Eigenschap:Implicaties

# Diensten worden in eerste instantie door dienstverleners geleverd op basis van afspraken. # Als wetgeving of beleidsafspraken dit nodig maken worden hier standaarden bij afgesproken. # De functies van de GDI worden bij voorkeur gerealiseerd via generieke afspraken en standaarden. Als de beoogde doelen hiermee niet worden bereikt, worden voorzieningen geïntroduceerd. # Wanneer slechts een deel van alle dienstverleners behoefte heeft aan een bepaalde voorziening is deze niet een generiek en per definitie door iedereen te gebruiken onderdeel van de GDI. Deze kan wel in overleg met betrokken partijen gezamenlijk worden gerealiseerd en optioneel onderdeel van de GDI zijn. Als de GA een voorziening als niet-generiek ziet, kan deze nog wel zich moeten conformeren aan afspraken en/of standaarden die deel uitmaken van de betreffende generieke functie. GA doet geen uitspraak of een dergelijke (niet-generieke) voorziening onder de GDI (governance en/of financiering) valt; dat is een bestuurlijk vraagstuk. # Dienstverleners moeten mogelijk aanpassingen doorvoeren om te voldoen aan afspraken en standaarden of om gebruik te kunnen maken van een generieke voorziening. # Alle afspraken, standaarden en generieke voorzieningen die partijen overeenkomen passen zij ook toe.   +

Gemeenten moeten vanaf 1 januari 2009 het zogenaamd ‘comply-or-explain and commit’ principe (voorkeursbeleid) toepassen voor open standaarden. Ook moeten gemeenten vanaf die datum het Open Document Format (ODF) kunnen lezen, bewerken en opslaan. Andere belangrijke actielijnen zijn: * Binnen de overheid moet een basislijst open standaarden gepubliceerd worden * Realisatie van een interoperabiliteitsraamwerk * Ontwikkelen van een OSS implementatiestrategie  +

Overheidsorganisaties onderzoeken welke kwaliteit voor de afnemers voldoende is. Deze wordt als norm vastgesteld en bekendgemaakt. Vervolgens worden er processen ingericht om de norm te handhaven en wordt er gerapporteerd over de behaalde resultaten. Waar de kwaliteit kan variëren, wordt bij de informatie vermeld wat het actuele kwaliteitsniveau is (bijvoorbeeld wanneer de informatie voor het laatst is gecontroleerd).  +

# Diensten worden ontwikkeld in samenwerking met burgers en bedrijven. # Diensten voldoen aan geldende toegankelijkheidseisen van websites en mobiele applicaties van de overheid. # Burgers en bedrijven kunnen voorkeuren kenbaar maken, waarmee rekening gehouden wordt bij dienstverlening. # Zie de implicaties van ieder van de NORA [[Architectuurprincipes]]   +

Functies beperken zich tot hun kernfunctionaliteit (‘do one thing and do it well’). # Functionaliteit wordt afgebakend en door zelfstandig functionerende onderdelen geleverd (‘seperation of concerns’) # Zelfstandig functionerende functionele componenten zijn beschreven in een dienstencatalogus of meerdere dienstencatalogi # Bij samenwerking zijn voor alle partijen heldere dienstverleningsovereenkomsten aanwezig. # GA houdt rekening met toekomstige (veranderende) keuzes, technologische ontwikkelingen en ontwikkelingen in Europa en daarbuiten. # Als flexibiliteit voor toekomstige ontwikkelingen leidt tot meerkosten wordt dit expliciet aangegeven. # GA beschrijft geen aspecten van de solution-architectuur.  +

Allereerst moet worden onderzocht hoe afnemers gebruikmaken van een dienst en hoe zij deze associëren met andere diensten. Op basis daarvan kunnen dienstverleners gaan samenwerken. Gezamenlijk moeten zij bepalen hoe zij hun diensten willen bundelen. In het geval van verlening van gecombineerde vergunningen moeten bijvoorbeeld dossiervorming en handhaving worden geregeld. Doet de vergunningverlener dit centraal of doen alle achterliggende organisaties dit decentraal? Welke oplossing er ook wordt gekozen: dit vraagt om intensieve samenwerking en afstemming tussen de betrokken organisaties. Bundeling kan op verschillende manieren worden vormgegeven. Bijvoorbeeld door het inrichten van portals (webpagina, callcenter, balie, etc. met doorverwijsfunctie) rond belangrijke gebeurtenissen (zogenoemde 'life events', zoals verhuizen, geboorte of een verbouwing), thema's (zoals de status van alle lopende processen bij elkaar), doelgroepen (studenten, 65+) of individuen (persoonlijke webpagina). Op portals worden afnemers nog steeds doorverwezen naar afzonderlijke diensten. Dit kan worden voorkomen door diensten (gedeeltelijk) te integreren. Bij deze verdergaande vorm van bundeling worden bijvoorbeeld websites en formulieren, maar ook gehele procedures, samengevoegd.  +

