Eigenschap:Beschrijving

Orgaan van een rechtspersoon krachtens publiekrecht ingesteld" (a-orgaan), of "een persoon of college, met enig openbaar gezag bekleed" (b-orgaan).  +

De overtuiging dat ‘beter voor de gebruiker en goedkoper voor de organisatie’ samen gaan wanneer het gebruikersperspectief centraal staat, is nog onvoldoende gemeengoed voor zowel veel professionals in het veld als voor bestuurders.<br> Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft daarom onderzoek laten doen om dit vernieuwde vertrekpunt feitelijk en breed te onderbouwen. Hiertoe zijn 11 cases van publieke organisaties verzameld en bestudeerd. Kenmerk van deze cases is dat vanuit het gebruikersperspectief verbeteringen zijn doorgevoerd in de dienstverleningsprocessen. De cases uit deze studie vormen een bevestiging van de veronderstelling dat meer kostenefficiëntie ontstaat nadat de dienstverlening is verbeterd, op voorwaarde dat het gebruikersperspectief (wensen van gebruikers en hun suggesties voor verbetering) leidend is geweest voor de inrichting van de dienstverleningsprocessen. <br> Dit is daarom een pleidooi tegen een puur efficiency gedreven aanpak en vóór een aanpak om met inschakeling van gebruikers te streven naar betere dienstverlening.  +

De beschikbaarheid en de kwaliteit van diensten voldoen aan vooraf bepaalde normen. Aangeboden informatie dient bijvoorbeeld juist, authentiek, actueel en volledig te zijn. Processen zijn zodanig ingericht dat dit is gegarandeerd en monitoring van het kwaliteitsniveau plaatsvindt.  +

In haar dienstverlening zegt de overheid wat ze doet en doet wat ze zegt. Burgers en bedrijven kunnen uitgaan van een betrouwbare en voorspelbare overheid. Zij kunnen vertrouwen dat informatie tijdig wordt verstrekt en dat deze correct, compleet en actueel is. De kwaliteit van diensten voldoet aan vooraf bepaalde normen. De monitoring en verantwoording hierop, alsmede de verbeteringen die hieruit voortvloeien zijn verankerd in de overheidsprocessen. Deze worden zo continu verbeterd.  +

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.  +

De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.  +

Mate waarin vertrouwen kan worden gesteld in een identificatiemiddel, gebaseerd op de mate van zekerheid waarmee attributen, identiteiten, identificatiemiddelen en/of bevoegdheden zijn vastgesteld.  +

==Objectdefinitie== Betreft de mate waarin de data ononderbroken beschikbaar is voor eindgebruikers. ==Objecttoelichting== De technische betrouwbaarheid van opslagsystemen bepaalt in hoge mate de beschikbaarheid van de opgeslagen data. Technische betrouwbaarheid is gespecificeerd als: MTBF (Mean Time Between Failures), MTTR (Mean Time To Repair) en MTTF (Mean Time To Failure). De effectieve beschikbaarheid van opslag bepaalt de toegankelijkheid van data, die kan worden uitgedrukt in de verhouding van de tijd waarin de data beschikbaar is ten opzichte van de niet beschikbare tijd. Voor een zeer hoge beschikbaarheid, bijvoorbeeld 7x24 uur en 99,999% dient kostbare hardware en softwarematige redundantie te worden toegepast. Aanvullend is het belangrijk eisen te stellen aan het maximum aantal onderbrekingen per uur, dag of jaar. Lange bewaartijd opslag impliceert data integriteit, authenticiteit en privacy-dreigingen die niet of minder van toepassing zijn op systemen met een beperkte bewaartijd.  +

==Objectdefinitie== Betreft een vastgelegde manier van handelen voor het inloggen op informatiesystemen. ==Objecttoelichting== De toegang tot systemen en toepassingen wordt beheerst met beveiligde inlogprocedures. Daarbij dient de geclaimde identiteit op passende wijze en met een geschikte techniek te worden vastgesteld. De procedure om in te loggen, wordt zo ontworpen, dat de kans op onbevoegde toegang minimaal is.  +

==Objectdefinitie== Betreft een omgeving die uitsluitend wordt gebruikt om applicaties te creëren of aan te passen. ==Objecttoelichting== Het traject van ontwikkelen van een applicatie en het in productie nemen van de resultaten van dit ontwikkeltraject vindt gefaseerd plaats in specifieke omgevingen. Bij de ontwikkeling worden vier omgevingen onderscheiden: # Ontwikkelomgeving, Hierin wordt de programmacode ontwikkeld. Om te voorkomen dat ontwikkelingen het productieproces kunnen beïnvloed is deze omgeving gescheiden van de productie omgeving. # Testomgeving, Hierin worden de uit de ontwikkelomgeving afkomstige producten getest door professionele testteams. Aanwezige, in de testomgeving gesignaleerde, onvolkomenheden in de software worden weer via ontwikkelomgeving aangepast. Dit is een iteratief proces totdat uit de test naar voren komt dat het product geschikt is om in productie te nemen; # Acceptatieomgeving, Hierin worden de softwareproducten (nog éénmaal grondig) getest en bij positief resultaat door de gebruikers en beheerders geaccepteerd. Bij eventuele onvolkomenheden worden de softwareproducten niet geaccepteerd (no-go) en terug gestuurd naar de testomgeving of ontwikkelomgeving; # Productieomgeving, Hierin worden de nieuwe softwareproducten uitgerold. De Productie omgeving is de omgeving waarin de nieuwe softwareproducten functioneel en actief moeten zijn. De in de voorgaande omgevingen uitgevoerde stappen moeten zo veel mogelijk garanderen dat nieuw ontwikkelde software geen fouten bevat die de productiegegevens kunnen corrumperen. In principe zijn alle omgevingen los van elkaar ingericht en vindt behalve via formele overdrachten geen contact plaats tussen de verschillende omgevingen.  +

