Eigenschap:Beschrijving
Naar navigatie springen
Naar zoeken springen
Type eigenschap
:
Tekst
Geldige waarden
:
Meerdere waarden toegestaan
:
Nee
Weergave op formulieren
:
Tekstvak
Initiële waarde
:
Verplicht veld
:
Nee
Toelichting op formulier
:
Deze elementeigenschap kan gebruikt worden om een element te voorzien van een beschrijving.
Subeigenschap van
:
Formatteerfunctie externe URI
:
Klik op de button om een nieuwe eigenschap te maken:
B
Orgaan van een rechtspersoon krachtens publiekrecht ingesteld" (a-orgaan), of "een persoon of college, met enig openbaar gezag bekleed" (b-orgaan). +
De overtuiging dat ‘beter voor de gebruiker en goedkoper voor de organisatie’ samen gaan wanneer het gebruikersperspectief centraal staat, is nog onvoldoende gemeengoed voor zowel veel professionals in het veld als voor bestuurders.<br>
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft daarom onderzoek laten doen om dit vernieuwde vertrekpunt feitelijk en breed te onderbouwen. Hiertoe zijn 11 cases van publieke organisaties verzameld en bestudeerd. Kenmerk van deze cases is dat vanuit het gebruikersperspectief verbeteringen zijn doorgevoerd in de dienstverleningsprocessen. De cases uit deze studie vormen een bevestiging van de veronderstelling dat meer kostenefficiëntie ontstaat nadat de dienstverlening is verbeterd, op voorwaarde dat het gebruikersperspectief (wensen van gebruikers en hun suggesties voor verbetering) leidend is geweest voor de inrichting van de dienstverleningsprocessen. <br>
Dit is daarom een pleidooi tegen een puur efficiency gedreven aanpak en vóór een aanpak om met inschakeling van gebruikers te streven naar betere dienstverlening. +
De beschikbaarheid en de kwaliteit van diensten voldoen aan vooraf bepaalde normen. Aangeboden informatie dient bijvoorbeeld juist, authentiek, actueel en volledig te zijn. Processen zijn zodanig ingericht dat dit is gegarandeerd en monitoring van het kwaliteitsniveau plaatsvindt. +
In haar dienstverlening zegt de overheid wat ze doet en doet wat ze zegt. Burgers en bedrijven kunnen uitgaan van een betrouwbare en voorspelbare overheid. Zij kunnen vertrouwen dat informatie tijdig wordt verstrekt en dat deze correct, compleet en actueel is.
De kwaliteit van diensten voldoet aan vooraf bepaalde normen. De monitoring en verantwoording hierop, alsmede de verbeteringen die hieruit voortvloeien zijn verankerd in de overheidsprocessen. Deze worden zo continu verbeterd. +
De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. +
De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. +
Mate waarin vertrouwen kan worden gesteld in een identificatiemiddel, gebaseerd op de mate van zekerheid waarmee attributen, identiteiten, identificatiemiddelen en/of bevoegdheden zijn vastgesteld. +
==Objectdefinitie==
Betreft de mate waarin de data ononderbroken beschikbaar is voor eindgebruikers.
==Objecttoelichting==
De technische betrouwbaarheid van opslagsystemen bepaalt in hoge mate de beschikbaarheid van de opgeslagen data. Technische betrouwbaarheid is gespecificeerd als: MTBF (Mean Time Between Failures), MTTR (Mean Time To Repair) en MTTF (Mean Time To Failure).
De effectieve beschikbaarheid van opslag bepaalt de toegankelijkheid van data, die kan worden uitgedrukt in de verhouding van de tijd waarin de data beschikbaar is ten opzichte van de niet beschikbare tijd. Voor een zeer hoge beschikbaarheid, bijvoorbeeld 7x24 uur en 99,999% dient kostbare hardware en softwarematige redundantie te worden toegepast. Aanvullend is het belangrijk eisen te stellen aan het maximum aantal onderbrekingen per uur, dag of jaar.
Lange bewaartijd opslag impliceert data integriteit, authenticiteit en privacy-dreigingen die niet of minder van toepassing zijn op systemen met een beperkte bewaartijd. +
==Objectdefinitie==
Betreft een vastgelegde manier van handelen voor het inloggen op informatiesystemen.
==Objecttoelichting==
De toegang tot systemen en toepassingen wordt beheerst met beveiligde inlogprocedures. Daarbij dient de geclaimde identiteit op passende wijze en met een geschikte techniek te worden vastgesteld. De procedure om in te loggen, wordt zo ontworpen, dat de kans op onbevoegde toegang minimaal is. +
==Objectdefinitie==
Betreft een omgeving die uitsluitend wordt gebruikt om applicaties te creëren of aan te passen.
==Objecttoelichting==
Het traject van ontwikkelen van een applicatie en het in productie nemen van de resultaten van dit ontwikkeltraject vindt gefaseerd plaats in specifieke omgevingen. Bij de ontwikkeling worden vier omgevingen onderscheiden:
# Ontwikkelomgeving, Hierin wordt de programmacode ontwikkeld. Om te voorkomen dat ontwikkelingen het productieproces kunnen beïnvloed is deze omgeving gescheiden van de productie omgeving.
# Testomgeving, Hierin worden de uit de ontwikkelomgeving afkomstige producten getest door professionele testteams. Aanwezige, in de testomgeving gesignaleerde, onvolkomenheden in de software worden weer via ontwikkelomgeving aangepast. Dit is een iteratief proces totdat uit de test naar voren komt dat het product geschikt is om in productie te nemen;
# Acceptatieomgeving, Hierin worden de softwareproducten (nog éénmaal grondig) getest en bij positief resultaat door de gebruikers en beheerders geaccepteerd. Bij eventuele onvolkomenheden worden de softwareproducten niet geaccepteerd (no-go) en terug gestuurd naar de testomgeving of ontwikkelomgeving;
# Productieomgeving, Hierin worden de nieuwe softwareproducten uitgerold. De Productie omgeving is de omgeving waarin de nieuwe softwareproducten functioneel en actief moeten zijn. De in de voorgaande omgevingen uitgevoerde stappen moeten zo veel mogelijk garanderen dat nieuw ontwikkelde software geen fouten bevat die de productiegegevens kunnen corrumperen.
In principe zijn alle omgevingen los van elkaar ingericht en vindt behalve via formele overdrachten geen contact plaats tussen de verschillende omgevingen. +
Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder - in het geval van persoonsgegevens - ook de AVG). +
==Objectdefinitie==
Omvat de beveiliging van het berichtenverkeer.
==Objecttoelichting==
De beveiliging van het berichtenverkeer omvat beveiligingsmechanismen die bescherming bieden tegen Cross-Site Scripting (XSS), SQL Injections en andere bedreigingen op de inhoud van berichten, onder andere op basis van schema-validaties. Voor het berichtenverkeer geldt minimaal de OWASP-top 10. Deze criteria worden voortdurend geactualiseerd en zijn vrij toegankelijk op internet op https://OWASP.org.
Voor PKI Overheid de Digikoppeling-standaarden van Logius.nl toepassen. Let op: voor alle Application Programming Interface (API)-initiatieven als alternatief voor webservices (server2server). Qua certificaatgebruik hiervoor digikoppeling richtlijnen blijven volgen.
Op de middlewarelaag wordt vaak Message-level security gebruikt als set van maatregelen. Deze set specificeert in hoeverre de SOAP-berichten tussen een client-applicatie en een webservice, die aangeroepen is door een client, moeten worden versleuteld, digitaal worden ondertekend of beiden. Het specificeert tevens de gedeelde beveiligingscontext tussen een webservice en een client, in het geval dat ze meerdere SOAP-berichten uitwisselen.
Message-level security wordt toegepast voor zekerheid over de vertrouwelijkheid via versleuteling van berichten of onderdelen daarvan; voor de integriteit van berichten via elektronische handtekeningen en voor authenticatie, door te vragen naar een gebruikersnaam of een X.509 token. +
Beveiliging en Gegevensbeschrijvingen in openbare review +
==Objectdefinitie==
Omvat specifieke eisen over de te nemen maatregelen voor de beveiligingsmechanismen, het dienstverleningsniveau en de kwaliteit van beheerprocessen.
==Objecttoelichting==
De eisen voor communicatievoorzieningen betreffen enerzijds de verantwoordelijkheden voor de informatiebeveiliging van het transport en de distributie van informatie en anderzijds de beveiligde toegang tot de transportvoorzieningen zelf. +
==Objectdefinitie==
Betreft een modelmatige beschrijving van de technische en organisatorische samenhang van onderdelen van softwarepakketten.
==Objecttoelichting==
Op het hoogste niveau beschrijft een zogenaamde enterprise-architectuur de context van de organisatie en op hoofdlijnen het geheel aan organisatorische en functionele activiteiten en tot welke bedrijfsoutput dit resulteert.
De beveiligingsarchitectuur beschrijft met het beveiligingsbeleid in samenhang welke organisatorische en technische beveiligingsmaatregelen de beoogde bedrijfsfunctionaliteit en dienstverlening ondersteunen voor eindgebruikers en klanten.
==Schaalgrootte==
Middel en groot.
==Voor wie==
Klant. +
==Objectdefinitie==
Betreft de faciliteiten waarmee bedrijfsmiddelen binnen ruimten beveiligd worden.
==Objecttoelichting==
De rekencentra bevatten verschillende typen ruimten zoals: kantoren, bekabelingsruimten en serverruimten. Deze ruimten moeten conform de beveiligingsgraad van deze ruimten voorzien zijn van beveiligingsfaciliteiten. +
==Objectdefinitie==
Betreft een specialistische adviesfunctie (beveiligingsrollen) voor het management en de organisatie, gericht op het behalen van beveiligingsdoelstellingen.
==Objecttoelichting==
De organisatie beschikt over middelen en informatie die beveiligd moeten worden. Hiervoor moeten de juiste rollen zijn benoemd binnen een centraal orgaan, de beveiligingsfunctie. De functionarissen binnen deze functies hebben specifieke verantwoordelijkheden voor het realiseren van toegangsbeveiliging binnen de gehele organisatie, waaronder het toegangsbeveiligingssysteem. +
==Objectdefinitie==
Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor de relationele samenhang van beveiliging.
==Objecttoelichting==
De beveiligingsfunctie omvat de geformaliseerde taken en verantwoordelijkheden voor clouddiensten. Binnen de beveiligingsfunctie is geregeld dat contact wordt onderhouden met verantwoordelijken binnen de Cloud Service Consumer (CSC)-organisatie wanneer sprake is van beveiligingsincidenten.
De beveiligingsorganisatie van de Cloud Service Provider (CSP) zorgt/ziet toe op het naleven van het informatiebeveiligingsbeleid, clouddienstenbeleid en overig hieraan gerelateerd beleid. Hoewel een ‘Beveiligingsfunctie’ als zelfstandig object beschouwd kan worden, is voor de eenvoud gekozen om deze in deze BIO Thema-uitwerking te integreren met de organisatie.
Waar nodig grijpt de beveiligingsorganisatie in. De taken, verantwoordelijkheden, bevoegdheden en middelen die de beveiligingsorganisatie hiervoor heeft zijn vooraf expliciet, in relatie tot de CSC, benoemd en vastgesteld. Ook moet vooraf vaststaan hoe de rapportagelijnen tussen de beveiligingsverantwoordelijken zijn georganiseerd. +
==Objectdefinitie==
Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor de relationele samenhang van beveiliging.
==Objecttoelichting==
De beveiligingsorganisatie ziet toe op het naleven van het informatiebeveiligingsbeleid. Waar nodig grijpt de beveiligingsorganisatie in. Welke taken, verantwoordelijkheden, bevoegdheden en middelen een beveiligingsorganisatie hierin heeft, wordt vooraf expliciet benoemd en vastgesteld. Ook moet vaststaan hoe de rapportagelijnen zijn uitgestippeld. +
==Doel==
Doel van Bevoegdhedenbeheer is het toekennen van een bevoegdheid aan een entiteit om namens een andere entiteit te mogen handelen.
==Scope==
Bevoegdhedenbeheer betreft de “levenscyclus” van bevoegdheden: vanaf het onderkennen (ontstaan en eventueel aanpassen), naar het toekennen aan digitale identiteiten en het verklaren daarvan, tot aan het intrekken (verwijderen) van bevoegdheden.<br />
==Voorbeelden==
Doorgaans wordt Bevoegdhedenbeheer ook wel Autorisatiebeheer of Access Management genoemd. <br />
Uitgangspunt hierbij is, dat met bepaalde “regels” wordt bepaald wat mag (of wat niet mag) en dat op het moment dat ergens toegang tot wordt gevraagd, wordt gecontroleerd of dat volgens die regels mag.<br />
Zo’n regel kan bijvoorbeeld ook zijn, dat een persoon door iemand anders gemachtigd is om iets te doen. Machtigen wordt daarom gezien als onderdeel van Bevoegdhedenbeheer.
==Status==
Medio 2020 is via een pressure-cooker versnelling aangebracht in de oplevering van GO. Een vijftal werkgroepen heeft in 2 maanden tijd uitwerking gegeven aan:
* ‘Why’ van de GDI inclusief bijbehorende visual,
* uitgangspunten voor het vastleggen van generieke functies (capability’s),
* visies voor de domeinen Interactie, Gegevensuitwisseling, Identificatie en Authenticatie (Toegang), Machtigen en Infrastructuur.
Resultaten van de pressure cooker zijn overgedragen om mee te nemen in de Gemeenschappelijke Overheidsarchitectuur (GO). GO brengt samenhang aan, verwijdert dubbelingen en verdiept visies zodanig dat besluitvorming in de PL en (naar beoordeling door PL) in het OBDO mogelijk is. Voor het domein Interactie geldt dat bovendien nog afstemming met de beleidsomgeving moet plaatsvinden. Gegevensuitwisseling heeft nu nog een bredere scope dan GDI en zal daarom binnen de GDI-context in samenhang met andere domeinen uitgewerkt worden.
==Documentatie==
De visie uit de pressure cooker GO t.a.v. Machtigen is opgenomen in het document van de werkgroep: [[media:GO_Pressure_Cooker_Machtigen.pdf|GO_Pressure_Cooker_Machtigen.pdf (PDF, 419 kB)]].
==Naamgeving==
Deze generieke functie Bevoegdhedenbeheer is nieuw toegevoegd aangezien in diverse beschrijvingen van GO naast Machtigen ook “bevoegdheden” worden genoemd en dat aansluit bij de bevindingen van de NORA expertgroep IAM, waar deze functie reeds was beschreven.
Bevoegdheid is het bezitten van toestemming om een handeling te mogen verrichten, al dan niet in naam van een andere natuurlijke persoon of een rechtspersoon. +
De bevoegdheden die aan de uitvoeringsorganisatie zijn verleend, bakenen de wettelijke taken van de organisatie af. Daarmee is in abstracte zin vastgesteld wat de organisatie wel en wat ze niet mag doen.
Pas wanneer een uitvoeringsorganisatie bevoegd is een wettelijke taak uit te voeren, kan er sprake zijn van rechtmatige uitvoering. +
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld of niet langer dan de bewaartermijn die sectorspecifieke wetgeving stelt.
De bewaartermijn kan worden beëindigd door actieve verwijdering van de gegevens of door anonimisering van de persoonsgegevens. Bij anonimisering zijn de gegevens niet meer herleidbaar tot de betrokkenen.<br>NB: De AVG is niet van toepassing op de persoonsgegevens van overleden personen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] overweging 27: "De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen."</sup>. +
==Beschrijving==
Diensten zijn geschikt om gegevens door afnemers zelf te laten bewerken.
* Wijzigen actuele en historische data:
** Afnemers moeten in staat zijn een dienst te gebruiken waarmee actuele en historische data worden gewijzigd. Voorbeeld: Een afnemer voegt via een dienst van het Kadaster een nieuwe publiekrechtelijke beperking toe aan de BRK-PB registratie bij het Kadaster. Voorbeeld: Een afnemer wijzigt de voornaam en het geslacht van een persoon zoals dat in een bestaande geboorteakte staat na een aanvraag tot geslachtsverandering.
**Aanbieders bieden diensten waarmee actuele en historische data wordt vastgelegd. Voorbeeld: Het Kadaster biedt een dienst aan waarmee overheidsorganisaties publiekrechtelijke beperkingen kunnen toevoegen aan de BRK-PB registratie. Voorbeeld: Het Kadaster wijzigt de oppervlakte van een perceel binnen de BRK zoals dat gold op een datum in het verleden.
* Wijzigen data binnen transactie:
** Afnemers moeten in staat zijn een dienst te gebruiken die bij elkaar behorende data wijzigt en zorgt voor compleetheid en consistentie. Voorbeeld: Een afnemer gebruikt een dienst en levert daarbij gelijktijdig data aan over de aanvraag, betaling en levering die moeten leiden tot een complete en consistente vastlegging in een registratie.
** Aanbieders moeten bij elkaar behorende data compleet en consistent als eenheid kunnen verwerken, en indien dat niet lukt de 'gegevenssituatie’ onveranderd laten. Voorbeeld: Een aanbieder verwerkt gelijktijdig aangeleverde aanvraag-, betaling- en levering-data binnen zijn registratie en borgt compleetheid en consistentie. +
De mate waarin de juistheid van een gegeven kan worden aangetoond +
De opdracht heeft betrekking op de levering van een Bezoeker Verwijs Systeem (BVS) Oplossing, Additionele diensten en Product Specifieke diensten. +
Eventueel gemaakte fouten in een geleverde dienst worden tijdig hersteld.
De levering van een dienst kan door allerlei omstandigheden anders verlopen dan was voorzien. Nationaal zijn afspraken gemaakt dat dan herstel plaatsvindt, zie NORA AP29 [[De dienstverlener voldoet aan de norm]].