Voor de inrichting van de Europese geo-informatie infrastructuur hanteert INSPIRE de volgende basisprincipes. Geo-informatie: * wordt op één passend niveau opgeslagen, beheerd en beschikbaar gesteld * uit verschillende bronnen in de Europese Unie kan op consistente wijze worden gecombineerd en uitgewisseld tussen verschillende gebruikers en toepassingen * die op een bepaald overheidsniveau is verzameld kan worden uitgewisseld met andere overheidsniveaus * wordt onder zodanige voorwaarden beschikbaar gesteld dat grootschalig gebruik ervan niet onnodig wordt belemmerd * beschikbare geo-informatie kan gemakkelijk worden opgezocht en de geschiktheid en gebruiksvoorwaarden kunnen gemakkelijk worden nagegaan.  +

Overheidsorganisaties vereenvoudigen regels, procedures, formulieren, etc. zo veel mogelijk, zodat de noodzaak tot het opvragen van informatie wordt beperkt. Daarna wordt onderzocht welke wel noodzakelijke 'need to know' informatie al binnen de overheid bekend is en wie de beheerder daarvan is. Vervolgens leggen dienstverleners expliciet vast welke afspraken zij hebben gemaakt over het delen van de informatie,de inzet van technische voorzieningen, verantwoordelijkheden en rollen in de samenwerking en dienstverlening. Ook kunnen formulieren worden aangepast, zodat reeds bekende informatie over de burger of het bedrijf, al van tevoren is ingevuld. Omgekeerd zal de dienstverlener zijn informatie moeten delen met andere dienstverleners die gebruik mogen en willen maken van die informatie voor de uitvoer van hun taken. Omdat andere partijen in staat te stellen hergebruik te maken van informatie, worden er hoge eisen gesteld aan kwaliteit, beheer en duurzaamheid en worden deze expliciet vastgelegd. '''Ontwerpeis''': overheden hebben expliciet vastgelegd welke afspraken zij in hun samenwerking gericht op gezamenlijke dienstverlening,hebben gemaakt over het hergebruik van informatie, technische voorzieningen, rollen en verantwoordelijkheden.  +

Input van afnemers wordt systematisch verzameld en geanalyseerd. Goede indicatoren zijn klachten van gebruikers, verzoeken om correctie van gegevens en suggesties voor het verbeteren van de dienstverlening. De dienstverlener kan ook zelf het initiatief nemen om te achterhalen hoe afnemers de dienst ervaren. Als een vorm van (indirecte) input kunnen bijvoorbeeld systeemmeldingen en gebruiksstatistieken worden gebruikt. Er worden procedures ingericht om tijdig en gepast te reageren op afnemers die input leveren. Besturingsprocessen zijn zodanig ingericht dat bij planning en control rekening wordt gehouden met input van afnemers.  +

Burgers, bedrijven en instellingen mogen van ons verwachten dat wij onze dienstverlening conform de volgende uitgangspunten organiseren: Uitgangspunt 1 – de vraag staat centraal * De vraag van burgers, bedrijven en instellingen staat centraal in ons handelen * Wij werken oplossingsgericht en sluiten aan bij de behoeften van burgers en de eigen processen en systemen van bedrijven en instellingen. * Wij spannen ons in om overbodige regels te schrappen, heffen onnodige indieningsvereisten op en voorkomen nieuwe overbodige regels. * Ons gedrag is erop gericht mensen snel, vriendelijk en goed te helpen. Uitgangspunt 2 - snel en zeker * Wij zorgen ervoor dat burgers, bedrijven en instellingen hun zaken snel en zeker kunnen regelen. * Wij praten en schrijven in begrijpelijke taal. * Wij geven burgers, bedrijven en instellingen online inzicht in de gegevens die de overheid van hen heeft en bieden hen de mogelijkheid een verzoek te doen om deze gegevens te laten wijzigen als ze onjuist zijn. * Wij bieden burgers, bedrijven en instellingen de mogelijkheid om hun transacties met de overheid online aan te gaan en de voortgang daarvan te volgen. * Burgers, bedrijven en instellingen mogen zelf beslissen of de overheid de gegevens die de overheid over hen beschikbaar heeft, ook (digitaal) ter beschikking mag stellen aan derden. * Wij zorgen ervoor dat burgers, bedrijven en instellingen in beginsel 7 dagen per week, 24 uur per dag via internet algemene informatie kunnen opvragen, vragen kunnen stellen, statusinformatie kunnen inzien, aanvragen kunnen indienen en hun persoonlijke gegevens kunnen inzien. * Wij stemmen ieder zelfstandig de openingstijden en beschikbaarheid van onze andere communicatiekanalen (loket, telefoon en post) af op de behoeften van de burgers, bedrijven en instellingen die van onze diensten gebruik maken. * Wij zorgen voor goede beveiliging en gaan zorgvuldig om met (persoons)gegevens. Om de privacy te beschermen én om fraude en misbruik van voorzieningen te voorkomen en te bestrijden. Uitgangspunt 3 – één overheid * Wij vallen burgers, bedrijven en instellingen niet lastig met de verschillen tussen onze organisaties: wij opereren als één overheid. * Onze dienstverlening is voor iedereen toegankelijk en bereikbaar. * Burgers, bedrijven of instellingen kunnen met een vraag voor de overheid op verschillende plekken terecht: altijd de juiste deur. Wanneer een burger, bedrijf of instelling niet weet waar hij precies moet zijn, kan hij in ieder geval altijd terecht bij de gemeente voor hulp of een doorverwijzing. * Wij wijzen één aanspreekpunt aan als burgers, bedrijven of instellingen voor één vraag of proces met meerdere overheidsorganisaties tegelijk te maken hebben. * Wij spannen ons in om publiek-private samenwerking bij overheidsdienstverlening te vereenvoudigen. Uitgangspunt 4 - eenmalige uitvraag gegevens * Wij stellen geen overbodige vragen. Gegevens die in basisregistraties zijn opgenomen en informatie die binnen onze eigen organisatie beschikbaar is vragen wij niet nogmaals. * Waar mogelijk bieden wij diensten pro-actief aan burgers, bedrijven en instellingen aan. Uitgangspunt 5 - transparant en aanspreekbaar * Wij gebruiken servicenormen en dragen deze uit. * Wij meten en vergelijken overheidsbreed onze prestaties ten aanzien van dienstverlening en maken deze openbaar. * Wij stellen openbare overheidsinformatie actief online beschikbaar, zodat derden deze informatie kunnen hergebruiken of eenvoudig kunnen integreren in hun eigen informatie of diensten. Uitgangspunt 6 – efficiënt werken * Wij richten onze dienstverlening zo efficiënt mogelijk in, met inachtneming van de behoeften van burgers, bedrijven en instellingen. * Waar mogelijk heeft het elektronische communicatiekanaal de voorkeur. Hierdoor kunnen besparingen worden gerealiseerd. * Voor bedrijven en instellingen geldt dat het papieren kanaal op termijn zal worden afgeschaft. * Waar persoonlijk contact met de overheid noodzakelijk of bevorderlijk is voor de kwaliteit van de dienstverlening, maken wij persoonlijk contact met burgers, bedrijven en instellingen mogelijk.  

