Katern GEMMA Tactisch Gegevensmanagement compleet
Inhoud
Inleiding
Gegevensmanagement is een must voor elke gemeente. Met het op orde brengen van de gegevens is de gemeente in staat om aan diverse ontwikkelingen te voldoen. Het maakt niet uit waar de basis van gegevensmanagement aan bijdraagt: aan de naleving van de AVG, het kunnen voldoen aan WOB verzoeken, een ENSIA eenduidig te kunnen beantwoorden, informatiegestuurd te kunnen werken, volgens architectuur principes de doelstellingen van de gemeenten te kunnen voldoen: voor al deze ontwikkelingen heb je grip op gegevens nodig. Gegevensmanagement is een ontwikkeling die al vele jaren terug is ingezet. Met de komst van de eerste geautomatiseerde registraties is de noodzaak al ontstaan. Zo heeft ook de invoering van de digitale overheid en de decentralisatie van taken van het Rijk naar gemeenten grote consequenties gehad voor gemeenten. Meer recent is de Agenda Digitale Overheid - NL DIGIbeter, gepubliceerd in de zomer van 2018. Deze agenda geeft de kabinetsvisie weer van de wijze waarop de Nederlandse overheid digitaal diensten aan burgers, ondernemers en vertegenwoordigers moet leveren. Ook gemeenten moeten zich conformeren aan deze visie.
Door de digitale dienstverlening stromen gegevens in toenemende mate door verschillende ketens en netwerken, zowel binnen- als buitengemeentelijk. Denk hierbij aan de decentralisaties in het sociaal domein en de modernisering van de omgevingswet. Deze ontwikkelingen hebben grote gevolgen voor de gemeentelijke processen, dienstverlening en bijbehorende gemeentelijke informatiearchitectuur. Gemeenten worden geacht meer dan voorheen in te spelen op, en aan te sluiten bij het integrale handelingsperspectief van burgers en ondernemers zodat gemeenten een onderdeel worden van de digitale samenleving. Gemeenten maken daarnaast integraal deel uit van ketens en netwerken met als gevolg meer gegevensuitwisseling met andere publieke, semi-publieke als ook private organisaties, zoals onder andere voorzien in de omgevingswet.
Dat betekent (een ander) inzicht op het organiseren van de gegevenshuishouding. Voor gemeenten blijft het de uitdaging om de bedrijfsvoering zo efficiënt mogelijk in te richten zodat aan burgers en ondernemers effectieve en kwalitatief goede dienstverlening kan worden geleverd, die ook niet meer kost dan nodig is.
Voor gemeenten is het inrichten van gegevensmanagement een noodzaak geworden. Tot nu toe is dat bij de meeste organisaties nog een impliciet onderdeel van de I&A-functie of functioneel beheer. Bedrijfsprocessen lopen over de grenzen van afdelingen en sectoren heen en gegevens worden daarmee over applicaties, processen en organisatiegrenzen heen gedeeld. Gegevensbeheer vanuit of binnen een applicatie, proces of afdeling is daarmee niet meer voldoende. Overall kan gesteld worden: gegevens moeten op een flexibele, veilige en transparante wijze beschikbaar worden gesteld conform een vooraf overeengekomen kwaliteit.Gemeenten stellen om bovenstaande redenen steeds hogere eisen aan zowel informatie- als gegevenshuishouding en hebben de behoefte aan een strategisch, tactisch en operationeel kader waaraan zij zich kunnen conformeren.
Plaatsbepaling en reikwijdte[bewerken]
Dit katern richt zich op de wijze waarop met gegevens die binnen de gemeente en met keten- en netwerkpartners gedeeld worden wordt omgegaan. Hieronder valt het borgen van de kwaliteit van de gegevens en het delen of beschikbaar stellen van deze gegevens, zowel binnengemeentelijk als met keten- en netwerkpartijen. Het onderstaande schema maakt de positionering van gegevens in het NORA architectuurraamwerk duidelijk. Wat dit schema weergeeft is dat gegevens centraal staan in de verschillende aspecten van de bedrijfs-, informatie- en technische architectuur.
Gegevensmanagement richt zich op het organiseren van wat nodig is om de inhoud van “de rode vierhoek” te realiseren (in te richten). Het richt zich op het geheel van activiteiten om in de gemeente op het juiste moment over de benodigde gegevens van de juiste kwaliteit te beschikken. Dit document doet geen uitspraken over de wijze waarop gemeenten aan de werkprocessen of informatiearchitectuur vorm geven; dit dienen de gemeenten individueel uit te werken in eigen, interne architecturen en blauwdrukken. De GEMMA proces- en informatie-architectuur en de baseline documentaire informatievoorziening zijn handvatten die men hiervoor kan gebruiken
Opzet beheer en onderhoud van dit katern[bewerken]
Het katern GEMMA Tactisch Gegevensmanagement maakt deel uit van het GEMMA-portfolio van VNG Realisatie en valt onder de reguliere beheerscyclus van de GEMMA.
Totstandkoming[bewerken]
Dit document is tot stand gekomen in afstemming met de expertgroep Gegevensmanagement van VNG Realisatie, bestaande uit gemeentelijke experts op het gebied van gegevens- en informatiemanagement en experts van VNG Realisatie. Dit document vervangt de voorgaande versies zoals de ‘Handreiking gegevensmanagement’ welke in 2013 door het Programma NUP van VNG Realisatie is gepubliceerd en de voorgaande versies van de Gegevensmanagement katernen.
Het katern is ‘work in progress’. Er wordt gezocht en nadrukkelijk gevraagd om (mee) te zoeken naar verbetering en hierbij wordt de lezer uitgenodigd om opmerkingen en kritieken bij dit stuk te plaatsen. De Expertgroep Gegevensmanagement zal op basis hiervan regelmatig een nieuwe versie van het katern publiceren.
Gegevensmanagement
Om uitdagingen op de gebieden van uitwisseling van gegevens, kwaliteit van gegevens, informatiebeveiliging en de transparantie over de verwerking van gegevens het hoofd te kunnen bieden is gegevensmanagement nodig. Gegevensmanagement biedt handvatten om de kwaliteit van gegevens te beheersen en efficiënt, effectief en beheersbaar de vragen en eisen die aan gemeenten gesteld worden het hoofd te bieden.
Definitie[bewerken]
Gegevensmanagement wordt als volgt gedefinieerd: "Gegevensmanagement is het geheel van activiteiten om in een organisatie op het juiste moment over de juiste gegevens van de juiste kwaliteit te beschikken."
Gegevensmanagement is niet “gegevensbeheer”: de uitvoering van het beheer van gegevens in specifieke bedrijfsapplicaties of centrale gegevensmagazijnen. Uit de definitie valt op te maken dat gegevensmanagement gaat om het beschikbaar stellen van gegevens volgens een bepaalde kwaliteit en op een bepaald tijdstip. Hierbij zijn de volgende prikkelende vragen te stellen:
- Wat wordt verstaan onder gegevens?
- Wat is het gehanteerde gemeenschappelijke kader ten aanzien van gegevens?
- Welke kwaliteitsaspecten en normen worden onderkend en gehanteerd?
- Zijn de gestelde kwaliteitseisen altijd gelijk?
- Wie is er verantwoordelijk voor de borging van de kwaliteit van gegevens?
- Wie is er verantwoordelijk voor het op het juiste moment leveren van gegevens?
- Wat zijn de beveiligings- en privacy eisen die gesteld moeten worden?
- Op welke wijze kan voldaan worden aan vigerende eisen ten aanzien van transparantie op het gebied van de verwerking van gegevens?
Om deze vragen te kunnen beantwoorden is het van belang om een aantal zaken vast te stellen:
- De uitgangspunten (principes) die gemeenten hanteren ten aanzien van gegevens,
- De (soorten en type) gegevens die gemeenten onderscheiden,
- De kwaliteitseisen die gemeenten stellen aan gegevens,
- De organisatorische rollen waaraan gemeenten invulling geven om gegevensmanagement in te richten,
- De producten op het gebied van gegevensmanagement die door de verschillende rollen geleverd worden,
- De eisen die gemeenten stellen aan de beveiliging van de verschillende gegevens,
- De gemeenschappelijk gehanteerde kaders,
- De wijze van verantwoording van de verwerking van gegevens door gemeenten.
Richtinggevende principes[bewerken]
Gemeenten bepalen ten aanzien van het gegevensmanagement richtinggevende principes die aansluiten bij de strategische doelen van de gemeente. Deze principes vormen de regulering van de activiteiten van de verschillende rollen ten aanzien van gegevensmanagement. Voor de verschillende richtinggevende principes zie Principes.
Producten[bewerken]
Om binnen de gemeente op het juiste moment over de juiste gegevens van de juiste kwaliteit te kunnen beschikken is een aantal producten vereist. Deze producten variëren van een overzicht van het gebruik van gegevens tot richtlijnen en kwaliteitseisen. Voor een beschrijving van de verschillende producten die deel uitmaken van het gegevensmanagement zie gegevensmanagement producten.
Organisatorische rollen[bewerken]
Gegevensmanagement levert verschillende producten. Om deze te kunnen leveren is een goede taakverdeling nodig in de organisatie. Het gaat om een complex samenspel van verschillende rollen en functies in de organisatie. Om dat mogelijk te maken zijn goede afspraken nodig. Zie rollen en verantwoordelijkheden voor een beschrijving van de verschillende gegevensmanagement rollen en hun verantwoordelijkheden.
Soorten gegevens[bewerken]
Gemeenten gebruiken verschillende categorieen van gegevens. Denk bijvoorbeeld aan tekst, beeld, geluid, statistische gegevens, sensorgegevens, administratieve en geografische gegevens. Deze gegevens zijn vervolgens weer onder te verdelen in twee categorieën: gestructureerde gegevens en ongestructureerde gegevens. Het speelveld van gegevensmanagement betreft al deze soorten gegevens. Zie gegevenssoorten en interoperabiliteit voor een beschrijving van de verschillende categorieën van gegevens en hun karakteristieken.
Gemeenschappelijke kaders[bewerken]
Bij de uitwisseling van de verschillende categorieën van gegevens is het van belang om maximale uitwisselbaarheid te behalen. Hiermee wordt bedoeld het met elkaar laten communiceren en interacteren van verschillende autonome informatiesystemen. Om dit te bewerkstelligen is standaardisatie nodig van semantiek, berichten, protocollen en procedures en de gegevens zelf.
Kwaliteitseisen[bewerken]
De kwaliteit van gegevens is van groot belang voor bedrijfsprocessen die gebruik maken van gegevens. Gebruik van incorrecte gegevens binnen een bedrijfsproces kan leiden tot o.a. onterechte toeslagen, heffingen en kwijtscheldingen, oninbare vorderingen en hierdoor imagoschade voor de gemeente. Het is dus van belang dat de kwaliteit van gegevens die binnen bedrijfsprocessen gebruikt worden aansluit bij de eisen die vanuit deze bedrijfsprocessen aan de gegevens en vanuit wetgeving gesteld worden.
Kaders en principes
De gegevensmanagement-functie van gemeenten dient zodanig ingericht te zijn dat optimale kwaliteit van dienstverlening aan burger, bedrijf, instelling, andere overheden én afnemers wordt geboden. Dit wordt onder andere bereikt door:
- daar waar het conform wet- en regelgeving is voorgeschreven het principe van eenmalige uitvraag en meervoudig gebruik van gegevens in praktijk te brengen;
- het delen van gegevens tussen basis-, kern- en overige registraties te organiseren;
- bedrijfsprocessen van gegevensbronnen los te koppelen via gegevensservices waardoor een hoge mate van flexibiliteit in het inrichten van bedrijfsprocessen en informatiesystemen mogelijk wordt;
- kwaliteit van de gegevens te verhogen;
- terugmeldingen op alle registraties faciliteren, zowel basisregistraties als overige registraties;
- het verhogen van het inzicht in, en controle op, de levering en het gebruik van gegevens;
- het naleven van vigerende wetgeving op het gebied van beveiliging (baseline toets) en bescherming van de privacy;
- bewustzijn creëren.
Kaderstellende wetgeving[bewerken]
Vanuit vigerende wet- en regelgeving worden veel eisen gesteld aan de manier waarop gemeenten met gegevens omgaan (de zogenaamde gegevensverwerking) en de manier waarop gemeenten over deze verwerkingen verantwoording afleggen aan burgers, bedrijven en bestuur (zie bijlage G). Onderstaand worden de belangrijkste wetten en richtlijnen die gelden ten aanzien van persoonsgegevens toegelicht.
Algemene Verordening gegevensbescherming (AVG)[bewerken]
Binnen een gemeente worden gegevens die betrekking hebben op personen, of herleidbaar zijn tot personen verwerkt. Voor de verwerking van deze gegevens gelden specifieke privacyregels die zijn vastgelegd in de Algemene Verordening Gegevensbescherming (AVG) . Deze regels zijn erop gericht de persoonlijke levenssfeer van burgers te beschermen. In de AVG wordt beschreven onder welke voorwaarden de verwerking van persoonsgegevens onder het regime van de wet valt. Daarnaast wordt beschreven welke verplichtingen voor gemeenten gelden bij de verwerking van persoonsgegevens en op welke rechten burgers aanspraak kunnen maken.
Archiefwet[bewerken]
Overheidsorganen hebben zowel met privacywetgeving als de archiefwet te maken. Als algemene privacywet stelt de AVG dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. In bijvoorbeeld de Archiefwet, het Burgerlijk Wetboek of de onderwijs- en belastingwetgeving zijn concrete bewaartermijnen voor documenten, dossiers en bestanden vastgelegd. De Archiefwet stelt regels aan het beheer van archiefbescheiden bij de overheid. Persoonsgegevens maken vaak deel uit van archiefbescheiden zoals documenten, dossiers of bestanden. De Archiefwet en de AVG moeten daarom in onderlinge samenhang bekeken worden. Dit geldt vooral op het punt van de vernietiging van persoonsgegevens en het langer bewaren van persoonsgegevens. De Archiefwet kent geen algemene bewaartermijn, maar schrijft voor dat elk overheidsorgaan over een selectielijst moet beschikken. Hierin staat welke stukken op termijn vernietigd moeten worden en welke voor altijd bewaard moeten blijven.
Sectorale wetgeving[bewerken]
In de Wet SUWI, de Wet Werk en Bijstand (WWB), de Wet eenmalige gegevensuitvraag Werk en Inkomen en andere aanverwante wet- en regelgeving zijn de verantwoordelijkheden opgenomen van de partijen die onderdeel uitmaken van de Suwi-keten. In deze wetten is geregeld welke gegevens volgens welke doelbinding onderling uitgewisseld mogen worden. Op de gebieden waar deze wetten niet in voorzien is de AVG van toepassing. De wettelijke gronden voor de gegevensuitwisseling zijn beschreven in de Wet structuur uitvoeringsorganisatie werk en inkomen, de Wet werk en bijstand, en de regelgeving die daarop is gebaseerd, met name hoofdstuk 5, gegevensverwerkingen en gegevensverstrekking, van het Besluit SUWI. Via Suwinet (Suwinet-Inkijk en Suwinet-Inlezen) vragen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar op. Binnen een paar seconden heb je een digitaal klantdossier op maat. Dat is erg handig voor de dienstverlening, maar brengt ook de verantwoordelijkheid met zich mee om hier zorgvuldig mee om te gaan. Want burgers vertrouwen erop dat hun privacy beschermd wordt en dat er alles aan gedaan wordt om misbruik te voorkomen. In het Suwinet Normenkader zijn essentiële beveiligingsnormen opgenomen waar bij gebruik van Suwinet minimaal invulling aan gegeven moet worden. Deze normen gelden niet alleen voor Suwinet maar komen ook terug bij andere Normenkaders, zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
Informatiebeveiliging[bewerken]
Gemeenten hebben de verplichting om de betrouwbaarheid van de informatievoorziening en de informatieveiligheid binnen de gemeente te borgen. Door de Informatiebeveiligingsdienst voor gemeenten (IBD) is hiertoe een baseline informatiebeveiliging voor de gemeentelijke markt ontwikkeld. Met deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) hebben bestuur en management een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau. Deze producten zijn samen met een groot aantal betrokken gemeenten vervaardigd. Gemeenten hanteren sinds 2013 de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader. Rijk, de waterschappen en provincies hanteren hun eigen respectievelijke normen, de BIR, BIWA en IBI. Deze zijn nu samen met de BIG gebundeld in de Baseline Informatiebeveiliging Overheid (BIO). De nieuwe baseline wordt het nieuwe normenkader voor alle overheden. De BIO is een doorontwikkeling, ofwel een ‘update’, van de nu bestaande BIG. Gemeenten baseren hun informatiebeveiligingsbeleid en hun verantwoording aan de gemeenteraad en de toezichthouders vanuit het Rijk (middels ENSIA) op deze BIG. De werkzaamheden die voor de BIG zijn verricht zijn al grotendeels in lijn met de BIO. De BIO wordt op 1 januari 2020 van kracht. In 2019 kunnen gemeenten zich voorbereiden op de overgang van de BIG naar de BIO. De informatiebeveiligingsdienst (IBD) ondersteunt gemeenten daarbij met producten en regionale bijeenkomsten. De verantwoordingssystematiek ENSIA zal ook worden bijgewerkt naar de BIO.
Basisprincipes[bewerken]
Ten aanzien van het gegevensmanagement zijn de volgende basisprincipes benoemd:
- GM-BP1 - Gegevens zijn een bedrijfsmiddel en hebben waarde;
- GM-BP2 - Gegevens worden gedeeld;
- GM-BP3 - Gegevens worden conform wet- en regelgeving verwerkt.
Deze bovenstaande principes worden in onderstaande paragrafen nader toegelicht.
GM-BP1: Gegevens zijn een bedrijfsmiddel en hebben waarde[bewerken]
Gegevens zijn de basis voor informatie en daarmee de basis van kennis waarop besluiten worden genomen. De gegevens zijn daarmee een belangrijk bedrijfsmiddel en worden ook zo behandeld.