Doorgaans zal het de burger c.q. een vertegenwoordiger van het bedrijf zijn dat de fout (of vermeende fout) bij de dienstverlener aankaart. Bij verschil van inzicht tussen de burger en de behandelend ambtenaar, kan dat leiden tot een klacht of een eventuele escalatie naar de Ombudsman. Ingeval het verschil van inzicht een besluit van een bevoegd gezag betreft, kan het ook leiden tot een bezwaar- en/of beroepsschrift volgens de [[Algemene Wet Bestuursrecht]].
De fout kan echter ook blijken vanuit de sturing op de kwaliteit van de dienst door de dienstverlener, zie NORA AP31 [[PDCA-cyclus in besturing kwaliteit]]. In dat geval kan de verantwoordelijke overheidsorganisatie het herstel proactief zelf inzetten.
De afhandeling van deze correcties vindt plaats o.b.v. compassie en met de menselijke maat en verloopt uiteindelijk via [[Diensten leveren volgens de afspraken]]. De correctie zal worden verantwoord tot op het hoogste niveau, zoals dat ook is beoogd bij het [https://nl.wikipedia.org/wiki/ISO_9001 ISO 9001 Kwaliteitssysteem].
In geval de oorzaak van de fout structureel van aard is, zal dat worden doorgegeven aan een collega-ambtenaar die kan laten overgaan tot het her-ontwerp van die dienst, zie [[(Her)ontwerpen van een dienst]].
Dit mechanisme om tot tijdig herstel te komen is zeer wezenlijk in de vertrouwensrelatie tussen burgers en de overheid. Het is immers dat je niet in “goede tijden”, maar juist als het “fout gaat” wordt getest op karakter, normen en waarden!
Als overheid (ambtenaar) willen we leren van onze fouten. En toeslagen-debacles moeten voortaan worden voorkómen. De mogelijkheden om tot herstel te komen moeten daarom voor elke dienst klip en klaar zijn.
Als in een dienstlevering iets niet goed is gelopen en een burger een beroep doet op één of meer van de vijf genoemde correctiemogelijkheden, dan moet elke vraag om correctie uiteindelijk altijd leiden tot een actie vanuit de overheid om te [[Sturen op (verbetering van) de kwaliteit van dienstverlening]]. En van daar uit moet altijd een correctieve -en mogelijk ook preventieve- actie ondernomen worden (wat in de praktijk immers nog regelmatig niet goed verloopt).
Het bieden van een democratisch proces om volksvertegenwoordigers te kiezen, zorgt er voor dat de stem van de Nederlandse burgers -die tevens stemmen vanuit hun rol als eigenaar of medewerker van bedrijven- niet alleen wordt gehoord, maar via het Kabinet en Parlement ook feitelijk invloed heeft op de visie en het beleid waarmee de Nederlandse samenleving vorm krijgt.
De trigger voor deze capability komt vanuit de Politiek, waar verkiezingscampagnes kunnen worden gestart.
En de noodzakelijke input daarbij, is de verkiezing van volksvertegenwoordigers door stemgerechtigde burgers.
Zie voor meer details de beschrijving van dit proces: [https://www.rijksoverheid.nl/onderwerpen/democratie/werking-parlementaire-democratie de werking van de parlementaire democratie]. +
De overheid (het ambtelijke apparaat c.q. de uitvoeringsorganisaties) biedt een aanbod van diensten dat past bij de behoeften van [[Wat bedoelen we in het Basisconcept voor Dienstverlening met de 'burger'?|burgers]]. Anno 2021 maakt elke overheidsorganisatie de diensten die zij levert voor burgers toegankelijk via de eigen website.
Die diensten moeten zodanig zijn beschreven, dat burgers vooraf al kunnen weten wat ze mogen verwachten. In principe zal zo’n beschrijving staan op de website(s) van de overheidsorganisatie(s) waar de dienst wordt aangeboden. De ca. 1.400 overheidsorganisaties doen dat ieder op hun eigen manier en met verschillende technische oplossingen. Nationaal zijn afspraken gemaakt welke aspecten van een dienst worden beschreven, zie NORA AP05 [[Nauwkeurige dienstbeschrijving]], maar in de praktijk wordt deze afspraak niet altijd gevolgd. Voor burgers betekent dat een divers palet aan websites van de overheid, waar je geen overzicht op hebt en niet gemakkelijk je weg in kunt vinden.
Als oplossing daarvoor is een [https://www.overheid.nl/producten_en_diensten gemeenschappelijke zoekmachine] gemaakt, waarmee burgers alle aangeboden diensten vanuit die ene plek kunnen vinden, die daardoor dus functioneert als een soort “virtuele” dienstencatalogus van de Nederlandse Overheid.
Gegeven dit aanbod van diensten van de overheid, is van belang na te gaan in hoeverre dat aanbod past bij de behoefte van burgers.
Waar kunnen burgers hun wensen kenbaar maken voor nieuwe diensten en feedback geven op het aanbod? Die wensen worden vanzelfsprekend verwoord door de politieke vertegenwoordiging van de burger in de verschillende lagen van de democratie, maar burgers moeten ook hun individuele wensen kunnen inbrengen. Dat lijkt momenteel alleen mogelijk als de overheid daar zelf proactief in is en die wensen specifiek uitvraagt bij een geleverde dienst of meer algemeen via bijvoorbeeld landelijke onderzoeken.
Een nog openstaande vraag hierbij is: op basis van welke criteria weegt de overheid af in hoeverre het mogelijk is om aan die wensen te voldoen? Dat is een afweging tussen individuele wensen en collectieve belangen, of tussen algemene afspraken en de discretionaire bevoegdheid van overheidsorganisaties, binnen technologische of budgettaire mogelijkheden, et cetera.
Verder kan het ook handig zijn voor de overheid om aan te geven welke diensten (tijdelijk) niet worden geleverd, of welke nieuwe worden voorzien.
Vanuit de NORA bestaan in elk geval twee principes die voor het ontwerp van een dienst rekening houden met feedback van de gebruikers. Zie NORA AP19 [[Perspectief gebruiker]] en NORA AP31 [[PDCA-cyclus in besturing kwaliteit]]. Dat is echter eenmalig bij de opzet en raakt dus niet de reflecties van burgers op het reeds bestaande dienstenaanbod.
Vanuit NORA wordt daarom geadviseerd om dit dienstenaanbod niet los te zien van het [[Sturen op (verbetering van) de kwaliteit van dienstverlening]], waarbij de reflecties van burgers via het [[(Her)ontwerpen van een dienst]] kunnen worden verwerkt in een aangepast Dienstenaanbod.
Voorbeelden van een Dienstenaanbod zijn: de publieke diensten van de [https://www.denhaag.nl gemeente Den Haag] of de [https://www.belastingdienst.nl/ Belastingdienst], en de mogelijkheid om via de gemeenschappelijke zoekmachine alle door de [https://www.overheid.nl/ Nederlandse Overheid] aangeboden publieke diensten te vinden.
Volgens de WRR vraagt het gebruik van Big Data in het veiligheidsdomein om nieuwe kaders. Dat is nodig om de mogelijkheden van Big Data te benutten en tegelijkertijd de fundamentele rechten en vrijheden van burgers te waarborgen. +
{{{Beschrijving}}} +
Boekje met 10 praktijktoepassingen van Linked Data in Nederland +
Het doel van deze aanbesteding is de ontwikkeling van een bouwblok audio welke de huidige Audiosystemen- en toepassingen in de verkeerscentrales (hierna VC) voor wegverkeer en objectbediening, bediencentrales (scheepvaart objectbediening op afstand), verkeersposten (scheepvaart begeleiding) en objecten (tunnels, bruggen, sluizen, keringen enz.) moet gaan vervangen. Het bouwblok audio zal als Commercial Off-The-Self (hierna COTS) producten worden ingekocht en dient te voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Nadere informatie is te lezen in het Beschrijvend Document. +
Voorziening die deel uitmaakt van de infrastructuur van de e-overheid. +
Een afspraak, standaard, organisatorische of technische voorziening of een combinatie hiervan ten behoeve van de realisatie van de digitale overheid. +
Indeling van bouwstenen zoals gehanteerd in NORA 3.0 Katern strategie. Indeling in Contactfuncties, Identity Management, Basisregistraties, Elektronische informatie-uitwisseling. +
Onderzoek naar effectieve beleids- en uitvoeringsopties en de mogelijke gevolgen daarvan. +
In het rapport "een betere overheid voor burgers en bedrijven" van de Brede Maatschappelijke Heroverwegingen staat de behoefte van burgers en bedrijven voorop. Wat hebben zij nodig in hun contact met de overheid?<br>
Het rapport richt zich op dienstverlening: het individuele contact dat burgers en bedrijven met de overheid hebben. Dit rapport is geschreven als een synthese van de veel al bestaande analyses die de afgelopen jaren zijn gedaan op het thema dienstverlening voor burgers en bedrijven: er is in de afgelopen jaren bijzonder veel aandacht is geweest voor (knelpunten in de) overheidsdienstverlening aan burgers en bedrijven. Het rapport staat daarom in het bijzonder stil bij de vraag hoe het komt dat dit beperkt, of zelfs soms helemaal niet, gelukt is. Ondanks de vele inspanningen die zijn gepleegd om de dienstverlening van de overheid voor burgers en bedrijven te verbeteren. +
<br>
==Verslag sessie==
Meer informatie:
* [[NORA review]]
* [[NORA review kwaliteitskader]]
In deze sessie waren van te voren geen PSA's ingebracht. Met een groep van een man of 14 bekeken Eric Brouwer, Peter Bergman en Robert van Wessel daarom de referentiearchitectuur van Regie op Gegevens, die waarschijnlijk in het najaar in een nieuwere versie in openbare review zal gaan via noraonline.nl.
Dit leidde tot discussies over onder andere:
* Is het verschil tussen een PSA en een referentiearchitectuur altijd duidelijk? Zou een PSA bijvoorbeeld actionable moeten zijn?
* Horen beleidsbrieven bij het juridisch kader, of hoort daar alleen wet- en regelgeving?
* Beoordeel je in een NORA review of het voldoet aan NORA, of het een goede architectuur is, of allebei? Beide, tot op zeker hoogte ;-)
* Moet er (altijd) een IST en SOLL transitie in een PSA voorkomen?
* Hoeveel ruimte moet de huidige situatie in beslag nemen in een PSA?
* Zou op noraonline naast het begrip [[PSA (Project Startarchitectuur)]] niet ook referentiearchitectuur en bijv. productarchitectuur gedefinieerd moeten worden?
* Is de architectuurscope niet vaak groter dan de projectscope?
* De samenhang met andere projecten / programma's hoort ook in een PSA thuis
* Hoe dik of dun je PSA kan zijn is afhankelijk van wat er al als (enterprise) architectuur is beschreven. Idealiter trek je zaken die je in PSA's goed beschrijft naar je enterprise architectuur toe en maakt zo een serie van 'bouwblokken' die je in andere PSA's kunt gebruiken - of er naar verwijzen. Dan heb je uiteindelijk een veel dunner document nodig.
==Oorspronkelijke sessiebeschrijving==
===Hoe NORA-proof is mijn PSA?===
Steeds meer opdrachtgevers weten het al: bij je verandertraject in de eigen organisatie of digitale dienst aan de burger neem je een projectleider in de hand EN een onafhankelijk architect. De projectleider zorgt dat je inderdaad van A naar Beter komt binnen tijd en budget, de architect zorgt dat het eindresultaat ook inderdaad Beter is: ontworpen volgens de laatste inzichten, aansluitend op de omgeving en conform alle relevante wettelijke en kwaliteits-kaders. Het middel daarvoor is de [[PSA (Project Startarchitectuur)]].
Maar hoe zorg je dat dat PSA niet alleen de eigen directe context meeneemt, maar ook de kennis en afspraken op nationaal niveau in de NORA? We laten zien hoe je dat al in 1 uur kunt laten checken.
===Zo stellen we dat vast voor een willekeurige PSA!===
In deze sessie laat een NORA-expert ter plekke zien hoe hij een nog niet eerder door hem bekeken PSA analyseert en waardeert aan de hand van de PSA-instrumenten die de NORA biedt. Denk daarbij aan de [https://www.noraonline.nl/images/noraonline/6/64/ICTU_Handleiding_voor_het_maken_van_een_PSA.pdf PSA handleiding], de [[Principes|Architectuur Principes]], het [[Vijflaagsmodel]] en [[Thema's]].
Een hiertoe aangeleverde PSA wordt van commentaar en adviezen voorzien. Zo concreet, dat je daar in het project direct mee aan de slag kunt!
==Opzet van de sessie==
We beginnen met een korte beschrijving van de ingebrachte PSA's, waarna de aanwezigen ter plekke kiezen welke PSA in deze sessie behandeld gaat worden.
De gekozen PSA brengen we integraal in beeld, waarbij we de expert volgen die het document doorloopt. Hij denkt hardop en geeft zo een kijkje in de keuken van de NORA peer-review. Natuurlijk is er gelegenheid om in de chat vragen te stellen over het hoe en waarom, al zullen die om wille van de tijd mogelijk deels pas na afloop van de sessie kunnen worden beantwoord.
Na de sessie delen we alle commentaren en bevindingen met degene die de PSA heeft aangeleverd. <br />
Vragen en aanvullingen over de methodiek van de NORA review bundelen we en publiceren we na afloop van de NORA Gebruikersweek voor alle deelnemers op noraonline.nl.
===OPROEP - breng zelf een PSA in voor de peer-review===
We dagen jullie uit om zelf een PSA in te brengen, die publiekelijk mag worden gedeeld. Het zou mooi zijn als het gaat om een nog lopend project, zodat de feedback ook echt kan worden gebruikt door de eigen architect om het op een hoger plan te brengen. Maar misschien zijn er andere redenen om een PSA te willen reviewen, bijvoorbeeld wanneer na afloop bleek dat er het een en ander over het hoofd gezien is: had een NORA review dat kunnen voorkomen?
PSA's die niet besproken worden kunnen na afloop van de Gebruikersweek alsnog voor een NORA review worden aangemeld. Maar misschien heeft deelname aan de sessie je belangrijkste vragen al beantwoord - we horen het graag.
Lever je PSA in pdf-format aan via [mailto:nora@ictu.nl?subject=PSA%20voor%20Bring%20Your%20Own%20PSA%20Gebruikersweek&body=Beste%20mensen%20van%20NORA%2C%0AHierbij%20lever%20ik%20een%20PSA%20om%20te%20bespreken%20in%20de%20sessie%20Bring%20Your%20Own%20PSA.%20Ik%20zal%20aanwezig%20zijn%20bij%20de%20sessie%20op%20donderdag%2027%20mei%20%28sessie%201%29%20%2F%20dinsdag%201%20juni%20%2F%20allebei.%0A%0AHet%20PSA%20is%20van%20het%20project%20of%20programma%20.....%2C%20dat%20nog%20van%20start%20gaat%20%2F%20al%20loopt%20%2F%20al%20is%20afgerond.%0AOnze%20belangrijkste%20vragen%20bij%20het%20PSA%20zijn%3A%20%0A%0A%0AMet%20vriendelijke%20groeten%2C%0ANaam%2C%20rol%20t.o.v.%20PSA%2C%20organisatie. nora@ictu.nl], inclusief een korte beschrijving van het project/programma en de belangrijkste vragen die jullie hebben.
NB: Kun je niet deze sessie, maar wil je wel graag meedoen? Deze sessie wordt twee keer aangeboden in de NORA Gebruikersweek, op [[Bring Your Own PSA (sessie 1)|donderdag 27 mei]] en [[Bring Your Own PSA (sessie 2)|dinsdag 1 juni]].
<br>
==Verslag sessie==
Meer informatie:
* [[NORA review]]
* [[NORA review kwaliteitskader]]
In deze intieme sessie konden alle deelnemers (delen van) een eigen PSA laten zien en bespreken. Een aantal inzichten die uit de sessie kwam:
* In een PSA moet veel meer staan als de context nog niet in bijvoorbeeld een enterprise architectuur staat beschreven.
* De betrokkenheid van stakeholders in een PSA is heel belangrijk - niet alleen voor de architect maar als het goed is juist voor de stakeholders zelf.
* PSA's schrijven is een kunst die je door oefenen en reviewen steeds beter onder de knie krijgt. Verschillende reviewers halen verschillende elementen uit een PSA naar voren, waardoor uiteindelijk een completer beeld en document ontstaat.
==Oorspronkelijke sessiebeschrijving==
===Hoe NORA-proof is mijn PSA?===
Steeds meer opdrachtgevers weten het al: bij je verandertraject in de eigen organisatie of digitale dienst aan de burger neem je een projectleider in de hand EN een onafhankelijk architect. De projectleider zorgt dat je inderdaad van A naar Beter komt binnen tijd en budget, de architect zorgt dat het eindresultaat ook inderdaad Beter is: ontworpen volgens de laatste inzichten, aansluitend op de omgeving en conform alle relevante wettelijke en kwaliteits-kaders. Het middel daarvoor is de [[PSA (Project Startarchitectuur)]].
Maar hoe zorg je dat dat PSA niet alleen de eigen directe context meeneemt, maar ook de kennis en afspraken op nationaal niveau in de NORA? We laten zien hoe je dat al in 1 uur kunt laten checken.
===Zo stellen we dat vast voor een willekeurige PSA!===
In deze sessie laat een NORA-expert ter plekke zien hoe hij een nog niet eerder door hem bekeken PSA analyseert en waardeert aan de hand van de PSA-instrumenten die de NORA biedt. Denk daarbij aan de [https://www.noraonline.nl/images/noraonline/6/64/ICTU_Handleiding_voor_het_maken_van_een_PSA.pdf PSA handleiding], de [[Principes|Architectuur Principes]], het [[Vijflaagsmodel]] en [[Thema's]].
Een hiertoe aangeleverde PSA wordt van commentaar en adviezen voorzien. Zo concreet, dat je daar in het project direct mee aan de slag kunt!
===Opzet van de sessie===
We beginnen met een korte beschrijving van de ingebrachte PSA's, waarna de aanwezigen ter plekke kiezen welke PSA in deze sessie behandeld gaat worden.