# Burgers en bedrijven herkennen en zien dat zij zich in een veilige overheidsomgeving begeven of zich daarbuiten begeven. # Diensten zijn ingericht met een passend beveiligingsniveau dat aantoonbaar is bepaald en wordt geverifieerd. # Diensten voldoen aan geldende veiligheidseisen en maken gebruik van actuele veilige standaarden. # Diensten zijn erop ingericht om misbruik en fraude te signaleren en daarop maatregelen te nemen.   +

Een belangrijke voorwaarde is dat dienstverleners hun afnemers kennen en daarbij informatie van andere organisaties meenemen. Proactiviteit vraagt om het opnieuw doordenken van dienstverleningsprocessen vanuit het perspectief van de afnemer. Het is niet vanzelfsprekend dat dienstverlening altijd start met een aanvraag van een afnemer. Een overheidsorganisatie kan ook zelf het initiatief nemen. Als hiervoor geen input van de afnemer nodig is, kan het proces zelfs eenzijdig worden afgerond.  +

# Zowel digitaal vaardige als ook digitaal niet-vaardige burgers en bedrijven moeten eenvoudig met dienstverleners kunnen communiceren. # Ondersteuning van behoeften van burgers en bedrijven houdt rekening met aanwezige verschillen in de rol, aard en voorkeuren die zij hebben.   +

Stelselafspraken, standaarden en generieke voorzieningen moeten geschikt zijn voor gebruik door grote en kleine dienstverleners.  +

Overheidsorganisaties ontwikkelen geen eigen processen, systemen en technieken wanneer deze al beschikbaar zijn. Ze moeten zich actief op de hoogte stellen van beschikbare en geplande standaardoplossingen, zodat ze daar bij het maken van plannen rekening mee kunnen houden. De pagina [[Bouwstenen]] bevat een overzicht van de belangrijkste standaardoplossingen waar dienstverleners gebruik van kunnen maken. Vervolgens zullen de bruikbare elementen moeten worden ingepast in de eigen organisatie. Geen enkele standaardoplossing past altijd voor de volle honderd procent. Daarom zal de bereidheid tot het sluiten van compromissen aanwezig moeten zijn. Waar nog geen standaardoplossingen beschikbaar zijn, kunnen organisaties hun eigen oplossingen geschikt maken voor gebruik door anderen. Bijvoorbeeld door ze gezamenlijk verder te ontwikkelen en beschikbaar te stellen als open source of open standaarden. Zo ontstaan nieuwe standaardoplossingen.  +

