoel Laag 1
IMP091 Archivering en duurzamheid by desgin Hanteer in de procesinrichting en informatie inrichting van de gemeente archivering by design om te kunnen voldoen aan digitale duurzaamheid en Archiefwet en wettelijke normenkaders op dit gebied. Linken met rechtmatig als kwaliteitsdoel Laag 1 Laag 2
IMP092 Open by design Hanteer in de organisatieinrichting , procesinrichting en informatie inrichting van de gemeente open by design om te kunnen voldoen aan een open overheid. Vanuit de WOO Laag 1 Laag 2
IMP093 Security by design Bij beveiliging (security) gaat het erom dat waarborgen zijn getroffen ten behoeve van beschikbaarheid, integriteit, en vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens. De noodzakelijk waarborgen hebben onder andere betrekking op
  • Het beheer en de beveiliging van de regietoepassingen
  • De beveiliging van gegevens in transport en opslag
  • Behandeling van incidenten
  • Beheer van de continuïteit
  • Toezicht (monitoring), controle (auditing) en testen
  • Inachtneming van de internationale normen
  • Identificatie, Authenticatie en Autorisatie (IAA)
 Linken met GAP018 Regie op gegevens Leidende principes Regie op Gegevens
IMP094 Privacy by design Hanteer in de organisatieinrichting , procesinrichting en informatie inrichting van de gemeente privacy by design om de privacy van de inwoners te borgen en te voldoen aan de AVG. Let op definitie inwoner/afnemer. Laag 1 Laag 2
IMP095 Het recht om vergeten te worden Om de privacy van de inwoners te borgen is het recht om vergeten te worden waarbij gegevens ook vernietigd worden van inwoners. Linken met GAP18, Regie op gegevens. Let op definitie inwoner/afnemer.


Het recht om vergeten te worden is overigens niet zomaar toepasbaar op persoonsgegevens bij gemeenten. Dit recht kan enkel uitgeoefend worden op gegevens waarvoor de gemeente geen wettelijke bewaarplicht op heeft.