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen, alsmede procedures en processen om eventuele gevolgen van beveiligingsincidenten tot een acceptabel (passend), vooraf bepaald niveau te beperken. De maatregelen zijn gebaseerd op een risicoanalyse en wettelijke verplichtingen (waaronder - in het geval van persoonsgegevens - ook de AVG).  +

==Objectdefinitie== Omvat de beveiliging van het berichtenverkeer. ==Objecttoelichting== De beveiliging van het berichtenverkeer omvat beveiligingsmechanismen die bescherming bieden tegen Cross-Site Scripting (XSS), SQL Injections en andere bedreigingen op de inhoud van berichten, onder andere op basis van schema-validaties. Voor het berichtenverkeer geldt minimaal de OWASP-top 10. Deze criteria worden voortdurend geactualiseerd en zijn vrij toegankelijk op internet op https://OWASP.org. Voor PKI Overheid de Digikoppeling-standaarden van Logius.nl toepassen. Let op: voor alle Application Programming Interface (API)-initiatieven als alternatief voor webservices (server2server). Qua certificaatgebruik hiervoor digikoppeling richtlijnen blijven volgen. Op de middlewarelaag wordt vaak Message-level security gebruikt als set van maatregelen. Deze set specificeert in hoeverre de SOAP-berichten tussen een client-applicatie en een webservice, die aangeroepen is door een client, moeten worden versleuteld, digitaal worden ondertekend of beiden. Het specificeert tevens de gedeelde beveiligingscontext tussen een webservice en een client, in het geval dat ze meerdere SOAP-berichten uitwisselen. Message-level security wordt toegepast voor zekerheid over de vertrouwelijkheid via versleuteling van berichten of onderdelen daarvan; voor de integriteit van berichten via elektronische handtekeningen en voor authenticatie, door te vragen naar een gebruikersnaam of een X.509 token.  +

Beveiliging en Gegevensbeschrijvingen in openbare review  +

==Objectdefinitie== Omvat specifieke eisen over de te nemen maatregelen voor de beveiligingsmechanismen, het dienstverleningsniveau en de kwaliteit van beheerprocessen. ==Objecttoelichting== De eisen voor communicatievoorzieningen betreffen enerzijds de verantwoordelijkheden voor de informatiebeveiliging van het transport en de distributie van informatie en anderzijds de beveiligde toegang tot de transportvoorzieningen zelf.  +

==Objectdefinitie== Betreft een modelmatige beschrijving van de technische en organisatorische samenhang van onderdelen van softwarepakketten. ==Objecttoelichting== Op het hoogste niveau beschrijft een zogenaamde enterprise-architectuur de context van de organisatie en op hoofdlijnen het geheel aan organisatorische en functionele activiteiten en tot welke bedrijfsoutput dit resulteert. De beveiligingsarchitectuur beschrijft met het beveiligingsbeleid in samenhang welke organisatorische en technische beveiligingsmaatregelen de beoogde bedrijfsfunctionaliteit en dienstverlening ondersteunen voor eindgebruikers en klanten. ==Schaalgrootte== Middel en groot. ==Voor wie== Klant.  +

==Objectdefinitie== Betreft de faciliteiten waarmee bedrijfsmiddelen binnen ruimten beveiligd worden. ==Objecttoelichting== De rekencentra bevatten verschillende typen ruimten zoals: kantoren, bekabelingsruimten en serverruimten. Deze ruimten moeten conform de beveiligingsgraad van deze ruimten voorzien zijn van beveiligingsfaciliteiten.  +

==Objectdefinitie== Betreft een specialistische adviesfunctie (beveiligingsrollen) voor het management en de organisatie, gericht op het behalen van beveiligingsdoelstellingen. ==Objecttoelichting== De organisatie beschikt over middelen en informatie die beveiligd moeten worden. Hiervoor moeten de juiste rollen zijn benoemd binnen een centraal orgaan, de beveiligingsfunctie. De functionarissen binnen deze functies hebben specifieke verantwoordelijkheden voor het realiseren van toegangsbeveiliging binnen de gehele organisatie, waaronder het toegangsbeveiligingssysteem.  +

==Objectdefinitie== Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor de relationele samenhang van beveiliging. ==Objecttoelichting== De beveiligingsfunctie omvat de geformaliseerde taken en verantwoordelijkheden voor clouddiensten. Binnen de beveiligingsfunctie is geregeld dat contact wordt onderhouden met verantwoordelijken binnen de Cloud Service Consumer (CSC)-organisatie wanneer sprake is van beveiligingsincidenten. De beveiligingsorganisatie van de Cloud Service Provider (CSP) zorgt/ziet toe op het naleven van het informatiebeveiligingsbeleid, clouddienstenbeleid en overig hieraan gerelateerd beleid. Hoewel een ‘Beveiligingsfunctie’ als zelfstandig object beschouwd kan worden, is voor de eenvoud gekozen om deze in deze BIO Thema-uitwerking te integreren met de organisatie. Waar nodig grijpt de beveiligingsorganisatie in. De taken, verantwoordelijkheden, bevoegdheden en middelen die de beveiligingsorganisatie hiervoor heeft zijn vooraf expliciet, in relatie tot de CSC, benoemd en vastgesteld. Ook moet vooraf vaststaan hoe de rapportagelijnen tussen de beveiligingsverantwoordelijken zijn georganiseerd.  +