Onderzocht moet worden hoe de doelgroep is opgebouwd en hoe de verschillende soorten afnemers van de dienst gebruikmaken (gebruikersonderzoek). Op basis hiervan kan worden bepaald welke communicatiekanalen er worden ingezet en op welke wijze. Dit kan betekenen dat er meerdere communicatiekanalen moeten worden gebruikt (bijvoorbeeld internet en telefoon) via mogelijk meerdere ingangen (bijvoorbeeld verschillende websites voor verschillende doelgroepen). Het is daarbij niet mogelijk alle afnemers naar wens te bedienen. Er zal daarom een afweging moeten worden gemaakt tussen de voorkeuren van de afnemers en het rendement van de verschillende kanalen en ingangen. Voorwaarde daarbij is dat niemand wordt uitgesloten. Waar meerdere kanalen en ingangen worden aangeboden, moet zijn gewaarborgd dat de resultaten van de dienstverlening onafhankelijk zijn van het gekozen kanaal en de gekozen ingang. Zelfs als deze door elkaar heen worden gebruikt. Het moet bijvoorbeeld voor het antwoord niet uitmaken of een vraag binnenkomt per post, e-mail of telefoon.  +

Vastgesteld moet worden welke informatie relevant is voor afnemers. Hiervoor wordt betrouwbare informatie vervolgens (duurzaam) beschikbaar gesteld aan degene die inzage wenst. Het betreft bijvoorbeeld: * beschrijving van de dienst; * leveringsvoorwaarden; * welke informatie wordt gebruikt; * betekenis van gebruikte informatie; * wat de werkwijze is; * voortgang van het dienstverleningsproces; * hoe resultaten (met name: beslissingen) tot stand zijn gekomen.  +

Er worden maatregelen genomen om te voorkomen dat gegevens ongeautoriseerd worden gebruikt. Gebouwen en systemen worden beveiligd tegen onbevoegden en malafide software. Ook wordt voorkomen dat eigen medewerkers toegang krijgen tot informatie die niet voor hen is bedoeld. Registratie van handelingen maakt het mogelijk om te controleren of er sprake is van schending van vertrouwelijkheid.  +

Bekend moet zijn welke informatie afnemers doorgaans zoeken en waar ze deze zoeken. Deze informatie wordt aangemeld op de voor de afnemers bekende vindplaatsen (zoekmachines, portals, catalogi, registers, etc.). Ook de dienst zelf wordt voorzien van de nodige zoekfuncties. Om te kunnen doorverwijzen, moet de dienstverlener op de hoogte zijn van de andere plaatsen waar diensten te vinden zijn en de afnemers hiernaar verwijzen als dat nodig is.  +

De organisatie is in staat om communicatie met de afnemer via meerdere kanalen af te wikkelen  +

* Tijdens verlening van de dienst wordt de verwerking en verstrekking van informatie als zodanig vastgelegd. * Daarbij wordt vastgelegd welke medewerkers de informatie hebben bewerkt en aan welke organisaties deze informatie is verstrekt. * Deze informatie wordt ontsloten via de contactvoorzieningen die voor het doel van inzage zijn ingericht. * Bij het verzamelen van persoonsgegevens worden betrokkenen op de hoogte gesteld van het doel of de doeleinden waarvoor de gegevens worden verzameld.   +

* Afnemers krijgen inzage in wie zijn of haar gegevens heeft geraadpleegd en gewijzigd. * Alle handelingen in het zaaksysteem worden hiervoor gelogd en zijn te raadplegen via een audittrail (functionele logging). * Bij iedere handeling wordt de organisatie en de rol van de raadpleger vermeld. * Het doel en de wettelijke grondslag waarvoor de gegevens zijn geraadpleegd worden ook vermeld. * Relevante automatische handelingen worden hierbij eveneens vastgelegd (databaselogging). * De audittrail is online opvraagbaar via mijnoverheid.nl. * Voor een uniforme weergave van de logging via mijnoverheid.nl door het zaaksysteem wordt gebruik gemaakt van loggings- en autorisatiestandaarden (pas-toe). De audittrail is volledig en onweerlegbaar.   +

*De dienst is nauwkeurig beschreven, zie [[Nauwkeurige dienstbeschrijving|AP 5 Nauwkeurige dienstbeschrijving]]. *Hierbij is bepaald wie de afnemers zijn, wat zij mogen verwachten en wat de voorwaarden voor levering zijn. *De dienst wordt verleend nadat de afnemer akkoord is gegaan met de voorwaarden. Wanneer het op praktische bezwaren stuit om met iedere afnemer afzonderlijk afspraken te maken, kan de dienstverlener deze afspraken maken met een vertegenwoordiger van de afnemers *Bij bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter is het akkoord en de inhoud daarvan schriftelijk vastgelegd. Denk hierbij aan ''Service Level Agreements'' (SLA) en ''Gegevens Levering Overeenkomsten'' (GLO). *De dienstverlener geeft hierbij ook aan welk betrouwbaarheidsniveau geldt voor de identificatie van de afnemer.   +