Laag 1 Laag 2 Laag 3
IMP096 Gebruik basisregistraties Gebruik als overheid de basisregistraties ter voorkoming van dubbele opslag en daarmee kwaliteitsverlies van je gegevens en uiteindelijk fouten in de participatie, procesuitvoering en dienstverlening Deze toegevoegd vanuit de GEMMA Check Hoe zit het met verplicht gebruik SOR? Linken met architectuurprincipe Regie op Gegevens Laag 2
IMP097 Testen in UX lab Vooraf testen in UX lab als borging voor het voldoen aan wetgeving en normen rondom digitale toegankelijkheid Interactie laag / borgen Link met GAP10 en GAP12 Laag 1 Laag 4
IMP098 Inzet van NLX (standaard) API gateway om te kunnen voldoen aan de verantwoordingsplicht van gemeenten. NLX (standaard) / API gateway voor protocollering en het maken van een audittrail in het kader van de verantwoordingsplicht van gemeenten. Vanuit CG Laag 3 Laag 4
IMP099 Terugkoppeling en betaling aan afnemer via mijn overheid Vanuit Product Dienst Status (PDS) terugkoppeling over status van aanvraag en afhandeling zoals een betaling via mijn overheid als extra dienst Vanuit Omnichannel architectuur Laag 4
IMP100 Van elk informatieobject een weergave en/of export beschikbaar moet zijn. Voor de duurzaamheid en onafhankelijk hergebruik van informatieobjecten moet er een weergave en/of export beschikbaar zijn zonder afhankelijkheid van speciale software en hardware. Van IMP017 Laag 3
IMP101 Dataclassificatie en doelbinding op dataniveau Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben. Van IMP017 Laag 3
IMP102 Waardegedreven digitalisering Digitalisering moet bijdragen aan creatie van publieke waarden waarbij algemeen nut zonder persoonlijk winstbejag het uitgangspunt is waardoor er een circulaire innovatieve economie ontstaat. Linken aan ??? Laag 1
IMP103 Comply or Explain Hanteer bij het werken onder architectuur bij gemeente het principe Comply or Explain Toevoegen als Gemeentelijk Architectuur principe ipv Implicatie?? Laag 1
IMP104 Open democratie De informatiepositie van afnemers is gelijkwaardig om te kunnen participeren in de besluitvorming en hierdoor ontstaat een open democratie waarbij de gemeente verantwoording af moet leggen. Relatie met Architectuurprincipe GA019 Digitale exclusiviteit Laag 2
IMP105 Inzet van Co creatie voor waardecratie In de netwerksamenleving wordt door inzet van co creatie met afnemers en gemeenten maatschappelijke waarde gecreëerd. Laag 2
IMP106 Digitale veiligheid en handhaving Zorg als gemeente voor digitale veiligheid door bewustwording campagnes, beveiligingsmaatregelen en handhaving daarop.Door afnemers vanuit de gemeente te informeren en bewust te maken wat de risico's en impact is en hoe te handelen als er uitval is en deze campagnes ter herhalen worden de risico's voor uitval geminimaliseerd Relatie met Architectuurprincipe GA020 Digitale weerbaarheid Laag 2
IMP107 Inzet van Case workflow Inzet van case workflow voor het efficiënt, effectief en duurzaam afhanelen van zaken binnen de wettelijke kaders zoals de Archiefwet Linken aan GAP02 en GAP09 Laag 2 Laag 4
IMP108 Standaardiseer en hergebruik basisprocessen Door standaardisering, vereenvoudiging en hergebruik van basisprocessen wordt de bedrijfsvoering en dienstverlening efficiënter, effectiever en minder complex. Linken aan GAP06 en GAP08 en GAP016 Laag 2
IMP109 Uitbreiding basisproces Basisprocessen kunnen uitgebreid worden met optionele handelingen Linken aan GAP16 Laag 2
IMP110 Volgorde basisproces aanpassen Handelingen in een basisproces kunnen in volgorde worden aangepast als er geen dwingende relatie is met een voorgaande of opvolgende handeling. Linken aan GAP16 Laag 2
IMP111 Basis proces register Basisprocessen en hun onderdelen worden gezamenlijk beheerd en ontsloten via registers. GAP14 Laag 2
IMP112 Standaardmodellering basisprocessen Basisprocessen zijn gemodelleerd volgens de BPMN versie 2 standaard. GAP08 Laag 2
IMP113 Scheid data van applicatie Zorg dat software hardware-agnostisch is en werk hierin met onafhankelijke bouwblokken. Van IMP029 deels Laag 3 Laag 4
IMP114 Voorkom leveranciersafhankelijkheid Stel informatie beschikbaar in een marktconform standaard bestandsformaat. DUTO implicatie Laag 2 Laag 3
IMP115 Risico minimalisatie door spreiding van leveringen functionalitetit Door spreiding van levering van functionaliteit zodat er indien nodig overgeschakeld kan worden van de ene locatie / leverancier naar een andere leverancier worden de risico's voor uitval geminimaliseerd. Relatie met GAP20 Zorg voor digitale weerbaarheid Laag 4
IMP116 Zorg voor gescheiden (opslag) locacties Voor het borgen van continuïteit van digitalisering is het belangrijk om gescheiden (data) locaties te hebben als gemeente en de uitwijk regelmatig te oefenen op basis van een continuiteitsplan. Relatie met GAP20 Zorg voor digitale weerbaarheid Laag 3
IMP117 Gebeurtenis gericht werken Door gebeurtenis gericht werken wordt meer vanuit de leefwereld van de afnemer dienstverlening geboden door gemeenten. Relatie met GAP01 / vanuit 1e reviewronde Laag 1
IMP118 Organiseren en evalueren voor ethiek, verantwoording en controle Door het organiseren van een landelijk algoritmeregister is het mogelijk te evalueren en verantwoording af te leggen ter controle door een gemeente. Relatie met GAP19


Is de implicatie dat gemeente hun algoritmen hierin zouden moeten opnemen?

Laag 1 Laag 3
IMP119 Digitale authenticiteit informatie objecten Door het digitaal waarmerken van informatieobjecten kan de afnemer uitgaan van de authenticiteit van een informatie object. Relatie met IMP018 Laag 3
IMP120 Autorisatie obv PBAC Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben op basis van PBAC (Policy Based Access Control) Vanuit de GEMMA en het Werken met API’s hebben we geconstateerd dat RBAC onvoldoende waarborg geeft voor security en privacy. We raden voor het werken met PBAC (policy based access) aan. Voor de bestaande ‘oude’ applicaties zou RBAC gebruikt kunnen worden. Een combinatie van methoden dus afhankelijk van de soort toepassing.
IMP121 Digitale identiteit Een fysieke identiteit van een persoon ontstaat vanuit een digitale identiteit en en hierbij volgen we eIDAS en landelijke ontwikkelingen op dit gebied .

Betekenisvolle gegevens.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de dienstafnemer(s)).

Gestructureerde beschrijving van de structuur, semantiek en de eigenschappen van informatie over dingen in de werkelijkheid.