==Objectdefinitie== Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor de relationele samenhang van beveiliging. ==Objecttoelichting== De beveiligingsorganisatie ziet toe op het naleven van het informatiebeveiligingsbeleid. Waar nodig grijpt de beveiligingsorganisatie in. Welke taken, verantwoordelijkheden, bevoegdheden en middelen een beveiligingsorganisatie hierin heeft, wordt vooraf expliciet benoemd en vastgesteld. Ook moet vaststaan hoe de rapportagelijnen zijn uitgestippeld.  +

==Doel== Doel van Bevoegdhedenbeheer is het toekennen van een bevoegdheid aan een entiteit om namens een andere entiteit te mogen handelen. ==Scope== Bevoegdhedenbeheer betreft de “levenscyclus” van bevoegdheden: vanaf het onderkennen (ontstaan en eventueel aanpassen), naar het toekennen aan digitale identiteiten en het verklaren daarvan, tot aan het intrekken (verwijderen) van bevoegdheden.<br /> ==Voorbeelden== Doorgaans wordt Bevoegdhedenbeheer ook wel Autorisatiebeheer of Access Management genoemd. <br /> Uitgangspunt hierbij is, dat met bepaalde “regels” wordt bepaald wat mag (of wat niet mag) en dat op het moment dat ergens toegang tot wordt gevraagd, wordt gecontroleerd of dat volgens die regels mag.<br /> Zo’n regel kan bijvoorbeeld ook zijn, dat een persoon door iemand anders gemachtigd is om iets te doen. Machtigen wordt daarom gezien als onderdeel van Bevoegdhedenbeheer. ==Status== Medio 2020 is via een pressure-cooker versnelling aangebracht in de oplevering van GO. Een vijftal werkgroepen heeft in 2 maanden tijd uitwerking gegeven aan: * ‘Why’ van de GDI inclusief bijbehorende visual, * uitgangspunten voor het vastleggen van generieke functies (capability’s), * visies voor de domeinen Interactie, Gegevensuitwisseling, Identificatie en Authenticatie (Toegang), Machtigen en Infrastructuur. Resultaten van de pressure cooker zijn overgedragen om mee te nemen in de Gemeenschappelijke Overheidsarchitectuur (GO). GO brengt samenhang aan, verwijdert dubbelingen en verdiept visies zodanig dat besluitvorming in de PL en (naar beoordeling door PL) in het OBDO mogelijk is. Voor het domein Interactie geldt dat bovendien nog afstemming met de beleidsomgeving moet plaatsvinden. Gegevensuitwisseling heeft nu nog een bredere scope dan GDI en zal daarom binnen de GDI-context in samenhang met andere domeinen uitgewerkt worden. ==Documentatie== De visie uit de pressure cooker GO t.a.v. Machtigen is opgenomen in het document van de werkgroep: [[media:GO_Pressure_Cooker_Machtigen.pdf|GO_Pressure_Cooker_Machtigen.pdf (PDF, 419 kB)]]. ==Naamgeving== Deze generieke functie Bevoegdhedenbeheer is nieuw toegevoegd aangezien in diverse beschrijvingen van GO naast Machtigen ook “bevoegdheden” worden genoemd en dat aansluit bij de bevindingen van de NORA expertgroep IAM, waar deze functie reeds was beschreven.  

Bevoegdheid is het bezitten van toestemming om een handeling te mogen verrichten, al dan niet in naam van een andere natuurlijke persoon of een rechtspersoon.  +

De bevoegdheden die aan de uitvoeringsorganisatie zijn verleend, bakenen de wettelijke taken van de organisatie af. Daarmee is in abstracte zin vastgesteld wat de organisatie wel en wat ze niet mag doen. Pas wanneer een uitvoeringsorganisatie bevoegd is een wettelijke taak uit te voeren, kan er sprake zijn van rechtmatige uitvoering.  +

Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld of niet langer dan de bewaartermijn die sectorspecifieke wetgeving stelt. De bewaartermijn kan worden beëindigd door actieve verwijdering van de gegevens of door anonimisering van de persoonsgegevens. Bij anonimisering zijn de gegevens niet meer herleidbaar tot de betrokkenen.<br>NB: De AVG is niet van toepassing op de persoonsgegevens van overleden personen<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] overweging 27: "De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen."</sup>.  +