* Voor iedere dienst worden de relevante afspraken vastgelegd in een productcatalogus en in de Zaaktypencatalogus (kwaliteit, grondslag, levertijd en kosten). * Bedrijfskritische diensten zijn bekend en relevante afspraken zijn gemaakt. * Zaakgericht werken bewaakt dat alle afspraken (aantoonbaar) worden nagekomen. * Kwaliteits- en leveringsindicatoren maken sturing op de gemaakte afspraken mogelijk. ** De voortgang van een zaak wordt bewaakt: *** Gesignaleerd wordt voordat zaken de afgesproken termijnen dreigen te overschrijden *** Genotificeerd wordt wanneer zaken de afgesproken termijnen overschrijden * De kwaliteit van een dienst wordt gemonitord (beschikbaarheid, betrouwbaarheid, volledigheid, authenticiteit, uitwisselbaarheid, vindbaarheid). * Er is geaggregeerde informatie over zaken beschikbaar om de kwaliteit, levertijd, beschikbaarheid en kosten van een dienst inzichtelijk te maken (aantal afgenomen diensten, gemiddelde doorlooptijd van een dienst, variatie (minimale en maximale doorlooptijd), wachttijd, totale kosten per dienst). * Er is inzicht in de kwaliteit van geregistreerde gegevens over zaken. * Gegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen.   +

Per dienst is bepaald: * of automatische verstrekking gewenst is * de invulling van de automatische verstrekking * welke signalen (ook van andere organisaties) de dienstverlening in gang zetten. De dienstverlener deelt daartoe klantcontactinformatie met andere dienstverleners. Juridische en praktische implicaties hiervan zijn onderzocht.  +

* De dienstverlener heeft voor zijn gehele pakket van diensten de algemeen geldende kwaliteitscriteria, standaarden en best practices geïdentificeerd. * De kwaliteitscriteria, standaarden en best practices zijn vertaald in een bij de organisatie passende baseline. * De dienst voldoet aan deze baseline. In aanvulling daarop is bepaald in hoeverre aanvullende kwaliteitsmaatregelen vereist zijn. * Deze aanvullende maatregelen zijn genomen.   +

Autorisaties voor het verstrekken en gebruik van gegevens kan worden bepaald op basis van metadata. De beheerder die het gegeven beheert en het wil verstrekken voor verdere bewerking, voegt metadata toe aan de hand waarvan de beheerder en de afnemer een autorisatiebeslissing kan nemen.  +

Continuïteitseisen vormen de input voor het maken van een calamiteitenplan. Voorbeelden van continuïteitseisen zijn Maximum Tolerable Outage (MTO), Recovery Time Objective (RTO), Recovery Point Objective (RPO).  +

Verantwoordelijkheden, bevoegdheden en taken bij gegevensverwerking zijn bepaald en bekend.  +

De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door vermeervoudiging van systeemfuncties, door herstelbaarheid en beheersing van verwerkingen, door voorspelling van discontinuïteit en handhaving van functionaliteit. Specifiek: * Het niveau van beschikbaarheid is in overleg met de afnemers vastgesteld * ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid * De continuïteit van voorzieningen wordt bewaakt, bij bedreiging van de continuïteit wordt alarm geslagen en er is voorzien in een calamiteitenplan. * De toegankelijkheid van openbare informatie en informatie die die relevant is voor vertrouwelijke- en zaakgerelateerde diensten, is gewaarborgd. Wanneer informatie verplaatst is, of niet meer (online) beschikbaar, worden bezoekers doorverwezen naar de plaats waar deze wel te vinden is. * De afnemer merkt niets van wijzigingen in het beheer van de dienst. * Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is. * De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard.  +

Voor een optimale dienstverlening aan burgers en bedrijven en voor effectieve en efficiënte samenwerking in het leveren van diensten tussen en binnen overheidsorganisaties, is het belangrijk om een gezamenlijk beeld te hebben van de informatie die hierbinnen worden gebruikt en nodig zijn. Dit is alleen mogelijk door informatieobjecten voor een dienst, systematisch te beschrijven met behulp van een informatiemodel dat de semantiek en syntax van de gegevens vastlegt. Zo kunnen de betrokken gebruikers de relevante informatieobjecten vinden, toepassen, (her)gebruiken en archiveren. Dit betekent dat een informatiemodel minimaal bevat: * Informatietypen (entiteiten) (een ordening van informatieobjecten in zogenaamde informatietypen, ook wel de hoofdstructuur (entiteiten) van het informatiemodel met hun onderlinge relaties. * Attributen (een ordening elementen die binnen de entiteiten zijn of worden opgenomen met de beschrijving daarvan). * Regels (een opsomming van eisen waar de entiteiten en attributen aan moeten voldoen). Maak het informatiemodel bekend in een datacatalogus die inzicht geeft in de beschikbaarheid van data. En benut visualistatiemiddelen om het model en de samenhang/relaties tussen de objecten visueel inzichtelijk te maken.  +

Maak zo veel mogelijk gebruik van gegevens die reeds beschikbaar zijn in plaats van deze gegevens opnieuw te verzamelen of te creëren.  +

Bewaak de continuïteit van voorzieningen zodat bij bedreiging van de continuïteit alarm geslagen wordt en er voorzien is in een calamiteitenplan. Test en evalueer dit plan op regelmatige basis.  +

Bied diensten aan via meerdere kanalen aan. Bij multichannel kunnen afnemers kiezen tussen enkele kanalen die niet direct op elkaar zijn afgestemd. Bij omnichannel gebruikt de afnemer heel veel verschillende kanalen die goed op elkaar zijn afgestemd.  +