Leer van de betekenis van woorden en woordgroepen

De GEMeentelijke ModelArchitectuur met een verzameling samenhangende kaders, richtlijnen, referentiemodellen en standaarden die gemeenten helpt bij het inrichten van hun IT-omgeving en processen.

Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord.

Voor alle gevallen geldend, niet specifiek.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

De actor of applicatie die iets afneemt dat door een aanbieder wordt aangeboden.

Communicatiekanaal dat bij de dienstverlening wordt gebruikt. Elk kanaal kent verschillende vormen waarin informatie kan worden gedeeld.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem.

Met het begrip 'overheidsorganisaties' wordt zowel gedoeld op overheden als op semi-overheid- en private organisaties met een publieke taak.

Een document met erkende afspraken, specificaties of criteria over een product, een dienst of een methode.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen.

Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.

Een systeem waarbinnen organisaties via afspraken, standaarden en/of voorzieningen samenwerken om bepaalde functionaliteit te realiseren.

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Mate waarin vertrouwen kan worden gesteld in een identificatiemiddel, gebaseerd op de mate van zekerheid waarmee attributen, identiteiten, identificatiemiddelen en/of bevoegdheden zijn vastgesteld.

De actor of applicatie die iets aanbiedt dat door een afnemer is af te nemen.

Gewenste kenmerken van overheidsdienstverlening vanuit het perspectief van de wensen van de samenleving, de burgers en bedrijven (het wat)

Het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving.

Het verstrekken aan en ontvangen van gegevens tussen (informatiesystemen van) overheidsorganisaties onderling en (informatiesystemen van) andere organisaties of personen.

Groepering van services die aan afnemers worden aangeboden, met als doel het bevorderen van uniformiteit en efficiëntie binnen de overheid.

Een door een applicatie geleverde dienst (te gebruiken via applicatieinterfaces).

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. (Synoniem van: Data )

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

Betekenisvolle gegevens.

Samenhangende set gegevens die geautomatiseerd kan worden verwerkt.

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

Een meervoudig te gebruiken registratie met betrouwbare data

Afkorting voor de Representational State Transfer architectuurstijl voor gedistribueerde hypermedia systemen

Reeks opeenvolgend uit te voeren activiteiten die bijdraagt aan een specifiek resultaat, zoals de levering van een Product of Dienst.

Een computerprogramma om een specifieke taak uit te voeren die geen betrekking heeft op de werking van de computer zelf.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Metamodel voor het maken van informatiemodellen. (Synoniem van: Metamodel Informatiemodellering )

Een op zichzelf staand geheel van gegevens met een eigen identiteit.

Het verstrekken aan en ontvangen van gegevens tussen (informatiesystemen van) overheidsorganisaties onderling en (informatiesystemen van) andere organisaties of personen.

Afkorting van 'application programming interface': een manier om twee of meer computerprogramma's met elkaar te laten communiceren. Het is een soort software-interface die een dienst aanbiedt aan andere stukjes software.

Het geheel van voorzieningen dat nodig is om een land of organisatie, zoals een bedrijf of een instelling, goed te laten functioneren.

Het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving.

Object met gegevens die door de bron is bedoeld voor ontvangst door een of meer ontvangende actoren of systemen.

Gewenste kenmerken van overheidsdienstverlening vanuit het perspectief van de wensen van de samenleving, de burgers en bedrijven (het wat)

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen.

Een kwalitatieve intentieverklaring waaraan de architectuur moet voldoen.

Interactie in de context van overheidsdienstverlening betreft de (digitale) gegevensuitwisseling en wisselwerking tussen burgers en bedrijven en de overheid(sorganisaties).

Een samenhangende set Diensten, Bedrijfsobjecten en/of Representaties die onder in een Overeenkomst beschreven voorwaarden kan worden afgenomen.

Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de dienstafnemer(s)).

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Een kwalitatieve intentieverklaring waaraan de architectuur moet voldoen.

Iets dat binnen of buiten een organisatie is gebeurd en binnen die organisatie of daarbuiten gevolgen heeft.

Iets dat binnen of buiten een organisatie is gebeurd en binnen die organisatie of daarbuiten gevolgen heeft.

De eenheid van wezen, volkomen overeenstemming en gelijkheid. Dat wat uniek of eigen is aan iets of iemand. Het kan daarbij gaan om zowel personen als organisaties of landen.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=GEMMA_review_Implicaties_Architectuurprincipes_NORA_2023&oldid=873970"
Deze pagina is het laatst bewerkt op 4 okt 2023 om 02:02.