==Beschrijving== Diensten zijn geschikt om gegevens door afnemers zelf te laten bewerken. * Wijzigen actuele en historische data: ** Afnemers moeten in staat zijn een dienst te gebruiken waarmee actuele en historische data worden gewijzigd. Voorbeeld: Een afnemer voegt via een dienst van het Kadaster een nieuwe publiekrechtelijke beperking toe aan de BRK-PB registratie bij het Kadaster. Voorbeeld: Een afnemer wijzigt de voornaam en het geslacht van een persoon zoals dat in een bestaande geboorteakte staat na een aanvraag tot geslachtsverandering. **Aanbieders bieden diensten waarmee actuele en historische data wordt vastgelegd. Voorbeeld: Het Kadaster biedt een dienst aan waarmee overheidsorganisaties publiekrechtelijke beperkingen kunnen toevoegen aan de BRK-PB registratie. Voorbeeld: Het Kadaster wijzigt de oppervlakte van een perceel binnen de BRK zoals dat gold op een datum in het verleden. * Wijzigen data binnen transactie: ** Afnemers moeten in staat zijn een dienst te gebruiken die bij elkaar behorende data wijzigt en zorgt voor compleetheid en consistentie. Voorbeeld: Een afnemer gebruikt een dienst en levert daarbij gelijktijdig data aan over de aanvraag, betaling en levering die moeten leiden tot een complete en consistente vastlegging in een registratie. ** Aanbieders moeten bij elkaar behorende data compleet en consistent als eenheid kunnen verwerken, en indien dat niet lukt de 'gegevenssituatie’ onveranderd laten. Voorbeeld: Een aanbieder verwerkt gelijktijdig aangeleverde aanvraag-, betaling- en levering-data binnen zijn registratie en borgt compleetheid en consistentie.  +

De mate waarin de juistheid van een gegeven kan worden aangetoond  +

De opdracht heeft betrekking op de levering van een Bezoeker Verwijs Systeem (BVS) Oplossing, Additionele diensten en Product Specifieke diensten.  +

Eventueel gemaakte fouten in een geleverde dienst worden tijdig hersteld. De levering van een dienst kan door allerlei omstandigheden anders verlopen dan was voorzien. Nationaal zijn afspraken gemaakt dat dan herstel plaatsvindt, zie NORA AP29 [[De dienstverlener voldoet aan de norm]]. Doorgaans zal het de burger c.q. een vertegenwoordiger van het bedrijf zijn dat de fout (of vermeende fout) bij de dienstverlener aankaart. Bij verschil van inzicht tussen de burger en de behandelend ambtenaar, kan dat leiden tot een klacht of een eventuele escalatie naar de Ombudsman. Ingeval het verschil van inzicht een besluit van een bevoegd gezag betreft, kan het ook leiden tot een bezwaar- en/of beroepsschrift volgens de [[Algemene Wet Bestuursrecht]]. De fout kan echter ook blijken vanuit de sturing op de kwaliteit van de dienst door de dienstverlener, zie NORA AP31 [[PDCA-cyclus in besturing kwaliteit]]. In dat geval kan de verantwoordelijke overheidsorganisatie het herstel proactief zelf inzetten. De afhandeling van deze correcties vindt plaats o.b.v. compassie en met de menselijke maat en verloopt uiteindelijk via [[Diensten leveren volgens de afspraken]]. De correctie zal worden verantwoord tot op het hoogste niveau, zoals dat ook is beoogd bij het [https://nl.wikipedia.org/wiki/ISO_9001 ISO 9001 Kwaliteitssysteem]. In geval de oorzaak van de fout structureel van aard is, zal dat worden doorgegeven aan een collega-ambtenaar die kan laten overgaan tot het her-ontwerp van die dienst, zie [[(Her)ontwerpen van een dienst]]. Dit mechanisme om tot tijdig herstel te komen is zeer wezenlijk in de vertrouwensrelatie tussen burgers en de overheid. Het is immers dat je niet in “goede tijden”, maar juist als het “fout gaat” wordt getest op karakter, normen en waarden! Als overheid (ambtenaar) willen we leren van onze fouten. En toeslagen-debacles moeten voortaan worden voorkómen. De mogelijkheden om tot herstel te komen moeten daarom voor elke dienst klip en klaar zijn. Als in een dienstlevering iets niet goed is gelopen en een burger een beroep doet op één of meer van de vijf genoemde correctiemogelijkheden, dan moet elke vraag om correctie uiteindelijk altijd leiden tot een actie vanuit de overheid om te [[Sturen op (verbetering van) de kwaliteit van dienstverlening]]. En van daar uit moet altijd een correctieve -en mogelijk ook preventieve- actie ondernomen worden (wat in de praktijk immers nog regelmatig niet goed verloopt).  

Het bieden van een democratisch proces om volksvertegenwoordigers te kiezen, zorgt er voor dat de stem van de Nederlandse burgers -die tevens stemmen vanuit hun rol als eigenaar of medewerker van bedrijven- niet alleen wordt gehoord, maar via het Kabinet en Parlement ook feitelijk invloed heeft op de visie en het beleid waarmee de Nederlandse samenleving vorm krijgt. De trigger voor deze capability komt vanuit de Politiek, waar verkiezingscampagnes kunnen worden gestart. En de noodzakelijke input daarbij, is de verkiezing van volksvertegenwoordigers door stemgerechtigde burgers. Zie voor meer details de beschrijving van dit proces: [https://www.rijksoverheid.nl/onderwerpen/democratie/werking-parlementaire-democratie de werking van de parlementaire democratie].  +