Rationale | Implicaties |
---|---|
|
|
GM-BP2: Gegevens worden gedeeld[bewerken]
De gemeente is eigenaar of afnemer van gegevens en niet een afdeling of cluster. Gegevens worden door de gemeente zo breed mogelijk gedeeld. Daar waar mogelijk en toegestaan als open data, en daar waar dat door wetgeving en bedrijfsmatige of ethische afwegingen niet kan zo breed mogelijk binnen de overheid en gemeente.
Rationale | Implicaties |
---|---|
|
|
GM-BP3: Gegevens worden conform wet- en regelgeving verwerkt[bewerken]
Het doel waarvoor gegevens gebruikt mogen worden is vastgelegd in wet- en regelgeving. We verwerken gegevens conform deze wet en regelgeving.
Rationale | Implicaties |
---|---|
|
|
Afgeleide principes[bewerken]
Van de basisprincipes is een aantal principes afgeleid. Deze afgeleide principes geven een nadere detaillering van de basisprincipes en leveren een bijdrage aan de implementatie van één of meer van de basisprincipes. De onderstaande afgeleide principes zijn benoemd:
- GM-AP1: We winnen gegevens eenmalig in en gebruiken ze meervoudig;
- GM-AP2: We beheren de kwaliteit van gegevens actief;
- GM-AP3: We borgen de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens;
- GM-AP4: We melden gerede twijfel aan de bronhouder terug;
- GM-AP5: We verantwoorden de verwerking van persoonsgegevens;
- GM-AP6: We hanteren uniforme definities voor gegevens;
- GM-AP7: We borgen de duurzame toegankelijkheid van gegevens daar waar dat vereist is;
- GM-AP8: We kennen de waarde van gegevens en de positie van deze gegevens in het informatievoorzieningsproces en dit dragen we ook uit.
Deze bovenstaande principes worden in onderstaande paragrafen nader toegelicht. Per principe is aangegeven of, en welke, relatie er ligt met de principes van de NORA. Indien een relatie gelegd is, is het principe een gemeentelijke implementatie van het NORA principe.
GM-AP1: We winnen gegevens eenmalig in en gebruiken ze meervoudig[bewerken]
Stelling | |
---|---|
Onze gemeente voert de processen zodanig uit dat burgers en ondernemingen niet naar (basis)gegevens worden gevraagd die al bekend zijn binnen de vastgestelde basisregistraties | |
Implicaties | |
* Verstrekking van gegevens aan afnemers enkel indien de afnemer doelbinding heeft en voldaan is aan de beginselen van subsidiariteit en proportionaliteit;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP2: We beheren de kwaliteit van gegevens actief[bewerken]
Stelling | |
---|---|
De kwaliteit van de gegevens die worden verwerkt binnen de gemeente wordt actief gemonitord en continu verbeterd en op een niveau gehouden wat in overeenstemming is met de eisen die daar vanuit de wetgeving en de afnemers aan gesteld worden. | |
Implicaties | |
* Processen die het kwaliteitsbeheer borgen zijn ingericht;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP3: We borgen de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens[bewerken]
Stelling | |
---|---|
Gegevens die binnen de gemeentelijke organisatie worden gegevens verwerkt worden, worden conform de overeengekomen kaders beschikbaar gesteld en beveiligd tegen ongeautoriseerde toegang, frauduleus gebruik of mutatie en gegevensverlies. De gemeente zorgt ervoor dat afnemers van vertrouwelijke gegevens enkel de gegevens verstrekt krijgen waar ze conform hun doelbinding recht op hebben. | |
Implicaties | |
* Voldoen aan wet- en regelgeving;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP4: We melden gerede twijfel aan de bronhouder terug[bewerken]
Stelling | |
---|---|
De gemeente zorgt ervoor dat de vermeende onjuistheden in gegevens aan de bronhouder gemeld worden. De gemeente verplicht alle afnemers bij gerede twijfel aan de juistheid van gegevens dit terug te melden aan de bronhouder. | |
Implicaties | |
* Vanuit het oogpunt van het continu werken aan het verbeteren van de kwaliteit van gegevens worden vermeende onjuistheden terug gemeld op alle registraties;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP5: We verantwoorden de verwerking van persoonsgegevens[bewerken]
Stelling | |
---|---|
De gemeente is transparant ten aanzien van de verwerking (verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken en verspreiden) van persoonsgegevens teneinde met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de wettelijk gestelde eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid. | |
Implicaties | |
* Vanuit de informatiebeveiliging worden eisen gesteld aan de integriteit en vertrouwelijkheid van gegevens;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP6: We hanteren uniforme definities voor gegevens[bewerken]
Stelling | |
---|---|
Om het delen en hergebruiken van gegevens mogelijk te maken worden voor zowel gestructureerde- als ongestructureerde gegevens uniforme definities gebruikt. | |
Implicaties | |
* Voor maximale interoperabiliteit is het van belang dat structuur en syntax gestandaardiseerd zijn;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
GM-AP7: We borgen de duurzame toegankelijkheid van gegevens daar waar dat vereist is[bewerken]
Stelling | |
---|---|
Gegevens worden conform de geldende bewaar- en vernietigingstermijnen uit de vigerende wet- en regelgeving behandeld. Zowel gestructureerde als ongestructureerde gegevens worden duurzaam toegankelijk gehouden. | |
Implicaties | |
* Voldoen aan wet- en regelgeving;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
- |
GM-AP8: We kennen de waarde van gegevens en de positie van deze gegevens in het informatievoorzieningsproces en dragen dit ook uit[bewerken]
Stelling | |
---|---|
Gegevens hebben waarde en worden als een waardevol bedrijfsmiddel behandeld. Net als alle andere bedrijfsmiddelen, moeten ook gegevens worden bijgehouden en onderhouden. Ook moet voor iedereen in de organisatie duidelijk zijn welke gegevens beschikbaar zijn, waar deze voor gebruikt (kunnen) worden en wat de gevoeligheid van de gegevens is. | |
Implicaties | |
* Classificeren van gegevens;
| |
Relatie met NORA principe | Relatie met GEMMA basisprincipe |
Producten
In dit hoofdstuk worden per aandachtsgebied van gegevensmanagement de producten beschreven die van belang zijn bij de inrichting van gegevensmanagement. De aandachtsgebieden die worden onderkend zijn:
Onderstaand overzicht geeft een product breakdown van de verschillende producten van gegevensmanagement. Met de uitwerking van deze producten maakt gegevensmanagement mogelijk dat de organisatie over de juiste gegevens kan beschikken waar nodig.
Gegevens[bewerken]
Gegevens zijn de vastgelegde uitdrukking van een feit. Gegevens hebben een semantische aspect (wat is de betekenis van gegevens), een syntactisch aspect (wat is de structuur van een gegevens) en een technisch aspect (hoe worden gegevens vastgelegd en uitgewisseld). De producten van de kolom “borging” beschrijven wat een gemeente ten aanzien van deze verschillende aspecten van gegevens moet vastleggen.
Landschap[bewerken]
Met het landschap van gegevens wordt een visuele weergave bedoeld van de gegevens. Met dit overzicht is het mogelijk de juiste gegevens op het juiste moment met de juiste kwaliteit beschikbaar te kunnen stellen aan gebruikers in de organisatie. Het landschap wordt beschreven en afgebeeld in een aantal kaarten:
- kaart gegevensverzamelingen (functionele beschrijvingen)
- kaart van gegevensverzamelingen in relatie tot de (werkprocessen)
- kaart van gegevensverzamelingen in relatie tot de gebruikte applicaties
- Overige relaties in kaart (bijv. documentverzamelingen)
Afhankelijk van de situatie en waar men een gemeenschappelijk referentiekader voor wil hebben, worden kaarten gemaakt. Voorbeelden zijn:
- inzicht verkrijgen in bedrijfsproces
- inzicht verkrijgen in gegevensuitwisseling met andere organisaties
- inzicht verkrijgen in richting van een project (Project Start Architectuur)
- inzicht verkrijgen in verwerking door en uitwisseling van gegevens tussen softwarepakketten.
Zie ook bijlage E voor een aantal voorbeelden
Model[bewerken]
Gegevensmanagement heeft zoals eerder is aangegeven een centrale rol in de verschillende aspecten van de bedrijfs-, informatie- en technische architectuur. Binnen de GEMMA voor de bedrijfs- en informatiearchitectuur een aantal standaard modellen en referentie indelingen geboden die van pas komen bij het verbinden van de architectuuraspecten met het gegevensmanagement. Hierbij valt te denken aan het bedrijfsfunctie- en procesmodel wat een gemeente kan gebruiken als basis voor de vastlegging van de gemeentelijke bedrijfsfuncties en processen en de koppeling daarvan aan rollen en functies. Daarnaast biedt het GEMMA kennismodel een gestandaardiseerde manier om de relatie tussen de bedrijfsvoering en de informatiesystemen vast te leggen. Gemeenten kunnen dit model gebruiken om relaties tussen gegevens, informatiesystemen en de verschillende bedrijfsprocessen en rollen mee vast te leggen.
Vanuit de GEMMA worden de volgende standaard modellen geboden die een gemeente kunnen helpen bij de vastlegging van de verschillende aspecten van gegevensmanagement:
- Proceslaag - Bedrijfsobjectmode en Proces Bouwstenen
- Applicatielaag - Referentiecomponenten, Berichtenstandaarden
- Datalaag - GEMMA Informatie model Basis- en Kerngegevens, Informatiemodel Zaken (RGBZ), Informatiemodel Zaaktypen, Zaaktypecatalogus
Woordenboek[bewerken]
Een woordenboek bevat een lijst van gegevenstypen (elementen) met vaak een gegevensdefinitie die omschrijft wat onder het gegeven moet worden verstaan en op welke manier het gegeven wordt genoteerd (bv karakterset, datumnotatie, waardenlijsten). Binnen een gemeente zou één woordenboek aanwezig moeten zijn waarin alle relevante gegevens zijn opgenomen. Waar mogelijk is het woordenboek ontleend aan vastgestelde landelijke woordenboeken. Een voorbeeld van een landelijk gegevenswoordenboek is het Gegevenswoordenboek Stedelijk Water (GWSW). In een woordenboek wordt vastgelegd:
- De betekenis van een gegeven
- De classificatie van een gegeven
- Eigenaar van het gegeven
- Het formaat van het gegeven
- Levenscyclus van het gegeven (ontstaan, mutatie, beëindiging, verwijdering)
- Relatie tot andere gegevens
Het woordenboek maakt deel uit van de gegevenscatalogus. Gezien het belang van het woordenboek voor gegevensmanagement is er voor gekozen om het woordenboek als apart product te benoemen.
Catalogi[bewerken]
Voor het borgen van de uitwisselbaarheid van gegevens, zowel binnengemeentelijk als met keten- en netwerkpartijen, is gedetailleerde informatie over de gegevens die uitgewisseld worden noodzakelijk. Deze informatie wordt vastgelegd in een gegevenscatalogus, of meerdere catalogi. Een catalogus bevat alle ‘product’informatie rondom gegevens of sets van gegevens, inclusief de definitie van gegevens (het woordenboek). Deze catalogus kan afkomstig zijn van een leverancier, of zelf samengesteld zijn op een deel van de gegevens. In de catalogus worden gegevens vastgelegd, de structuur van deze gegevens en de verbanden tussen de gegevens. Vanuit de informatiemodellen GEMMA Informatie model Basis- en Kerngegevens, Informatiemodel Zaken (RGBZ), Informatiemodel Zaaktypen zijn voor wat betreft de basisregistraties, zaken en zaaktypen de inhoud, syntax en samenhang gestandaardiseerd.
Via de catalogus kunnen stakeholders snel inzichtelijk krijgen wat gegevens betekenen en hoe ze samenhangen met andere gegevens. Informatiesystemen die gegevens vastleggen dienen zich te conformeren aan de syntax en samenhang die in de catalogus is vastgelegd. De catalogus zegt niks over de wijze waarop informatiesystemen intern gegevens vastleggen. Door leveranciers wordt de vertaling gemaakt van een informatiemodel naar een objecten – entiteiten model (ERD) wat gebruikt wordt voor de vastlegging van gegevens in een database.
Borging[bewerken]
De producten in de kolom “Borging” hebben als doel het in stand houden en verbeteren van de producten in de kolom “Gegevens”.
Bewustzijn[bewerken]
Gegevensmanagement is een verantwoordelijkheid van iedereen binnen de organisatie. De vraag is welke producten ondersteunend zijn naar een gedeeld beeld binnen de organisatie.
De tweede uitdaging is hoe je bewustzijn naar een concreet product ombuigt. In deze paragraaf volgt een aantal mogelijkheden.
Gedeelde doelstelling: bepaal de “waarom” en herhaal dit bij elke communicatie binnen de organisatie. Wat is het belang van gegevensmanagement welke gedeeld en gedragen wordt door de gehele organisatie en uitgedrukt is in de taal van de betreffende organisatie.
Presenteer de bestaande gegevensmanagement activiteiten en producten. Onbewust worden al veel acties vanuit het perspectief van gegevensmanagement ondernomen. Door deze in kaart te brengen en te presenteren, wordt het bewustzijn vergroot en is men meer geneigd hier aandacht aan te besteden.
Meting ter ondersteuning van bewustzijn: de resultaten van een reguliere check/vragenlijst (zie ook scorecard gegevensmanagement) op verschillende niveaus binnen de organisatie. Meerdere metingen in dezelfde groep geeft de ontwikkeling in bewustzijn weer.
Maak een communicatieplan. Door het delen van ontwikkelingen, activiteiten, producten, innovatie in de markt, op het juiste moment en aan de juiste doelgroep is het mogelijk om het bewustzijn te verhogen.
Strategisch vertrekpunt: bewustzijn vanuit het management. De omvang, het gebruik en de regelgeving rondom gegevens neemt toe met de dag. Populaire uitdrukkingen als 'gegevens zijn het nieuwe zwarte goud' van vandaag worden gebruikt om maar duidelijk te maken dat gegevens de nieuwe bron voor het werk van vandaag de dag zijn. Met het gebruik dat toeneemt, ontstaat er meer regelgeving, toepassing en vraagstukken rondom gegevens. Het onderwerp valt en staat met aandacht voor gegevens vanuit de top van de organisatie, of het nu de wethouder, de gemeentesecretaris, de directeur is: als op strategisch niveau niet de aandacht is geregeld zal de grip op gegevens nooit op de juiste manier worden ingericht. Zie ook “Aan de slag”.
Inrichting gegevens[bewerken]
Bepaal de basisprincipes en afgeleide principes voor de organisatie (zie elders in dit document). Deze principes geven richtlijnen om de gegevenshuishouding optimaal te laten verlopen. Een slimme inrichting van het gegevenslandschap helpt een organisatie om in te spelen op wisselende informatiebehoefte, de versnelling van marktontwikkelingen en is de basis voor volwassenheid van gegevensmanagement.
Informatielandschap, -principes en -huishouding zijn bekende fenomenen. Echter om de gegevens los te koppelen van informatie- en applicatiefunctie en dit als apart in te richten huis te erkennen, is een proces wat jaren binnen een bestaande organisatie nodig heeft. Met een gegevensarchitectuur wordt het eindpunt bepaald. Zoals bij het opstellen van het informatielandschap al is gesteld: gegevens dienen te worden gescheiden van functie. Daarmee zullen we conform GEMMA ook werken aan een gegevensarchitectuur naast een informatiearchitectuur.
De inrichting van gegevens van basisregistraties is een natuurlijk vertrekpunt voor een gemeentelijke organisatie, aangevuld met de principes die volgen uit wettelijke kaders. Gegevens in basisregistraties, kernregistraties, overige registraties, gegevens per bedrijfsdomein, voor bedrijfsvoering, sturing, analyse en trendverkenning vragen allen een andere benadering waarbij inrichtingsprincipes de beweging focust.
Kwaliteit[bewerken]
De kwaliteit van gegevens is van groot belang voor bedrijfsprocessen die gebruik maken van gegevens. Gebruik van incorrecte gegevens binnen een bedrijfsproces kan leiden tot onrechtmatige besluiten, zoals onterechte toeslagen, heffingen en kwijtscheldingen en oninbare vorderingen en imagoschade voor de gemeente. Het is dus van belang dat de kwaliteit van gegevens die binnen bedrijfsprocessen gebruikt worden aansluit bij de eisen die vanuit deze bedrijfsprocessen aan de gegevens gesteld worden.
Gegevens liggen aan de basis van informatie en kennis. De kwaliteit van de informatie en kennis is daarmee direct afhankelijk van de kwaliteit van de onderliggende gegevens. De kwaliteit van de gegevens is daarmee bepalend voor de kwaliteit van besluiten die op basis van deze informatie en kennis genomen worden. Het borgen van de kwaliteit van de gegevens is dus van groot belang voor de kwaliteit en effectiviteit van de dienstverlening van de gemeente. Het vaststellen van de gewenste gegevenskwaliteit en het inrichten van het beheer van gegevens is integraal onderdeel van het gegevensmanagement. Ten aanzien van de kwaliteit van gegevens wordt een onderscheid gemaakt tussen kwaliteitsaspecten, kwaliteitsnormen en kwaliteitsafspraken.
Een kwaliteitsaspect is een dimensie van kwaliteit. Voorbeelden van kwaliteitsaspecten zijn tijdigheid, volledigheid, accuraatheid en consistentie. Een voorbeeld van accuraatheid is de formele juistheid van een gegeven. Een gegeven kan geregistreerd zijn maar geen afspiegeling zijn van de werkelijkheid. Is het woonadres in de BRP bijvoorbeeld echt het fysieke woonadres van de betrokkene? In bijlage D is een overzicht opgenomen met kwaliteitsdimensies zoals aangereikt bij de Omgevingswet.
Een kwaliteitsnorm is een referentiewaarde voor een kwaliteitsaspect. Kwaliteitsnormen leggen het kwaliteitsniveau vast waaraan kwaliteitsaspecten moeten voldoen. Een kwaliteitsnorm is bijvoorbeeld, dat de gemeente zorgt dat bij minimaal 95% van de situaties waar een administratief adres verschilt van een fysiek adres, vermeld staat dat dit adres “in onderzoek” is.