De gekozen PSA brengen we integraal in beeld, waarbij we de expert volgen die het document doorloopt. Hij denkt hardop en geeft zo een kijkje in de keuken van de NORA peer-review. Natuurlijk is er gelegenheid om in de chat vragen te stellen over het hoe en waarom, al zullen die om wille van de tijd mogelijk deels pas na afloop van de sessie kunnen worden beantwoord.
Na de sessie delen we alle commentaren en bevindingen met degene die de PSA heeft aangeleverd. <br />
Vragen en aanvullingen over de methodiek van de NORA review bundelen we en publiceren we na afloop van de NORA Gebruikersweek voor alle deelnemers op noraonline.nl.
===OPROEP - breng zelf een PSA in voor de peer-review===
We dagen jullie uit om zelf een PSA in te brengen, die publiekelijk mag worden gedeeld. Het zou mooi zijn als het gaat om een nog lopend project, zodat de feedback ook echt kan worden gebruikt door de eigen architect om het op een hoger plan te brengen. Maar misschien zijn er andere redenen om een PSA te willen reviewen, bijvoorbeeld wanneer na afloop bleek dat er het een en ander over het hoofd gezien is: had een NORA review dat kunnen voorkomen?
PSA's die niet besproken worden kunnen na afloop van de Gebruikersweek alsnog voor een NORA review worden aangemeld. Maar misschien heeft deelname aan de sessie je belangrijkste vragen al beantwoord - we horen het graag.
Lever je PSA in pdf-format aan via [mailto:nora@ictu.nl?subject=PSA%20voor%20Bring%20Your%20Own%20PSA%20Gebruikersweek&body=Beste%20mensen%20van%20NORA%2C%0AHierbij%20lever%20ik%20een%20PSA%20om%20te%20bespreken%20in%20de%20sessie%20Bring%20Your%20Own%20PSA.%20Ik%20zal%20aanwezig%20zijn%20bij%20de%20sessie%20op%20donderdag%2027%20mei%20%28sessie%201%29%20%2F%20dinsdag%201%20juni%20%2F%20allebei.%0A%0AHet%20PSA%20is%20van%20het%20project%20of%20programma%20.....%2C%20dat%20nog%20van%20start%20gaat%20%2F%20al%20loopt%20%2F%20al%20is%20afgerond.%0AOnze%20belangrijkste%20vragen%20bij%20het%20PSA%20zijn%3A%20%0A%0A%0AMet%20vriendelijke%20groeten%2C%0ANaam%2C%20rol%20t.o.v.%20PSA%2C%20organisatie. nora@ictu.nl], inclusief een korte beschrijving van het project/programma en de belangrijkste vragen die jullie hebben.
NB: Kun je niet deze sessie, maar wil je wel graag meedoen? Deze sessie wordt twee keer aangeboden in de NORA Gebruikersweek, op [[Bring Your Own PSA (sessie 1)|donderdag 27 mei]] en [[Bring Your Own PSA (sessie 2)|dinsdag 1 juni]].
De plaats waar een gegeven of document voor de eerste keer is vastgelegd +
De BurgerServiceCode is een gedragscode met tien kwaliteitseisen voor de relatie tussen burger en overheid in de moderne (digitale) samenleving. Deze eisen zijn geformuleerd als rechten van burgers en daarbij behorende plichten van overheden. +
Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord. +
Het burgerservicenummer (BSN) is het persoonsnummer voor contacten met de overheid. Dit unieke nummer helpt om bijvoorbeeld persoonsverwisselingen te voorkomen. Iedereen die zich voor het eerst inschrijft bij een gemeente krijgt een BSN. Een pasgeboren kind krijgt bij inschrijving in de BRP pas een BSN. Het BSN staat op het paspoort, rijbewijs en identiteitskaart. +
De gemeente Waddinxveen maakt al jaren gebruik van Cipers/iBurgerzaken van PinkRoccade als applicatie voor burgerzaken. Ook werkt Waddinxveen met de Makelaarsuite van PinkRoccade. De looptijd van deze overeenkomsten gaat eindigen en daarom voert Waddinxveen een aanbestedingsprocedure uit om de komende jaren invulling te geven aan de functionaliteit die deze applicaties momenteel bieden. +
==Objectdefinitie==
Betreft een methode om de mogelijke bedrijfsimpact te bepalen die een organisatie zou kunnen ervaren door een incident, die de functionaliteit van of de informatie in een applicatie in gevaar brengt.
==Objecttoelichting==
Eén van de specifieke activiteiten bij applicatieontwikkeling is het uitvoeren van een BIA. Hierbij wordt vanuit verschillende optieken de doelomgeving geanalyseerd, om op deze manier de juiste requirements voor de te ontwikkelen applicatie te kunnen identificeren en traceren. +
C
A cornerstone of the UN/CEFACT standardisation activities is the Core Component Technical Specification (CCTS). Core Components are the syntax-neutral and technology-independent building blocks that can be used for data modeling. Major benefits of CCTS include improved reuse of existing data artifacts, improved enterprise interoperability, and consistency across vertical industry standards. (bron: wikipedia) +
Binnen de ISOR-pagina’s kom je de term 'CIP-netwerk' tegen als grondslag bij de uitwerking van bepaalde criteria en normen. Deze grondslag wordt gebruikt wanneer voor het betreffende criterium/norm geen onbetwiste aanwijsbare bron uit een best practice als grondslag geadopteerd kan worden. Deze grondslag geeft aan dat de betreffende norm opgesteld is door leden uit de CIP-community die, individueel of in de werkgroepen/schrijfgroepen, hebben bijgedragen aan het opstellen van de betreffende BIO Thema-uitwerking.
Het CIP-netwerk is de community van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]] die kennis deelt en ontwikkelt op het bredere terrein van informatiebeveiliging en privacybescherming. Eén van de kennisproducten van het CIP is de [[ISOR|Information Security Object Repository (ISOR)]], een verzameling van BIO Thema-uitwerkingen ter ondersteuning van organisaties bij de implementatie van de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]].
Meer informatie vind je over de BIO en het CIP op:
* BIO [https://bio-overheid.nl/over-de-bio bio-overheid.nl/over-de-bio]
* CIP [https://cip-overheid.nl/over-cip cip-overheid.nl/over-cip] +
CORA procesmodel uitgebreid met werkprocessen +
CORA update thema applicatiestrategieën +
CSS maakt op een relatief eenvoudige wijze een uniforme opmaak van websites mogelijk.
CSS is een simpel mechanisme om opmaak (bijvoorbeeld lettertypes, kleuren, tussenruimtes) toe te voegen aan web pagina's. Met behulp van één stylesheet kunnen alle pagina's van een website uniform worden opgemaakt. +
CSV-bestanden (Common Format and MIME Type for Comma-Separated Values Files) kunnen in een rekenblad- of een databaseprogramma worden ingelezen en vervolgens op een beeldscherm als tabel worden gepresenteerd.
CSV bestanden bestaan uit regels met informatie waarbij naar ieder los gegeven een komma wordt geplaatst. Het wordt veelgebruikt om gegevens tussen verschillende spreadsheet programma's uit te wisselen en kan ook gebruikt worden op gegevens uit databases over te zetten naar een andere database. +
Synoniem voor '[[Generieke functie (Begrip)]]' +
==Objectdefinitie==
Omvat de bewaking van de belasting van de back-end-implementatie op basis van maximale aantallen en de omvang van berichten per gebruiker per tijdeenheid.
==Objecttoelichting==
Om de continuïteit van de bedrijfsvoering en het voorspelbaar kunnen nakomen van contractuele verplichtingen te garanderen, is een bewaking van de omvang en de aantallen uitgewisselde berichten per afnemer essentieel.
Er zijn veel manieren waarmee de continuïteit van diensten verzekerd kan worden. In alle gevallen geldt dat vooraf gewogen en afgesproken moet worden wat het gewenste serviceniveau is en wat de gevolgen zijn als een afnemer van de diensten geconfronteerd wordt met de melding: ‘Service niet beschikbaar’.
Denial of Service (DoS)- of Distributed Denial of Service (DDoS)-situaties kunnen de continuïteit in hoge mate verstoren. Belangrijk is na te gaan welke maatregelen zijn genomen om deze aanvallen vroegtijdig te signaleren en waar mogelijk af te slaan. +
Met de digitalisering van de Rijksinkoop willen we het voor leveranciers makkelijker maken om zaken met de Rijksoverheid te doen, het voor medewerkers binnen het Rijk eenvoudiger maken om in te kopen en te bestellen, en te beschikken over betere besluitvormings- en verantwoordingsinformatie. Het programma Transitie DigiInkoop is erop gericht het leveranciersportaal en het catalogusplatform binnen de Rijksdienst onder één gemeenschappelijke architectuur te brengen (muv van de wapensysteem gerelateerde inkopen van Defensie) en een aantal uniforme koppelvlakken met de buitenwereld te realiseren zodat er een stevig fundament gelegd wordt voor digitalisering. Hierdoor wordt een betere gegevensuitwisseling tussen Rijksorganisaties onderling en tussen de Rijksoverheid en haar leveranciers mogelijk gemaakt. +
==Objectdefinitie==
Betreft een bewijs, afgegeven door een erkende organisatie, waarmee bevestigd wordt dat huisvesting Informatievoorzieningen (IV) voldoet aan vooraf vastgestelde eisen.
==Objecttoelichting==
Certificering vindt plaats door een certificatie-instelling. Zo bestaan er bijvoorbeeld verschillende [[ISO (International Organization for Standardization)|International Organization for Standardization (ISO)]]-certificaten die door geaccrediteerde certificatie-instellingen worden afgegeven. Klanten eisen steeds vaker dat het certificaat is behaald voordat zij zaken willen doen met de betreffende IV-dienstverlener. Om een ISO-certificaat te kunnen behalen, dient aantoonbaar aan een aantal eisen te zijn voldaan. Om aan een ISO-norm te kunnen voldoen, moeten bijvoorbeeld de werkprocessen in de organisatie inzichtelijk zijn gemaakt en dienen ze beheersbaar en bestuurbaar te zijn. +
De mate waarin gegevensobjecten zijn geïdentificeerd als het juiste objecttype. +
==Objectdefinitie==
Betreft het systematisch indelen in categorieën van de waarde van informatie, om te kunnen bepalen welk niveau van bescherming de te ontwikkelen van applicaties nodig heeft.
==Objecttoelichting==
In [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002 2017]] is gesteld dat een organisatie haar informatie moet classificeren om ervoor te zorgen dat informatie een passend beschermingsniveau krijgt. Hiervoor moet de organisatie een classificatieschema opstellen en dit schema communiceren binnen de organisatie. Een classificatieschema geeft beveiligingsrichtlijnen voor zowel algemene informatiemiddelen als voor informatie in het ontwikkeltraject. Binnen dit thema moet de projectverantwoordelijke dit classificatieschema als input beschikbaar hebben om binnen deze context van de applicatie omgeving te kunnen toepassen. Het classificatieschema beidt specifieke richtlijnen voor het ontwikkeltraject. +
De catalogus met nalevingscriteria voor cloudcomputing (C5) definieert een basisbeveiligingsniveau voor cloudcomputing. Het wordt gebruikt door professionele cloudserviceproviders, auditors en cloudklanten.
Het [[BSI (Bundesamt für Sicherheit in der Informationstechnik)|Bundesamt für Sicherheit in der Informationstechnik (BSI)]] introduceerde C5 voor het eerst in 2016. Sindsdien is de criteriacatalogus snel ontstaan en heeft deze nu een brede marktpenetratie: BSI kent meer dan een dozijn C5-attesten op nationale, Europese en wereldwijde cloudserviceproviders die een breed scala aan cloudservices dekken. Naast grote cloudserviceproviders passen inmiddels ook middelgrote en kleine providers de catalogus toe. De criteriacatalogus ondersteunt klanten bij het selecteren, controleren en monitoren van hun cloudserviceproviders. De bijbehorende rapportages leggen de basis voor een gedegen risicobeoordeling.
In 2019 werd de catalogus grondig herwerkt, aangepast aan nieuwe ontwikkelingen en de kwaliteit verder verhoogd. +
De CCM van [[CSA (Cloud Security Alliance)|Cloud Security Alliance (CSA)]] is samengesteld uit 197 control-doelstellingen die zijn gestructureerd in 17 domeinen die alle belangrijke aspecten van cloudtechnologie omvatten. Het kan worden gebruikt als een hulpmiddel voor de systematische beoordeling van een cloudimplementatie en geeft richtlijnen over welke beveiligingscontroles moeten worden geïmplementeerd door welke actor binnen de cloudtoeleveringsketen. Het controleraamwerk is afgestemd op de CSA-beveiligingsrichtlijnen voor cloudcomputing en wordt beschouwd als een de-facto standaard voor cloudbeveiliging en naleving.
Op 21 januari heeft CSA versie 4 van de Cloud Controls Matrix (CCM) uitgebracht. Dit is een opvolging van CCM V3.0.1. De eerste set toewijzingen van CCM V3.0.1 met [[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|ISO/IEC 27001]] werd uitgebracht in februari 2021. Andere toewijzingen worden later binnen het tijdsbestek van juni tot september vrijgegeven. CSA zal werken aan het creëren van aanvullende mapping naar relevante normen, best practices, wet- en regelgeving (bijvoorbeeld [[NIST SP 800-53 Rev. 5 2020 (Security and Privacy Controls for Information Systems and Organizations)|NIST 800-53 Rev. 5]], ENISA Security Controls for Cloud Services, CIS Controls, PCI-DSS, AICPA TSP). +
Cloud computing is een model voor het mogelijk maken van alomtegenwoordige, handige, on-demand netwerktoegang tot een gedeelde pool van configureerbare computerbronnen (bijvoorbeeld netwerken, servers, opslag, applicaties en diensten) die snel kunnen worden geleverd en vrijgegeven met een minimale beheersinspanning of interactie met de serviceprovider. +
==Objectdefinitie==
Omvat het plan van handelen van de CSP waarmee zijn beveiligingsdoelstellingen voor de clouddienstenlevering kunnen worden gerealiseerd.
==Objecttoelichting==
Organisaties staan voor de vraag, welke clouddiensten ze moeten verwerven en waar en hoe ze deze veilig kunnen inzetten. Hiervoor moeten de IT-stakeholders van Cloud Service Providers (CSC’s) een beslissingsraamwerk ontwikkelen, waarmee systematisch de mogelijke scenario’s kunnen worden onderzocht. Dit raamwerk richt zich met name op typen applicaties en technische karakteristieken. Een strategie omvat uitspraken over de doelstellingen bij de inzet van de clouddiensten die de organisatie wil nastreven en de wegen waarlangs of de wijze waarop dit moet plaatsvinden.
Om CSC’s te kunnen bedienen, heeft de CSP vanuit haar eigen optiek een cloudbeveiligingsstrategie ontwikkeld. Deze strategie geeft de CSC’s voldoende mogelijkheden om hun cloud-strategie te relateren aan de strategie van een specifieke CSP. Dit biedt de CSC de mogelijkheid om haar keuzes bij te stellen dan wel aanvullende eisen aan de CSP te stellen. +
==Objecten, controls en maatregelen==
De onderwerpen die specifiek voor clouddiensten in het beleidsdomein een rol spelen, zijn in afbeelding 'Overzicht objecten voor clouddiensten in het beleidsdomein' vermeld. Is een objectblok geel gekleurd, dan komt de bijbehorende control voor in de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. Betreft het een wit gemarkeerd objectblok, dan heeft de BIO geen control gedefinieerd, maar is dit object wel noodzakelijk voor deze BIO Thema-uitwerking.
[[Afbeelding:BIO Thema Clouddiensten - Beveiligingsobjecten uitgewerkt voor het Beleidsdomein ingedeeld naar IFGS invalshoeken.png|thumb|none|500px|Overzicht objecten voor clouddiensten in het beleidsdomein|alt=”Beveiligingsobjecten uitgewerkt voor het Beleidsdomein ingedeeld naar IFGS invalshoeken”]]
Per specifiek beveiligingsobject worden de control (hoofdnorm) en maatregelen (sub-normen) beschreven (zie [[ISOR:BIO Thema Clouddiensten Beleid#Principes uit de BIO Thema Clouddiensten binnen dit aspect|Principes uit de BIO Thema Clouddiensten binnen dit aspect]] en [[ISOR:BIO Thema Clouddiensten Beleid#Normen uit de BIO Thema Clouddiensten binnen dit aspect|Normen uit de BIO Thema Clouddiensten binnen dit aspect]]). +
==Objecten, controls en maatregelen==
Afbeelding Overzicht objecten voor clouddiensten in het control-domein geeft de onderwerpen weer die specifiek voor het control-domein een rol spelen. Is een objectblok blauw gekleurd, dan komt de bijbehorende control voor in de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. Betreft het een wit gemarkeerd objectblok, dan heeft de BIO geen control gedefinieerd, maar is dit object wel noodzakelijk voor deze BIO Thema-uitwerking.
[[Bestand:BIO Thema Clouddiensten - Beveiligingsobjecten uitgewerkt voor het Uitvoeringsdomein ingedeeld naar IFGS invalshoeken.png|thumb|none|500px|Overzicht objecten voor clouddiensten in het control-domein|alt=”Beveiligingsobjecten uitgewerkt voor het Control domein-ingedeeld naar de invalshoeken”]]
De objecten, voor clouddiensten, die specifiek binnen het control-domein een rol spelen, zijn in de overeenkomstige controls uitgewerkt (zie de tabel in [[ISOR:BIO Thema Clouddiensten Control#Principes uit de BIO Thema Clouddiensten binnen dit aspect|Principes uit de BIO Thema Clouddiensten binnen dit aspect]]). +
==Objecten, controls en maatregelen==
Afbeelding 'Overzicht objecten voor clouddiensten in het uitvoeringsdomein' geeft de objecten weer die specifiek voor het uitvoeringsdomein een rol spelen. Is een objectblok oranje gekleurd, dan komt de bijbehorende control voor in de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. Betreft het een wit gemarkeerd objectblok, dan heeft de BIO geen control gedefinieerd, maar is dit object wel noodzakelijk voor deze BIO Thema-uitwerking.