De overheid (het ambtelijke apparaat c.q. de uitvoeringsorganisaties) biedt een aanbod van diensten dat past bij de behoeften van [[Wat bedoelen we in het Basisconcept voor Dienstverlening met de 'burger'?|burgers]]. Anno 2021 maakt elke overheidsorganisatie de diensten die zij levert voor burgers toegankelijk via de eigen website. Die diensten moeten zodanig zijn beschreven, dat burgers vooraf al kunnen weten wat ze mogen verwachten. In principe zal zo’n beschrijving staan op de website(s) van de overheidsorganisatie(s) waar de dienst wordt aangeboden. De ca. 1.400 overheidsorganisaties doen dat ieder op hun eigen manier en met verschillende technische oplossingen. Nationaal zijn afspraken gemaakt welke aspecten van een dienst worden beschreven, zie NORA AP05 [[Nauwkeurige dienstbeschrijving]], maar in de praktijk wordt deze afspraak niet altijd gevolgd. Voor burgers betekent dat een divers palet aan websites van de overheid, waar je geen overzicht op hebt en niet gemakkelijk je weg in kunt vinden. Als oplossing daarvoor is een [https://www.overheid.nl/producten_en_diensten gemeenschappelijke zoekmachine] gemaakt, waarmee burgers alle aangeboden diensten vanuit die ene plek kunnen vinden, die daardoor dus functioneert als een soort “virtuele” dienstencatalogus van de Nederlandse Overheid. Gegeven dit aanbod van diensten van de overheid, is van belang na te gaan in hoeverre dat aanbod past bij de behoefte van burgers. Waar kunnen burgers hun wensen kenbaar maken voor nieuwe diensten en feedback geven op het aanbod? Die wensen worden vanzelfsprekend verwoord door de politieke vertegenwoordiging van de burger in de verschillende lagen van de democratie, maar burgers moeten ook hun individuele wensen kunnen inbrengen. Dat lijkt momenteel alleen mogelijk als de overheid daar zelf proactief in is en die wensen specifiek uitvraagt bij een geleverde dienst of meer algemeen via bijvoorbeeld landelijke onderzoeken. Een nog openstaande vraag hierbij is: op basis van welke criteria weegt de overheid af in hoeverre het mogelijk is om aan die wensen te voldoen? Dat is een afweging tussen individuele wensen en collectieve belangen, of tussen algemene afspraken en de discretionaire bevoegdheid van overheidsorganisaties, binnen technologische of budgettaire mogelijkheden, et cetera. Verder kan het ook handig zijn voor de overheid om aan te geven welke diensten (tijdelijk) niet worden geleverd, of welke nieuwe worden voorzien. Vanuit de NORA bestaan in elk geval twee principes die voor het ontwerp van een dienst rekening houden met feedback van de gebruikers. Zie NORA AP19 [[Perspectief gebruiker]] en NORA AP31 [[PDCA-cyclus in besturing kwaliteit]]. Dat is echter eenmalig bij de opzet en raakt dus niet de reflecties van burgers op het reeds bestaande dienstenaanbod. Vanuit NORA wordt daarom geadviseerd om dit dienstenaanbod niet los te zien van het [[Sturen op (verbetering van) de kwaliteit van dienstverlening]], waarbij de reflecties van burgers via het [[(Her)ontwerpen van een dienst]] kunnen worden verwerkt in een aangepast Dienstenaanbod. Voorbeelden van een Dienstenaanbod zijn: de publieke diensten van de [https://www.denhaag.nl gemeente Den Haag] of de [https://www.belastingdienst.nl/ Belastingdienst], en de mogelijkheid om via de gemeenschappelijke zoekmachine alle door de [https://www.overheid.nl/ Nederlandse Overheid] aangeboden publieke diensten te vinden.  

Volgens de WRR vraagt het gebruik van Big Data in het veiligheidsdomein om nieuwe kaders. Dat is nodig om de mogelijkheden van Big Data te benutten en tegelijkertijd de fundamentele rechten en vrijheden van burgers te waarborgen.  +

{{{Beschrijving}}}  +

Boekje met 10 praktijktoepassingen van Linked Data in Nederland  +

Het doel van deze aanbesteding is de ontwikkeling van een bouwblok audio welke de huidige Audiosystemen- en toepassingen in de verkeerscentrales (hierna VC) voor wegverkeer en objectbediening, bediencentrales (scheepvaart objectbediening op afstand), verkeersposten (scheepvaart begeleiding) en objecten (tunnels, bruggen, sluizen, keringen enz.) moet gaan vervangen. Het bouwblok audio zal als Commercial Off-The-Self (hierna COTS) producten worden ingekocht en dient te voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Nadere informatie is te lezen in het Beschrijvend Document.  +

Voorziening die deel uitmaakt van de infrastructuur van de e-overheid.  +

Een afspraak, standaard, organisatorische of technische voorziening of een combinatie hiervan ten behoeve van de realisatie van de digitale overheid.  +

Indeling van bouwstenen zoals gehanteerd in NORA 3.0 Katern strategie. Indeling in Contactfuncties, Identity Management, Basisregistraties, Elektronische informatie-uitwisseling.  +

Onderzoek naar effectieve beleids- en uitvoeringsopties en de mogelijke gevolgen daarvan.  +