Een kwaliteitsafspraak is een afspraak tussen partijen met betrekking tot een kwaliteitsaspect en normen die daarvoor gelden, inclusief de maatregelen. Een afspraak kan zijn, dat een gemeente die deze norm niet haalt binnen twee maanden alsnog de norm zal halen, of dat anders deze gemeente BRP wordt afgekoppeld van de landelijke voorzien.
In het Kennismodel van de GEMMA, is gegevenskwaliteit een Eigenschap:Standaardcategorie(standaardcategorie) die toegevoegd kan worden. Daarnaast wordt de I-spiegel als tooling aangereikt als een manier om gegevenskwaliteit te meten.
In het onderdeel Kwaliteit wordt een raamwerk geboden waarmee voor elk werkveld de zorg voor gegevenskwaliteit ingericht kan worden.
Producten:
- kwaliteitseisen aan soorten gegevens opnemen als organisatieprincipe
- kwaliteitsnormen, eigenaar, metingen en verbeteracties
- terugmelden en terugmeldvoorzieningen
Audits[bewerken]
Intern zijn, en worden gegevens op verschillende manieren geauditeerd. Een gegevensaudit is een systemantische aanpak om inzicht te krijgen in de gegevensbronnen, -gebruik, -beheer en -uitwisseling. Afhankelijk van de doelstelling van de audit wordt de scope en omvang bepaald. Voorbeelden zijn:
- Bij het vergelijken van het verschil tussen twee standenregisters met de som van de mutaties in tussentijdse periode is de doelstelling een volledige gegevensset te borgen.
- Bij het voeren van een financiële administratie worden door een accountant de gegevens in de boekhouding gecontroleerd.
- Bij het controleren of inrichtingsprincipes gegevensmanagement in de praktijk worden toegepast wordt de dagelijkse gang van zaken getoetst aan gestelde afspraken.
Door de vele audits in gemeenteland en toename van aandacht voor security en privacy heeft de VNG een traject gestart: ENSIA. Hierin worden de eisen gebundeld die uit verschillende (ministeriële) hoeken komen. Het advies is om de ENSIA te volgen (zie bijlage F voor uitgebreide omschrijving) en van daaruit de gevolgen voor audits op gegevens te bepalen binnen de eigen organisatie.
Producten:
- beschrijving soorten audits op soorten gegevens (met als doel 1 referentiekader binnen de organisatie)
- eisen voor het auditen van gegevens binnen de betreffende organisatie (o.a. afgeleid van de inrichtingsprincipes gegevens)
- inventarisatie audits op gegevens in bestaande organisatie
- inventarisatie audits op gegevens volgens ENSIA
- gap-analyse van de twee voorgaande inventarisaties
Afspraken[bewerken]
De registratie, het gebruik en het uitwisselen van gegevens vragen om goede afspraken.
Wet- en regelgeving[bewerken]
Gemeenten hebben te maken met wet- en regelgeving die direct impact hebben op de manier waarop met gegevens wordt omgegaan. Om aan de eisen vanuit wet- en regelgeving te kunnen voldoen, is gegevensmanagement noodzakelijk.
Een toelichting per wet specifiek voor gegevensmanagement is opgenomen in “Bijlage G - Overzicht van wet- & regelgeving”.
Op het moment dat duidelijk is welke gegevensmanagement producten gekoppeld zijn aan wettelijk vereisten. is een minimale basis bekend om verantwoord gegevensmanagement in te richten en uit te voeren. Het is ook in voorkomende gevallen om de wet- en regelgeving nog uit te werken in specifiek beleid, en niet alleen maar in eisen aan de gegevensverwerking.
Producten:
- beschrijving eisen ten aanzien van gegevensmanagement en bepalen eigenaar (verantwoordelijke) in de eigen organisatie
- afspraken, bijvoorbeeld een procedure terugmelding.
Registraties[bewerken]
Gegevens worden in verschillende registraties vastgelegd. Voorbeelden van soorten gemeentelijke registraties zijn:
- Basisregistraties – een door de overheid officieel aangewezen registratie met gegevens die door alle overheidsinstellingen verplicht worden gebruikt bij de uitvoering van publiekrechtelijke taken..
- Kernregistraties – het gemeentelijke equivalent van een basisregistratie. Een kernregistratie kan ten aanzien van een basisregistratie aanvullende en actuele gegevens bevatten of andere gegevens waarvoor binnengemeentelijk geldt: ‘eenmalig inwinnen, meervoudig gebruiken' om de werkzaamheden efficiënter te kunnen verrichten.
- Domeinspecifieke registraties – registraties waarin gegevens voor een bepaald domein worden verwerkt. Voorbeelden van domeinspecifieke registraties zijn inkomens-, onderwijs- en gemeentelijke belastingenregistraties.
- Overige registraties – deze registraties kunnen de vorm hebben van een spreadsheet tot een datawarehouse. Het advies is om criteria op te zetten waarmee ten aanzien van deze registraties bepaald wordt welke mate van gegevensmanagement noodzakelijk is. Een risico-analyse kan hierbij helpen om de prioritering te bepalen. Criteria kunnen zijn: wettelijk vereist, bedrijfskritisch proces, (technische) veiligheid, privacy, gebruik door meerdere partijen (zaak/archief), etc.
Producten:
- overzicht bronhouders binnen de eigen organisatie
- overzicht verantwoordelijke per basis-, kern- en registratie binnen de eigen organisatie
- overzicht binnengemeentelijk gebruik van gegevens uit basis- en kernregistraties
- overzicht overige registraties die door afdelingen of samen met ketenpartners gebruikt worden
- overzicht afspraken
Dataclassificatie[bewerken]
Data (gegevens) classificatie is het indelen van specifieke gegeven(set)s in klassen. De klassen zijn vervolgens te koppelen aan de benodigde mate van gegevensmanagement en afspraken die hieromtrent gemaakt moeten worden.
Vanuit verschillende bewegingen wordt dataclassificatie genoemd. De GEMMA heeft hier een handreiking in gegeven. De volgende focussen worden hierin behandeld:
- Vertrouwelijkheid, Integriteit en Beschikbaarheid (BIV-classificaties afkomstig uit de BIG)
- Kwaliteit en Betrouwbaarheid
- Relateerbaarheid
- Distributiewijze
Bescherming van de privacy en informatiebeveiliging (AVG, BIG/BIO) vragen om focus op met name het onderdeel BIV-classificaties. Het (her)gebruik vraagt om focus op Kwaliteit en Betrouwbaarheid, Relateerbaarheid en Distributiewijze.
Producten:
- beschrijving dataclassificaties
- beschrijving mate van gegevensmanagement (eisen) per klasse
- afspraken
Gegevenslevering overeenkomst (GLO)[bewerken]
Om grip te houden op de gemeentelijke gegevenshuishouding is het belangrijk over levering en gebruik duidelijke afspraken te maken tussen (gegevens)leverancier en afnemer. De vastlegging van deze afspraken kan in de vorm van een Gegevensleveringovereenkomst (GLO). De GLO is voor interne reguliere leveringen, en niet voor eenmalige bevragingen of informatieaanvragen.
In de praktijk zal het er op neerkomen, dat voor leveringen een set algemeen geldende kaders van toepassing is; deze kunnen de vorm van Algemene Voorwaarden aannemen (bijvoorbeeld nooit doorleveren zonder toestemming van leverancier). Specifieke afspraken worden dan apart vastgelegd in de Gegevensleveringsovereenkomst (GLO):
- te leveren gegevens (bijvoorbeeld in een bijlage gespecificeerd naar velden bron)
- classificatie van de gegevens
- beveiliging van de gegevens
- gebruiksdoel van de levering (wettelijke grondslag)
- gebruik: wel/niet doorleveren toegestaan
- kwaliteit van de gegevens
- wijze van levering (evt. technische specificaties)
- tijdstip(pen) van levering
- evt. kosten
- contactpersonen bronhouder en afnemer
- indien van toepassing: eigenaarschap van de koppelvlakken
Zoals hierboven is aangegeven is het van belang dat zowel leverancier als afnemer weten welke kwaliteit van gegevens geleverd en gevraagd worden. Hoe actueel zijn de gegevens, wat is de vullingsgraad van het gegeven en wat wordt afgesproken over geconstateerde afwijkingen en terugmelding daarvan.
Verwerkersovereenkomst en Privacy convenant, AVG
Sinds het opstellen van de eerste gegevensmanagement richtlijnen is de AVG-regelgeving van kracht geworden die ook het een en ander over gegevensleveringen heeft vastgesteld. Voor de AVG dienen voor privacy gevoelige gegevens die buiten de gemeente worden geleverd verwerkersovereenkomsten te worden opgesteld. Binnen de verwerkersovereenkomsten worden ook details over de inhoud van de gegevens, doelbinding en vermelding van bron- en afnemerschap genoteerd. Een van de belangrijkste items binnen de verwerkersovereenkomst is de verhouding tussen leverancier en de afnemer en wat de afnemer voor rechten en plichten heeft als het gaat om het verwerken van de gegevens. Mag de afnemer alleen de gegevens gebruiken? Of worden de gegevens namens de bronhouder bijgehouden? Voor details over de AVG en de verwerkersovereenkomst, zie de IBD/AVG.
Privacy Convenant indien de externe partij een verantwoordelijke of een verwerker is
Als het gaat om een samenwerking tussen partijen, zoals in een sociaal wijkteam, dan kan de gemeente bijvoorbeeld de werkwijze vastleggen in een privacyconvenant. Het is dringend aan te bevelen dat de gemeente dergelijke privacyconvenanten opstelt. Een convenant kan er zijn voor een sociaal wijkteam, maar ook voor een doelgroepgerichte aanpak – zoals overlastgevende jongeren, zorgmijders of voor het Veiligheidshuis. Een privacyconvenant maakt voor alle betrokkenen – inclusief de burgers – duidelijk hoe partijen omgaan met persoonsgegevens en hoe de privacybescherming is geborgd. Convenanten kunnen nooit een wet opzij zetten. Een convenant kan nooit méér bevoegdheden scheppen dan een wet aan de gemeente toekent. Om vast te stellen of een convenant privacy-proof is en past binnen de wettelijke kaders, kan de gemeente een onafhankelijke partij vragen een PIA (Privacy Impact Assessment) uit te voeren. Ook kunnen medewerkers zelf een waardevolle PIA opstellen, onder leiding van bijvoorbeeld de privacy jurist of i-adviseur en met als toezichthoudende rol de functionaris voor de gegevensbescherming (FG).
Producten:
- GLO’S
- verwerkersovereenkomsten
- privacy convenanten
In bijlage C is een voorbeeld opgenomen van een gemeentelijke GLO.
Organisatie[bewerken]
Iedereen gaat met een vorm van organisatie, ook wel governance genoemd, rondom Gegevensmanagement aan de slag. Governance is een internationaal gebruikte term om besturing aan te geven in een gereguleerde setting, bijvoorbeeld als het gaat om het kunnen voldoen aan wetgeving of als het gaat om voldoen aan hiërarchische gestelde eisen. Het voldoen aan wettelijke eisen wordt omschreven als compliancy.
De volgende vier producten worden hierna toegelicht: beleid, gegevensfunctiehuis, de inrichting en een roadmap.
Beleid[bewerken]
Het gegevensmanagementbeleid is een beschrijving van de doelstelling en ambitieniveau organisatiebreed op het gebied van gegevens, met daarbij concrete resultaatgebieden die in lijn zijn met bedrijfsmatige doelstellingen. Het beleid geeft prioritering en richting aan het invullen en ontwikkelen van gegevensmanagement.
Veel gegevensmanagementbeleid is verdeeld over de verschillende documenten binnen de organisatie. Denk hierbij aan architectuur, informatiebeleid, beleid digitalisering en aanpak omgevingswet. Start met een inventarisatie van de beleidsdocumenten die van invloed zijn op gegevensmanagement. De achterliggende gedachte hierbij is uit de diverse documenten de onderwerpen die gegevensmanagement raken te verzamelen. Vaak gaat zo’n inventarisatie gepaard met een actualisatie, ontdubbeling en completering van het informatiebeleid. Ook wordt op dat moment duidelijk welk beleid ontbreekt, maar belangrijker nog welk gegevensmanagementbeleid nodig is.
De strategische doelstellingen, vertaald naar jaarlijkse resultaten, worden ondersteund met een informatiebeleidsplan. Dit (meerjarig) informatiebeleidsplan wordt weer ondersteund met architectuur, sectorplannen en/of een projectportfolio. In een enkel geval is gegevensmanagementbeleid als specifiek onderwerp beschreven. Vaak komt het voor dat gegevensmanagement gerelateerde onderwerpen in de diverse genoemde documenten zijn beschreven. Een gedeelte binnen de architectuur (eenmalig uitvragen, meervoudig gebruiken) of in een sectorplan (inrichting van de gegevensbeheer organisatie) of in een projectportfolio (project X om de gegevenskwaliteit te verhogen). Daarnaast is de invoering van de AVG een aanvullende reden om gegevens op strategisch niveau te plaatsen.
Het is aan te bevelen om het gegevenmanagementsbeleid naast het informatiebeleid te positioneren. Hiermee:
- Wordt expliciet gemaakt dat dit twee aparte grootheden zijn;
- Worden gegevens en functionaliteiten op een hoog niveau gesplitst, dit is een versneller van de ontwikkeling van gegevensmanagement;
- Is het eenvoudiger om verschillende functies/services te definiëren (hierbij is het uitgangspunt dat gegevens stabieler zijn in vergelijk met de functies/services);
- Wordt sneller inzichtelijk wat tot dubbeling van gegevens leidt;
- Het koppelen van gegevensbeleid aan initiatieven als datagedreven werken maakt versnelling mogelijk, omdat hierbij het bestuurlijk draagvlak geen issue is.
Gegevensfunctiehuis[bewerken]
Binnen de GEMMA-referentiearchitectuur worden vanuit verschillende aandachtsgebieden producten, rollen en verantwoordelijkheden beschreven. Voorbeelden hiervan zijn de gegevensmanagement katernen en privacy-, informatie- en ENSIA-documenten. Vanuit deze aandachtsgebieden worden producten, rollen en verantwoordelijkheden beschreven van het betreffende aandachtsgebied. Dwarsverbanden en afhankelijkheden tussen de verschillende aandachtsgebieden worden daarbij slechts beperkt beschreven.
Door VNG Realisatie zijn in samenwerking met de de gemeentelijke Expertgroep Gegevensmanagement de verschillende rollen, producten en verantwoordelijkheden vanuit gegevensmanagement, privacy, informatiebeveiliging en ENSIA geïnventariseerd en op elkaar uitgelijnd. Vervolgens zijn de verantwoordelijkheden van elke rol ten opzichte van elk product bepaald. Het resultaat hiervan is een gegevensfunctiehuis in de vorm van een RACI-matrix waarin de producten en rollen van gegevensmanagement, privacy, informatiebeveiliging en ENSIA zijn opgenomen inclusief een invulling van de verantwoordelijkheden van de rollen ten opzichte van de producten. Deze matrix kan door gemeenten zowel worden gebruikt als input voor toetsing van de inrichting van gemeentelijke processen als voor het inrichten van deze processen. Daarnaast geeft het gegevensfunctiehuis aan de hand van de toegekende verantwoordelijkheden per rol een indicatie van de zwaarte ervan.
Inrichting organisatie[bewerken]
Gegevensmanagement is niet een eenmalige (herstel)actie. Het gaat om een continu proces om de grip op de gegevens te houden. Het inrichten van de organisatie krijgt vorm door het koppelen van beleid, principes, de gegevensmanagementproducten en het gegevensfunctiehuis. Hiermee worden de benodigde processtappen duidelijk die nodig zijn rondom gegevensmanagement. Volgens [1] resulteert het inrichten van een organisatie tot duidelijkheid van arbeidsverdeling, besluitvorming en coördinatie, waarbij we uiteraard door de bril van gegevensmanagement kijken.
Het is mogelijk om de gehele cyclus van prioriteit, strategie, tactiek en uitvoering op te lijnen van uitvoering naar strategisch niveau. Hier hoort een beschrijving bij van de cyclus van plannen, uitvoeren, controleren en evalueren van de uitvoering en gestelde strategie, heroriënteren en opnieuw prioriteren en naar de volgende fase doorgroeien.
Een aantal acties/vragen die helpen bij het inrichten van de organisatie zijn deze:
- Onderzoek de aanwezige bedrijfsdomeinen in de organisatiestructuur, welke invloed heeft dit op gegevensmanagement?
- Welke vragen worden (niet) gesteld, welke keuzes worden (niet) gemaakt?
- Welke verantwoordelijkheden zijn er bij gegevensuitwisseling tussen vak afdelingen en/of ketenpartners: is de leverende partij verantwoordelijk voor tijdige levering en volledigheid van gegevensverzamelingen, of ligt dit bij de afnemende partij?
- Is e.e.a. rond het beheer en distributie van gegevens, centraal of decentraal, georganiseerd en hoe werkt dit?
- Waar ligt het eigenaarschap van gegevens(-management)?
- Worden verbeterpunten gegevensmanagement met een groot traject gerealiseerd, of als onderdeel van elke change/project?
Producten:
- Organisatie strategisch, tactisch en operationeel gegevensmanagement
- Arbeidsverdeling: centraal/decentraal, intern/ketenpartners
- Besluitvorming: eigenaarschap, besluitnemer, basisregistratie/kernregistraties/overige
- Coördinatie: afstemming binnen een vakinhoudelijk domein, tussen domeinen, centrale afdeling en ketenpartners.
- Overlegstructuren
Roadmap[bewerken]
In de roadmap staan lange termijn activiteiten geprogrammeerd om het gemeentelijk gegevensgebruik te verbeteren, bijvoorbeeld een document als de gemeentelijke IT visie. Het kan ook een letterlijke roadmap zijn waarop de verschillende activiteiten gepland zijn als de omgevingswet in relatie tot eIDAS, in relatie tot volledige compliancy aan de AVG.