[[Bestand:CLD Overzicht objecten voor clouddiensten in het uitvoeringsdomein.png|thumb|none|500px|Overzicht objecten voor clouddiensten in het uitvoeringsdomein |alt=”Beveiligingsobjecten uitgewerkt voor het Uitvoeringsdomein ingedeeld naar IFGS invalshoeken”]] +
==Objectdefinitie==
Betreft een modelmatige beschrijving van een technische en organisatorische samenhang, waarin de Cloud Service Provider (CSP) de relaties tussen de onderdelen van de clouddiensten en de ondersteuning van de Cloud Service Consumer (CSC) vastlegt.
==Objecttoelichting==
In de clouddienstenarchitectuur legt de CSP de functionele relaties vast tussen IT-componenten in de gehele keten van de CSC en de CSP. Deze architectuur beschrijft hoe de IT-componenten moeten worden ingericht zodat ze de bedrijfsprocessen van de CSC ondersteunen. +
==Objectdefinitie==
Betreft een modelmatige beschrijving van een technische en organisatorische samenhang, waarin de Cloud Service Provider (CSP) de relaties tussen de onderdelen van de clouddiensten en de ondersteuning van de Cloud Service Cosnumer (CSC) vastlegt.
==Objecttoelichting==
In de clouddienstenarchitectuur legt de CSP vast hoe de IT-functionaliteiten aan elkaar gerelateerd zijn en hoe zij onderling samenhangen. Uit de clouddienstenarchitectuur wordt duidelijk hoe IT-functionaliteiten de bedrijfsprocessen van de CSC ondersteunen. +
==Objectdefinitie==
Omvat beleidsuitgangspunten en de wijze waarop, in welk tijdbestek en met welke middelen, de beveiligingsdoelstellingen voor clouddiensten bereikt moeten worden.
==Objecttoelichting==
Het onderwerp clouddiensten moet een specifiek onderdeel zijn van het informatiebeveiligingsbeleid van de Cloud Service Consumer (CSC). Een CSC kan ook kiezen voor een specifiek clouddienstenbeleid, waarbij in de informatiebeveiligingsparagraaf het algemene informatiebeveiligingsbeleid specifiek voor clouddiensten wordt uitgewerkt of ingevuld. Het beleid zal uitgangspunten moeten bevatten over de wijze waarop, binnen welk tijdsbestek en met welke middelen clouddiensten de doelstellingen moeten bereiken. In dit beleid zal ook aandacht moeten worden besteed aan archiveringsbeleid, cryptografiebeleid, certificering en verklaringen.
Om de CSC te kunnen bedienen, zal de Cloud Service Provider (CSP) vanuit haar eigen optiek een cloud-beveiligingsbeleid hebben ontwikkeld. Dit beleid geeft de CSC mogelijkheden om haar cloud-beleid te relateren aan de strategie van de CSP en biedt de CSC de mogelijkheid om de keuzes bij te stellen dan wel aanvullende eisen aan de CSP te stellen. +
Dit is het Coalitieakkoord van 2021 – 2025, zoals opgesteld door de coalitiepartijen VVD, D66, CDA en ChristenUnie. +
De Code goed openbaar bestuur beschrijft hoe een overheidsbestuur hoort te werken. Zo weten burgers wat zij van de overheid kunnen verwachten. Bijna alle besturen van het Rijk, provincies, gemeenten, waterschappen en politie werken via de code goed openbaar bestuur. +
==Objectdefinitie==
Betreft het transport van gegevens van en naar het softwarepakket.
==Objecttoelichting==
Om getransporteerde gegevens te beschermen, moeten deze worden beveiligd met een voldoende sterke beveiligingsmethode.
==Schaalgrootte==
Elke schaalgrootte.
==Voor wie==
Leverancier. +
==Objecten, controls en maatregelen==
Onderstaande afbeelding is het resultaat van de [[SIVA-methodiek|SIVA-analyse]] op relevante objecten voor het informatievoorzieningsbeleid. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Het wit ingekleurde object ontbreekt als control in de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] maar is wel cruciaal voor deze BIO Thema-uitwerking. Het geeft een overzicht en de ordening van objecten. Voor de identificatie van de objecten en de ordening is gebruik gemaakt van basiselementen (zie de grijs gemarkeerde tekst) ingedeeld naar de [[Alle invalshoeken|invalshoek: Intentie, Functie, Gedrag of Structuur]].
[[Bestand:CVZ Overzicht objecten voor communicatievoorzieningen in het beleidsdomein.png|thumb|none|500px|Overzicht objecten voor communicatievoorzieningen in het beleidsdomein|alt=”Overzicht communicatievoorzieningenobjecten in het beleidsdomein”]] +
==Objecten, controls en maatregelen==
Onderstaande afbeelding is het resultaat van de [[SIVA-methodiek|Structuur, Inhoud, Vorm en Analysevolgorde (SIVA)-analyse]] op relevante objecten voor netwerk-control. Beheersing van netwerk(diensten) beoogt de beveiligingsrisico’s te beperken. Hiertoe dienen periodiek door bepaalde functionarissen met specifieke bevoegdheden controleactiviteiten te worden verricht. Deze activiteiten dienen ondersteund te worden met procedures en richtlijnen (instructies). De structuur van de beheersingsorganisatie beschrijft de samenhang van de ingerichte processen.
[[Afbeelding:Thema Communicatievoorzieningen - Onderwerpen die binnen het Controldomein een rol spelen.png|thumb|none|500px|Overzicht objecten voor communicatievoorzieningen in het control-domein|alt=”Onderwerpen die binnen het Control-domein een rol spelen”]] +
==Objecten, controls en maatregelen==
Per object zijn controls en maatregelen opgenomen die risico’s kunnen reduceren (zie [[ISOR:BIO Thema Communicatievoorzieningen Uitvoering#Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspect|Hoofdstuk Normen uit de BIO Thema Communicatievoorzieningen binnen dit aspect]]). Voor de implementatie wordt verwezen naar de zes uitvoeringskaders van de ISO 27033 en het [[Beveiliging|Nederlandse Overheid Referentie Architectuur (NORA)-thema Beveiliging]].
In de onderstaande afbeelding zijn de essentiële beveiligingsobjecten voor communicatievoorzieningen weergegeven in de kolommen: [[Alle invalshoeken|Intentie, Functie, Gedrag en Structuur]]. Voor het wit ingekleurde object heeft de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] geen control gedefinieerd. Deze objecten zijn voor een groot deel afkomstig uit de ISO 27033 deel 1 t/m 6.
[[Afbeelding:Thema Communicatievoorzieningen - Onderwerpen die binnen het Uitvoeringdomein een rol spelen.png|thumb|none|500px|Overzicht objecten voor communicatievoorzieningen in het uitvoeringsdomein|alt=”Onderwerpen die binnen het Uitvoering domein een rol spelen”]] +
Bijeenkomst van de [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)]]. +
Bijeenkomst van de [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)]]. +
Bijeenkomst van de [[architectuur-community Toezicht Inspectie Opsporing Handhaving (@TIOH)]]. +
Community Beginnend Overheidsarchitecten - Komende bijeenkomst Modellering en terugblik bijeenkomst Storytelling +
Community Beginnend Overheidsarchitecten - Komende bijeenkomst Modellering en terugblik bijeenkomst Storytelling +
Bijeenkomst van de community Beginnend overheidsarchitecten +
Bijeenkomst van de community Beginnend overheidsarchitecten +
Deze sessie is een vervolg op het gesprek van de vorige keer over hoe je als architect het gesprek met niet-architecten voert zodat je werk ook impact heeft. Pleuni Niessing ([https://www.linkedin.com/in/pleuni-niezing-bergsma-4927739/ LinkedIn Profiel]) verzorgt vanuit het Waterschapshuis een interactieve workshop Storytelling, die is afgestemd op de behoeften van overheidsarchitecten. +
Bijeenkomst van de community Beginnend overheidsarchitecten +
Tijdens deze bijeenkomst van de community Beginnend overheidsarchitecten kijken we terug op het afgelopen jaar. Welke onderwerpen zijn de revue gepasseerd en wat is er allemaal bijgebleven. Denk daarbij aan storytelling, tekenen of modelleren en idEA.
Vooruit kijken we ook: welke onderwerpen spelen er momenteel en waar willen we meer over weten. +
Bijeenkomst van de community Beginnend overheidsarchitecten +
Bijeenkomst van de community Beginnend overheidsarchitecten +
Bijeenkomst van de community Beginnend overheidsarchitecten +
Start Software voor data op het web community +
Software voor data op het web community meeting +
Community van beginnend overheidsarchitecten krijgt vervolg +
De mate waarin gegevens aanwezig zijn. +
==Objectdefinitie==
Betreft de besturing op het voldoen aan de geldende wet- en regelgeving, beleid, richtlijnen en procedures en de onafhankelijke toetsing op de naleving hiervan.
==Objecttoelichting==
Met compliance wordt aangeduid dat de Cloud Service Provider (CSP) werkt conform de geldende wet- en regelgeving en het uitgestippeld cloud-beveiligingsbeleid. Aan de Cloud Service Consumer (CSC) wordt zekerheid geboden over het beoogde beveiligingsniveau van de aangeboden clouddienst. Hiervoor zal de CSP een compliance-functie moeten hebben ingericht die het management van de CSP bijstaat bij het in control houden van de CSP-organisatie om te werken volgens de geldende wet- en regelgeving en het overeengekomen beveiligingsbeleid.
Assurance is zekerheid geven over de naleving van wet- en regelgeving door een onafhankelijke toetsing. Daarmee wordt aan de CSC zekerheid geboden van het beoogde beveiligingsniveau van de aangeboden clouddienst. Dit vindt plaats met een assurance-rapportage. +
==Objectdefinitie==
Betreft een besturingsproces voor het voldoen aan de geldende wet- en regelgeving, beleid overeenkomsten en andere verplichtingen in de organisatie voor softwareontwikkeling.
==Objecttoelichting==
Compliance-management richt zich op het naleven van de verplichtingen die voortkomen uit wet- en regelgeving en door de organisatie overeengekomen beleid, richtlijnen, standaarden en architectuur. Vanuit de optiek van de functionele en technische beveiligingseisen voor software is het van belang om met een compliance-managementproces vast te stellen in welke mate de gerealiseerde software voldoet aan de verplichtingen die voorvloeien uit wet- en regelgeving en uit vooraf overeengekomen beleid, architectuur, standaarden en contracten. +
==Objectdefinitie==
Betreft een periodieke toetsing op de naleving van het beveiligingsbeleid voor netwerkdiensten.
==Objecttoelichting==
In de praktijk is het noodzakelijk gebleken om regelmatig te toetsen of de beoogde beveiliging van de netwerkvoorzieningen nog conform het actuele beveiligingsbeleid functioneert. Het accent ligt hier op de naleving van het beleid. Periodiek dienen zowel de organisatorische als technische aspecten van de maatregelen, zoals: de taken en verantwoordelijkheden, de beschikbaarheid van voldoende technische middelen etc., beoordeeld te worden. Als resultaat dient hierover een rapportage van bevindingen aan het management te worden uitgebracht. +
Een van de vier typen modellen zoals gedefinieerd in het [[MIM (Metamodel voor informatiemodellen)]]. +
Eenmalige verstrekking naar aanleiding van een relevante wijziging op de persoonslijst, bijvoorbeeld ‘persoon is geëmigreerd'. +
==Objectdefinitie==
Betreft het voor de gewenste eigenschappen instellen van systeemfuncties.
==Objecttoelichting==
De leverancier is op basis van een overeenkomst en middlewarebeleid verantwoordelijk voor het configureren van middlewarecomponenten, bedoeld voor storage, archivering, back-up, herstel en integratieservices. Leveranciers zullen op dit gebied ook de noodzakelijke trainingen moeten verzorgen. +
Congres Zaakgericht werken voor de Overheid 2018: Connect! +
Congres Zaakgericht werken voor de Overheid op 1 oktober 2019 +
In de dienstverlening aan onze klanten gebruiken we, als overheidsinstellingen, verschillende kanalen. We informeren klanten via de website, verstrekken in persoon informatie aan een balie of via de telefoon, we beslissen op de aanvraag van de klant met een gemotiveerde beschikking en we verstrekken onze ketenpartner informatie of gegevens als hij deze bij ons (als bron) komt halen. Het behoeft eigenlijk geen betoog dat het niet uit mag maken via welk kanaal een vraag wordt gesteld: het antwoord dat wordt gegeven moet in alle gevallen hetzelfde zijn. +
De mate waarin gegevens vrij van tegenspraak zijn en samenhang vertonen met andere gegevens. +
Is in de wet/regelgeving/beleid/regels van het domein hetzelfde begrip steeds met dezelfde betekenis gebruikt? +
Consultaties standaarden voor betere gegevensuitwisseling en veiliger internet +
Contacten gezocht om de toepasbaarheid van de nieuwe NORA Architectuurprincipes te toetsen bij grote overheidsprogramma's of projecten +
Contacten gezocht om de toepasbaarheid van de nieuwe NORA Architectuurprincipes te toetsen bij grote overheidsprogramma's of projecten +
Bij de beschrijving van het begrip uitlegbaar bij het principe [[Uitlegbaar]] werd al duidelijk dat uitlegbaarheid soms betekent de uitleg in één concrete zaak betekent en soms de uitleg in het algemeen.<br />
Deze context is sterk bepalend voor het taalgebruik en het abstractieniveau van de uitleg. De invloed is zo groot dat vrijwel alle gerelateerde aspecten afhankelijk van deze context anders belicht moeten worden. <br />
Deel van de context is uiteraard ook wat er bekend is over de lezer/ontvanger van de uitleg: taalniveau, kanaal waarvan gebruik wordt gemaakt etc. +
==Objectdefinitie==
Betreft een instandhoudingsproces voor alle activiteiten om de continuïteit van de te leveren huisvesting Informatievoorzieningen (IV)-diensten te waarborgen.
==Objecttoelichting==
Bedrijfscontinuïteit is het vermogen van de organisatie, om na een verstorend incident, producten of diensten te blijven leveren op acceptabele, vooraf vastgestelde niveaus. Bedrijfscontinuïteitsmanagement (BCM) is het proces waarmee bedrijfscontinuïteit bereikt wordt en gaat over het voorbereiden van een organisatie op het afhandelen van verstorende incidenten die anders zouden kunnen verhinderen haar doelstellingen te bereiken. Dit om de continuïteit binnen de afgesproken grenzen bij storingen en calamiteiten te waarborgen/het vereiste niveau van beschikbaarheid te kunnen waarborgen.
Continuïteitsbeheer, ook bekend als een Bedrijfscontinuïteitsmanagementsysteem (BCMS), is genormeerd en beschreven in de [[NEN-EN-ISO 22313:2020 (Richtlijnen voor het gebruik van ISO 22301)|NEN-EN-ISO 22313: Managementsystemen voor bedrijfscontinuïteit (business continuity management systems)]].
In de context van huisvesting IV richt BCMS zich onder andere op de beschikbaarheid van data en bedrijfsfuncties vanuit applicaties en de onderliggende infrastructuur en netwerk op de lange termijn. In het control-domein gaat het om de vraag of voldoende maatregelen genomen zijn om te zorgen dat na een calamiteit huisvesting IV-services weer zo snel mogelijk hersteld kunnen worden.
Samengevat, continuïteitsbeheer:
* stelt plannen op, en onderhoudt deze, om voorbereid te zijn om na het zich voordoen van een calamiteit, zo snel mogelijk over te kunnen schakelen op noodvoorzieningen en daarna op een gestructureerde wijze terug te keren naar een (herbouwde) stabiele omgeving.
* heeft noodvoorzieningen achter de hand om de belangrijkste activiteiten zo snel mogelijk weer op te starten (uitwijk).
* is in staat om, na herstel van de oorspronkelijke omgeving, gestructureerd terug te gaan naar een situatie zoals die was voor het uitbreken van de calamiteit (‘business as usual’).
==Objectdefinitie==
Betreft de besturing en het beheer van de overeenkomsten tussen de klant en leverancier.
==Objecttoelichting==
Wanneer de ontwikkeling en/of het beheer over de gehele of een deel van huisvesting Informatievoorzieningen (IV) wordt uitbesteed, moeten de functionele en beveiligingseisen in een overeenkomst tussen beide partijen worden vastgelegd, zoals in een contract en/of Service Level Agreement (SLA). Deze overeenkomst moet garanderen dat er geen misverstanden bestaan tussen de beide partijen. +
==Objectdefinitie==
Betreft systematisch ontwikkelde aanbevelingen voor het periodiek evalueren van het opgelegde beleid van huisvesting IV op de actualiteitswaarde.
==Objecttoelichting==
Binnen huisvesting IV bevinden zich verschillende bedrijfsmiddelen. Periodiek dient een functionaris met specifieke bevoegdheden controle-activiteiten op de bedrijfsmiddelen te verrichten. Hierdoor kunnen eventuele gebreken tijdig worden vastgesteld en de noodzakelijke maatregelen worden getroffen. Deze activiteiten moeten ondersteund worden met richtlijnen, procedures en instructies, anders bestaat het risico dat de resultaten van de controle-activiteiten niet voldoen aan de verwachte eisen. De beheerorganisatiestructuur geeft de samenhang van de ingerichte processen weer. +
Het converteren/omzetten van bij KVK gedeponeerde originele 'papieren' jaarrekeningen, in pdf, volgens een voorgeschreven richtlijn, naar een formaat van standaard jaarrekeningen (CSV bestand). +
==Objectdefinitie==
Betreft een coderingstechniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie.
==Objecttoelichting==
Cryptografie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie. Een solide cryptografiebeleid is daarbij een randvoorwaarde om de vertrouwelijkheid van informatie te kunnen garanderen. Met dit beleid geeft de organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten voor versleuteling van gegevens.