In het rapport "een betere overheid voor burgers en bedrijven" van de Brede Maatschappelijke Heroverwegingen staat de behoefte van burgers en bedrijven voorop. Wat hebben zij nodig in hun contact met de overheid?<br> Het rapport richt zich op dienstverlening: het individuele contact dat burgers en bedrijven met de overheid hebben. Dit rapport is geschreven als een synthese van de veel al bestaande analyses die de afgelopen jaren zijn gedaan op het thema dienstverlening voor burgers en bedrijven: er is in de afgelopen jaren bijzonder veel aandacht is geweest voor (knelpunten in de) overheidsdienstverlening aan burgers en bedrijven. Het rapport staat daarom in het bijzonder stil bij de vraag hoe het komt dat dit beperkt, of zelfs soms helemaal niet, gelukt is. Ondanks de vele inspanningen die zijn gepleegd om de dienstverlening van de overheid voor burgers en bedrijven te verbeteren.  +

<br> ==Verslag sessie== Meer informatie: * [[NORA review]] * [[NORA review kwaliteitskader]] In deze sessie waren van te voren geen PSA's ingebracht. Met een groep van een man of 14 bekeken Eric Brouwer, Peter Bergman en Robert van Wessel daarom de referentiearchitectuur van Regie op Gegevens, die waarschijnlijk in het najaar in een nieuwere versie in openbare review zal gaan via noraonline.nl. Dit leidde tot discussies over onder andere: * Is het verschil tussen een PSA en een referentiearchitectuur altijd duidelijk? Zou een PSA bijvoorbeeld actionable moeten zijn? * Horen beleidsbrieven bij het juridisch kader, of hoort daar alleen wet- en regelgeving? * Beoordeel je in een NORA review of het voldoet aan NORA, of het een goede architectuur is, of allebei? Beide, tot op zeker hoogte ;-) * Moet er (altijd) een IST en SOLL transitie in een PSA voorkomen? * Hoeveel ruimte moet de huidige situatie in beslag nemen in een PSA? * Zou op noraonline naast het begrip [[PSA (Project Startarchitectuur)]] niet ook referentiearchitectuur en bijv. productarchitectuur gedefinieerd moeten worden? * Is de architectuurscope niet vaak groter dan de projectscope? * De samenhang met andere projecten / programma's hoort ook in een PSA thuis * Hoe dik of dun je PSA kan zijn is afhankelijk van wat er al als (enterprise) architectuur is beschreven. Idealiter trek je zaken die je in PSA's goed beschrijft naar je enterprise architectuur toe en maakt zo een serie van 'bouwblokken' die je in andere PSA's kunt gebruiken - of er naar verwijzen. Dan heb je uiteindelijk een veel dunner document nodig. ==Oorspronkelijke sessiebeschrijving== ===Hoe NORA-proof is mijn PSA?=== Steeds meer opdrachtgevers weten het al: bij je verandertraject in de eigen organisatie of digitale dienst aan de burger neem je een projectleider in de hand EN een onafhankelijk architect. De projectleider zorgt dat je inderdaad van A naar Beter komt binnen tijd en budget, de architect zorgt dat het eindresultaat ook inderdaad Beter is: ontworpen volgens de laatste inzichten, aansluitend op de omgeving en conform alle relevante wettelijke en kwaliteits-kaders. Het middel daarvoor is de [[PSA (Project Startarchitectuur)]]. Maar hoe zorg je dat dat PSA niet alleen de eigen directe context meeneemt, maar ook de kennis en afspraken op nationaal niveau in de NORA? We laten zien hoe je dat al in 1 uur kunt laten checken. ===Zo stellen we dat vast voor een willekeurige PSA!=== In deze sessie laat een NORA-expert ter plekke zien hoe hij een nog niet eerder door hem bekeken PSA analyseert en waardeert aan de hand van de PSA-instrumenten die de NORA biedt. Denk daarbij aan de [https://www.noraonline.nl/images/noraonline/6/64/ICTU_Handleiding_voor_het_maken_van_een_PSA.pdf PSA handleiding], de [[Principes|Architectuur Principes]], het [[Vijflaagsmodel]] en [[Thema's]]. Een hiertoe aangeleverde PSA wordt van commentaar en adviezen voorzien. Zo concreet, dat je daar in het project direct mee aan de slag kunt! ==Opzet van de sessie== We beginnen met een korte beschrijving van de ingebrachte PSA's, waarna de aanwezigen ter plekke kiezen welke PSA in deze sessie behandeld gaat worden. De gekozen PSA brengen we integraal in beeld, waarbij we de expert volgen die het document doorloopt. Hij denkt hardop en geeft zo een kijkje in de keuken van de NORA peer-review. Natuurlijk is er gelegenheid om in de chat vragen te stellen over het hoe en waarom, al zullen die om wille van de tijd mogelijk deels pas na afloop van de sessie kunnen worden beantwoord. Na de sessie delen we alle commentaren en bevindingen met degene die de PSA heeft aangeleverd. <br /> Vragen en aanvullingen over de methodiek van de NORA review bundelen we en publiceren we na afloop van de NORA Gebruikersweek voor alle deelnemers op noraonline.nl. ===OPROEP - breng zelf een PSA in voor de peer-review=== We dagen jullie uit om zelf een PSA in te brengen, die publiekelijk mag worden gedeeld. Het zou mooi zijn als het gaat om een nog lopend project, zodat de feedback ook echt kan worden gebruikt door de eigen architect om het op een hoger plan te brengen. Maar misschien zijn er andere redenen om een PSA te willen reviewen, bijvoorbeeld wanneer na afloop bleek dat er het een en ander over het hoofd gezien is: had een NORA review dat kunnen voorkomen? PSA's die niet besproken worden kunnen na afloop van de Gebruikersweek alsnog voor een NORA review worden aangemeld. Maar misschien heeft deelname aan de sessie je belangrijkste vragen al beantwoord - we horen het graag. Lever je PSA in pdf-format aan via [mailto:nora@ictu.nl?subject=PSA%20voor%20Bring%20Your%20Own%20PSA%20Gebruikersweek&body=Beste%20mensen%20van%20NORA%2C%0AHierbij%20lever%20ik%20een%20PSA%20om%20te%20bespreken%20in%20de%20sessie%20Bring%20Your%20Own%20PSA.%20Ik%20zal%20aanwezig%20zijn%20bij%20de%20sessie%20op%20donderdag%2027%20mei%20%28sessie%201%29%20%2F%20dinsdag%201%20juni%20%2F%20allebei.%0A%0AHet%20PSA%20is%20van%20het%20project%20of%20programma%20.....%2C%20dat%20nog%20van%20start%20gaat%20%2F%20al%20loopt%20%2F%20al%20is%20afgerond.%0AOnze%20belangrijkste%20vragen%20bij%20het%20PSA%20zijn%3A%20%0A%0A%0AMet%20vriendelijke%20groeten%2C%0ANaam%2C%20rol%20t.o.v.%20PSA%2C%20organisatie. nora@ictu.nl], inclusief een korte beschrijving van het project/programma en de belangrijkste vragen die jullie hebben. NB: Kun je niet deze sessie, maar wil je wel graag meedoen? Deze sessie wordt twee keer aangeboden in de NORA Gebruikersweek, op [[Bring Your Own PSA (sessie 1)|donderdag 27 mei]] en [[Bring Your Own PSA (sessie 2)|dinsdag 1 juni]].  