De roadmap dient meerdere doelen: het kan zowel voor de de architect een richtlijn zijn om te zien met welke ontwikkelingen de architect rekening moet houden, maar ook voor de projectportfolio manager om te zien welke projecten er de komende tijd op de portfoliolijst staan en daarmee hoeveel ruimte er is voor andere projecten. Het voornaamste doel voor gegevensmanagement is het kunnen anticiperen op mogelijke gegevens wijzigingen in het landschap, catalogus en woordenboek.
De volwassenheid van een gemeentelijke organisatie op gegevensgebied bepaalt de behoefte aan specifieke processen rondom gegevensmanagement. De aanleiding voor gegevensmanagement kan divers zijn. Of het nu gaat om datagedreven sturing, compliancy aan de AVG of integreren van gegevens- informatiebeveiliging en ENSIA beleid, met gegevensmanagement leg je de basis voor al deze thema’s.
Rollen en verantwoordelijkheden
Om het gegevensmanagement in een gemeente goed in te richten zijn er goede afspraken nodig over de functies, rol- en taakverdeling en verantwoordelijkheden.
Rollen gegevensmanagement[bewerken]
De rollen binnen gegevensmanagement bestaan voor een groot deel uit de werkzaamheden die (reeds bestaande) functies binnen de gemeente nu uitvoeren. Ter illustratie: bij veel gemeenten is al een architect aanwezig of is een ‘houder’ van de BRP-gegevens benoemd. De rollen van gegevensmanagement maken deze afspraken expliciet en verbindt de verschillende taken met elkaar. Ook zijn bepaalde rollen binnen het gegevens-werkveld vanuit de wet al eerder benoemd. Te denken valt aan de functionaris gegevensbescherming (FG) en de afnemer vanuit de algemene verordening gegevensbescherming (AVG) of de wetgeving op het gebied van basisregistraties die de rol registratiehouder en afnemer ook al onderkende. Hieronder worden de rollen opgesomd en de herkomst aangegeven.
Rollen uit het stelsel van basisregistraties[bewerken]
Vanuit het stelsel van basisregistraties zijn de rollen beschreven die ten aanzien van basisregistraties gelden. Deze rollen zijn:
- Opdrachtgever - De opdrachtgever is het voor de basisregistratie verantwoordelijke ministerie dat opdrachtgever is voor de ‘verstrekker’ (de beheerder van de landelijke voorziening);
- Bronhouder - Een bronhouder is verantwoordelijk voor het inwinnen en bijhouden van de authentieke en niet-authentieke gegevens in een basisregistratie en voor het borgen van de kwaliteit van die gegevens (onder meer naar aanleiding van ontvangen terugmeldingen). Een basisregistratie heeft één of meer bronhouders;
- Toezichthouder - De toezichthouder is de partij die er verantwoordelijk voor is dat wordt toegezien of de basisregistratie in overeenstemming met eisen, afspraken en wetgeving opereert. Een basisregistratie heeft één of meer verantwoordelijken voor toezicht. Over het algemeen is de opdrachtgever verantwoordelijk voor het toezicht op de naleving van de bepalingen die in de wet voor de basisregistratie zijn opgenomen. Bij veel basisregistraties is het toezicht ingevuld met periodieke audits door onafhankelijke partijen in opdracht van de opdrachtgever, verstrekker en/of bronhouders;
- Afnemer - Een afnemer (ook wel ‘gebruiker’) is een overheidsorganisatie of private partij die gegevens afneemt van een basisregistratie voor gebruik in de eigen processen. Voor bestuursorganen met een publiekrechtelijke taak (zoals gemeenten, provincies, waterschappen en zelfstandige bestuursorganen) is het afnemen en gebruiken van relevante authentieke gegevens verplicht;
- Verstrekker - De verstrekker (ook wel ‘beheerder landelijke voorziening’) is de partij die de landelijke voorziening voor het verstrekken van gegevens beheert en exploiteert. De verstrekker is verantwoordelijk voor het verstrekken van de gegevens. De verstrekker is ook verantwoordelijk voor het faciliteren van het gebruik (zoals het leveren van kennis en ondersteuning aan afnemers voor het aansluiten op de landelijke voorziening). Een basisregistratie heeft één verstrekker.
Zie de NORA voor een beschrijving van de verschillende basisregistraties.
Generieke gemeentelijke rollen[bewerken]
De meeste rollen uit het stelsel van basisregistraties zijn breder toepasbaar op kern- en sectorale registraties. Deze rollen kunnen worden overgenomen en aangevuld met rollen die specifiek zijn voor gemeenten. De gemeente kan invulling geven aan één of meerdere van deze rollen. De gemeente kan bijvoorbeeld zowel afnemer, bronhouder als registratiehouder zijn. Naast de bovengenoemde rollen worden ook een aantal generieke gemeentelijke rollen onderkend. De generieke gemeentelijke rollen zijn:
- Afnemer – De binnengemeentelijke of buitengemeentelijke persoon of entiteit die gegevens afneemt en afwijkingen terugmeld aan de bronhouder. Levering van gegevens aan de afnemer kan plaatsvinden direct via de bronhouder of via de beheerder generieke voorzieningen.
- Gegevensmakelaar – De gegevensmakelaar is verantwoordelijk voor het maken, vastleggen en onderhouden van afspraken met gegevensleveranciers en –afnemers (gegevensleverings-overeenkomsten, GLO’s). De gegevensmakelaar is intermediair tussen afnemers en in- en externe leveranciers en zorgt voor een optimaal gebruik van aanwezige gegevens, in overeenstemming met wet- en regelgeving. Werkt nauw samen met de architect.
- Architect - De architect is een rol of functie die zich bezig houdt met de (ICT) architectuur van de organisatie. Er zijn veel specialismen binnen de ICT architectuur. Bijvoorbeeld de enterprise-architect, business-architect, informatie-architect, gegevensarchitect, technische architect. Het is van belang voor gegevensmanagement dat de organisatie een vorm van organisatiebrede gegevensarchitectuur opstelt. De architect toetst wijzigingen in het gegevenslandschap aan deze architectuur.
- Beheerder generieke voorzieningen - Implementeren van de (gewijzigde) gegevensmodellen en oplossingen, die de gegevensarchitect ontworpen heeft. In bedrijf nemen en houden van deze modellen en oplossingen met bijzondere aandacht voor onderhoudbaarheid en versiebeheer. Monitoren van de continue werking van de generieke voorzieningen, consistentiecontroles uitvoeren en actie ondernemen bij afwijkingen of verstoringen. Werkt nauw samen met de distributeur. De beheerder generieke voorzieningen ontvangt, conform overeengekomen GLO’s, gegevens van bronregistraties en verzorgt (namens de bronhouder) de verstrekking van brongegevens aan afnemers. De beheerder generieke voorzieningen is zelf geen bronhouder van gegevens. De verantwoordelijkheid voor het definiëren van de autorisaties van afnemers van gegevens die door de gegevensmakelaar geleverd worden ligt bij de bronhouders. De beheerder generieke voorzieningen implementeert deze autorisaties en levert op basis hiervan gegevens op aan afnemers. Bronhouders hebben dus grip op welke gegevens aan wie geleverd worden. De beheerder generieke voorzieningen is verantwoordelijk voor de vastlegging van de verwerking van gegevens, bijvoorbeeld ten behoeve van het werk van de auditor. Een voorbeeld van een mogelijk ondersteunend informatiesysteem voor de rol van de beheerder generieke voorzieningen is een gegevensdistributiesysteem.
- Gegevensmanagement functionaris: Het geweten van de gemeente op het gebied van gegevensmanagement. In de praktijk belegd bij verschillende functies zoals een gegevensmanager, informatiemanager, hoofd informatiemanagement, demand manager. De gegevensmanagement functionaris geeft uitvoering aan de uitgezette lijnen die door de CIO of een andere bestuurlijke houder van het onderwerp gegevensmanagement zijn vastgesteld.
- Auditor/Kwaliteitscontrole - De auditor controleert de naleving van procedures, regels en richtlijnen. De rol van auditor kan worden verdeeld in domeinspecifieke auditor en een auditor gemeentebreed. Een domein specifieke auditor is verantwoordelijk voor het (laten) uitvoeren van audits die specifiek voor een domein zijn. Denk hierbij aan de zelfevaluatie BRP en een audit op het gebruik van Suwinet. De auditor gemeentebreed is verantwoordelijk voor het (laten) uitvoeren van audits die over de verschillende domeinen heen lopen. Denk hierbij aan audits op het gebied van het gebruik van gegevens door processen en toetsing van proportionaliteit en subsidiariteit.
- Concerncontroller - De concerncontroller is een financiële functie binnen de gemeente die veelvuldig voorkomt waarin ook een aantal verplichte wettelijke audit taken op het gebied van (financiële) bedrijfsvoering of kwaliteitscontrole taken (o.a. Gemeentewet, art. 212, art. 213 en art. 213a) . Of zoals de gemeentewet stelt: “de controller is eindverantwoordelijk voor een optimale bedrijfsvoering in de gemeentelijke organisatie. (...) De concerncontroller adviseert het college en de algemeen directeur gevraagd en ongevraagd over alle zaken de gemeentelijke bedrijfsvoering betreffende."
Of een gemeente aan al de generieke gemeentelijke rollen via losse functionarissen invulling geeft is mede afhankelijk van de omvang van de gemeente. Het bundelen van rollen is uiteraard mogelijk.
Naast de bovenstaande rollen zijn de volgende rollen sterk gerelateerd aan gegevensmanagement:
- Functionaris voor de gegevensbescherming (FG) - Gemeenten hebben, net als andere publieke- en private organisaties, de verplichting zelf een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen. Dat is de functionaris voor de gegevensbescherming (FG).
- Privacy Officer (PO) - Om de AVG uit te voeren hebben veel gemeenten een privacy officer aangesteld. Hij is naast verantwoordelijk voor de uitvoer van de AVG ook betrokken bij de DPIA’s en het opzetten van privacy management.
- CISO (Chief Information Security Officer) - De CISO heeft binnen de gemeentelijke organisatie een spilfunctie, om er voor te kunnen zorgen dat binnen de gemeente de juiste acties worden genomen voor informatiebeveiliging.
- ENSIA Coördinator - De coördinator werkt mee aan het begeleiden, bewaken en waar nodig bijsturen van het ENSIA- verantwoordingsproces. De kerntaken komen neer op het creëren van bewustzijn over informatieveiligheid voor de hele gemeente en het organiseren van samenwerking.
Verantwoordelijkheden per rol[bewerken]
In een RACI matrix zijn de rollen en verantwoordelijkheden weergegeven die onderscheiden worden. Daarbij is ook aangegeven welke verantwoordelijkheden onderscheiden worden voor de verschillende producten.
In kleinere gemeenten kunnen niet alle rollen door verschillende functionarissen worden uitgevoerd. We kunnen niet genoeg benadrukken dat dit groeimodel in rollen verschillend is per gemeente en daarnaast afhankelijk van de mate van volwassenheid van inrichting van gegevensmanagement.
- R = Responsible / Verantwoordelijk
- A = Accountable / Eindverantwoordelijk
- C = Consulted / Raadplegen
- I = Informed / Informeren
Zie het gegevensfunctiehuis om inzicht te krijgen in de verschillende rollen en verantwoordelijkheden. Via deze pagina is ook een Excel bestand beschikbaar waarin de rollen en verantwoordelijkheden in een RACI-matrix voor verschillende aandachtsgebieden, waaronder gegevensmanagement, uiteen zijn gezet.
Gegevenskwaliteit
Als gegevens een onmisbare pijler zijn van onze informatievoorziening en van onze beslissingsondersteuning, dan is de kwaliteit van die gegevens in hoge mate bepalend voor de kwaliteit van onze informatie en van onze beslissingen. Dit hoofdstuk gaat daarom in op gegevenskwaliteit. Het begrip ‘gegevenskwaliteit’ kan worden gedefinieerd als de mate waarin de karakteristieken van de gegevens voldoen aan expliciete en impliciete behoeften onder gespecificeerde condities. Of populair uitgedrukt: ‘fit for use’, een omschrijving die duidelijk maakt dat de afnemer bepaalt wat de gewenste kwaliteit is.
Maar wat zijn dan die karakteristieken of die behoeften (al dan niet im- of expliciet), en die specificaties? Wanneer is het goed? Wat is de norm en wanneer voldoe je eraan? Dat verschilt per soort gegeven; elk werkveld heeft haar eigen normen. Het voert dan ook te ver om deze allemaal in dit katern te behandelen. We bieden daarom een raamwerk waarmee je voor elk werkveld de zorg voor gegevenskwaliteit kunt inrichten. We pleiten ervoor om je kwaliteitszorg en het gegevensmanagement te linken aan het gemeentelijk risico-management.
Gegevenskwaliteit: waarom, hoe en wat?[bewerken]
Het waarom, hoe en wat van gegevenskwaliteit verbinden we aan de elementen van ons raamwerk. In deze paragraaf wordt elke laag van het waarom, wat en hoe toegelicht en verbonden aan de elementen van het raamwerk. Voor elke laag geldt een permanente Plan-Do-Check-Act (DEMMING/PDCA-) cyclus, om te weten of je nog actueel en in control bent als het gaat om de kwaliteitszorg over je gegevens
Waarom: Bewustzijn en managementaandacht[bewerken]
De behoefte aan kwaliteitszorg begint bij bewustzijn over de impact van gegevens. Het gaat dan om bewustzijn bij zowel gegevensleveranciers, gegevensafnemers als de betrokken opdrachtgevers:
- Weet waar een gegeven voor gebruikt wordt, in een proces of in stuurinformatie.
- Weet welk effect het kan hebben als een gegeven niet correct is.
- Weet wat de (gebruiks-)waarde van gegevens is; weet ook wat de prijs/kost is van goede gegevens en anderzijds, wat de (potentiële) schade is als gegevens niet goed zijn.
Anders gesteld: weet dat goede gegevens geld kosten, maar dat de kosten veel hoger (kunnen) uitvallen als je slechte gegevens gebruikt.
Gegevensbewustzijn en kwaliteitsbewustzijn vragen een constante dialoog tussen de relevante spelers in de organisatie. Organiseer, of structureer, deze dialoog in een PDCA-cyclus. Veranker de afspraken uit de dialoog in planningen, begrotingen, voortgangsrapportages en risico-management (incl. maatregelen). Dit is een constant leertraject, te ondersteunen met opleiding, training en bewustwordingstrajecten.
Hoe: Rollen/verantwoordelijkheden, resultaten[bewerken]
Stakeholdermanagement is een belangrijk element van de kwaliteitszorg over onze gegevens. Wie spelen een rol en hoe zijn de belangen verdeeld? Wij hebben dit in het Katern Gegevensmanagement vertaald naar een gegevensfunctiehuis en RACI-matrix. Deze matrix helpt bij het in kaart brengen van de rolverdeling, en de verantwoordelijkheden, rondom een gegevensset. Vanuit de matrix is ook inzicht te geven over wie aan wie rapporteert over de behaalde resultaten.
NB de gegevenskwaliteit wordt vaak bij de bronhouder belegd. Dat betekent dat de bronhouder zelf het gegevenskwaliteitproces inricht of apart belegt binnen de gemeente om het gegevenskwaliteitproces uit te voeren / te bewaken. Het is dan wel de verantwoording van de bronhouder, het betekent niet dat de andere betrokken partijen hier geen rol in spelen.
Per gegevensset stel je vast hoe je zult monitoren en rapporteren over het behaalde resultaat ten opzichte van de daarvoor geldende norm. Dat kan met behulp van audits, voortgangsrapportages/managementinformatie op kpi’s. Ook is aan deze check (in de PDCA-cyclus op het hoe) vorm te geven via bijvoorbeeld periodieke bestandsvergelijkingen. Daarnaast is de terugmelding een uitermate krachtig kwaliteitsmiddel. Het is een zelf-reinigend mechanisme: elke afnemer is verplicht om terugmeldingen te doen, de bronhouder is verplicht om de terugmeldingen te onderzoeken.
Bestandsvergelijkingen, bijv.:
- i-Spiegel 2.0
- Foto-foto-vergelijking of foto-kaart-vergelijking (bij de BAG of de BGT)
- Adresonderzoeken
- Signalering ‘vreemde’ mutaties (anomalieën)
Vanuit het adagium ‘garbage in garbage out’ kan het soms handig zijn om de ‘garbage’ te laten zien. Door de garbage te tonen:
- Wordt de inhoud van de registratie gelouterd. Het niet tonen laat de fout immers bestaan.
- Worden zwakke plekken in betreffende processen getoond.
Terugmelding:
- Digimelding
- Ogen & oren in de stad
- Belanghebbenden corrigeren zelf: democratisering van de registratie
Wat: Dimensies, Ist en Soll[bewerken]
Wat kwaliteit is, is te specificeren naar een aantal kenmerken van een gegeven. Van deze kenmerken is vast te stellen
- wat de daarvoor geldende norm is en
- hoe je daar als organisatie op presteert.
Normen zijn veelvuldig: ISO, NEN, wettelijke voorschriften (denk bijv. aan de basisregistraties), informatiemodellen. Normering is ook te vinden in statistische betrouwbaarheid (de kans dat de gemeten waarde in een statistische proef representatief is voor de werkelijke waarde) en in correlatie-coëfficienten. Neem ook in ogenschouw de normen die voortvloeien uit afspraken die je contractueel bent overeengekomen, zowel intern als extern. Welke (kwaliteits-)afspraken heb je gemaakt; welk service level ben je aangegaan?
In Bijlage D is een voorbeeld opgenomen van de gemeente Tilburg: hoe kun je een continue verbetering op de gegevenskwaliteit nastreven?