==Schaalgrootte==
Groot.
==Voor wie==
Klant. +
==Objectdefinitie==
Betreft een coderingstechniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie.
==Objecttoelichting==
Encryptie is een techniek om informatie te beschermen vanuit het oogpunt van vertrouwelijkheid, authenticiteit, onweerlegbaarheid en authenticatie. Voor toegangsbeveiliging is het van cruciaal belang dat de geheime authenticatie-informatie, zoals wachtwoorden en pincodes, worden beschermd tijdens de verwerking, het transport en de opslag. Een solide encryptiebeleid is daarbij een randvoorwaarde om aan geheime authenticatie-informatie het gewenste vertrouwen te ontlenen. Met dit beleid geeft de organisatie aan op welke wijze het omgaat met voorzieningen, procedures en certificaten voor versleuteling van gegevens. +
==Objectdefinitie==
Betreft het resultaat van een besluitvorming over geldende afspraken gericht op de toepassing van cryptografie binnen netwerken en communicatieservices.
==Objecttoelichting==
In de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002 2017]] worden voor communicatievoorzieningen de volgende principes expliciet genoemd:
* het, met inbegrip van methoden voor het beveiligen van de toegang op afstand, beschikbaar stellen van passende communicatievoorzieningen;
* tijdens hun gehele levenscyclus dient beleid te worden ontwikkeld en geïmplementeerd ter bescherming van informatie en voor de bescherming, het gebruik en de levensduur van cryptografische beheersmaatregelen (zoals cryptosleutels). +
==Objectdefinitie==
Betreft IT-services voor de versleuteling van het netwerkverkeer, die op meerdere lagen van het Open Systems Interconnection (OSI)-model kunnen voorkomen.
==Objecttoelichting==
Cryptografische services van communicatievoorzieningen zijn beheersmaatregelen ter bescherming van de integriteit en vertrouwelijkheid van gegevens. Cryptografie wordt behalve voor de versleuteling van informatie (zonering) ook gebruikt voor de authenticatie en autorisatie van gegevens en netwerkconnecties. Cryptografische services voor de communicatie met partners en burgers maken gebruik van Public-Key-Infrastructure (PKI)-middelen, zoals de aan certificaten gebonden private en publieke sleutels.
De [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002 2017]] normeert het beleid voor cryptografie en sleutelbeheer. De ‘pas-toe-en-leg-uit’-lijst van het [[Forum Standaardisatie|Forum Standaardisatie]] benoemt passende beheersmaatregelen. +
==Objectdefinitie==
Omvat technische functies voor het versleutelen en ontsleutelen van data, het maken van elektronische handtekeningen en het kunnen toepassen van versterkte authenticatie.
==Objecttoelichting==
De technische functies voor versleuteling en ontsleuteling van data, elektronische handtekening en versterkte authenticatie, al dan niet via Public-Key-Infrastructure (PKI)-technologie. Sleutelbeheer is een onderdeel van cryptoservices. Desgewenst kan de Cloud Service Consumer (CSC) in haar Programma van Eisen (PvE), de crypto-eisen van het [[AIVD (Algemene Inlichtingen- en Veiligheidsdienst)#Businessunit Nationaal Bureau Verbindingsbeveiliging (NBV)|Nationaal Bureau Verbindingsbeveiliging (NBV)]] specificeren.
NB: Er volgt een object ‘Cryptobeleid’ waarin beleidsmaatregelen over cryptoservices is opgenomen AP WTJV. +
De Cyber Resilience Act (CRA) is een voorstel voor een verordening betreffende beveiligingsvereisten voor producten met digitale elementen en moet zorgen voor meer veilige hard- en softwareproducten. +
Het Cybersecurity Framework (CSF) Version 1.1 van de [[NIST (National Institute of Standards and Technology)|NIST]] bestaat uit een vijftal documenten:
# Letter to Stakeholders
# Framework V1.1 (PDF)
# Framework V1.1 (PDF) with markup
# Framework V1.1 Core (Excel)
# Framework V1.1 Downloadable Presentation
Het CSF is bedoeld voor de verbetering van de cyberbeveiliging van kritieke infrastructuur (kader). Te midden van andere verfijningen en verbeteringen, biedt het document een meer uitgebreide
behandeling van identiteitsbeheer en aanvullende beschrijving van het beheer van de toeleveringsketen
cyberbeveiliging.
Versie 1.1 van april 2018 vervangt het Cybersecurity Framework Version 1.0 van februari 2014. +
Wet beveiliging netwerk- en informatiesystemen (cybersecuritywet). +
Een proces met een vast en regelmatig terugkerend patroon. +
D
DHCP maakt het mogelijk om automatisch netwerkadressen toe te wijzen aan hosts en maakt het bijvoorbeeld ook mogelijk om de netwerkadressen van DNS server mee te sturen.
Het DHCP protocol specificeert een framework dat het mogelijk maakt om configuratie-informatie door te sturen naar hosts op een TCP/IP netwerk. +
Eind november 2018 was er geen (actuele) beleidsvisie op de wenselijkheid van eenmalig inloggen. DigiD eenmalig inloggen wordt op dit moment ook niet (meer) actief gestimuleerd bij dienstaanbieders en onder de aandacht gebracht bij gebruikers.<br>
Maar ondertussen is daar vanuit GO een Generieke Functie voor beschreven: [[Faciliteren van eenmalig inloggen]] +
DKIM (DomainKeys Identified Mail Signatures) koppelt een e-mail aan een domeinnaam met behulp van een digitale handtekening. Het stelt de ontvanger in staat om te bepalen welke domeinnaam (en daarmee welke achterliggende organisatie) verantwoordelijk is voor het zenden van de e-mail. Daardoor kunnen spam- en phishing-mails beter worden gefilterd. +
DNS is kwetsbaar waardoor een kwaadwillende een domeinnaam kan koppelen aan een ander IP-adres ("DNS spoofing"). Gebruikers kunnen hierdoor bijvoorbeeld worden misleid naar een frauduleuze website. Domain Name System Security Extensions (DNSSEC) lost dit op.
DNSSEC is een cryptografische beveiliging die een digitale handtekening toevoegt aan DNS-informatie. Op die manier wordt de integriteit van deze DNS-informatie beschermd. Aan de hand van de digitale handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) controleren of een gegeven DNS-antwoord authentiek is en afkomstig is van de juiste bron. Zodoende is met grote waarschijnlijkheid vast te stellen dat het antwoord onderweg niet is gemanipuleerd. +
Het gegevenswoordenboek van DUO vormt sinds 2008 de semantische kern van wettelijke uitvoeringstaken in het onderwijs. Registraties en uitwisselingen tussen DUO, onderwijsinstellingen en andere uitvoeringsorganisaties kunnen worden geduid aan de hand van dit gegevenswoordenboek. Hergebruik is de regel. Modellen voor registraties en uitwisselingen kunnen gebruik maken van dezelfde elementen uit het gegevenswoordenboek. Het gegevenswoordenboek van DUO is gepubliceerd als linked data api. +
DUTO is een raamwerk waarmee overheidsorganisaties kunnen bepalen welke passende maatregelen ze moeten nemen voor de duurzame toegankelijkheid van hun informatie. DUTO is een norm die is bedoeld voor alle informatieprofessionals die betrokken zijn bij het ontwerpen, kopen, bouwen, inrichten en/of aanpassen van informatiesystemen. +
De Data Act (Dataverordening) regelt eerlijke toegang tot en eerlijk gebruik van gegevens. +
Data bieden enorme kansen. Tegelijkertijd roept het gebruik van data nieuwe vragen op. Deze Data Agenda Overheid gaat over datagebruik in de samenleving en maakt werk van goed en verantwoord datagebruik door de overheid. +
De Data Governance Act (DGA, wet inzake datagovernance) beoogt het vertrouwen in de gegevensuitwisseling te vergroten, mechanismen te versterken om de beschikbaarheid van gegevens te vergroten en technische belemmeringen voor het hergebruik van gegevens uit de weg te ruimen. +
Integratiefuncties van middleware maken het mogelijk om berichten uit brondata samen te stellen en deze berichten met verschillende doelsystemen binnen de eigen organisatie of met andere organisaties uit te wisselen. Daarbij kunnen berichten met middlewarefuncties worden geaggregeerd en getransformeerd tot nieuwe data, bijvoorbeeld als input voor basisregistraties. Belangrijk is dat organisaties zich bewust zijn van deze mogelijkheden voor dataverwerking en daar beleid over formaliseren. Als brondata persoonsgebonden informatie bevat, dan is speciale aandacht voor privacy (waaronder de AVG-bepalingen) noodzakelijk. +
Een dienst die specifiek is gericht op het uitwisselen van gegevens. +
BVEB wil een partij contracteren voor het ontwikkelen, implementeren, beheren, onderhouden en doorontwikkelen van een datadistributiesysteem. +
==Objectdefinitie==
Betreft het herstellen van data na een technische uitval of de vernietiging van opslagsystemen.
==Objecttoelichting==
Tijdens de normale bedrijfsvoering kunnen (opslag)systemen uitvallen en de opgeslagen data kan verminkt worden door een defect of door andere oorzaken. Daarvoor dient een betrouwbare storage-architectuur inherente mogelijkheden te bieden voor herstel van de data. Een bekende methode is back-up en herstel.
Bij grote informatiesystemen is de traditionele back-up en herstel vaak niet meer toepasbaar en wordt de data van uitgevallen elementen hersteld, gebruikmakend van andere methoden zoals mirroring, Redundant Array of Independent Disks (RAID), Journaling-technologie of combinaties daarvan.
Wanneer opslagsystemen uitvallen als gevolg van calamiteiten, waarbij de normale bedrijfsvoering van de leverancier niet meer mogelijk is, zijn zogenaamde Disaster Recovery (DR) methodieken nodig en andere maatregelen, bestuurd vanuit bedrijfscontinuïteitsmanagement. Ook uitwijkscenario’s zijn toegepaste oplossingen voor herstel van data en bedrijfsprocessen nadat een calamiteit is opgetreden.
Bij de uitwijk-oplossing worden systemen en hun dataopslag op een alternatieve fysieke locatie hersteld. Voor bedrijfscontinuïteit hanteren we in de BIO-thema’s de eisen en begrippen zoals die genormeerd zijn in ISO 22301 2019 Security and resilience. +
Gegevenswoordenboek over alle gebouwde objecten. Allereerst wordt een toelichting gegeven op de gebruikte terminologie bij de gegevensspecificaties. Vervolgens wordt het gebouwde object gedefinieerd waarop de DataLand-gegevens betrekking hebben. Daarna wordt elk DataLand-gegeven gespecificeerd. Kenmerkend daarvoor is dat DataLand per gegeven, uitzonderingen daargelaten, een voorkeur-specificatie kent en tevens één of meer alternatieve specificaties onderkent. +
==Objectdefinitie==
Betreft het beschermen van de vertrouwelijkheid en integriteit van (Cloud Service Consumer) CSC-data.
==Objecttoelichting==
Data ‘op transport’ zijn bedrijfsgegevens die via de clouddienst, met de Cloud Service Provider (CSP) worden uitgewisseld. Data ‘in verwerking’ betreft gegevens die worden bewerkt. Data ‘in rust’ betreft gegevens die voor korte of langere tijd zijn opgeslagen (bij de CSP). Aan deze drie situaties stelt de overheid strenge eisen.
Voor het toepassen van publieke clouddiensten geldt voor de Rijkdiensten dat een Secretaris Generaal vooraf toestemming verleent voor het in de publieke cloud verwerken van Basis BeveiligingsNiveau (BBN) 2-gerubriceerde informatie. Deze eis geldt ook voor persoonsgegevens. +
==Objectdefinitie==
Omvat het bewaren en gecontroleerd wissen of vernietigen van Cloud Service Consumer (CSC)-data.
==Objecttoelichting==
Dataretentie betreft het duurzaam en technologieonafhankelijk opslaan en archiveren van data, waarbij de integriteit en leesbaarheid van de data gedurende de gehele bewaartijd niet wordt aangetast. (Persoons)gegevens moeten zodra ze niet meer benodigd zijn of aan het eind van de bewaartermijn worden gewist of vernietigd. Na de bewaarperiode moet de data teruggaan naar de CSC, naar een andere door de CSC te bepalen Cloud Service Provider (CSP) of te worden gewist/vernietigd. +
==Objectdefinitie==
Betreft het duurzaam isoleren van Cloud Service Consumer (CSC)-data van andere CSC’s.
==Objecttoelichting==
Het isoleren van de data (in bewerking of in rust) van de CSC, van alle data van de Cloud Service Provider (CSP) en van de data van andere CSC’s. Duurzame scheiding van CSC-data en van de data van andere bedrijven (secure multi-tenancy), zowel tijdens transport, in bewerking als opslag, is randvoorwaardelijk voor het afnemen van veilige clouddiensten. +
Webservice voor het opvragen van gegevens betreffende de inschrijving van de onderneming, waaronder rechtspersoon, maatschappelijke activiteit, handelsnamen, vestigingen en functionarissen. Twee versies: ‘Inschrijving’ en ‘Inschrijving In het kort’, de laatste bevat een kleinere gegevensset (onder meer geen functionarissen, geen vestigingen).
* [http://www.kvk.nl/producten-bestellen/handelsregister-dataservice/dataservice-inschrijving/ KvK productpagina Dataservice Inschrijving]
* [http://www.kvk.nl/producten-bestellen/handelsregister-dataservice/dataservice-inschrijving-in-het-kort/ KvK productpagina Dataservice Inschrijving In het kort] +
Webservice voor het opvragen van vestigingsgegevens. Twee versies, ‘Vestiging’ en ‘Vestiging in het kort’, de laatste bevat een kleinere gegevensset.
* [http://www.kvk.nl/producten-bestellen/handelsregister-dataservice/dataservice-vestiging/ KvK productpagina Dataservice Vestiging]
* [http://www.kvk.nl/producten-bestellen/handelsregister-dataservice/dataservice-vestiging-in-het-kort/ KvK productpagina Dataservice Vestiging In het Kort] +
De mate waarin objecten waarvan het bestaan bekend is aanwezig zijn. +
De standaard definieert een methode voor het weergeven van de datum en de tijd. De ISO 8601:2004 standaard is van toepassing wanneer data volgens de Gregoriaanse kalender wordt weergegeven, tijden in de het 24-uurs systeem en bij tijdsintervallen, of herhalende tijdsintervallen. Deze ISO standaard zegt niets over data en tijden waarbij woorden worden gebruikt in de representatie en het zegt tevens niets over data en tijden indien bij de representatie geen karakters worden gebruikt. +
De API wordt volwassen - 4 maart Kennisplatform API +
De Monitor Open Standaardenbeleid 2017 als herbruikbare data in NORA ontsloten +
De Nederlandse Loonaangifteketen wint de ASAP Individual Alliance Excellence Award 2017 +
De Ondersteuningsaanpak Zaakgericht Werken die VNG Realisatie in het kader van Agenda 2020 ontwikkeld heeft is op 9 februari live gegaan +
De Ondersteuningsaanpak Zaakgericht Werken die VNG Realisatie in het kader van Agenda 2020 ontwikkeld heeft is op 9 februari live gegaan +
De Privacy Baseline is een product van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]] en een onderdeel van de documentenreeks [[De_Privacy_Baseline/Aanvullende_informatie#Grip op privacy|'Grip op privacy']]. De Privacy Baseline is het kerndocument in de reeks 'Grip op Privacy'. De baseline vertaalt de [[AVG (Algemene Verordening Gegevensbescherming)|Algemene Verordening Gegevensbescherming (AVG)]] in 13 rubrieken naar praktische aanwijzingen.
Het doel van deze documentenreeks is praktische handvatten bieden aan organisaties die privacy in beleid en uitvoering controleerbaar willen implementeren en borgen en - indirect - compliancy met de AVG.
Dit [[normenkader]] heeft betrekking op het onderwerp [[Privacy]] en bestaat uit [[privacyprincipes]], onderliggende [[normen]] en begeleidende teksten. Deze wiki-versie is gebaseerd op en bedoeld als opvolger van versie 3.2; de overeenkomstige 'traditionele' publicatie vind je hier: [https://cip-overheid.nl/productcategorie%C3%ABn-en-worshops/producten/privacy-bescherming/#privacy-baseline Privacy Baseline versie 3.3].
===De Privacy Baseline en ISOR===
Voor de Privacy Baseline zijn de privacyprincipes uit de wet [[Algemene Verordening Gegevensbescherming (AVG)|AVG]] gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een ''normenkader'' van het type dat doorgaans gebruikt wordt voor Informatiebeveiliging. Omdat het normenkader tevens is gevormd naar de uitgangspunten van de [[SIVA-methode]], is ervoor gekozen de Privacy Baseline ook in de [[ISOR]] te plaatsen, zoveel mogelijk in hetzelfde format als de normenkaders voor Informatiebeveiliging. Dat gaat aan de oppervlakte goed, maar er is een verschil in ontstaansgeschiedenis en dat betreft de indeling van de principes en onderliggende normen in [[Alle invalshoeken|Invalshoeken]]. Dit is een belangrijk kernonderdeel van de SIVA-methode, voorafgaand aan het opstellen van de principes en normen, om lacunes in de objectenanalyse te ontdekken.<br>Het onderwerp van de Privacy Baseline is echter niet Privacy, maar de Privacy''wetgeving''. De pretentie van de Privacy Baseline niet om de wet op volledigheid en consistentie te toetsen, doch om de gebruiker een handzame en geannoteerde set van toetsbare criteria mee te geven die hem helpen zich aan de wet te houden. In de Privacy Baseline zal daarom bij invalshoek 'Onbekend' staan.
===De aspecten B, U en C binnen de Privacy Baseline===
De aspecten B, U en C clusteren respectievelijk de principes, criteria en normen voor het Beleidsdomein, het Uitvoeringsdomein en het Control- of Beheerdomein.