Bied de dienst zo veel mogelijk vanuit één contactpunt aan richting burgers en bedrijven. Zo hoeven burgers en bedrijven niet met verschillende partijen te schakelen om de dienst af te kunnen nemen.  +

De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens.  +

* Alle relevante informatie-objecten zijn geïnventariseerd * informatie-objecten worden beheerd. * Per informatie-object is de bron en daarmee de juridische aansprakelijkheid voor de juistheid van het object vastgesteld * ''Authentieke gegevens'', zoals beschreven in de wetgeving op basisregistraties, worden afgenomen van de basisregistraties * De juistheid van de gebruikte informatie-objecten wordt niet voor gebruik gecontroleerd   +

* De aanbod- en vraagzijde van de markt zijn in kaart gebracht: ** doelgroepen en hun perspectief ** aanverwante diensten en dienstverleners * Afstemming is gezocht met de andere relevante (overheids)dienstverleners * De dienst wordt (vanuit perspectief van de afnemer) gebundeld aangeboden met een of meer diensten van andere organisaties   +

Zaken worden hiervoor in logische samenhang aangeboden. Er kan sprake sprake zijn van bundeling van diensten bij levensgebeurtenissen waarbij meerdere diensten noodzakelijk zijn om te voldoen aan de behoefte van de afnemer of in het geval van gezamenlijke opsporing. <br> Werken als één overheid vergt eenvoudige uitwisseling van (deel)zaken tussen (overheids)dienstverleners. Het zaaksysteem voldoet hiervoor aan uitwisselingsstandaarden. Gedurende de uitwisseling zijn ook authorisatiegegevens en audittrail uitwisselbaar. Er blijft een authentieke audittrail intact bij dienstverlening door meerdere (overheids)dienstverleners (case-id, activiteit, tijdstip, bevoegd gezag, behandelende organisatie, behandelaar).  +

* Het niveau van beschikbaarheid is in overleg met afnemers vastgesteld. * De ondersteunende ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. * De continuïteit van voorzieningen wordt bewaakt; bij bedreiging van die continuïteit wordt alarm geslagen. Er is voorzien in de aanpak van calamiteiten. * De toegankelijkheid van openbare informatie en van informatie die relevant is voor vertrouwelijke- en zaakgerelateerde diensten, is gewaarborgd. Wanneer informatie verplaatst is, of niet meer (online) beschikbaar, worden bezoekers doorverwezen naar de plaats waar deze wel te vinden is. * De afnemer merkt niets van wijzigingen in het beheer van de dienst. * Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is. * De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard.   +

* De criteria voor juistheid, volledigheid en tijdigheid zijn vastgesteld * De bij levering van de dienst betrokken systemen: ** controleren vanuit een systeemvreemde omgeving ingevoerde gegevens op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt. ** controleren te versturen gegevens op juistheid, volledigheid en tijdigheid ** controleren ter verwerking aangeboden gegevens op juiste, volledig en tijdige verwerking ** vergelijken periodiek kritieke gegevens die in verschillende gegevensverzamelingen voorkomen met elkaar op consistentie. Dit geldt alleen zolang als de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens. ** analyseren periodieke logbestanden teneinde beveiligingsincidenten of de juiste werking van het systeem vast te stellen.   +

Controleer de verwerking van gegevens: * Zijn de criteria voor juistheid, en tijdigheid vastgesteld? * Worden gegevens die vanuit een systeemvreemde omgeving ingevoerd zijn eerst gecontroleerd op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt? * Worden te versturen gegevens gecontroleerd op juistheid, volledigheid en tijdigheid? * Worden ter verwerking aangeboden gegevens gecontroleerd op juiste, volledig en tijdige verwerking? * Worden kritieke gegevens die in verschillende gegevensverzamelingen voorkomen periodiek met elkaar vergeleken op consistentie? (Dit geldt alleen zolang de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens)  +

De controleerbaarheid van gebruikers- en systeemgedrag wordt gerealiseerd door registratie en bewaking van gebeurtenissen en door alarmering op het overschrijden van toelaatbare drempels. Specifiek voor logging: analyseer periodieke logbestanden om de juiste werking van het systeem vast te stellen en beveiligingsincidenten te detecteren.  +

* Voor de dienst is vastgesteld aan welke normen en standaarden deze moet voldoen. * De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van de norm zijn geïdentificeerd. * Voor alle afwijkingen zijn voorzieningen getroffen.   +

Formuleer uniforme regels die gelden voor toegang tot de entiteiten (dienst, informatie, object) onafhankelijk van het kanaal.  +

De dienst: * is beschreven * de opzet is afgestemd met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen * sluit aan op de verwante diensten.  +