Normen
Omdat het gemeentelijk werkveld zo divers is, hebben we te maken met een ruime wereld van normen. Het is daarom niet zinvol om deze hier allemaal de revue te laten passeren. Een voorbeeld is de wet op basisregistraties die duidelijk maakt welke bronnen worden gebruik voor het vullen van de velden in een basisregistratie, inclusief de omschrijving van de definitie van het veld. Tegelijkertijd is er dus niet een algemene gegevenskwaliteit vast te stellen voor al die verschillende producten binnen een gemeente. Een overzicht van alle betrokken wet- en regelgeving is opgenomen in Bijlage G.
Stel dus in eerste instantie vast welke (kwaliteits-)normen gelden ten aanzien van een gegevensset. Leg daarbij vast volgens welke toetsing-, auditing- en rapportage-methodiek je de check uit de PDCA doet. Een voorbeeld daarvan is de ENSIA-methodiek .
Om een overzicht te geven van welke kenmerken de kwaliteit van een gegeven bepalen, sluiten we aan bij de indeling die daarvoor is opgesteld in het kader van de gegevenskwaliteit in de Omgevingswet . Deze is bruikbaar als checklist voor elke gegevensset in elk gemeentelijk werkveld en. Dit is geen uitputtende lijst, en omdat deze binnen het project van de omgevingswet in 2018 is ontwikkeld, wel een van de meest actuele en toepasselijke indeling.
Het gaat dan om de volgende kwaliteitsdimensies (met korte omschrijving):
- Nauwkeurigheid (Accuracy) - De mate waarin gegevens de echte waarde van het bedoelde attribuut of een concept of gebeurtenis in een specifieke gebruikscontext goed weergeven.
- Compleetheid (Completeness) - De mate waarin gegevens gerelateerd aan een object waarden hebben voor alle verwachte attributen en gerelateerde object instanties in een specifieke gebruikscontext.
- Consistentie (Consistency) - De mate waarin gegevens niet in tegenspraak zijn met andere gegevens in een specifieke gebruikscontext. Dit kan zowel binnen de context van een object als tussen vergelijkbare attribuutwaarden van verschillende objecten.
- Plausabiliteit (Credibility) - De mate waarin gegevens worden beschouwd als waar en geloofwaardig door gebruikers in een specifieke gebruikscontext.
- Actualiteit (Currentness) - De mate waarin gegevens recent genoeg zijn in een gebruikscontext.
- Toegankelijkheid (Accessibility) - De mate waarin gegevens benaderd kunnen worden in een specifieke gebruikscontext, met name door mensen die ondersteunende technologie of speciale configuraties nodig hebben vanwege een functiebeperking.
- Compliance (Compliance) - De mate waarin gegevens conformeren aan standaarden, conventies of regelgeving gerelateerd aan gegevenskwaliteit in een specifieke gebruikscontext.
- Vertrouwelijkheid (Confidentiality) - De mate waarin gegevens alleen toegankelijk en interpreteerbaar zijn door geautoriseerde gebruikers in een specifieke gebruikscontext.
- Efficiëntie (Efficiency) - De mate waarin gegevens verwerkt kunnen worden en de verwachte performanceniveau's bieden door het gebruik van de juiste hoeveelheid en soorten middelen in een specifieke gebruikscontext.
- Precisie (Precision) - De mate waarin gegevens exact of onderscheidend genoeg zijn voor een gebruikscontext.
- Traceerbaarheid (Traceability) - De mate waarin toegang tot gegevens of wijzigingen erin vastgelegd worden in een audit trail in een specifieke gebruikscontext.
- Begrijpelijkheid (Understandability) - De mate waarin gegevens eenvoudig gelezen en geïnterpreteerd kunnen worden door gebruikers, en zijn verwoordt in geschikte talen, symbolen en eenheden in een specifieke gebruikscontext.
- Beschikbaarheid (Availability) -De mate waarin gegevens kunnen worden geraadpleegd door geautoriseerde gebruikers of applicaties in een specifieke gebruikscontext.
- Overdraagbaarheid (Portability) - De mate waarin gegevens kunnen worden geïnstalleerd, vervangen of verplaatst van het ene systeem naar een ander met behoud van kwaliteit in een specifieke gebruikscontext.
- Herstelbaarheid (Recoverability) - De mate waarin gegevens een gespecificeerd niveau van operatie en kwaliteit kunnen behouden, ook in het geval van falen, in een specifieke gebruikscontext.
Vervolgens kun je per bovengenoemde dimensie de aspecten benoemen. In de eerder genoemde gegevenskwaliteit in de Omgevingswet is dit uitgebreid per dimensie uitgewerkt, ter illustratie halen we hier een voorbeeld aan:
Aan de slag
Voor elke organisatie is het volwassenheidsniveau van de inrichting van gegevensmanagement verschillend. Het is dus van belang om binnen een organisatie te bepalen wat het volwassenheidsniveau is. Hiertoe kunnen de volgende stappen te doorlopen:
- Bepaal wat er is (IST)
- Bepaal waar naar toe te bewegen (SOLL)
- Bepaal concrete acties (GAP-analyse)
Om het volwassenheidsniveau te bepalen kan gebruik worden gemaakt van de verschillende elementen die in dit hoofdstuk besproken worden.
Groeiproces[bewerken]
Het is niet mogelijk om gegevensmanagement in één keer volledig in te richten. De aanbeveling is om klein te beginnen. Starten vanuit één registratie of gegevensvraag maakt het mogelijk om in het klein te leren wat het belang is van en te oefenenen met de verschillende producten en rollen en hiermee een interne best-practice te ontwikkelen.
Klein beginnen voorkomt dat veel werk moet worden verzet voor analyseren en beschrijven van de huidige situatie en dat het lang duurt voordat gegevensmanagement haar vruchten afwerpt. Ook voorkom je een grote complexiteit en veel weerstand omdat er minder stakeholders en belangen een rol spelen. Doordat je met een enkele registratie kan aantonen dat gegevensmanagement waarde toevoegd, zal het eenvoudiger zijn om genoeg draagvlak te krijgen om gegevensmanagement organisatiebreed goed in te richten.
Het is wel belangrijk om meteen de hele kwaliteitscirkel operationeel wordt gemaakt en alle gegevensmanagementproducten in een effectieve vorm worden gerealiseerd. Op deze manier zorg je ervoor dat op de goede manier gestuurd wordt op de juiste kwaliteit en gebruik van gegevens en het verbeteren van het functioneren van gegevensmanagement.
Voor de start kunnen twee benaderingen worden gekozen:
- Start met een bestaande en goed beschreven registratie; in de meeste gemeenten is rondom het beheer van de basisregstraties als BAG en BRP al een beheerorganisatie ingericht. De beschrijving van de gegevens e.d. zijn al beschikbaar en een beheerapplicatie is al in gebruik. Hier hoeft dus niet meer in geinvesteerd te worden. De focus kan dan gelegd worden op de organisatorische kant van gegevensmanagement, het verbeteren en de afspraken over het gebruik van de gegevens.
Het voordeel van deze benadering is dat je werkt met het bestaande gegevensmanagement aan hun groei in volwassenheid. De schaduwkant is dat de gebruikersorganisatie hier minder bij betrokken is.
- Start met een (kleine) gegevensvraag; Een maandelijks rapport is eigenlijk een regelmatig terugkerende gegevenslevering. Stel samen met de gebruiker en de gegevensbeheerder voor deze levering een Gegevensleveringsovereenkomst op en beschrijf de rollen en de te leveren gegevens. Hiermee beschrijf je meestal een deel van één of meer registraties. Vervolgens kan het beheer op deze registratie(s) verder worden ingericht, waarbij ook meerdere gegevensleveringen worden georganiseerd.
Deze benadering heeft als voordeel dat de gebruikersorganisatie ervaart wat haar rol is in het ontwikkelen van gegevensmanagement.
Scorecard[bewerken]
Een middel wat gebruikt kan worden om inzicht te krijgen wat het volwassenheidsniveau van een organisatie is, is de scorecard gegevensmanagement. Deze scorecard bevat zowel vragen op strategisch, tactisch als operationeel niveau en biedt inzicht in het niveau van volwassenheid van de organisatie.
De scorecard kan op verschillende manieren worden ingezet, bijvoorbeeld:
- Als nulmeting om op jaarlijkse basis te herhalen;
- Een oriëntatie op de verschillende onderdelen uit het tactisch katern;
Checklist[bewerken]
In deze paragraaf wordt een checklist gegeven met te ondernemen acties bij het inrichten van gegevensmanagement. Een aantal acties hebben meer betrekking op gegevensbeheer, wat een onderdeel is van gegevensmanagement. Bij het beheer gaat het om de kwaliteit van de gegevens en bij het management om het gebruik van de gegevens. De kern is om organisatiebreed consensus te hebben over begrippen en gebruik van gegevens. Per onderdeel is het noodzakelijk vast te stellen welke doelen bereikt moeten worden. Vervolgens kan met de invoering van onderdelen de ontwikkeling van gegevensmanagement worden gestuurd.
- Algemeen
- Betrek medewerkers, functioneel beheerders, management, informatiemanagers, leidinggevenden etc. en breng hun kennis op het gewenste niveau. Dit is bijvoorbeeld te bereiken door het organiseren van informatiesessies, het bezoeken van seminars en het bijhouden van vakliteratuur.
- Organisatie
- Omschrijf de taken en verantwoordelijkheden omtrent gegevensbeheer en gegevensmanagement. Dit geeft duidelijkheid binnen de organisatie. Dit katern biedt hiervoor handvatten.
- Richt het functioneel beheer en informatiemanagement in. Als instrument hiervoor kan BiSL worden gebruikt.
- Borg de taken op het gebied van (ICT) beveiliging en privacy, bijvoorbeeld door het aanstellen van een beveiligingsfunctionaris en/of privacyfunctionaris en bepaal waar de toezichthoudende taak ligt en hoe deze erop toeziet dat gemaakte afspraken/regels nagekomen worden.
- Benoem de ‘eigenaren’ van procesondersteunende systemen. Hierdoor ontstaat helderheid over wie bevoegd is hierover beslissingen te nemen.
- Beleid rondom gegevens (-management)
- Benoem soorten gegevensregistraties, stel ze vast en wijs een, ‘eigenaar’ aan. Denk hierbij aan de diverse basisregistraties waar de organisatie bronhouder van is, aan eventuele kernregistraties en taakregistraties;
- Streef naar ‘eenmalige inwinning en meervoudig gebruik’ van gegevens, stel hiervoor procedures op en zet ICT hulpmiddelen in;
- Regel de distributie van gegevens, inclusief het vastleggen van bijbehorende procedures, afspraken en technische maatregelen zoals logging;
- Maak inzichtelijk wat de toegevoegde waarde is van de actieve inzet van gegevensmanagement (naast gegevensbeheer). De informatie in dit document kan hiervoor als leidraad dienen. Geef hierbij bijvoorbeeld aan welke producten/componenten (deels) reeds beschikbaar staan en wat nog ingevuld moet worden
- Richt gebruikersbeheer, autorisatie authenticatie in.
- Producten gegevensmanagement
- Bepaal de in te vullen producten en samenhang met bestaande informatievoorzieningproducten en geef deze weer in een roadmap;
- Bepaal de eigenaar en beheerder van de diverse producten;
- Geef inhoud aan de producten;
- Beschrijf de processen om tot de producten te komen
- Operationeel
- Maak een analyse van de kwaliteit van de gegevens. Hiervoor kunnen diverse kwaliteitstools ingezet worden. Te denken valt aan het inzetten van eigen queries en de i-Spiegel. Deze analyse vormt de basis voor het definiëren van vervolgstappen;
- Voer bestandsvergelijkingen uit, zoals de i-Spiegel. Hierdoor ontstaat inzicht in de kwaliteit van de diverse gegevensverzamelingen. Mochten er verschillen bestaan, dan is het zaak om de gegevens vanuit de bron aan te houden en ervoor zorg te dragen dat deze brongegevens in de hele keten worden gebruikt. Het kan ook zo zijn dat er aanpassingen in het proces gedaan moeten worden om zo de kwaliteit van de gegevensstroom beter te kunnen borgen;
- Maak trends inzichtelijke door bestandsvergelijkingen periodiek te herhalen;
- Richt een proces in voor terugmeldingen. Basisregistraties winnen hiermee aan kwaliteit. Door instructie en voorlichting aan de terugmelders zorg je voor kwalitatief goede terugmeldingen;
- Bekijk jaarlijks of de afspraken, die zijn gemaakt met de verschillende betrokken partijen (ketenpartners, bronbeheerders) nog actueel zijn. Pas ze zo nodig aan;
- Maak gemeentebrede gegevenslandschapskaarten. Deze zijn nuttig om het totaalplaatje snel te overzien. Zeker in het geval van verstoringen kan zo de keten ingelicht worden en zijn de plekken die wellicht geraakt worden snel in beeld;
- Maak gegevenscatalogi toegankelijk;
- Vertaal’ gegevenscatalogi voor eindgebruikers van gegevens.
- Beoordeel toegangsrechten, gebruikersregistraties
Bewustwording[bewerken]
Gegevensmanagement vereist een proces van bewustwording. Door op een andere manier naar koppelingen, definities en uitwisseling te kijken, komen vaak meer zaken naar voren die afgestemd dienen te worden. Sterker nog het is een continu proces van inzichtelijk maken, toetsen en verbeterpunten definiëren. Als de bewustwording niet aanwezig is op elk niveau binnen de gemeente, dan blijft dit een moeizaam en traag proces.
Bij bewustwording van medewerkers en management over gegevensmanagement gaat het over twee zaken. De eerste is: hoe ga ik met de gegevens die ik gebruik om? Dan hebben we het over aspecten zoals datakwaliteit, informatieveiligheid en privacy. Indien het persoonsgegevens betreft, zijn hierbij het doel van verzamelen, grondslag van gebruik, duiden gegevens en toetsen noodzaak stappen die doorlopen moeten worden.
De tweede is: welke gegevens heb ik tot mijn beschikking c.q. heb ik nodig om mijn werk te kunnen doen. En dat uit zich ook weer in een aantal zaken:
Soorten gegevens[bewerken]
In GEMMA herkennen we drie soorten gegevens: basisregistraties (bij wet verplicht), kernregistraties (niet bij wet verplicht, maar bij elke gemeente aanwezig en net zo belangrijk als basisregistaties) en taakregistraties (niet bij wet verplicht, veelal op afdelingsniveau gebruik).
Een deel van de gegevens die in een proces benodigd zijn, zijn deze basis- en/of kerngegevens (ook wel masterdata genoemd). Deze basis- en kerngegevens zijn gegevens die door meerdere personen in de organisatie gebruikt worden. Vanuit het GEMMA-principe eenmalig vastleggen, meervoudig gebruik worden ze centraal beheerd (binnen- of buiten de organisatie) en daarnaast is de gebruiker verplicht om bij het gebruik van dit soort gegevens gebruik te maken van de basisregistraties.
Een ander deel van de gegevens die in een proces benodigd zijn gegevens die binnen- of buiten de organisatie gebruikt worden maar vaak binnen één proces worden beheerd en gebruikt. Maar deze gegevens kunnen wel heel waardevol zijn bij het inzetten van deze gegevens als stuurgegevens (managementinformatie bijv.). Als we weten waar deze data te vinden is, dan is het niet nodig deze zelf te verzamelen of beheren maar halen we het waar deze toch al wordt beheerd.
Omgang met gegevens[bewerken]
Het bewustzijn van de gegevens die je als organisatie allemaal in huis hebt bepaalt mede hoe je ermee omgaat. Informatiebeveiliging gaat (indirect) ook over datakwaliteit (hoe integer is de data die ik gebruik, heeft er niemand bewust of onbewust mee gerommeld. Gegevens invoeren wordt te vaak ervaren als een last. Na de invoer verdwijnen de gegevens in een computer, kabel of cloud. Gegevens zijn belangrijke en waardevolle ‘assets’ van de organisatie. Maak data zichtbaar voor medewerkers.
Het kost tijd en geld om kwalitatieve en bruikbare data te managen. Bewustwording over het belang van data zorgt voor betere registratie aan de bron en meer en waardevoller gebruik van de uiteindelijke informatie en kennis.
Bewustwording van de keten[bewerken]
Een ander aspect is bewustwording over de keten. Elke medewerker is een schakel in de keten. De gemeente is in zijn geheel ook vaak een schakel in de keten. Wie gebruikt ‘mijn’ gegevens nog meer, in welke processen worden deze gebruikt en waarom? Wat gebeurt er in dit andere proces als deze gegevens niet juist zijn? Welke afspraken zijn er hierover gemaakt? Wat mogen ze wel hebben/zien en wat niet? Digitale gegevens blijven niet op één plek. Ze worden gedeeld en hergebruikt in andere processen binnen of buiten de organisatie. Als je je hiervan als medewerker bewust bent, besteed je meer aandacht aan de kwaliteit van de gegevens. Aspecten als actualiteit, correctheid, integriteit en volledigheid komen dan bij de medewerkers in eens in een andere daglicht te staan. Een bijkomend punt is te weten wie deze gegevens beheert: Is daar een medewerker voor, een afdeling of misschien wel een externe organisatie. Het werkt ook met terugwerkende kracht: als één schakel in deze keten zich niet bewust is van het belang van zijn bijdrage aan de keten, dan ontstaat een kans op slechte kwaliteit met gevolgen voor iedereen die in de rest van de keten gebruik maakt van dit gegeven.
Digivaardigheid[bewerken]
Bij het digivaardig zijn hoort ook het bewustzijn dat bijvoorbeeld data over een persoon op een door de organisatie aangewezen plek te vinden is, betrouwbaar is, en alleen daarvandaan gehaald mag worden. Als je niet weet waarom je gebruik maakt van dat gegeven, dan doe je het niet goed. Kennis van bedrijfsprocessen en volledigheid van gegevens dicteren dat de gegevens op orde gebracht en gehouden moeten worden. Alle medewerkers hebben met gegevens te maken dus deze bewustwording is noodzakelijk voor alle medewerkers.
Bewustwording bij het management[bewerken]
Gegevens zijn een bedrijfsmiddel en daarmee gelijkwaardig aan de bekende middelen personeel, organisatie en financiën. Zeker voor een overheidsorganisatie zijn gegevens minstens net zo belangrijk als de andere drie bedrijfsmiddelen. Als het management zich hiervan bewust is wordt er in de organisatie vanzelf aandacht besteed aan eigenaarschap en governance op data.