: → [[ISOR:Privacy Beleid|Het beleidsdomein]]
: → [[ISOR:Privacy Uitvoering|Het uitvoeringsdomein]]
: → [[ISOR:Privacy Control|Het control- of beheerdomein]]
Via deze startpagina's kom je gemakkelijk bij de desbetreffende principes en normen door naar beneden te scrollen.
De identiteit van een subject is niet uniek. Van één bepaald subject zijn vaak meerdere identiteiten binnen een organisatie geregistreerd. +
De lanceringsbijeenkomst voor de DERA 2.0 was een groot succes +
De monitor open standaardenbeleid 2016 verwerkt in NORA-wiki +
Wie een huis wil bouwen, krijgt te maken met verschillende vergunningen en voorschriften. Het gaat om regelingen voor wonen, ruimte en milieu met elk hun eigen criteria en procedures. De vergunningen worden verstrekt door verschillende overheidsinstanties. Dit is voor burgers, bedrijven én de overheid onoverzichtelijk, tijdrovend en kostbaar. Het kan bovendien leiden tot tegenstrijdige beslissingen.
Om in deze situatie verbetering te brengen, regelt de Wet algemene bepalingen omgevingsrecht (Wabo) de bundeling van verschillende vergunningen tot één omgevingsvergunning. Gemeenten fungeren hiervoor als loket. Achter dit loket worden de (deel)aspecten nog steeds beoordeeld door verschillende overheidsorganisaties, maar zij stemmen hun activiteiten af om tot één besluit te komen. +
Het Netherlands Space Office koopt sinds 2012 namens de Nederlandse overheid satellietdata in en stelt deze data gratis beschikbaar aan Nederlandse geregistreerde gebruikers via het Satellietdataportaal. De werkzaamheden binnen deze opdracht omvatten het beschikbaar stellen van de satellietdata via een viewer met download-functie, Restful API, API via OGC-standaarden en via een FTP-toegang tot de fileserver. Het portaal moet gebruiksvriendelijk zijn voor zowel professionele gebruikers als het algemene publiek. Naast satellietdata zullen ook informatieproducten getoond gaan worden in het nieuwe portaal. +
De referentiearchitectuur Regie op Gegevens gaat van 25 april t/m 1 juni in openbare review via noraonline. +
De referentiearchitectuur Regie op Gegevens gaat van 25 april t/m 1 juni in openbare review via noraonline. +
[[Afbeelding:Presentatie Martin en Roland NORA Gebruikersdag 19 november 2019 (2).jpg|thumb|right|350px|De rol van de architect in rijksbrede samenwerking en tactisch beheer van architectuur|alt=Presentatie in vergaderzaal over het onderwerp De rol van de architect in rijksbrede samenwerking en tactisch beheer van architectuur”|link=De rpl van de architect in rijksbrede samenwerking en tactisch beheer van architectuur]]
Roland Drijver trapte de sessie af met een verhaal over Rijkswaterstaat en hun manier van werken. In rap tempo kwamen een heleboel aspecten aan bod, van anekdotes over kennisdeling met leveranciers tot de manier waarop zij inzetten op het opbouwen van de 'capabilities' van hun medewerkers. Martin Lemmen vult Roland aan en tekent ter plekke het verantwoordingsmodel op een flipover. Een aantal onderwerpen dat aan bod kwam:
* We maken in de verschillende overheidsorganisaties gebruik van andere termen, modellen et cetera. Dat levert extra drempels op bij samenwerking: wie gewend is aan een Business Transformatie Plan en praat met iemand die normaal werkt met een Business Information Plan heeft last van een spraakverwarring, terwijl de inhoud behoorlijk overlapt.
* Samenwerken is ook herkennen dat er verschillende types mensen zijn, waarbij je eigen inborst effect heeft op de manier waarop je tegen iets aankijkt: Angstige mensen zien risico's, dappere mensen zien kansen, nauwkeurige mensen kijken naar de details enzovoorts.
* Het nadeel van de gedachte dat we als medewerkers zelf een hoop kunnen doen en regelen, is dat 9 van de 10 mensen die data verwerkt een 'toerist' is en geen professional als het gaat om informatiemanagement. 14 informatiemanagers zijn niet genoeg om te zorgen dat data vindbaar en herbruikbaar zijn en de business case is duidelijk voor wie er een beetje verstand van heeft. Maar is het ook duidelijk voor de mensen die er over gaan?
[[Afbeelding:impressie sessie Rijkswaterstaat 19-11-2019.jpg|thumb|500px|none|Impressie van de sessie|alt=Getekende impressie van de sessie, waarop te zien: Titel Rijkswaterstaat. Brug met daaronder: Beheer p.jaar 0,9 % v.d. nieuwwaarde. Snelweg met daarnaast een baan vol nulletjes en eentjes. Op de snelweg twee paarse tekstwolkjes met een pijl van de eerste naar de tweede: Data? 'Zelf doen.' Pijl, Hoeveel is herbruikbaarheid & vindbaar waard? Blauwe pijl naar de tekst Professionals. Hiernaast een kader dat verbonden is met de databaan van de snelweg: Tien poppetjes, waarvan 9 paars en 1 blauw. Bij het blauwe poppetje staat 14 informatiemanagers. Onder de poppetjes de tekst: 9 van de 10 mensen die met data bezig zijn doen dat als 'toerist.' Rechts op de pagina in blauw de tekst Verantwoordingsmodel. Pijl naar tekst: Effect van sturing helder. Hieronder zijn twee modellen van sturing aangeduid, van Colporterend naar Recursief: Colporterend wordt uitgeduid met een afbeelding van een poppetje met paars-blauw gestippelde tekstwolk Mwa? en daarbij quote 'hangend het seizoen bepalen afdelingshoofden of ze er wel/niet van zijn.' Recursief wordt uitgebeeld met een hiërarchisch geschikte groep mensen die elk ofwel ja ofwel nee zeggen, met de uitleg: opdracht belegd bij personen op elke organisatielaag. Vanaf de snelweg komt een gekromde lijn met de tekst Levenslang Leren. Op deze boog staat een stoet met voertuigen, die steeds complexer worden: van step tot tractor en wegenbouw-wals. De laatste drie voertuigen hebben paarse wolkjes met data als uitlaatgas en/of een antenne met radiogolven. Onder de stoet staat de tekst Medewerkers opbouwen.]]
: → [[media:Presentatie De rol van de architect in rijksbrede samenwerking en tactisch beheer van architectuur.pdf| Presentatie (PDF, 2,09 MB)]]
De tweede druk van Ketens de Baas is nu ook te downloaden als pdf of EPUB +
Voorziening die onderdeel is van een landelijk stelsel (met afspraken, standaarden en voorzieningen) en waar meerdere (decentrale) voorkomens van zijn. Al deze decentrale voorkomens voldoen aan de landelijke afspraken en standaarden van het stelsel. +
Deelname DADD 2023 NORA Familie +
<br>
==Presentatie en sfeerimpressie==
Een behoorlijk groepje deelnemers volgde Tom Peelen in zijn duik de diepte van de [[Gemeenschappelijke Overheidsarchitectuur GDI (introductie en overzicht)]] in. Naast de [[media:Presentatie Deepdive GO.pdf|presentatie (PDF, 3,12 MB)]] die Tom gaf zijn ook de resultaten van de Mentimeter-uitvraag beschikbaar.
NB: De presentatie zoals die nu is gepubliceerd voldoet (nog) niet aan onze [[Documenten op noraonline en toegankelijkheid|toegankelijkheidseisen]] voor documenten. Ondervind je hier hinder van, neem dan even contact op via [mailto:nora@ictu.nl?subject=toegankelijke%20versie%20presentaties%20GO&cc=tom.peelen@rijksoverheid.nl nora@ictu.nl], dan zoeken we alsnog een oplossing.
==GO: architectuur voor de GDI van de toekomst==
Dit is een vervolg op de voorgaande sessie: [[Gemeenschappelijke Overheidsarchitectuur GDI (introductie en overzicht)]].
Heeft de toekomstige digitale overheid voorzieningen zoals [[DigiD]], [[MijnOverheid]], [[Digipoort]] en gegevensuitwisseling met [[basisregistraties]] nodig? De [[Gemeenschappelijke Overheidsarchitectuur (GO)]] is het bestemmingsplan van de GDI dat hier antwoord op geeft.
In deze interactieve sessie leer je wat de architectuurvisie van GO is en welke afspraken, standaarden en voorzieningen er nodig zijn om die te realiseren. Ook leer je hoe NORA en GO samenhangen en welke veranderingen hieruit zijn voortgekomen voor het kennismodel van NORA. Gezamenlijk bespreken we hoe GO bruikbaar is voor jouw organisatie en wat we leren van de manier waarop architecten en bestuurders samenwerken aan GO.
Wil je meer weten over het doel, scope en governance van GO volg dan vooral ook de voorafgaande sessie [[Gemeenschappelijke Overheidsarchitectuur GDI (introductie en overzicht)]]. Daar krijg je ook een globaal overzicht van GO dat we in deze sessie verder verdiepen.
==Vorm==
Presentatie en discussie in Webex, aangevuld met het ophalen van reacties via Mentimeter. +
Het begrip 'Informatiecatalogus' sec wordt nauwelijks gebruikt: wat is een 'informatiecatalogus' exact en waarin dit verschilt van een gegevenswoordenboek, metadata rond gebruik en een dienstbeschrijving moet nader gepreciseerd worden. Of zijn het dezelfde soort dingen? +
Ook wel genoemd de NEN 3610 conceptenbibliotheek. Hier vindt u definities van concepten die gebruikt worden in [[NEN 3610]] informatiemodellen. Op dit moment zijn dit IMGeo, NEN3610 en IMRO beheerd door Geonovum en IMBRT beheerd door het Kadaster. +
Definiëren van toegangsrechten is een moeizaam en langdurig proces. +
Een afgebakende prestatie van een persoon of organisatie (de dienstverlener), die voorziet in een behoefte van haar omgeving (de dienstafnemer(s)). +
De persoon of organisatie die een dienst in ontvangst neemt. +
==Beschrijving==
Dienstverleners moeten in staat zijn gesteld om hun (versies van) diensten te publiceren, zodat bij het creëren van een vertegenwoordigingsbevoegdheid aangegeven kan worden op welke (versie van welke) diensten de vertegenwoordigingsbevoegdheid van toepassing is, voor vertegenwoordigingsbevoegdheden waarvoor dat noodzakelijk is.
==Voorbeelden==
==Rationale==
Het moet mogelijk zijn om aan te geven voor welke specifieke diensten de vertegenwoordigingsbevoegdheid geldt. De verstrekker moet daarvoor de diensten kunnen vermelden in de vertegenwoordigingsbevoegdheid.
We hebben ervoor gekozen om dit als een generieke functie op te nemen, omdat het kunnen aangeven voor welke handelingen een vertegenwoordigingsbevoegdheid geldt een essentieel onderdeel van machtigen is.
Een verdere rationale voor deze generieke functie en de implicaties die hieruit voortkomen is te vinden in:
* Algemene kenmerken van machtigen (hoofdstuk 3),
* Wettelijk kader C.
==Implicaties==
# De dienstverlener kan diensten beschrijven.
# De dienstverlener kan zijn dienstbeschrijvingen beschikbaar maken voor het creëren van vertegenwoordigingsbevoegdheden.
==Documentatie==
* [[media:GO_Machtigen_en_vertegenwoordigen.pdf|GO Machtigen en vertegenwoordigen (PDF, 642 kB)]]
==Kaders==
Deze kaders zijn bepalend voor deze generieke functie.
* [[Algemene_Wet_Bestuursrecht | Algemene Wet Bestuursrecht]]
* [https://www.digitaleoverheid.nl/dossiers/wet-digitale-overheid/ Wet digitale overheid]
==Toelichting relaties==
De bestaande GDI-voorzieningen die hieronder zijn opgenomen onder ‘Gerealiseerd door' realiseren delen van de generieke functies van het GO-domein. Deze bestaande voorzieningen kunnen afwijken van de keuzes die voor het GO-domein zijn gemaakt. +
De overheid levert een dienst volgens de daarbij gemaakte afspraken.
Over welke diensten dit gaat en hoe die zijn beschreven, is reeds bepaald in het dienstenaanbod van de overheid, zie [[Bieden van een overzicht van de diensten van de overheid]].
Nationaal zijn afspraken gemaakt over die dienstlevering, zie NORA AP30 [[Verantwoording dienstlevering mogelijk]].
De bedrijfsvoering -werkwijzen en voorzieningen- van de betrokken (overheids)organisatie(s) moeten daarom zodanig zijn ingericht dat de dienst volgens de afspraken kan worden geleverd en die inrichting en afspraken moeten bij de uitvoering (de dienstlevering) worden gevolgd voor rechtmatigheids- en doelmatigheidseisen.
De betrokken overheidsorganisatie let daarbij op 4 specifieke punten:
# Het bieden van ondersteuning, zeker in het geval dat een burger moeite met digitalisering of andere zaken heeft;
# Het herstellen van eventuele fouten in de geleverde dienst, zie ook [[Bieden van correctiemogelijkheden]];
# Het aanpassen van de bedrijfsvoering zodra wijzigingen in het ontwerp van een dienst worden aangebracht, zie ook [[(Her)ontwerpen van een dienst]];
# Het evalueren van de naleving van de uitvoeringsafspraken, zie ook [[Sturen op (verbetering van) de_kwaliteit van dienstverlening]].
In wet- en regelgeving is voor diverse diensten geregeld dat een betrokken burger of bedrijf de dienst moet aanvragen bij de overheid. Daarmee wordt onder meer voorkomen dat de overheid continu zou moeten nagaan of iemand behoefte heeft aan of recht heeft op een dienst (hetgeen natuurlijk niet efficiënt is en ook niet ten goede zou komen van de privacy van de betrokkenen).
Maar, er zijn ook gevallen waarin de overheid wel proactief zelf diensten kan aanbieden aan burgers en bedrijven. Bijvoorbeeld omdat de combinatie met een andere dienst handig is, zoals bij een werkloosheidsuitkering ook de toeleiding naar werk starten of het volgen van een opleiding of het starten als een zelfstandige.
Zeker in het kader van Toezicht, Inspectie, Opsporing en Handhaving zal de overheid proactief haar dienstverlening uitvoeren. Dat soort dienstverlening is immers vooral gericht op de collectieve belangen en hoeft dus niet door een individuele burger aangevraagd te worden.
Regels ter uitvoering van de Dienstenwet m.b.t. het centraal loket +
Een elektronisch bevraagbare catalogus die de gestructureerde verzameling van alle diensten, inclusief de onderverdeling in subdiensten en eventuele samengestelde diensten bevat. +
Implementatie van EU-regeling m.b.t. het verkeer van diensten op de interne markt. +
De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers). +
In dit position paper geeft VNG aan wat de belangrijkste principes zijn en hoe die de komende jaren als richtlijn dienen in beïnvloeding van (inter)nationale regelgeving en het verder ontwikkelen van passende dienstverlening die mensgericht, regelarm, duidelijk en snel & zeker is. +
Een voorziening waarmee overheidsorganisaties en publieke dienstverleners online de identiteit van burgers kunnen vaststellen. +
Een voorziening waarmee een burger een andere burger kan machtigen om namens hem zaken met de overheid te regelen. +
DigiInkoop (voorheen Elektronisch Bestellen en Factureren (EBF)) is de nieuwe digitale voorziening voor de Rijksdienst en haar leveranciers om het inkoopproces efficiënter, doelmatiger, rechtmatiger en makkelijker te maken. In 2012 en 2013 wordt DigiInkoop gefaseerd ingevoerd bij de ministeries en agentschappen. DigiInkoop bestaat uit een berichtenverkeervoorziening (BVV via [[Digipoort]]) en een e-purchasingvoorziening (EPV). +
Koppelvlakstandaarden voor veilige en betrouwbare digitale berichten uitwisseling tussen overheidsorganisaties (het gaat over de “enveloppe”, niet de inhoud). +
Digikoppeling bestaat uit een set standaarden voor elektronisch berichtenverkeer tussen overheidsorganisaties.
Digikoppeling onderkent twee hoofdvormen van berichtenverkeer:
* Bevragingen; een vraag waar direct een reactie op wordt verwacht. Hierbij is snelheid van afleveren belangrijk. Als een service niet beschikbaar is, dan hoeft de vraag niet opnieuw worden aangeboden.
* Meldingen; men levert een bericht en pas (veel) later komt eventueel een reactie terug. In dat geval is snelheid van afleveren minder belangrijk. Als een partij even niet beschikbaar is om het bericht aan te nemen, dan is het juist wel gewenst dat het bericht nogmaals wordt aangeboden.
Aan versie 2.0 van Digikoppeling is o.a. de specifiactie voor grote berichten toegevoegd, de mogelijkheid om attachments toe te voegen en om security op berichtniveau toe te passen. Digikoppeling versie 2 en later zijn backward compatible met versie 1.
In 2018 is besloten om geen versienummering meer te gebruiken voor Digikoppeling. De meest actuele versie is nu altijd de verzameling van gepubliceerde documenten. Zo is in 2018 de DK Architectuur naar versie 1.5.1 gegaan terwijl de Koppelvlakstandaard WUS op 3.5 is gebleven. +
Een voorziening waarmee overheidsorganisaties zich kunnen abonneren voor het digitaal verkrijgen van (gewijzigde) gegevens uit Basisregistraties indien bepaalde gebeurtenissen plaatsvinden die voor hun taken relevant zijn. +
Een voorziening waarmee overheidsorganisaties bij de bronhouder(s) kunnen melden dat zij een vermoeden hebben van onjuiste gegeven in de betreffende Basisregistratie(s).
Digimelding bestaat uit 2 onderdelen: [[Digimelding BLT]] en [[Digimelding AS|Digimelding Annotatiespecificatie]] +
Een voorziening voor het laagdrempelig terugmelden door afnemers.