Zorg er voor dat diensten elkaar aanvullen en niet overlappen: * Geef een heldere beschrijving van je dienst * Stem de opzet van de dienst af met aanbieders van verwante diensten * Sluit aan op die verwante diensten Burgers en bedrijven moeten de dienst en de meerwaarde er van kunnen herkennen: de dienst moet uniek zijn en niet overlappen met andere diensten. Dat voorkomt verwarring en zorgt dat de beoogde gebruiker de dienst weet te vinden. Daarvoor moeten individuele organisaties zelf de verantwoordelijkheid nemen om hun dienstverlening naast elkaar te leggen en op elkaar af te stemmen. Dit voorkomt dubbel werk en overlappende diensten. De overheid als geheel kan zo efficiënter werken. En bij individuele dienstverleners komt capaciteit en focus vrij om zich te concentreren op de kwaliteit van de unieke dienst die ze aanbieden.  +

De dienst: * is zó beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden * maakt maximaal gebruik gemaakt van (open) standaarden om zo min mogelijk drempels op te werpen voor gebruik * kent een minimum aan gebruiksvoorwaarden * is aangemeld bij een landelijk serviceregister  +

* Diensten zijn over organisaties heen herbruikbaar. * Diensten zijn opgebouwd volgens het [[Vijflaagsmodel]]. * Er is een register met diensten beschikbaar. * Er is een bibliotheek met proces- en zaaktypedefinities beschikbaar, waardoor processen en zaken eenvoudig uit te wisselen zijn (zero-code).   +

* Op basis van de meta-informatie kan worden vastgesteld wat de oorspronkelijke reden is van het verzamelen van de informatie. * Het doel waarvoor informatie wordt uitgevraagd, is vastgelegd en getoetst door bevoegde instanties. * In samenwerkingsrelaties is vooraf bepaald wat het gemeenschappelijke doel van de samenwerking is en of alle deelnemers in het kader hiervan informatie mogen delen, bijvoorbeeld over personen.   +

Een gebruiker kan er op vertrouwen dat een informatieobject, zoals deze in de bron is vastgelegd, juist, actueel en volledig is. Fouten kunnen worden gemeld en hersteld. Daarbij is het van belang dat herstelwijzigingen worden gelogd, zodat traceerbaar is hoe foutieve gegevens zijn verwerkt en wat het effect daarvan is. Dit betekent dat: * De kwaliteit van de informatie transparant, verankerd en geborgd moet zijn binnen de processen van de verantwoordelijke en leverende organisatie (datamanagement). * Er gebruik moet worden gemaakt van gestandaardiseerde gegevensmodellen, gegevenswoordenboeken en catalogussen ten behoeve van machinematige verwerking van gegevens. * De informatie tijdens de gehele levenscyclus moet worden gemonitord, gecontroleerd, gevalideerd op basis van regels, kaders, normen en standaarden waarbij wijzigingen traceerbaar moeten worden gemaakt. * De informatie tijdens de gehele levenscyclus regelmatig moet worden getoetst aan wet- en regelgeving en daar verantwoording over moet worden afgelegd. * Er cyclisch gerapporteerd moet worden over de kwaliteit van de gegevens. Voor afwijkingen moeten de juiste maatregelen worden getroffen om de betrouwbaarheid en de kwaliteit van de informatie te kunnen waarborgen. * De informatie moet door de gehele lifecycle gevolgd kunnen worden vanaf de oorsprong tot aan het verwerken, opslaan, bewerken en beschikbaar stellen en/of vernietigen. (data-lineage). * Er gebruik moet worden gemaakt van authentieke- en/of kwalitatieve bronnen.  +

*In de dienstbeschrijving is duidelijk op welke prestatie de dienst betrekking heeft en welke organisatie hiervoor verantwoordelijk is *In de vormgeving en communicatie van de dienst wordt de verantwoordelijke organisatie duidelijk gepresenteerd*Wanneer de dienst in een bundel wordt aangeboden die in één keer kan worden afgenomen, wordt helder gecommuniceerd dat het hier een bundel betreft, met per dienst de verantwoordelijke organisatie.   +

* Er is een overzicht van alle voor de levering van de dienst noodzakelijke gegevens * Van elk van deze gegevens is vastgesteld of het al bij de overheid geregistreerd staat of niet. Voor de gegevens die reeds geregistreerd staan, is vastgesteld wat de bronregistratie is. Ook is vastgesteld welke van deze gegevens authentieke gegevens zijn * Zijn er voor de dienst authentieke gegevens nodig, dan worden deze betrokken uit de basisregistraties. * Is er behoefte aan niet-authentieke gegevens, dan wordt nagegaan of deze deze informatie al in eigen huis of bij andere overheidsorganisaties beschikbaar is. Wanneer dat het geval is en de WBP het toestaat, wordt deze informatie hergebruikt. Ook wanneer een andere organisatie de bronhouder is, wordt de informatie daarvan afgenomen. * Is de informatie al beschikbaar en moet deze enkel gecontroleerd en aangevuld worden? Leg dan de reeds beschikbare informatie ter controle en aanvulling voor aan de afnemer.   +

Stel bij iedere processtap de vraag of deze stap waarde toevoegt voor de afnemer of dat de processtap evengoed weggelaten kan worden.  +