<br> ==Verslag sessie== Meer informatie: * [[NORA review]] * [[NORA review kwaliteitskader]] In deze intieme sessie konden alle deelnemers (delen van) een eigen PSA laten zien en bespreken. Een aantal inzichten die uit de sessie kwam: * In een PSA moet veel meer staan als de context nog niet in bijvoorbeeld een enterprise architectuur staat beschreven. * De betrokkenheid van stakeholders in een PSA is heel belangrijk - niet alleen voor de architect maar als het goed is juist voor de stakeholders zelf. * PSA's schrijven is een kunst die je door oefenen en reviewen steeds beter onder de knie krijgt. Verschillende reviewers halen verschillende elementen uit een PSA naar voren, waardoor uiteindelijk een completer beeld en document ontstaat. ==Oorspronkelijke sessiebeschrijving== ===Hoe NORA-proof is mijn PSA?=== Steeds meer opdrachtgevers weten het al: bij je verandertraject in de eigen organisatie of digitale dienst aan de burger neem je een projectleider in de hand EN een onafhankelijk architect. De projectleider zorgt dat je inderdaad van A naar Beter komt binnen tijd en budget, de architect zorgt dat het eindresultaat ook inderdaad Beter is: ontworpen volgens de laatste inzichten, aansluitend op de omgeving en conform alle relevante wettelijke en kwaliteits-kaders. Het middel daarvoor is de [[PSA (Project Startarchitectuur)]]. Maar hoe zorg je dat dat PSA niet alleen de eigen directe context meeneemt, maar ook de kennis en afspraken op nationaal niveau in de NORA? We laten zien hoe je dat al in 1 uur kunt laten checken. ===Zo stellen we dat vast voor een willekeurige PSA!=== In deze sessie laat een NORA-expert ter plekke zien hoe hij een nog niet eerder door hem bekeken PSA analyseert en waardeert aan de hand van de PSA-instrumenten die de NORA biedt. Denk daarbij aan de [https://www.noraonline.nl/images/noraonline/6/64/ICTU_Handleiding_voor_het_maken_van_een_PSA.pdf PSA handleiding], de [[Principes|Architectuur Principes]], het [[Vijflaagsmodel]] en [[Thema's]]. Een hiertoe aangeleverde PSA wordt van commentaar en adviezen voorzien. Zo concreet, dat je daar in het project direct mee aan de slag kunt! ===Opzet van de sessie=== We beginnen met een korte beschrijving van de ingebrachte PSA's, waarna de aanwezigen ter plekke kiezen welke PSA in deze sessie behandeld gaat worden. De gekozen PSA brengen we integraal in beeld, waarbij we de expert volgen die het document doorloopt. Hij denkt hardop en geeft zo een kijkje in de keuken van de NORA peer-review. Natuurlijk is er gelegenheid om in de chat vragen te stellen over het hoe en waarom, al zullen die om wille van de tijd mogelijk deels pas na afloop van de sessie kunnen worden beantwoord. Na de sessie delen we alle commentaren en bevindingen met degene die de PSA heeft aangeleverd. <br /> Vragen en aanvullingen over de methodiek van de NORA review bundelen we en publiceren we na afloop van de NORA Gebruikersweek voor alle deelnemers op noraonline.nl. ===OPROEP - breng zelf een PSA in voor de peer-review=== We dagen jullie uit om zelf een PSA in te brengen, die publiekelijk mag worden gedeeld. Het zou mooi zijn als het gaat om een nog lopend project, zodat de feedback ook echt kan worden gebruikt door de eigen architect om het op een hoger plan te brengen. Maar misschien zijn er andere redenen om een PSA te willen reviewen, bijvoorbeeld wanneer na afloop bleek dat er het een en ander over het hoofd gezien is: had een NORA review dat kunnen voorkomen? PSA's die niet besproken worden kunnen na afloop van de Gebruikersweek alsnog voor een NORA review worden aangemeld. Maar misschien heeft deelname aan de sessie je belangrijkste vragen al beantwoord - we horen het graag. Lever je PSA in pdf-format aan via [mailto:nora@ictu.nl?subject=PSA%20voor%20Bring%20Your%20Own%20PSA%20Gebruikersweek&body=Beste%20mensen%20van%20NORA%2C%0AHierbij%20lever%20ik%20een%20PSA%20om%20te%20bespreken%20in%20de%20sessie%20Bring%20Your%20Own%20PSA.%20Ik%20zal%20aanwezig%20zijn%20bij%20de%20sessie%20op%20donderdag%2027%20mei%20%28sessie%201%29%20%2F%20dinsdag%201%20juni%20%2F%20allebei.%0A%0AHet%20PSA%20is%20van%20het%20project%20of%20programma%20.....%2C%20dat%20nog%20van%20start%20gaat%20%2F%20al%20loopt%20%2F%20al%20is%20afgerond.%0AOnze%20belangrijkste%20vragen%20bij%20het%20PSA%20zijn%3A%20%0A%0A%0AMet%20vriendelijke%20groeten%2C%0ANaam%2C%20rol%20t.o.v.%20PSA%2C%20organisatie. nora@ictu.nl], inclusief een korte beschrijving van het project/programma en de belangrijkste vragen die jullie hebben. NB: Kun je niet deze sessie, maar wil je wel graag meedoen? Deze sessie wordt twee keer aangeboden in de NORA Gebruikersweek, op [[Bring Your Own PSA (sessie 1)|donderdag 27 mei]] en [[Bring Your Own PSA (sessie 2)|dinsdag 1 juni]].  