Door één terugmeldvoorziening te ontwikkelen wordt voorkomen dat iedere basisregistratie
deze voorziening apart moet ontwikkelen. Ook hoeft een afnemer niet aan iedere
basisregistratie op een afwijkende manier terug te melden. +
De Digimelding Annotatie Specificatie (Digimelding AS) en de Digimelding Protocol Specificatie (DMPS) zijn specificaties voor het uitwisselen van terugmeldingen. +
Een voorziening waarmee overheidsorganisaties een veilige en betrouwbare digitale verbinding met elkaar kunnen realiseren via besloten netwerken.<br>
Het is gebaseerd op een afsprakenstelsel over connectiviteit, beschikbaarheid, beveiliging en het gebruik van standaarden waardoor iedere aangesloten organisatie kan communiceren met elke andere aangesloten organisatie. +
Een voorziening waarmee bedrijven via 1 aanleverpunt (bulk)gegevens digitaal kunnen aanleveren bij de betreffende overheidsorganisatie(s). En ook andersom. +
==Beschrijving==
Digitaal kunnen transporteren van data tussen informatiesystemen van dienstverleners en informatiesystemen, portalen en applicaties gebruikt door burgers en bedrijven en tussen informatiesystemen van deze dienstverleners onderling.
==Voorbeelden==
Internet, besloten netwerken zoals Diginetwerk,Suwinet en Testa.
==Rationale==
Zie de rationale van de bovenliggende hoofdfunctie Infrastructuur – Kunnen veilig digitaal transporteren van data.
==Implicaties==
# Ondersteuning voor datatransport tussen informatiesystemen van dienstverleners en informatiesystemen, portalen en applicaties gebruikt door burgers en bedrijven, ook burgers en bedrijven buiten Nederland.
# Ondersteuning voor datatransport tussen informatiesystemen van dienstverleners onderling, ook van dienstverleners in andere Europese landen.
==Documentatie==
* [[media:GO Infrastructuur.pdf|GO Infrastructuur (PDF, 597 kB)]]
==Kaders==
Deze kaders zijn bepalend voor domein Infrastructuur.
* [https://www.digitaleoverheid.nl/dossiers/wet-digitale-overheid/ Wet digitale overheid]
* [[media:Beleidskader_digitale_basisinfrastructuur.pdf|Beleidskader digitale basisinfrastructuur (PDF, 34 kB)]]
* [[media:De WHY van de GDI - visual.pdf|Why van de GDI (PDF, 295 kB)]]
==Toelichting relaties==
De bestaande GDI-voorzieningen die hieronder zijn opgenomen onder ‘Gerealiseerd door' realiseren delen van de generieke functies van het GO-domein. Deze bestaande voorzieningen kunnen afwijken van de keuzes die voor het GO-domein zijn gemaakt. +
Een materiële en/of immateriële eenheid die persoonsidentificatiegegevens bevat en die gebruikt wordt voor authenticatie bij een online dienst. +
De Digital Markets Act (DMA, Verordening digitale markten) is de EU verordening om de markten in de digitale sector eerlijker en meer betwistbaar te maken. +
De Digital Services Act (DSA, Wet inzake digitale diensten) richt zich op verleners van digitale diensten. +
Uitgangspunten voor de inrichting van de publieke dienstverlening aan burgers en bedrijven en onderlinge samenwerking van overheidsorganisaties. +
Bestandslevering van de Geautomatiseerde Kadastrale Registratie. Voor bestaande afnemers mutaties af te nemen via downloadservice.
Product wordt uitgefaseerd per 1 januari 2017 en is beschikbaar als webservice en download via PDOK. +
De gemeente Rotterdam is op zoek naar een leverancier die software ter beschikking stelt waarmee meerdere nieuwsoverzichten (op verschillende onderwerpen / thema's / gebieden) kunnen worden opgezet en geredigeerd. De beoogde partij moet digitale content kunnen leveren uit voor de gemeente relevante bronnen en regelt de auteursrechten die daaraan zijn verbonden. +
Een verzameling van betrouwbare gegevens die een entiteit (persoon, organisatie, object of apparaat) representeren in het digitale domein. +
Mede op basis van historische gegevens bedraagt het te verwachten volume voor mobiele Digitale handhaving openbare ruimte circa € 130.000 exclusief BTW per jaar (dit is exclusief implementatie). +
Een identiteit die een digitale representatie is van een persoon. +
Webservice voor het opvragen van de kadastrale kaart binnen een zelf te specificeren uitsnede. Wordt geleverd door PDOK volgens WMS en WMTS standaard.
[https://www.pdok.nl/nl/producten/pdok-services/overzicht-urls/k Digitale Kadastrale Kaart op website PDOK] +
Waternet wil een planning&control systeem voor het digitaliseren van de P&C-producten/processen. Binnen deze P&C-tool werken zowel medewerkers van Waternet als bestuurders van AGV en de gemeente Amsterdam samen aan de realisatie van de P&C-producten. De workflow volledig ondersteund door de P&C-tool. +
De wettelijke afspraak om websites en mobiele apps toegankelijk te maken voor mensen met een functiebeperking (zoals dyslectici, kleurenblinden, slechtzienden en blinden), door de standaard EN 301 549 (WAGC 2.1) toe te passen en daar een toegankelijkheidsverklaring over te publiceren. +
Interactieve gegevensverstrekking en –aanlevering via onlineverbindingen +
[[Afbeelding:Discipl-xl-300x300.png|thumb|300px|right|alt=Logo van discipl, een rondje met daarin een netwerk van ovalen, waarvan een aantal gekleurd zijn in roze en licht of donkerblauw.]]Privacy-by-design, Self Sovereign Identity, Conformity-by-design, gerichtheid op de eindgebruiker én een betere maatschappij: Discipl wil het in de praktijk brengen. De eerste demo is gereed.
[[Afbeelding:Steven Discpl presentatie.jpg|thumb|300px|right|alt=Lange man met blauwe trui staat met telefoon in zijn hand voor een zaal te presenteren|link=https://www.noraonline.nl/wiki/Discipl_-_a_global_Society_Architecture]]
Wat als we gewoon opnieuw konden beginnen? Met de Grondwet, de Algemene Wet Bestuursrecht én de ‘needs’ (behoeften) van burgers en bedrijven als uitgangspunt. En dan kijken: hoe zouden we digitalisering met de huidige technische mogelijkheden kunnen invullen? Discipl beschrijft een visie op de toekomstige samenleving en de manier waarop we die digitaal kunnen ondersteunen. Discipl staat voor "geDIStribueerd Collaboratief Informatie PLatform", het is een innovatieproject binnen ICTU. Disicpl werkt toe naar een set van bouwblokken. “Blokken die in andere projecten niet lukken. Wij kijken niet per domein, maar naar maatschappij als geheel.” Discipl is zowel open source als open knowledge; alles wordt gedeeld.
===Demo===
De eerste concrete resultaten zijn er. Op deze gebruikersdag zien we alvast een demo van hoe SSI er in de Disicpl praktijk uit zou kunnen zien. Februari 2020 moet de oplossing in gebruik worden genomen door vier gemeenten, waaronder de gemeente Haarlemmermeer. Gort licht toe: “Ik kom aan het gemeente loket en laat mijn paspoort zien. De ambtenaar identificeert mij en typt mijn BSN-nummer over. Dan krijg ik een papiertje met een QR-code, waarmee de woningbouwcorporatie mijn gegevens kan scannen. Ik kan dat record ook in IRMA downloaden.”
===Needs centraal===
Centraal in Discipl staan de needs (behoeften) van burgers en bedrijven, vertelt Kaptijn. Die kunnen ze onderling invullen, en wellicht hebben ze volgens wetten recht op ondersteuning van de overheid. “Aan de ene kant automatiseren we transacties als gevolg van wetten, en tegelijkertijd faciliteren we de dialoog om de wet aan te passen op basis van de needs.” Dat betekent een fundamenteel andere manier van denken uitgangspunt dan in het huidige systeem. Kaptijn licht toe: “We bewegen weg van de GDI - waar het technische aanbod centraal staat - naar een systeem waar je vanuit jouw eigen unieke ‘attributen’ je behoeften conform wet- en regelgeving kunt invullen.” Dat geeft veel meer ruimte voor mensen om hun eigen leven zo vorm te geven als ze willen, dan de huidige vorm, waar mensen soms niet in een hokje blijken te passen. Technisch gezien wordt het mogelijk te linken naar specifieke stukjes informatie voor een bepaald doel op een bepaald moment, vult Kaptijn aan. “Eigenlijk is het een heel specifieke link naar persoonlijke informatie of een stukje wetgeving; een vorm van linked data.” Dit gedachtengoed sluit goed aan op de API-strategie van de overheid.
===Pionieren===
Nederland is vol op aan het pionieren op dit gebied. We zij niet het enige land dat bezig is met dit type architectuur. Canada en de Scandinavische landen zijn ook ver. Er is internationaal veel interesse in deze ontwikkelingen. Ook uit Singapore waar Discipl gepresenteerd is op een fintech conferentie tijdens het Nederlandse werkbezoek onder leiding van minister Knops (#digimissie).
In de NORA wordt het gedachtegoed van Discipl uitgewerkt in een themapagina: [[Discipl]].
: → [[media:Discipl, a global society architecture.pdf|presentatie (PDF, 6,94 MB)]]
Electronic Records Management Software applications design criteria Standard DoD 5015.2-STD definieert functionele eisen voor recordsmanagement software en is goedgekeurd door het Nationale archief van de VS. De standaard is ontwikkeld en wordt onderhouden door het Amerikaanse ministerie van Defensie en wordt gebruikt door vele staten en lagere overheden in de VS. Onder de standaard functioneert een uitgebreid certificatieprogramma voor recordsmanagement software en vele (internationale) pakketten zijn inmiddels gecertificeerd. Van de standaard is ook een Nederlandse bewerkte vertaling beschikbaar. +
VGGM is op zoek naar een partij die een oplossing kan leveren ter ondersteuning van ons documentmanagement (DMS) volgens de Archiefwet en van onze werkprocessen. +
Beschrijving van de gewenste situatie in architectuur ("Soll"). Kan van toepassing zijn op een domein of organisatie en is de tegenhanger van de beschrijving van "gestolde" architectuur ("Ist"-situatie). +
Het uitgangspunt van doelbinding is, dat gegevens worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigde doel. 'Welbepaald en uitdrukkelijk omschreven' houdt in dat men geen gegevens mag verzamelen zonder een precieze doelomschrijving. Het doel moet zijn bepaald alvorens men tot verzamelen overgaat.
'Welbepaald' houdt in dat deze doelomschrijving duidelijk moet zijn, niet zo vaag of ruim dat zij tijdens het verzamelproces geen kader kan bieden waaraan getoetst kan worden of de gegevens nodig zijn voor dat doel of niet. Het doel mag ook niet in de loop van het verzamelproces geformuleerd worden. 'Uitdrukkelijk omschreven' houdt in dat de verantwoordelijke het doel waarvoor hij verwerkt moet hebben omschreven. +
Een inhoudelijk verwante verzameling van publieke dienstverlening. +
De mate waarin de inhoud van waarden consistent zijn met hun domein. +
Doorgifte kan plaatsvinden aan verwerker(s) en aan andere verwerkingsverantwoordelijke(n). Een verwerker verricht de verwerking namens een verwerkingsverantwoordelijke<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 28 lid 1</sup>.<br>
''NB: indien een verwerker in strijd met de Avg handelt, wordt die verwerker als verwerkingsverantwoordelijke beschouwd''<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 28 lid 10</sup>.<br>
Waar sprake is van meerdere verwerkingsverantwoordelijken, bepalen zij gezamenlijk de doelstellingen en middelen voor de verwerking en zijn zij gezamenlijke verwerkingsverantwoordelijken<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 27 lid 1</sup>.<br>
Bij de doorgifte wordt onderscheid gemaakt tussen doorgifte binnen de EU, waar de AVG geldt, en doorgifte naar buiten de EU. Als doorgifte naar buiten de EU plaatsvindt, dan spreekt de AVG van doorgifte aan derde landen en internationale organisaties. +
==Objectdefinitie==
Betreft de toegang tot een computernetwerk waarbij de aangesloten apparaten via elektromagnetische straling communiceren.
==Objecttoelichting==
Draadloze toegang (wireless access), bedoeld voor mobiele communicatie, is niet expliciet genormeerd in de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002 2017]]. De implementatiestandaard ISO 27033-6 2016 beschrijft de operationele maatregelen voor de relatief kwetsbare draadloze netwerken. +
Wereldwijde set algemene standaarden en richtlijnen voor metadatering van content op internet, ontwikkeld en beheerd door het Dublin Core Metadata Initiative. Het DCMI is een internationale open community van experts en geïnteresseerden in metadata. +
De mate waarin teksten voor de doelgroep begrijpelijk zijn geformuleerd. +
Overheidsdienstverlening levert zo min mogelijk belasting op het milieu en onze leefomgeving. Dit leidt tot lagere emissies, minder verbruik van grondstoffen, energie en een positieve bijdrage aan de leefomgeving. +
Overheidsdienstverlening en de hierbij behorende informatie is duurzaam toegankelijk, voor iedereen die daar belang bij heeft en voor zo lang als noodzakelijk.
Onder toegankelijk verstaan we dat overheidsinformatie vindbaar, beschikbaar, leesbaar, interpreteerbaar en betrouwbaar is.
Duurzaam betekent dat de toegankelijkheid bestand is tegen veranderingen van welke aard dan ook. Het gaat hier bijvoorbeeld over de toegankelijkheid van informatie over genomen besluiten, de herleidbaarheid naar de bronnen en overwegingen die hebben geleid tot deze besluitvorming, informatie over de dienstverlening van de overheid, wet- en regelgeving, rechten en plichten, correspondentie door en met de overheid en persoonlijke (zaak)gegevens.
Omdat dit een wezenlijk ander doel betreft dan is beschreven onder [[Duurzaam (Doel)]] en [[Toegankelijk (Doel)]], is Duurzaam Toegankelijk als apart Doel benoemd. +
Gemeente Venlo kondigt namens de 8 gemeenten in Noord-Limburg (RMO Noord-Limburg/ Trendsportal) een Europese aanbesteding aan voor het verduurzamen van zakelijke kilometers van haar medewerkers. De uitvraag betreft een pakket aan diensten waaronder: openbaar vervoer mogelijkheden, elektrische deelauto's en - fietsen plus de laadinfra, de applicaties om dit alles te bedienen, service en onderhoud. Kortom een compleet pakket wat ook wel Mobility as a Service wordt genoemd. +
E
NTA 2035 E-portfolio NL is een toepassingsprofiel voor studenten en werknemers bij Nederlandse organisaties, van de internationale IMS ePortfolio specificatie. Hiermee kunnen de competenties van een individu worden bijgehouden. Het voordeel van deze standaard is dat de student/lerende medewerker zijn profiel mee kan nemen naar verschillende organisaties. +
Een voorziening van de overheid waarmee facturen digitaal worden verzonden, ontvangen en verwerkt (in plaats van per brief en op papier). +
Schatkistbankieren is een dienst die wordt gebruikt door ministeries en agentschappen van het Rijk en instellingen die een wettelijke of publieke taak uitvoeren. Het ministerie wil een informatiesysteem aanbesteden dat het achterliggende proces van schatkistbankieren ondersteunt. De belangrijkste onderdelen van dat informatiesysteem zijn de schatkistadministratie, de procesondersteuning en de portalen voor de Deelnemers en de medewerkers die met het informatiesysteem werken. +
EAC is een datamodel in XML, voor de toepassing van ISAAR(CPF)en voorziet in een grammatica voor het coderen van de namen van de makers van archiefmateriaal en gerelateerde informatie. +
EAD is een datamodel in XML, voor de toepassing van ISAD(G), dat is ontwikkeld voor het maken, opslaan, publiceren, koppelen en uitwisselen van archiefbeschrijvingen. +
Begrippen gebruikt in de [[EAR (EnterpriseArchitectuur Rijksdienst)]]. +
Met de ECLI standaard kunnen:
#alle rechterlijke uitspraken in de Europese Unie (zowel van nationale als van Europese gerechten) worden voorzien van een gelijkaardige, unieke en persistente identifier. Deze identifier kan worden gebruikt voor identificatie en citatie van rechterlijke uitspraken en derhalve om deze te vinden in binnenlandse of, buitenlandse, Europese of internationale jurisprudentiedatabanken.
#alle rechterlijke uitspraken worden voorzien van uniforme metadata, gebaseerd op de Dublin Core standaard. Het zoeken van uitspraken in allerlei databanken worden daardoor gefaciliteerd. +
Het inhuren van een diensten tbv het E-HRM en de bijhorende salarisdienstverlening (middels SaaS). +
Een voorziening waarmee (medewerkers van) bedrijven zich veilig en betrouwbaar kunnen laten identificeren bij overheidsorganisaties. +
The European Interoperability Framework (EIF) is a commonly agreed approach to the delivery of European public services in an interoperable manner. It defines basic interoperability guidelines in the form of common principles, models and recommendations. +
Schema van de vier architectuurlagen in de EIRA: Legal view, Organisational view, Semantic view, Technical view (Application and infrastructure). De lagen zijn elk gemodeleerd in ArchiMate en een strippellijn toont dat er relaties tussen elementen in de verschillende lagen bestaan. +
Nederlands toepassingsprofiel op de Election Markup Language. De EML_NL standaard versie 1.0 definieert de gegevens en de uitwisseling van gegevens bij verkiezingen die vallen onder de Nederlandse Kieswet. Het gaat daarbij om de uitwisseling van kandidaatgegevens en uitslaggegevens. +
EU-richtlijn inzake elektronische facturering bij overheidsopdrachten +
EU-regeling inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties +
Examensoftware voor inburgeraars en bijbehorende dienstverlening +
Een gebruikerssurvey over de NORA wiki is uitgestuurd +
Een herziening van de ISO 27002, een herziening van de BIO +
Een koppelvlak is een Single Point of Failure. Wanneer er onverhoopt een storing optreedt in één koppelvlak, dan wordt de hele communicatieketen van zones daardoor negatief beïnvloed. +
Is in de wet/regelgeving/beleid/regel etc. voldoende aandacht besteed aan de volgende zaken:
* Zijn de gebruikte begrippen voor één uitleg vatbaar, vanuit verschillende perspectieven bekeken?