Eigenaarschap gegevens[bewerken]
Niet IT, niet informatiemanagement of de afdeling gegevensbeheer is verantwoordelijk voor datakwaliteit maar de organisatie (het primaire proces) is dat. Waarom? Alleen de organisatie weet, op basis van haar primaire processen, welke informatie vereist is om het proces goed te kunnen ondersteunen. IT heeft als taak om de juiste systemen voor deze ondersteuning ter beschikking te stellen en te houden. Informatiemanagement of afdelingen gegevensbeheer hebben de taak om toe te zien op eenduidigheid en volledigheid van het aanleveren van data.
Data governance[bewerken]
Zonder Data governance is er onvoldoende borging van datakwaliteit. Data governance is het samenspel van afspraken, richtlijnen, verantwoordelijkheden en de organisatie van beschikbare, bruikbare, integere en beveiligde data. Data governance zorgt ervoor dat de gegevens betrouwbaar zijn en blijven, maar ook dat de juiste mensen verantwoordelijk kunnen worden gehouden voor eventuele nadelige gevolgen van slechte datakwaliteit.
Concrete voorbeelden[bewerken]
De gemeenten Amsterdam, Breda, Tilburg en ’s-Hertogenbosch hebben allen een gegevens-bewustzijn project uitgevoerd om de gegevens onder de aandacht te krijgen. Overigens kunnen we sinds de verplichtingen die voortkomen uit de AVG stellen dat inmiddels élke gemeente inmiddels een gegevens-bewustzijn programma moet hebben doorlopen.
Samenvattend[bewerken]
Bij implementatie van gegevensmanagement in een gemeente is de communicatie en bewustwording rondom gegevens net zo belangrijk als het inrichten van organisatie, tools en middelen. Een i-bewustzijn of digivaardig programma dat vertelt over de gegevens-life cycle, registratie en gebruik en de rollen van de verschillende gebruikers benoemt binnen de organisatie. Natuurlijk gaat daar aan vooraf dat er duidelijke rollen zijn belegd rondom gegevensmanagement: wie is de eigenaar van de gegevens? Hoe wordt er omgegaan met terugmeldingen? Is de beleidsmedewerker zich bewust van de registraties die ten grondslag liggen aan zijn beleid? Maakt hij gebruik van die data om zijn beleid te sturen? Iedereen binnen de gemeente heeft inzicht in gegevens, registratie, gebruik en beheer hard nodig. Resumerend wat zou er moeten gebeuren om de bewustwording op het juiste niveau te krijgen
- Zorg dat managementgegevens gelijkwaardig zijn aan de andere bedrijfsmiddelen.
- Zorg voor eigenaarschap van de gegevens.
- Zorg ervoor dat elke medewerker die met gegevens werkt zich ervan bewust is met welke gegevens hij/zij werkt, weet waar ze vandaan (moeten) komen en weet wie er last van heeft als de gegevens niet kloppen.
- Zorg ervoor dat elke medewerker weet hoe hij met gegevens om hoort te gaan, medewerkers en management moeten gegevens net zo belangrijk vinden als geld of een ander bedrijfsmiddel
- Zorg dat een medewerker weet welke gegevens hij nodig heeft.
Agenda
In dit hoofdstuk worden alle de toekomst ontwikkelingen van het gegevensmanagement katern inzichtelijk gemaakt en bijvoorbeeld ook de onderwerpen die gewenst zijn om verder uit te werken.
Wensen uitbreiding en verbetering van het katern
- Opzetten wijzigingsbeheer voor het katern zodat nieuwe toevoegingen volgens een vast proces meegenomen kunnen worden;
- Verbinding van het gegevensmanagement katern met het Damhof kwadrant;
- Aandacht voor het managen van ongestructureerde en bulkdata (bijv. sensordata) en een nieuw fenomeen als beheer van algoritmen (als onderdeel van gegevensverwerking);
- Eigenaarschap van gecombineerde gegevens (bijvoorbeeld in een datawarehouse);
- Uitwerking gegevensmanagement producten t.a.v. compliancy aan wet- en regelgeving;
- Uitwerken positionering gegevenmanagementsbeleid naast het informatiebeleid;
- Verfijnen van de scorecard gegevensmanagement.
Bijlage A: Typering van gegevens
Gegevensmanagement is beschreven als “het geheel van activiteiten om in de organisatie op het juiste moment over de juiste gegevens van de juiste kwaliteit te beschikken”. Vervolgens is onderscheid aangebracht in gestructureerde-, ongestructureerde- en metagegevens. Deze pagina beschrijft ‘gestructureerde gegevens’ meer in detail door te categoriseren, de onderlinge verbanden te bespreken en de wijze van uitwisseling van gegevens te verduidelijken.
Informatiemodellen, datamodellen en berichtstandaarden[bewerken]
Gestructureerde gegevens zijn gegevens beschreven op een abstract niveau in de vorm van informatiemodellen en daarvan afgeleide logische datamodellen met entiteittypen en attribuuttypen. De gegevens zelf vormen instanties van deze types en zijn opgeslagen in een (relationele) database ingericht conform afgeleide datamodellen.
Een voorbeeld verduidelijkt het bovenstaande. Voor gemeenten is door VNG Realisatie het informatiemodel ‘Referentiemodel Stelsel van Gemeentelijke Basisgegevens (RSGB)’ samengesteld. Dit referentiemodel brengt samenhang aan tussen basisregistraties, beschrijft welke elementen uit de basisregistraties voor gemeenten van belang zijn en definieert de structuur van deze elementen. Leveranciers gebruiken het informatiemodel als basis voor logische datamodellen. Realisatie van deze logische datamodellen vindt plaats binnen (relationele) databases en worden gebruikt voor de opslag van de gegevens. Leveranciers hebben bij de vertaling van het informatiemodel naar een datamodel, een Entity Relationship Diagram (ERD), verregaande vrijheden ten aanzien van de modellering van het datamodel. De enige verplichting die een leverancier heeft is dat de onderlinge relaties tussen objecten uit het informatiemodel blijven bestaan en dat men alle elementen van het informatiemodel vertaalt naar het datamodel.
Naast het feit dat informatiemodellen de basis zijn voor datamodellen zijn ze ook de basis voor berichtenstandaarden die gebruikt worden voor de uitwisseling van gegevens. Voor gemeenten geldt dat door KING een aantal informatiemodellen en bijbehorende berichtformaten zijn gestandaardiseerd. Het gaat hierbij om:
- het RSGB-informatiemodel en de StUF-BG berichtstandaard voor de basisinformatie,
- het RGBZ-informatiemodel en de StUF-ZKN berichtstandaard voor zaakgegevens, en
- het ImZTC-informatiemodel en de StUF-ZTC berichtstandaard voor zaaktypen.
Door andere organisaties zijn ook een aantal informatiemodellen vastgesteld die betrekking hebben op gegevens uit het gemeentelijk domein. Deze informatiemodellen zijn:
- Informatiemodel Geografie (IMGeo; Geonovum),
- Informatiemodel BRK (IMKAD; Kadaster),
- Informatiemodel BRT (IMTOP; Kadaster),
- Informatiemodel BRO (BasisRegistratie Ondergrond; TNO),
- IMK&L (Kabels & Leidingen), en
- IMRO (Ruimtelijke Ordening).
Via informatiemodellen wordt structuur van de gegevens en onderlinge verbanden tussen gegevens beschreven. Via de berichtstandaard wordt de syntax beschreven die gebruikt wordt voor de uitwisseling van gegevens. De syntax van berichten wordt zo specifiek mogelijk, en met zo min mogelijk vrijheidsgraden, gedefinieerd om maximale interoperabiliteit te garanderen. Informatiemodellen liggen aan de basis van de standaardisatie van structuur en syntax van gegevens en berichten en zijn een belangrijke enabler van interoperabiliteit. Informatiemodellen nemen daarmee een belangrijke positie in het gemeentelijk gegevensmanagement in.
Categorieën van gestructureerde gegevens[bewerken]
Door gemeenten worden veel gestructureerde gegevens uit verschillende bronnen gebruikt bij de uitvoering van de bedrijfsprocessen. Deze gegevens variëren van gegevens uit landelijke basisregistraties tot gegevens die specifiek zijn voor een bepaald informatiesysteem. Het gegevensmanagement ten aanzien van gestructureerde gegevens richt zich op de gegevens die (potentieel) voor andere afnemers dan de bronhouder, eventueel gecombineerd met gegevens uit andere bronnen, interessant zijn.
De onderstaande categorieën van gestructureerde gegevens worden onderkend:
- Basisregistratiegegevens,
- Kernregistratiegegevens,
- Sectorale gegevens, en
- Taak-specifieke gegevens.
Geo-gegevens (locatie en locatie gebonden gegevens) zijn vaak als een aparte categorie van gegevens gepositioneerd. Conform de handreiking ‘GEO in GEMMA’ worden geo-gegevens niet behandeld als een aparte categorie. De omgang met en toepassing van geo-gegevens kent wel een aantal bijzondere aspecten die om een specifieke aanpak vragen. Het uitgangspunt is dat geo-gegevens een aspect zijn van alle categorieën van gestructureerde gegevens. Geo-gegevens verbinden gegevens per locatie door middel van coördinaten (direct) of de aanduiding van een object waarvan de coördinaten bekend zijn (indirect), zoals een adres, kadastrale perceelsaanduiding, postcode of naam van de openbare ruimte.
De onderstaande paragrafen geven nadere uitleg over deze verschillende categorieën.
Gegevens uit basisregistraties[bewerken]
Een basisregistratie is een door de overheid via wetgeving aangewezen registratie met daarin gegevens van hoogwaardige kwaliteit, die door alle overheidsinstellingen en bestuursorganen verplicht en zonder nader onderzoek, worden gebruikt bij de uitvoering van publiekrechtelijke taken. Het huidige Stelsel van Basisregistraties wordt gevormd door 10 registraties. Deze verschillende basisregistraties staan niet op zichzelf, maar zijn onderdeel van een samenhangend stelsel van basisregistraties. Basisregistraties bevatten zowel authentieke als niet-authentieke gegevens. Ten aanzien van de authentieke gegevens in een basisregistratie geldt een gebruiksplicht bij de uitvoering van publiekrechtelijke taken. Per basisregistratie ligt in de onderliggende wetgeving van de basisregistratie vast welke gegevens authentiek zijn en welke niet. Indien tijdens het gebruik van gegevens uit een basisregistratie gerede twijfel is ontstaan over de juistheid van de authentieke gegevens dan zijn bestuursorganen verplicht dit terug te melden aan de betreffende bronhouder.
Gemeenten houden naast de gegevens uit basisregistraties veelal meer gegevens bij dan in het kader van het stelsel van basisregistraties wordt voorgeschreven. Deze gegevens zijn de zogenaamde ‘plusgegevens’. Voorbeelden van deze gegevens zijn het telefoonnummer en het e-mail adres van een persoon. Plusgegevens die op meerdere plaatsen in de gemeentelijke organisatie worden gebruikt noemt men ook wel ‘kerngegevens’ (niet te verwarren met kernregistratiegegevens, zie onderstaande paragraaf). De combinatie van basisregistratie- en kerngegevens wordt in dit document ‘basisinformatie’ genoemd. Plusgegevens die niet op meerdere plaatsen worden gebruikt zijn onderdeel van de sectorale gegevens.
Door VNG Realisatie is het Referentiemodel Stelsel van Gemeentelijke Basisgegevens (RSGB) gedefinieerd. Dit referentiemodel voor de gemeentelijke basisgegevens presenteert de samenhang tussen basisregistraties en de ‘plusgegevens’ op een logische wijze. Het RSGB is gebaseerd op de Basisregistraties Adressen en Gebouwen (BAG), Personen (BRP), Bedrijven (HR), Kadaster (BRK) en WOZ (BRWOZ) en op de grootschalige topografie die in het Informatiemodel Geografie (IMGeo) is gedefinieerd. Het referentiemodel is een vertaling en een uitbreiding van het landelijk stelsel van basisregistraties met het oog op de gemeentelijke informatiebehoefte.
Kernregistratiegegevens[bewerken]
In het streven naar een efficiënte bedrijfsvoering en vanuit het vertrekpunt ‘eenmalig inwinnen, meervoudig gebruiken’ kan er binnen de gemeente voor worden gekozen om met kernregistraties te werken. Kernregistraties zijn gegevensverzamelingen die binnen de gemeentelijke organisatie (of binnen een keten) op meerdere plaatsen worden gebruikt en die door het management als zodanig zijn aangemerkt. Voorbeelden van kernregistraties zijn zaken, medewerkers en producten en diensten. Het hergebruiken van gegevens uit kernregistraties is niet wettelijk verplicht. Het verdient wel de aanbeveling om binnengemeentelijk de kernregistraties net zo te behandelen als een basisregistratie. Kernregistraties bevatten gegevens die binnengemeentelijk feitelijk de functie van een basisregistratie vervullen. Het gebruik van gegevens uit kernregistraties zou binnen de gemeente verplicht moeten zijn. Dezelfde verplichting moet ook gelden ten aanzien van het terugmelden. Bij gerede twijfel aan de juistheid van kerngegevens dient dit aan de betreffende bronhouder teruggemeld te worden..
Sectorale gegevens[bewerken]
Sectorale gegevens zijn domein specifieke gegevens die, al dan niet gecombineerd met andere gegevens, door meerdere afnemers gebruikt worden. Per sector/domein wordt bepaald wat de inhoud van de sectorale set van gegevens is. Voorbeelden van sectorale gegevens zijn de gemeentelijke sociale dienst gegevens die door gemeenten worden aangeleverd aan het SUWI domein.
Taak-specifieke gegevens[bewerken]
Taak-specifieke gegevens zijn gegevens die van belang zijn voor de afhandeling van een bepaalde taak of proces. Deze gegevens worden niet meervoudig gebruikt en zijn niet relevant voor afnemers.
Bijlage B: Voorbeeld GLO
Uit de praktijk van de gemeente Rotterdam hebben wij onderstaand voorbeeld van een GLO opgenomen. Ook in Rotterdam wordt dit document regelmatig aangepast aan het voortschrijdend inzicht en de veranderende praktijk.
Definitie Transparantiedocument[bewerken]
Document met de beschrijving van de publieke taak van de Gegevensafnemer, het doel van de verwerking en de gegevens- en personenset per verwerking.
Organisatie[bewerken]
Naam van de betrokken binnengemeentelijke Gegevensafnemer vermelden.
Betrokken organisaties en/of organisatieonderdelen[bewerken]
- Indien de gegevensverstrekking betrekking heeft op organisatieonderdelen, deze organisatieonderdelen vermelden.
- Als er onderdelen van andere organisaties en/of derden betrokken zijn, deze vermelden. Het gaat in casu om het organisatieonderdeel of organisatieonderdelen waar de verwerking daadwerkelijk zal plaatsvinden.
Publieke taken van de Gegevensafnemer[bewerken]
- Er zal duidelijk aangegeven dienen te worden welke wetsartikelen opdracht aan de Gegevensafnemer toekennen ter uitvoering van zijn/haar publieke taken. De publieke taken kunnen ook voortvloeien uit een samenstel van wetten. Om een zo goed mogelijk beeld te krijgen van de grondslag voor de gegevensverstrekking moeten de verschillende wettelijke kaders en de daaruit voortvloeiende lagere wetgeving worden beschreven.
- Daarnaast moet duidelijk blijken dat de Gegevensafnemer geadresseerde is van de genoemde wetgeving
Wijze van levering van de gegevens[bewerken]
De wijze van aanlevering van de gegevens vermelden.
Doelgroep en gegevensset[bewerken]
Doelgroep benoemen en de gewenste gegevenselementen van de betreffende groep opsommen.
Bewerking en opslag en filterinstellingen[bewerken]
De applicatie vermelden waarin de basis- en/of kerngegevens verwerkt en opgeslagen zullen worden. Tevens zal aangegeven moeten worden hoe het filter is opgebouwd.
Melding AP[bewerken]
- Bij melding aan de AP, de meldingsnummers noteren.
- Bij niet-melding aan de AP, de reden hiervoor aangeven.
- Distributie en doorlevering
- Gegevens uit de basis- en/of kernregistratie worden door Gegevensafnemer alleen gebruikt in het kader van de uitvoering van zijn/haar publieke taken. Distributie naar en gebruik van deze gegevens door andere partijen mag niet onverenigbaar zijn met het oorspronkelijke doel van de verstrekking.
- Aangeven of de gegevens voor verdere verwerking aan andere partijen zullen worden doorgeleverd.
- In geval van doorlevering, de partijen aan wie zal worden doorgeleverd vermelden.
Informatiebeveiliging =[bewerken]
- Beveiliging vindt plaats in overeenstemming met het op moment van levering geldende Informatiebeveiligingsbeleid van de gemeente.
- Aangeven of de opslag en distributie, en overige vormen van persoonsverwerking, aan de geldende eisen voor informatiebeveiliging, waaronder het gemeentelijke informatiebeveiligingsbeleid voldoen.
Autorisatiebeheer[bewerken]
Vermelden wie bij de Gegevensafnemer is geautoriseerd.
Bijlage C: Kwaliteit
Bronregistraties & kwaliteit[bewerken]
Per bronregistratie moeten kwaliteitsaspecten met bijbehorende kwaliteitsnormen benoemd worden. Bij uitwisseling van gegevens dienen afspraken gemaakt te worden ten aanzien van het voldoen aan de kwaliteitsaspecten en kwaliteitsnormen.