De plaats waar een gegeven of document voor de eerste keer is vastgelegd  +

De BurgerServiceCode is een gedragscode met tien kwaliteitseisen voor de relatie tussen burger en overheid in de moderne (digitale) samenleving. Deze eisen zijn geformuleerd als rechten van burgers en daarbij behorende plichten van overheden.  +

Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord.  +

Het burgerservicenummer (BSN) is het persoonsnummer voor contacten met de overheid. Dit unieke nummer helpt om bijvoorbeeld persoonsverwisselingen te voorkomen. Iedereen die zich voor het eerst inschrijft bij een gemeente krijgt een BSN. Een pasgeboren kind krijgt bij inschrijving in de BRP pas een BSN. Het BSN staat op het paspoort, rijbewijs en identiteitskaart.  +

De gemeente Waddinxveen maakt al jaren gebruik van Cipers/iBurgerzaken van PinkRoccade als applicatie voor burgerzaken. Ook werkt Waddinxveen met de Makelaarsuite van PinkRoccade. De looptijd van deze overeenkomsten gaat eindigen en daarom voert Waddinxveen een aanbestedingsprocedure uit om de komende jaren invulling te geven aan de functionaliteit die deze applicaties momenteel bieden.  +

==Objectdefinitie== Betreft een methode om de mogelijke bedrijfsimpact te bepalen die een organisatie zou kunnen ervaren door een incident, die de functionaliteit van of de informatie in een applicatie in gevaar brengt. ==Objecttoelichting== Eén van de specifieke activiteiten bij applicatieontwikkeling is het uitvoeren van een BIA. Hierbij wordt vanuit verschillende optieken de doelomgeving geanalyseerd, om op deze manier de juiste requirements voor de te ontwikkelen applicatie te kunnen identificeren en traceren.  +

A cornerstone of the UN/CEFACT standardisation activities is the Core Component Technical Specification (CCTS). Core Components are the syntax-neutral and technology-independent building blocks that can be used for data modeling. Major benefits of CCTS include improved reuse of existing data artifacts, improved enterprise interoperability, and consistency across vertical industry standards. (bron: wikipedia)  +

Binnen de ISOR-pagina’s kom je de term 'CIP-netwerk' tegen als grondslag bij de uitwerking van bepaalde criteria en normen. Deze grondslag wordt gebruikt wanneer voor het betreffende criterium/norm geen onbetwiste aanwijsbare bron uit een best practice als grondslag geadopteerd kan worden. Deze grondslag geeft aan dat de betreffende norm opgesteld is door leden uit de CIP-community die, individueel of in de werkgroepen/schrijfgroepen, hebben bijgedragen aan het opstellen van de betreffende BIO Thema-uitwerking. Het CIP-netwerk is de community van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]] die kennis deelt en ontwikkelt op het bredere terrein van informatiebeveiliging en privacybescherming. Eén van de kennisproducten van het CIP is de [[ISOR|Information Security Object Repository (ISOR)]], een verzameling van BIO Thema-uitwerkingen ter ondersteuning van organisaties bij de implementatie van de [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]]. Meer informatie vind je over de BIO en het CIP op: * BIO [https://bio-overheid.nl/over-de-bio bio-overheid.nl/over-de-bio] * CIP [https://cip-overheid.nl/over-cip cip-overheid.nl/over-cip]  +

CORA procesmodel uitgebreid met werkprocessen  +

CORA update thema applicatiestrategieën  +