* Is de context waarin begrippen zijn gebruikt, expliciet genoeg?
* Soms wordt bewust een meerduidig begrip gebruikt (open norm). Is dat bewust gedaan en expliciet gemaakt?
* Zijn gebruikte begrippen gedefinieerd? +, Consequent dezelfde betekenis toekennen aan begrippen en consequent dezelfde interpretatie hanteren zijn kernaspecten van rechtmatigheid. Daarvoor moet de betekenis van in ieder geval de begrippen uit de beslisregels zijn gedefinieerd. Bovendien is er beheer op dit vocabulaire nodig evenals versiebeheer.
Denk ook aan de -nog steeds actuele- vindingen uit de bibliotheekwereld, zoals de thesaurus en de taxonomie waarmee de verbanden tussen begrippen in kaart worden gebracht. Deze verbanden tussen begrippen bepalen mede de betekenis van die begrippen. Het begrip ‘verzoek’ wordt bijvoorbeeld in de algemene wet bestuursrecht naast het begrip ‘aanvraag’ gebruikt. Pas als eenduidig vastgelegd is dat elke aanvraag een verzoek is, wordt duidelijk dat regels waarin over verzoek wordt gesproken dus ook van toepassing zijn op een aanvraag. +
Eerste bijeenkomsten NORA Gebruikersraad +
Eerste versie van het thema Gegevensmanagement +
Okt 2019: Dit deel is wegens gebrek aan input voorlopig niet verder uitgewerkt.
Hier moet in de toekomst informatie en discussie komen over feedback m.b.t. het effect dat wet-en regelgeving en alle daarop gebaseerde artefacten hebben op de doelgroep. +
==Objectdefinitie==
Betreft het toewijzen van de verantwoordelijkheid voor bedrijfsmiddelen voor huisvesting Informatievoorzieningen (IV).
==Objecttoelichting==
Binnen huisvesting informatievoorzieningen (IV) worden verschillende bedrijfsmiddelen toegepast. Voor een betrouwbare dienstverlening door huisvesting IV aan de klanten moeten deze bedrijfsmiddelen continu onderhouden of vernieuwd worden. Ook moeten deze middelen blijvend aan de actuele beveiligingseisen voldoen. Om te borgen dat de juiste acties voor de bedrijfsmiddelen worden ondernomen, moet de organisatie de bedrijfsmiddelen toewijzen aan eigenaren en daarbij de taken en verantwoordelijkheden vastleggen. +
==Objectdefinitie==
Betreft het toewijzen van de verantwoordelijkheid voor het toegangsbeveiligingssysteem.
==Objecttoelichting==
Om de toegang tot bedrijfsmiddelen, zoals het toegangsbeveiligingssysteem en overige fysieke bedrijfsmiddelen, betrouwbaar in te richten, is het van belang het eigenaarschap van bedrijfsmiddelen goed te beleggen, zodat de verantwoordelijke functionaris vanuit aan hem toegekende verantwoordelijkheid het toegangsbeveiligingssysteem conform de hieraan gestelde eisen kan inrichten.
De coördinatie en beslissingen over specifieke acties (wie mag wat zien, raadplegen, muteren) vinden plaats onder de verantwoordelijkheid van de eigenaar en in samenwerking met andere functionarissen (Responsible, Accountable, Consulting en Informed (RACI). +
==Objectdefinitie==
Betreft het geautomatiseerd of via een gebruikersinteractie elektronisch uitwisselen van informatie.
==Objecttoelichting==
Beveiliging van elektronisch berichtenverkeer omvat bijvoorbeeld e-mail, web-verkeer, chatsessies en ‘streaming’ van audio en video. Maatregelen ter bescherming van het berichtenverkeer betreffen:
* een correcte adressering;
* een geautoriseerde toegang;
* een integer datatransport;
* het toereikend zijn van de beschikbaarheid;
* het voldoen aan (wettelijke) bepalingen voor de elektronische handtekening en onweerlegbaarheid. +
UWV zal vanaf januari 2022 uitvoering geven aan de Subsidieregeling leer- en ontwikkelbudget voor de Stimulering van de Arbeidsmarkt Positie (ook bekend als STAP-budget). Deze subsidieregeling houdt in dat burgers van Nederland subsidie kunnen aanvragen voor het volgen van opleidingen aan opleidingsinstituten die meedoen in het STAP budget. Onderdeel van de uitvoering van de subsidieregeling is dat de aangevraagde subsidie door UWV zal worden uitbetaald aan het opleidingsinstituut. Om dit te realiseren wil UWV alle facturen elektronisch ontvangen en verwerken van de opleidingsinstituten met behulp van een STAP-broker als tussenliggende dienstverlener. +
==Objectdefinitie==
Betreft een regel, norm of beginsel voor ‘goed gedrag’, specifiek voor het ontwikkelen van applicaties die beveiligd moeten worden.
==Objecttoelichting==
Bij het ontwikkelen van applicaties worden engineeringsprincipes in acht genomen. In de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] is het principe security by design expliciet genoemd. In de ISO 27033-2 2012 is het principe defence in depth expliciet genoemd. Hiernaast bestaan nog verschillende andere van belang zijnde (engineerings)principes die in andere baselines zijn opgenomen. +
Enquête verbeterde samenhang tussen referentiearchitecturen +
Architectuur die de huidige en toekomstige organisatiehuishouding en het transformatiepad daartussen beschrijft (“van Ist naar Soll”). +
Er staat een technische update van noraonline gepland in de laatste week van augustus 2019 +
<br>
==Verslag & vervolg==
Marieke Vos en Joris Dirks gaven namens NORA kort aan hoe je content op noraonline.nl kunt toevoegen. Belangrijkste boodschap: Gewoon doen! Alleen voor de [[principes]] geldt een relatief zware wijzigingsprocedure, voor alle andere content is een kort overleg met de inhoudelijk eigenaar en/of NORA Beheer meestal genoeg om direct aan te slag te mogen. Zie ook het [[Wijzigingsproces NORA]].
Peter Makkes en André Plat van de [[GEMMA (Gemeentelijke ModelArchitectuur)]] gingen de deelnemers vervolgens voor in een Miro-bord, om kennis met elkaar te maken en vooral ook om aan te dragen welke content en architectuurkennis van de verschillende architecturen in de publieke sector zo waardevol is dat het de moeite waard is om ze verder te delen: via noraonline.nl of in de eigen architectuur. Op die manier vullen NORA en haar dochters - en de dochters onderling - elkaar straks nóg meer aan. En is de juiste info op de juiste plek(ken) te vinden.
We sloten de sessie af met concrete afspraken: wie gaat waarmee aan de slag? Er is voor de volgende onderwerpen afgesproken vervolgstappen te zetten:
* [[Zaakgericht Werken]]: meer samenhang en verwijzingen tussen GEMMA en NORA
* [[Duurzame Toegankelijkheid]]: Architecten vanuit de GEMMA gaan met de nieuwe architect van het Nationaal Archief aan de slag om dit thema in NORA te verbeteren
* Common Ground / NLX: dit onderwerp moet vanuit GEMMA ook op noraonline.nl een plekje krijgen
* De aanpak van de CORA rond [https://cora.wikixl.nl/index.php/CORA_Prestatie-indicatoren Prestatie-indicatoren] verdient bredere aandacht, op noraonline.nl of via een kennissessie
* Het concept-thema [[Cloud]] in de NORA kan worden aangevuld vanuit de [[HORA (Hoger Onderwijs Referentie Architectuur)]]: [https://hora.surf.nl/index.php/De_inzet_van_cloud_computing hora.surf.nl/inzet cloud computing]
===Presentatie & export Miro-bord===
* [[media:export Miro-bord Erven bij Leven.pdf|export Miro-bord (PDF, 472 kB)]]
* [[media:Presentatie Hoe krijg ik content op noraonline?.pdf|Presentatie Hoe krijg ik content op noraonline.nl? (PDF, 569 kB)]]
==Oorspronkelijke info sessie==
Krankzinnigheid is erfelijk, zo gaat de tegelwijsheid: je krijgt het van je kinderen. Gelukkig worden er in families ook veel positieve dingen juist al bij leven geërfd: dat schilderij waar geen ruimte meer voor is, de babykleren die telkens een deurtje verder gaan, die comfortabele stoel die al drie studentenkamers heeft opgevrolijkt - pareltjes die de oorspronkelijke eigenaar zonder pijn in het hart kan missen.
Als familie van architecturen hebben we elk ook zo onze pareltjes van kennis verzameld door de jaren heen: zelf opgebouwd, slim ingekocht, of uit andere bron overgenomen en op maat gemaakt voor de eigen context. Soms zien we de waarde zelf niet meer zo, omdat we er aan gewend zijn. Soms, maar lang niet zo vaak als we zouden willen, komt er toevallig een familielid op bezoek die haar waardering er over uit spreekt. En heel soms kijken we er naar en denken: dat zou een stuk meer tot z'n recht komen in een ander huis.
Deze sessie is bedoeld om te kijken wat de 'dochter' architecturen in huis hebben dat ook, of misschien zelfs beter, tot z'n recht zou komen bij NORA of bij een andere dochter. De deelnemers dragen vanuit hun eigen kennis kandidaten aan en vanuit NORA kijken we wat de snelste route kan zijn om de 'overerving' naar NORA te realiseren.
Denk je met ons mee?
===Opzet sessie===
* presentatie hoe krijg ik iets in NORA
* inventariserende & oriënterende bijeenkomst waarin je je pareltjes inbrengt via Miro
* we bekijken elkaars inbreng en melden ons aan om bij te dragen aan initiatieven waar we achter staan
* laatste kwartier afspraken maken met de inbrenger over een vervolgtraject op maat inclusief tijdspad
Het European Interoperability Framework (EIF) is een set met aanbevelingen voor nationale overheden, gericht op het interoperabel maken en houden van digitale publieke diensten binnen de EU. De nieuwste versie is van 23 maart 2017, de eerste versie is uit 2010.
De 47 aanbevelingen komen voort uit een conceptueel model, met o.a. 12 principes en 4 lagen (de lagen van het [[Vijflaagsmodel]] waarbij de [[netwerklaag]] en de [[applicatielaag]] zijn samengevoegd).
Het European Interoperability Framework is bedoeld als gemeenschappelijke kern van de Nationale Interoperability Frameworks (NIF's) en Domain Interoperability Frameworks (DIF's). Voor Nederland is de NORA het NIF. De [[Alignment NORA en EIF|mate van alignment tussen NORA en EIF]] is sterk en wordt jaarlijks gemonitord. Zie ook de actuele versie waar de [[media:Xref EIF and NORA 20230531.pdf|alignment EIF vs NORA (PDF, 2,28 MB)]] in detail is geanalyseerd.
De DIF's zijn niet als specifieke organisatie of framework benoemd, maar moet je zien als de (internationale) afspraken binnen de inhoudelijke [[Domeinen]]. In feite is de EIF hier de gedeelde kern tussen de diverse nationale overheden en de grensoverschrijdende domeinen, zoals NORA dat is tussen de diverse bestuurslagen en domeinen in Nederland. +
Europees Openbare aanbesteding voor de aanschaf, implementatie en onderhoud van een leerlingvolgsysteem ten behoeve van het Regionaal Bureau Leerplicht en voortijdig schoolverlaten Brabant Noordoost (RBL BNO) en de aanschaf, implementatie en onderhoud van een module leerlingenvervoer (als onderdeel van het leerlingvolgsysteem) voor de gemeente Oss en de Werkorganisatie gemeenten Cuijk Grave Mill en Sint Hubert (CGM). +
De opdracht houdt in de herverwerving of vervanging van de applicatie CiVision Samenlevingszaken van Pinkroccade, een all-in-one oplossing voor het sociaal domein. +
Aanbestedende dienst wenst haar organisatieprocessen met betrekking tot Personeelsalaris en HRM te verbeteren. Hiervoor selecteert zij een leverancier die een PSA/HRM-systeem en aanverwante dienstverlening aanbiedt. +
Het doel van deze aanbesteding is het sluiten van een overeenkomst tussen gemeente Eemsdelta i.o. (tot 1-1-2021 vertegenwoordigd door de penvoerder gemeente Delfzijl) en één Opdrachtnemer voor het gebruiksklaar ingericht te hebben van een Human Resource Management pakket per 1 oktober 2020, zodanig dat per 4 januari 2021 het systeem in gebruik genomen kan worden. Het Human Resource Management pakket voldoet aan de wensen en eisen van de nieuwe gemeente Eemsdelta zoals gesteld in de aanbestedingsstukken. +
KVK is op zoek naar nieuwe HRM applicatie, die helpt bij het realiseren van de ambitie om het leven van ondernemers makkelijker te maken door informatie en advies. KVK is ervan overtuigd dat optimale ondersteuning van een HRM systeem bijdraagt aan het behalen van die ambitie. +
Europese openbare aanbesteding van de aanschaf, implementatie en onderhoud van een burgerzaken-oplossing +
De opdracht betreft de levering, implementatie, hosting en het onderhoud van een burgerzaken oplossing voor alle vier de gemeenten die onderdeel uitmaken van de werkorganisatie BUCH. Het gaat hierbij om de gemeente Bergen (NH), Uitgeest, Castricum en Heiloo. +
==Objectdefinitie==
Betreft een beoordeling van de levering van de overeengekomen kwaliteit van dienstverlening.
==Objecttoelichting==
Het overeengekomen niveau van de informatiebeveiliging en dienstverlening met de leverancier dient te worden gehandhaafd. De operationele beheersing daarvan wordt met leveranciersovereenkomsten geregeld via het proces ‘Levenscyclusmanagement voor softwarepakketten’. Monitoring en beoordeling van prestaties en auditing is nodig om de naleving van overeenkomsten vast te stellen en om vastgestelde problemen in de operationele lijn op te lossen en te beheren.
==Schaalgrootte==
Elke schaalgrootte.
==Voor wie==
Klant. +
==Objectdefinitie==
Betreft een beoordeling van de (doorlopend) verzamelde beveiliging gerelateerde gebeurtenissen in netwerken.
==Objecttoelichting==
Het beveiligen van de beveiligingsfuncties is cruciaal voor zekerheid over het bereiken van het beoogde beveiligingsniveau. Daarvoor moet het beheer van de beveiligingsfuncties worden vastgelegd in auditlogs en worden beoordeeld. De auditlogs dienen zodanig te worden ingericht dat netwerkbeheerders geen toegang kunnen hebben tot de vastgelegde beheerhandelingen. +
==Objectdefinitie==
Betreft een beoordeling van de relatieve sterkte (resilience) van beveiligingsfuncties in communicatievoorzieningen.
==Objecttoelichting==
Binnen de infrastructuur bevinden zich diverse netwerkvoorzieningen die het fundament vormen voor de gegevensuitwisseling. Het is noodzakelijk om regelmatig te toetsen of de robuustheid van de beveiliging van de netwerkvoorzieningen voldoet aan de gestelde eisen. Het accent ligt hier op de vraag of de sterkte van de beveiliging voldoet aan de actuele eisen. Periodiek dienen zowel de organisatorische als de technische aspecten van beveiligingsmaatregelen beoordeeld te worden, die vervolgens worden gerapporteerd aan het verantwoordelijke management. +
Het onderdeel Financiële Dienstverlening (FD) van Uitvoeringsorganisatie Bedrijfsvoering Rijk (UBR) is voornemens om haar Exact landschap uit te besteden aan een marktpartij die komende jaren als integrale partner fungeert. +
==Objectdefinitie==
Omvat het plan van handelen, inclusief voorwaarden voor de beëindiging van de dienstverlening bij een bestaande Cloud Service Provider (CSP), plus het kunnen overzetten van data en IT-diensten naar een nieuwe CSP.
==Objecttoelichting==
Omdat geen enkel contract voor eeuwig is, moet een Cloud Service Consumer (CSC) op een zeker moment afscheid kunnen nemen van de CSP. Als bij het afsluiten van de clouddienst geen bindende afspraken zijn gemaakt over het afscheid nemen, kan het heel lastig of kostbaar worden om data te migreren naar een andere CSP.
De organisatie moet rekening houden met een ‘vendor lock-in’. Het is daarom van belang, nog voor het aangaan van een overeenkomst met een CSP, een exit-strategie te ontwikkelen. De exit-strategie dient de voorwaarden voor mutaties van data te bevatten. Het is ook mogelijk de praktische uitwerking van de exit-strategie op te nemen in een Service Level Agreement (SLA).
Om verschillende redenen kan een CSC de dienstverlening van de CSP willen beëindigen. Enerzijds planmatig, zoals bij het einde van de contracttermijn, anderszins vanwege moverende redenen, zoals niet voldoen aan de afspraken, overname van de CSP door een andere organisatie. Het niet planmatig beëindigen is gerelateerd aan de exit-strategie, dat onderdeel is van bedrijfscontinuïteitsmanagement (BCM). Het planmatig beëindigen van de dienstverlening raakt de transitie en is onderdeel van Service Level Management (SLM). +
==Objectdefinitie==
Omvat het plan van handelen, inclusief voorwaarden voor de beëindiging van de dienstverlening bij een bestaande leverancier en het kunnen overzetten van data naar een nieuwe leverancier van softwarepakketten.
==Objecttoelichting==
Aan het einde van de levenscyclus van een softwarepakket (met name software in de cloud) moeten er mogelijkheden bestaan om bestaande contracten te ontbinden en een nieuwe leverancier te kiezen. Vendor lock-in moet worden voorkomen. Voor de transitiefase en een probleemloze overdracht van bedrijfsgegevens moeten vooraf bindende afspraken worden gemaakt tussen de klant en de leverancier.
==Schaalgrootte==
Middel of groot.
==Voor wie==
Klant. +