Borging van de kwaliteit van gegevens in een bronregistratie is primair de verantwoordelijkheid van de bronhouder van de registratie. De bronhouder dient processen in te regelen die de kwaliteit van de geregistreerde gegevens borgen. De bronhouder heeft een onderzoeksplicht op het moment dat er door afnemers melding van gerede twijfel aan de juistheid van gegevens wordt gedaan. Afnemers hebben echter ook een rol ten aanzien van de kwaliteit van gegevens. Enerzijds hebben afnemers de plicht om bij gerede twijfel aan de juistheid van gegevens deze twijfel bij de bronhouder terug te melden en anderzijds hebben distributeurs de plicht richting afnemers om de kwaliteit van de aan de afnemers geleverde gegevens te borgen.
Een voorbeeld van het bovenstaande is de bijhouding en distributie van persoonsgegevens. Deze gegevens worden bijgehouden in de gemeentelijke BRP administratie. Rondom de bijhouding zijn in het Logisch Ontwerp (LO) processen gedefinieerd die de bijhouding van de gegevens standaardiseren en kwaliteit van de persoonsgegevens borgen. Ter controle van de kwaliteit van de persoonsgegevens is de gemeente is als bronhouder verplicht om jaarlijks via steekproeven inzage te geven in de kwaliteit van de geregistreerde gegevens. Ten behoeve van het melden van gerede twijfel aan de juistheid van verstrekte persoonsgegevens wordt een voorziening geboden aan afnemers. De gemeente is als bronhouder verplicht om deze terugmeldingen te onderzoeken en is verplicht om het resultaat van dit onderzoek te melden aan de afnemers. Het voorgaande beschrijft de taken die de bronhouder uitvoert om de kwaliteit van de persoonsgegevens te borgen en constant te verbeteren. Bij eenmalige vastlegging van gegevens zou hier de vereiste kwaliteitsborging van de persoonsgegevens kunnen stoppen. Het is echter niet zo dat alle gegevens eenmalig worden vastgelegd. In het geval van de persoonsgegevens worden deze gedistribueerd naar vakafdelingen. Deze vakafdelingen gebruiken de gegevens bij de uitvoering van de bedrijfsprocessen en leggen de gegevens veelal redundant vast. Net zoals er eisen aan de kwaliteit van persoonsgegevens uit de BRP worden gesteld dienen ook kwaliteitseisen aan redundante persoonsgegevens gesteld worden. Ook deze redundante gegevens worden immers door vakafdelingen gebruikt binnen bedrijfsprocessen. De kwaliteit van deze redundante gegevens moet gemanaged worden en aan vooraf gestelde kwaliteitseisen voldoen.
Kwaliteit zoals hierboven is geïllustreerd omvat verschillende aspecten. Om die te beoordelen en te garanderen zijn de volgende producten noodzakelijk:
- Kwaliteitseisen: het vastleggen van afspraken over de gewenste kwaliteit;
- Metingen: om de afwijkingen tussen gewenste en gerealiseerde kwaliteit (inhoudelijk, tijdigheid, beveiliging, etc.) te monitoren vinden metingen plaats (ook vergelijking van verschillende bronnen is mogelijk);
- Regelmatige audits: om duidelijk te maken hoe in de organisatie de kwaliteit is vastgesteld en geborgd;
- Metingen en audits kunnen leiden tot verbetervoorstellen.
Gegevenskwaliteit verbetering stappenplan[bewerken]
In grote lijnen is het continu verbeterend stappenplan als volgt:
I Beschrijven en inventariseren[bewerken]
- Wat zijn de eisen, die een indicatie geven van de gegevenskwaliteit?
- Wettelijk - Wat is een door de wet gestelde eis aan de kwaliteit? Dit kunnen bepaalde (interventie)waarden zijn, tijdigheid etc..
- Normen - Wat zijn geldende normen? Heeft de organisatie ervoor gekozen om aan een bepaalde ISO-norm te voldoen bijvoorbeeld?
- Servicenorm - Wat is een norm die binnen de organisatie is afgesproken? Denk hieraan bijvoorbeeld aan afhandeltermijnen, die afwijken van de wettelijke norm bijvoorbeeld.
- Gewenste (sturings-)informatie - Dit kan informatie zijn, die door het management gevraagd wordt. Denk hierbij bijvoorbeeld aan het aantal objecten in een registratie of het aantal onderzoeken, dat uitgevoerd moet worden. Zodra hier een norm aan verbonden wordt (een maximum aantal zaken bijvoorbeeld), valt dit echter onder de servicenorm.
- Benodigde input/gegevensverzameling
- Welke informatie heb je nodig om een beeld te krijgen van de kwaliteit of om een vraag te kunnen beantwoorden?
- Hoe kom je aan de informatie? Wat is wel/niet beschikbaar?
- Waar haal je je informatie vandaan? Heb je bepaalde query's nodig, haal je informatie uit een bronapplicatie?
- Hoe vaak/wanneer heb je het nodig?
- Vloeit mogelijk voort uit de wettelijke eisen, maar kan ook gebaseerd zijn op ervaring. Een jaarlijkse wettelijke verplichting kan een gewenste maandelijkse monitoring met zich meebrengen.
- Wie rapporteert/is verantwoordelijk? Wie levert/verzamelt de informatie?
- Degene die verantwoordelijk is voor de kwaliteit, hoeft niet per se dezelfde te zijn als degene die informatie verzamelt. Door dit goed te beleggen, is de informatie compleet en beschikbaar op het moment dat er gerapporteerd moet worden.
- Wat is de output?
- Is het voldoende om de opgevraagde gegevens te bewaren?
- Gebruik je delen of uitkomsten in een rapportage of wordt ook om een interpretatie gevraagd van wat er aan informatie is opgehaald? Per onderdeel kan dit verschillen, waardoor het goed is om dit vast te leggen. Ook bij overdracht of vervanging, is het dan meteen duidelijk wat er verwacht wordt.
II Verzamelen[bewerken]
Als je eenmaal hebt beschreven, hoe je de kwaliteit gaat monitoren, is het van belang om je input te (laten) verzamelen. Je haalt in deze stap alleen de informatie op en interpreteert nog niets. Om een goede indruk te krijgen van het verloop van de kwaliteit door de tijd heen, is het handig om met een peildatum (bijvoorbeeld de eerste van elke maand) of een bepaalde zoekperiode te werken. Informatie die je alleen live kunt raadplegen, haal je het liefst zo consequent mogelijk op.
III Aanvullen[bewerken]
Zeker als je net begint met het monitoren van de gegevenskwaliteit, zal nog niet alles beschikbaar zijn en heb je vaak hulp nodig van bijvoorbeeld een applicatiebeheerder, DBA'er of gegevensanalist. Ga niet zitten wachten tot je alles hebt, voordat je begint met rapporteren. Signaleer de zwarte gaten en de blinde vlekken en zet acties uit binnen de organisatie om je overzicht compleet te krijgen.
IV Rapporteren[bewerken]
Nadat alle informatie verzameld is, ga je rapporteren. De informatie op zichzelf zegt nog niet zoveel over de kwaliteit. Je zult dit tegen de normen aan moeten houden, om te zien in hoeverre je daar al aan voldoet. De rapportage is ook je verantwoording voor bepaalde afwijkingen (zowel positief als negatief). Zo kun je naderhand ook teruglezen wat er in een bepaalde periode gespeeld heeft.
Afhankelijk van de gewenste vorm (een lijstje, een rapport of een uitgebreide toelichting), is het handig om een bepaald sjabloon te hebben. Dit kun je toepassen voor zowel het verzamelen, als het rapporteren. In een goed sjabloon staat in principe alles wat je in een jaar moet rapporteren. De onderdelen, die je in een bepaalde maand of je rapportperiode niet nodig hebt, kun je dan verwijderen. De kans dat je dan een onderdeel in je rapport over het hoofd ziet, die je deze maand wel had moeten meenemen, wordt daarmee kleiner.
V Bijschaven[bewerken]
Het opzetten van een kwaliteitsmonitoring is een doorlopend groeiproces en is dus niet dwingend in beton gegoten. Bovendien kunnen eisen of wensen veranderen, waardoor je je systeem moet aanpassen. Dit kun je het beste doen op basis van de ervaring. Wat is de behoefte van degene, die de rapportage ontvangt, wat vind jij handig qua layout, methode etc.? En geeft je rapportage wel weer wat je dacht dat je inzichtelijk probeerde te maken? Ga hiervoor terug naar de basis en pas je beschrijving aan en daaropvolgend de basis voor je rapportage.
Kwaliteitsdimensies[bewerken]
Deze dimensies zijn overgenomen uit het voorstel gegevenskwaliteit in de omgevingswet.
Stelling | |
---|---|
Dataset compleetheid | van de objecten waarvan het bestaan bekend is, het percentage waarover informatieobjecten zijn opgenomen in de registratie |
Object compleetheid | percentage van de informatieobjecten waarin alle in het informatiemodel als verplicht gemarkeerde attributen zijn voorzien van een attribuutwaarde |
Metadata compleetheid | percentage van de metadata attributen die zijn gevuld met een attribuutwaarde |
Overcompleetheid | percentage van de informatieobjecten die onterecht zijn opgenomen omdat zij:
|
Historie | percentage van de objecttypes waarvan voor alle momenten van geldigheid van de registratie informatieobjecten aanwezig zijn |
Geo-gerefereerd | van de informatieobjecten die gegevens over geo-objecten vastleggen, het percentage van de informatieobjecten dat is voorzien van een geo-referentie |
Bijlage D: Voorbeeld producten
Kaart Informatieobjecten[bewerken]
Gegevensverzameling in relatie tot de werkprocessen[bewerken]
Gegevensverzameling in relatie tot de gebruikte applicaties[bewerken]
Bijlage E: ENSIA
De gemeente kent een groot aantal audits, waarvan een gedeelte via de ENSIA is gebundeld. ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Het project ENSIA streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid. De focus van ENSIA ligt op de horizontale verantwoording: binnen de gemeente, met een belangrijke rol voor de gemeenteraad. ENSIA is een initiatief van de VNG en de ministeries van BZK, voormalig I&M en SZW. ENSIA helpt gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de BIO. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning en control-cyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.
Maar dit is allemaal theorie. Hoe ga je hier nou om in de praktijk. Wat is de binding met gegevensmanagement?
De praktijk[bewerken]
ENSIA wordt in elke gemeente verschillend geïmplementeerd. De grootte van de gemeente speelt een rol en/of de gemeente in het bezit is van een ISMS (Information Security Management System) of alleen gebruik maakt van de ENSIA tool.
Los hiervan is het goed te ervaren dat, hoe je dit ook organiseert, je (onbewust) bezig bent met gegevensmanagement. Met ENSIA kan je gegevensmanagement concreet maken (NB. dit geldt ook voor privacy/Algemene Verordening Gegevensbescherming). Uitzetten van taken aan eigenaars, benoemen van rollen, maken van verantwoording/rapportages, het in control zijn allemaal aspecten die ook in het gegevensmanagement terug te vinden zijn. Ook het RACI model van gegevensmanagement is aangevuld met een ENSIA deel.
Er wordt aanbevolen een coördinator ENSIA aan te wijzen en deze te melden bij VNG Realisatie. Deze coördinator wordt als contactpersoon opgenomen en moet regie over de uitvoering van ENSIA op zich nemen. Vaak wordt deze taak bij de CISO/IB adviseur neergelegd. De coördinator ENSIA heeft structureel overleg met de leidinggevende en/of gemeentesecretaris en portefeuillehouder. Wil je het op strategisch niveau ook goed geregeld hebben dan benoem je ook een gegevensmanagement functionaris. Iemand die het totale overzicht heeft, niet alleen van ENSIA maar ook van andere belangrijke gegevensstromen. Op deze wijze wordt overlap van deze facetten eerder gesignaleerd, hetgeen kosten bespaart en de kwaliteit verbetert. Ook hier zal de grootte van de gemeente een belangrijke rol spelen. Dit zou je ook door een CIO kunnen laten doen. Maar dan moet hij/zij er wel serieuze interesse en tijd voor hebben.
Wat gaat er gebeuren?[bewerken]
De op zichzelf staande audits (DigiD, zelfevaluatie BRP, Suwinet, BAG, BGT en BRO) worden in ENSIA samengevoegd. De normen die aan deze audits gekoppeld waren, worden nu gekoppeld aan de normen van ENSIA. En de normen van ENSIA zijn weer gekoppeld aan de BIO. Er wordt dus op twee soorten normen beoordeeld, te weten:
- De z.g. auditwaardige normen, en:
- De “BIO” normen.
De auditwaardige normen[bewerken]
Dit zijn de verplichte normen die aantoonbaar gemaakt moeten worden (accountable). De resultaten hiervan gaan naar de verantwoordelijke ministeries (verticale verantwoording) en naar het college van B&W (horizontale verantwoording). De collegeverklaring wordt geauditeerd door een RE Auditor. De uitvoering van deze audit is vastgesteld en zal volgens een planning, die voor elke gemeente geldt, uitgevoerd moeten worden. Het aantal normen kunnen per jaar veranderen.
De “BIO” normen[bewerken]
De antwoorden cq. maatregelen op deze normen zijn gebaseerd op het “pas toe en leg uit” principe. Deze hebben dus een minder verplicht karakter. Hier kan een gemeente zelf aangeven wat ze belangrijk vindt en dit in een Informatiebeveiligingsplan verwerken. Dit plan kan jaarlijks worden aangepast en worden verwerkt in het ISMS (Information Security Management System)waarmee de PDCA cyclus wordt gewaarborgd. De resultaten hiervan (en van de audit) worden in een collegeverklaring aan B&W voorgelegd (horizontale verantwoording). Ter completering dient de gemeenteraad (weliswaar in verkapte vorm) ook geïnformeerd te worden.
Kick-off[bewerken]
Omdat dit een gemeentebreed onderwerp is, zijn hier een groot aantal medewerkers bij betrokken. Het is dan ook verstandig deze medewerkers goed te informeren, bijvoorbeeld met een terugkerend overleg wat gestart wordt met een kick-off. Van belang is dat medewerkers zich tijdens de kick-off ervan bewust worden dat dit deze werkzaamheden zijn die jaarlijks terugkomen en dat zij verantwoordelijk zijn voor een correcte uitvoering (een correcte beantwoording van de vragen). Deze medewerkers zijn dus, vertaalt naar gegevensmanagement, de bronhouders. Het is praktisch een team ENSIA op te zetten en, als de mogelijkheid zich voordoet, dit ook op intranet ook te doen.
Bij vertrek van een bronhouder moet de nieuwe bronhouder uiteraard goed geïnformeerd worden.
Ook de link met het college van B&W is van belang. Veel gemeente hebben al een portefeuillehouder Informatiebeveiliging. Met hem/haar kunnen ook ENSIA gerelateerde onderwerpen besproken worden.
Wel of geen ISMS[bewerken]
Je hebt dus sowieso te maken met een ENSIA tool. Of je nu wel of geen ISMS hebt, ENSIA moet worden uitgevoerd. De vragen moeten toch volgens de planning worden uitgerold en beantwoord. Dit kan beter en uitgebreider met een ISMS. In het ISMS kunnen verschillende jaren onderling vergeleken worden en kunnen betere rapportages worden gemaakt. Dit ter input en waarborging van de PDCA cyclus. Het ISMS is leidend voor de organisatie, niet de ENSIA tool. Dat is een hulpmiddel. De ENSIA-coördinator krijgt beide tools in beheer. Het is mogelijk in deze tool de bronhouders op te nemen. Zij krijgen dan de vragen waarvoor zij verantwoordelijk zijn. Van hen wordt verwacht dat zij deze tijdig beantwoorden en waar nodig voorzien van bewijzen (aantoonbaarheid). Vervolgens volgt de audit en worden de antwoorden met nodige documentatie geüpload. Als je een ISMS hebt worden de vragen uit de ENSIA tool overgenomen in het ISMS. In het ISMS worden de vragen uitgezet naar de bronhouders. Deze beantwoorden de vragen in het ISMS en waar nodig uploaden zij ook de bewijzen. Vervolgens moeten deze antwoorden met bewijzen en andere nodige documentatie in de ENSIA tool worden overgezet. Zoals eerder is gezegd is een ISMS is voor de gemeente leidend. Hierin is de Plan, Do, Check en Act cyclus opgekomen. Naast ENSIA is ook het IB plan opgenomen, Privacy gerelateerde werkzaamheden, genereert het verslagen/rapporten en prognoses.
Bijlage F: Wet- & regelgeving
Onderstaande tabel beschrijft (niet uitputtend) de vigerende wet- en regelgeving die impact heeft op de verschillende aspecten en onderdelen van gegevensmanagement.
Stelling | |
---|---|
Nauwkeurigheid (Accuracy) | De mate waarin gegevens de echte waarde van het bedoelde attribuut of een concept of gebeurtenis in een specifieke gebruikscontext goed weergeven. |
Compleetheid (Completeness) | De mate waarin gegevens gerelateerd aan een object waarden hebben voor alle verwachte attributen en gerelateerde object instanties in een specifieke gebruikscontext. |
Consistentie (Consistency) | De mate waarin gegevens niet in tegenspraak zijn met andere gegevens in een specifieke gebruikscontext. Dit kan zowel binnen de context van een object als tussen vergelijkbare attribuutwaarden van verschillende objecten. |
Plausabiliteit (Credibility)' | De mate waarin gegevens worden beschouwd als waar en geloofwaardig door gebruikers in een specifieke gebruikscontext. |
Actualiteit (Currentness) | De mate waarin gegevens recent genoeg zijn in een gebruikscontext. |
Compliance (Compliance) | De mate waarin gegevens conformeren aan standaarden, conventies of regelgeving gerelateerd aan gegevenskwaliteit in een specifieke gebruikscontext. |
Precisie (Precision) | De mate waarin gegevens exact of onderscheidend genoeg zijn voor een gebruikscontext. |
Traceerbaarheid (Traceability) | De mate waarin toegang tot gegevens of wijzigingen erin vastgelegd worden in een audit trail in een specifieke gebruikscontext. |
Begrijpelijkheid (Understandability) | De mate waarin gegevens eenvoudig gelezen en geïnterpreteerd kunnen worden door gebruikers, en zijn verwoordt in geschikte talen, symbolen en eenheden in een specifieke gebruikscontext. |
Bijlage G: Gegevenssoorten en interoperabiliteit
Informatie wordt vaak verward met de begrippen ‘gegevens’ en ‘kennis’. Deze begrippen hebben veel met elkaar te maken maar zijn geen synoniemen van elkaar. Gegevens zijn feiten en begrippen en kunnen door interpretatie en verwerking leiden tot informatie. Gegevens worden pas informatie als ze voor de ontvanger een betekenis hebben. Een bekend voorbeeld van het onderscheid tussen informatie en gegevens is uit te leggen aan de hand van een telefoonboek. De telefoonnummers uit het telefoonboek zijn gegevens. Ze kunnen worden verwerkt. Men kan de telefoonnummers oplopend sorteren op abonneenummer, maar men kan de gegevens ook sorteren op achternaam. Men kan een selectie maken van alle nummers met een bepaald netnummer. Als iemand het telefoonnummer van zijn moeder zoekt in het telefoonboek, om dat nummer vervolgens te bellen, dan is dat ene nummer in combinatie met de wetenschap dat dat nummer van je moeder is de informatie. Het interpreteren en integreren van informatie resulteert in kennis. Door gegevens te combineren kan informatie worden verkregen en door deze informatie te integreren en combineren wordt kennis verkregen. Door deze kennis te gebruiken wordt het mogelijk beter te organiseren en te presteren. Het niveau en de kwaliteit van de kennis wordt mede bepaald door de kwaliteit van de onderliggende gegevens.
Door organisaties worden diverse soorten gegevens gebruikt. Denk bijvoorbeeld aan tekst, beeld, geluid, spreadsheets, databases, statistische gegevens, administratie gegevens, geografische gegevens, etc. Deze soorten gegevens zijn onder te verdelen in gestructureerde gegevens, ongestructureerde gegevens en metagegevens. Gegevensmanagement moet borgen dat al deze gegevens op het juiste moment met de juiste kwaliteit op een veilige en transparante wijze beschikbaar kunnen worden gesteld.
- Gestructureerde gegevens zijn gegevens welke op een abstract niveau beschreven worden in de vorm van informatiemodellen en op fysiek niveau door logische datamodellen met entiteit typen en attributen. De gegevens zelf vormen instanties van deze typen. Voorbeelden van gestructureerde gegevens zijn de naam van een persoon en de straatnaam van het adres van de persoon.
- Ongestructureerde gegevens zijn gegevens die niet via logische datamodellen geordend zijn. Voorbeelden van ongestructureerde gegevens zijn tekstverwerker documenten, e-mails, foto's, videobestanden, geluidsbestanden, e-mails en webdocumenten.
- Metagegevens zijn gegevens die karakteristieken van andere gegevens beschrijven. Het zijn gegevens over gegevens. De metagegevens bij een ongestructureerd gegeven kunnen bijvoorbeeld zijn: de auteur, de datum van schrijven en de uitgever. Eén van de redenen om metagegevens op te slaan is het vereenvoudigen van het zoeken naar ongestructureerde gegevens of het relateren van ongestructureerde gegevens aan gestructureerde gegevens.
Bij de uitwisseling van gegevens is het van belang om maximale interoperabiliteit te behalen. Met interoperabiliteit wordt hier bedoeld het met elkaar laten communiceren en interacteren van verschillende autonome systemen. Om dit te bewerkstelligen zijn standaarden, protocollen en procedures nodig. Informatiemodellen standaardiseren gegevensuitwisseling op het vlak van structuur en syntax. Deze standaardisatie wordt vaak gezien als dé oplossing voor interoperabiliteit. Op technisch niveau klopt dat ook. Als organisaties op dat niveau afspraken maken over programmatuur, uitwisselingsformaten en codes, dan kunnen zij informatie uitwisselen. Door het gebruik van standaarden wordt gegevens uitwisselen efficiënter, transparanter en worden fouten en verlies van gegevens in de uitwisseling voorkomen. Maar wie semantiek van gegevens probeert te standaardiseren, probeert de werkelijkheid te standaardiseren. Het is van belang te erkennen dat verschillen in betekenis relevant kunnen zijn. Of die verschillen nu voortkomen uit wetgeving of alleen herkenbaar zijn in de uitvoeringsprocessen. Als betekenissen samenvallen, kunnen ze gestandaardiseerd worden. Als verschillen in betekenis echter relevant zijn, moeten de variaties naast elkaar kunnen bestaan en is het niet effectief, en zelfs niet wenselijk, om te proberen ze weg te standaardiseren. Bij het vaststellen van de semantiek is het dus van belang om de context te kennen waarin de gegevens gebruikt worden.
Bijlage H: Bijdragen
Het katern GEMMA tactisch gegevensmanagement tot stand gekomen in nauwe samenwerking met de Expertgroep Gegevensmanagement van VNG Realisatie. De volgende personen hebben bijgedragen aan de totstandkoming van het katern. De huidige versie is tot stand gekomen onder redactie van:
- Arnoud Quanjer (hoofdredactie) (VNG Realisatie)
- Radboud van der Linden (gemeente Breda)
- Patrick Castenmiller (gemeente Hoorn)
- Erik Euwema (Thorbecke)
- Remco Rekoert (De BUCH - gemeenten Bergen, Uitgeest, Castricum en Heiloo)
- Agnes Bolte (gemeente Ede)
- Marjolein Debets (gemeente Amsterdam)
- Wim Stolk (Stolk Informatiemanagement)
Dit document is ook in eerdere versies al tot stand gekomen met input en review reacties van:
- Arris Oliemans (gemeente Amsterdam)
- Marjolein Debets (gemeente Amsterdam)
- Marielle Nuijs (gemeente Amsterdam)
- Hans Jansen (gemeente Arnhem)
- Radboud van der Linden (gemeente Breda)
- Geert Wester (gemeente Deventer)
- Remco Rekoert (De BUCH - gemeenten Bergen, Uitgeest, Castricum en Heiloo)
- Agnes Bolte (gemeente Ede)
- Andrea Krush (Equalit)
- Henriëtte Barkhuis (gemeente Groningen)
- Rik Duursma (gemeente Haarlemmermeer)
- Michael Bakker (gemeente Hoorn)
- Patrick Castenmiller (gemeente Hoorn)
- Peter van der Linde (gemeente Houten)
- Patrick Koek (gemeente Rotterdam)
- Mike Groels (gemeente Tilburg)
- Tim Schoonebeek (gemeente Tilburg)
- Wim Stolk (Stolk Informatiemanagement, voorzitter)
- Erik Euwema (Thorbecke)
- Ko Mies (VNG)
- Arnoud Quanjer (VNG Realisatie)
Bijlage I: Bronnen
Bij het opstellen van het katern GEMMA tactisch gegevensmanagement zijn de onderstaande bronnen geraadpleegd.
iOverheid, Wetenschappelijke Raad voor het Regeringsbeleid (WRR), maart 2011
http://www.wrr.nl/fileadmin/nl/publicaties/PDF-Rapporten/I_Overheid.pdf
Beveiliging van persoonsgegevens, College bescherming persoonsgegevens (CBP), februari 2013.
http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf
Privacy enhancing technologies, Witboek voor beslissers, ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), december 2004.
http://www.cbpweb.nl/downloads_technologie/witboek_pet.pdf
G.W. van Blarkom en drs. J.J. Borking, ‘Beveiliging van persoonsgegevens’, Achtergrondstudies en Verkenningen nr. 23, Registratiekamer, april 2001
http://www.cbpweb.nl/downloads_av/av23.pdf
Handreiking gegevensmanagement, Kwaliteitsinstituut Nederlandse Gemeenten (KING), april 2012
http://new.kinggemeenten.nl/sites/default/files/document/gr_/20130409_Handreiking_Gegevensmanagement.pdf
Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten, Informatiebeveiligingsdienst (KING), mei 2013
https://new.kinggemeenten.nl/sites/default/files/document/gr_2010/Strategische-Baseline-Informatiebeveiliging-Nederlandse-Gemeenten-mei-2013-versie-1.0-IBD_0.pdf
Over semantische interoperabiliteit, Samenwerken en elkaar begrijpen, Forum Standaardisatie, maart 2011
http://www.forumstandaardisatie.nl/fileadmin/os/publicaties/Folder_Samenwerken_en_elkaar_begrijpen_website.pdf
Wet- of regelgeving | Beschrijving |
Aanbestedingswet 2012 | Vernieuwing software systemen. |
Algemene Verordening Gegevensbescherming (AVG) | De AVG gaat over het rechtmatig omgaan met persoonsgegevens. De belangrijkste bepalingen uit de AVG zijn als volgt samen te vatten:
Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor de betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) moet het behoorlijk en transparant zijn hoe en waarom de persoonsgegevens verwerkt worden. Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel. Dat doel moet welbepaald zijn en vooraf uitdrukkelijk zijn omschreven. Het doel waarvoor een organisatie de persoonsgegevens gaat verwerken moet verenigbaar zijn met het doel waarmee de persoonsgegevens zijn verzameld. Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking. Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren ‘zo min mogelijk’. Dat houdt o.a. in dat de verwerking van de gegevens moet passen bij het doel waarvoor ze worden verwerkt. De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd. De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels. |
Wet modernisering elektronisch bestuurlijk verkeer (ingang per 2021) | Het wetsvoorstel geeft de burger recht om elektronisch berichten aan een bestuursorgaan te zenden op een door het bestuursorgaan bepaalde wijze. |
Archiefwet | Archiefwet (en ED3 (Eisen Duurzaam Digitaal Depot (2008))) oa opslagtermijnen, eisen aan opslag etc. |
Besluit bekendmaking en beschikbaarstelling regelgeving decentrale overheden | Elektronische publicatie van besluiten die algemeen verbindende voorschriften inhouden, niet alleen meer per krant, nu ook verplicht digitaal |
Besluit verwerking persoonsgegevens generieke digitale infrastructuur | Betreft een uitvoeringsregeling bij het Wetsvoorstel Digitale overheid. De concept-AmvB reguleert de onderwerpen persoonsgegevensverwerking en informatieveiligheid bij de toegang tot elektronische dienstverlening. (…). Verwachte effecten van de regeling voor de doelgroepen
|
CAR-UWO | CAO gemeenteambtenaren inclusief rechten en plichten (bijvoorbeeld thuiswerken: ICT eisen, of privacyaspecten, of monitoren van netwerken). |
Databanken wet | Databanken die bestaan uit verzamelingen geordende gegevens kunnen onder het databankenrecht vallen. Bijvoorbeeld officiële bekendmakingen op Overheid.nl. Of statistische gegevens op de website van het Centraal Bureau voor de Statistiek (CBS). In de verzamelingen is vaak veel tijd en geld gestoken. Producenten van databanken worden daarom in bescherming genomen in de Databankenwet. |
Gem w art 149 awb afd 2.3 | Regelgeving omtrent elektronisch berichtenverkeer |
eIDAS-verordening | Europese burgers en bedrijven moeten vanaf september 2018 bij alle Nederlandse organisaties in de publieke sector kunnen inloggen met een door Europa erkend nationaal inlogmiddel. Dat hebben de EU-lidstaten met elkaar afgesproken in de eIDAS-verordening. |
Omgevingswet | Omgevingswet gaat uit van de harmonisatie van een aantal milieu/vergunningen wetten en de digitalisering van de benodigde gegevens. In 2021 moet de gemeente aangesloten zijn. |
Participatiewet | Het doel is zoveel mogelijk mensen met arbeidsvermogen naar werk toe te leiden, bij voorkeur naar betaald werk, en bijstand te verlenen aan mensen die niet (meer) in staat zijn om zelf volledig in hun levensonderhoud te voorzien. De uitvoering is bij de gemeenten belegd. |
PUN | Paspoortuitvoeringsregeling Nederland : regeling hoe paspoorten geleverd / verzorgd kunnen worden. NB controle loopt via de ENSIA. |
Regeling elektronische bekendmaking en beschikbaarstelling regelgeving decentrale overheden | Het college van burgemeester en wethouders draagt er zorg voor dat het gemeenteblad na de uitgifte elektronisch op een algemeen toegankelijke wijze beschikbaar blijft en dat daarbij wordt vermeld wanneer het is uitgegeven. |
Wet BRP | De Basisregistratie Personen (BRP) bevat persoonsgegevens van inwoners van Nederland (ingezetenen) en van personen die Nederland hebben verlaten (niet ingezetenen). Personen die korter dan 4 maanden in Nederland wonen kunnen ook als niet-ingezetenen in de BRP zijn opgenomen. Bijvoorbeeld omdat ze tijdelijk werken of studeren in Nederland. |
Wet Computercriminaliteit II | Betreft een wet over wat strafbaar is op internet, welke rechten en plichten de politie heeft om daar onderzoek naar te doen etc. |
Wet Elektronisch Bestuurlijk Verkeer (WEBV) | Burgers en bedrijven krijgen met de wet het recht ieder formeel bericht elektronisch aan de overheid te zenden. Om een compacte, efficiënte overheid te realiseren met hoogwaardige dienstverlening, is digitalisering een vereiste en is het digitale kanaal het voorkeurskanaal. Het uitgangspunt is: digitaal waar het kan, persoonlijk waar het moet. |
Wet gegevensverwerking en meldplicht cybersecurity | In de wet is tevens een meldplicht opgenomen voor ernstige digitale veiligheidsincidenten die de samenleving kunnen ontwrichten. Het is belangrijk dat het Nationaal Cyber Security Centrum (NCSC) goed zicht heeft op digitale dreigingen. Dit geldt met name voor digitale veiligheidsincidenten bij de Rijksoverheid en vitale aanbieders, aangezien deze grote consequenties kunnen hebben voor onze samenleving en economie kunnen hebben. Het NCSC informeert organisaties over deze dreigingen en biedt waar nodig ook ondersteuning. De nieuwe wet vormt een belangrijke basis voor deze publiek-private samenwerking. Zo biedt de Wgmc een kader voor de wijze waarop het NCSC met vertrouwelijke informatie moet omgaan. Daarnaast zijn nu ook de wettelijke grondslag van de taken en bevoegdheden van het NCSC vastgelegd. |
Wet hergebruik van overheidsinformatie | Documenten die zijn voortgebracht door openbare lichamen van de lidstaten, vormen een enorme, diverse en waardevolle hoeveelheid bronnen die de kenniseconomie ten goede kunnen komen“, aldus de Richtlijn 2013/37/EU van het Europees Parlement en de Raad. "Richtlijn Overheidsinformatie". Gemeenten zijn op grond van de Who verplicht om op verzoek overheidsinformatie als open data beschikbaar te stellen voor hergebruik. |
Wet Open Overheid | Met wetsvoorstel Open overheid (Woo) wil de overheid op den duur de Wet openbaarheid van bestuur (Wob) vervangen. De Woo gaat een stap verder. De wet verplicht overheden en semi-overheden om informatie die openbaar is, rechtstreeks toegankelijk te maken. De wet regelt dat iedere organisatie die onder de wet valt een informatieregister dient bij te houden. Dit register ontsluit op een transparante manier de informatie die bij overheden beschikbaar is. Gemeenten dienen dit register zelf op te zetten en actief van informatie te voorzien. Dit vraagt om organisatiebrede regie op het digitaal bewaren en ontsluiten van de eigen gegevens. |
Wet Openbaarheid van Bestuur (WOB) | U mag informatie opvragen over het handelen van de overheid. U maakt dan gebruik van de Wet openbaarheid van bestuur (Wob). Dien een Wob-verzoek in bij de organisatie waarvan u informatie wilt ontvangen. U heeft een Wob-verzoek ingediend bij de overheid. De overheidsorganisatie heeft dan 4 weken om te reageren. |
Wet Particuliere Beveiligingsorganisaties en Recherchebureaus (WBPR) | Het doel van de Wet is om een aanvaardbaar niveau van veiligheid in de maatschappij te bereiken, waarbij naast de overheid ook de burgers zelf maatregelen nemen om criminaliteit te voorkomen.
Uitgangspunt is dat de overheid hierbij ziet op de openbare orde en de burgers op de particuliere ruimten. Hierbij is een taak weggelegd voor de overheid om de voorwaarden voor het voorkomen van criminaliteit te scheppen en deze te handhaven. |
Wet Politiegegevens (WPG) | Wet die de bevoegdheden van de Politie omschrijf als het gaat om opslaan en gebruiken van persoonsgegevens. Gegevensverwerking door boa's: nieuwe regels vanaf mei 2018 vallen hier echter ook onder. Dus ook gemeentelijk beleid is hier nodig. Zie ook Gegevensverwerking door boa's: nieuwe regels vanaf mei 2018 |
Wet SUWI | In de Wet SUWI is geregeld hoe de structuur met betrekking tot de uitvoering van taken inzake de arbeidsvoorziening en de sociale verzekeringswetten is vormgegeven. De wet bepaalt ook hoe de verschillende uitvoeringsorganen, het Uitvoeringsinstituut werknemersverzekeringen (UWV), de Sociale verzekeringsbank (SVB) en de Gemeenten samenwerken. |
Wet Veiligheidsonderzoeken (WVO) | Een veiligheidsonderzoek, in de betekenis van de Nederlandse Wet Veiligheidsonderzoeken van 1996, is een onderzoek naar een persoon dat wordt uitgevoerd voordat een werkgever deze te benoemen of aan te stellen in een vertrouwensfunctie. |
Wijziging Bekendmakingswet + aanvullende informatie | Wijziging van de Bekendmakingswet, Doel van de wijziging is het digitaal toegankelijk maken van kennisgevingen en bekendmakingen van de overheid voor burgers en bedrijven. Overheden publiceren alle kennisgevingen en bekendmakingen afhankelijk van het bestuursorgaan en de doelgroep in de Staatscourant, het gemeenteblad, provinciaal blad, waterschapsblad of blad van een gemeenschappelijke regeling. Deze publicaties zijn via verplicht gebruik van de GVOP (Gemeenschappelijke Voorziening Officiële Publicaties) op één weblocatie te raadplegen. Staatssecretaris Knops heeft een wetsvoorstel hierover gepubliceerd op internetconsultatie.nl. |