Een verandering in het dreigingsprofiel, of in een bedrijfsproces of in de onderliggende voorzieningen kan een mogelijke kwetsbaarheid introduceren of gevolgen hebben voor de veiligheidsbelangen van stakeholders. Een verandering kan de kans of de impact van een dreiging veranderen.  +

* Voor iedere zaak is één eindverantwoordelijke met doorzettingsmacht benoemd. * Voor een zaak met meerdere deelzaken is de verantwoordelijke voor de hoofdzaak de eindverantwoordelijke. Er kunnen daarnaast meerdere deelverantwoordelijken voor deelzaken zijn. * In notificaties wordt de (eind)verantwoordelijke van de zaak als contactpersoon vermeld. * De (eind)verantwoordelijke heeft toegang tot alle benodigde informatie voor de zaak. * Zaakinformatie kan hiervoor (over organisaties heen) eenvoudig worden geraadpleegd. * Voortgangsinformatie over de zaak is (over organisaties heen) raadpleegbaar. * Er is inzicht in alle stappen die tot nu toe zijn genomen en, voor zover bekend, de stappen die nog volgen tot het eindresultaat (tijdlijn).   +

ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door: * Vermeervoudiging van systeemfuncties. * Herstelbaarheid en beheersing van verwerkingen. * Voorspelling van discontinuïteit. * Handhaving van functionaliteit.  +

* De voor de dienst relevante bouwstenen zijn geïnventariseerd en op geschiktheid beoordeeld; * Bij geschiktheid zijn ze opgenomen in de opzet van de dienst.   +

Gebruik de standaard met het meest specifieke werkingsgebied. Als deze conflicteert met bredere (internationale) standaarden, zorg dan in de sector voor afstemming daarmee.  +

Maak gebruik van een actueel register met [[standaarden]] per toepassingsgebied. Functionele standaarden hebben betrekking op bijvoorbeeld gegevensuitwisseling, beveiliging, taalgebruik, digitale communicatie, etc. Standaarden met een organisatorisch werkingsgebied hebben betrekking op bijvoorbeeld de strafrechtketen, zorgketen, sociale zekerheid, financiën, etc.  +

Gebruik gestandaardiseerde referentiedata. Zie ook [https://www.cbs.nl/nl-nl/onze-diensten/open-data/referentiedata CBS referentiedata], of domeinspecifieke bronnen voor referentiedata.  +

Bij gelijke geschiktheid heeft Open Source software de voorkeur bij het ontwikkelen van een dienst. Zie ook [[European Interoperability Framework (EIF)|EIF]] principle 2 "Openness", aanbeveling 3.  +

* Met afnemers zijn afspraken gemaakt over de te gebruiken open standaarden. Hierbij wordt tijdig geanticipeerd op de ontwikkeling van de open standaarden * Volgens (open) standaarden zijn beschreven: ** de interactieprocessen ** het berichtenverkeer ** Applicatieportfolio * Organisaties werken volgens een open standaard voor procesmodellering die door alle samenwerkende partijen op uniforme wijze wordt toegepast. De gekozen open standaard is bepalend voor de keuze van modelleersystemen die deze standaard ondersteunen. Een overzicht van vastgestelde open standaarden waarvoor het 'pas toe - of leg uit' - regime geldt, is te vinden op [https://www.forumstandaardisatie.nl/open-standaarden/lijst/verplicht Lijst open standaarden]   +

Organisaties werken volgens een open standaard voor o.a. architectuur-, data- en procesmodellering die door alle samenwerkende partijen op uniforme wijze wordt toegepast. De gekozen open standaard is bepalend voor de keuze van modelleersystemen die deze standaard ondersteunen. Wissel modellen uit tussen organisaties op basis van open standaarden. Voorbeelden van modelleerstandaarden zijn [[ArchiMate]] (architectuur), UML (data) en BPMN (processen).  +

* De voor de dienst relevante standaardoplossingen zijn geïnventariseerd voor gebieden zoals: ** identificatie ** authenticatie ** autorisatie ** onweerlegbaarheid ** encryptie ** semantiek ** toegankelijkheid ** presentatie en vormgeving *Oplossingen zijn op geschiktheid beoordeeld. Bij geschiktheid zijn ze opgenomen in de opzet van de dienst   +

Ontwikkel geen eigen processen, systemen en technieken wanneer deze ergens anders al beschikbaar zijn. Stel je actief op de hoogte van beschikbare en geplande standaardoplossingen, om daar bij het maken van plannen rekening mee te houden. De bruikbare elementen van beschikbare standaardoplossingen zullen moeten worden ingepast in de eigen organisatie. Geen enkele standaardoplossing past altijd voor de volle honderd procent. Daarom zal de bereidheid tot het sluiten van compromissen aanwezig moeten zijn.  +

Gebruik een standaardoplossing (zoals bijvoorbeeld een pakketoplossing) zoveel mogelijk ongewijzigd, dus zonder maatwerkaanpassingen. Pas bij de toepassing van een standaardoplossing je werkwijze aan bij de standaarden en de best-practices die aan de oplossing ten grondslag liggen. Volg waar het kan de inrichtingsfilosofie van leveranciers.  +

De bij de dienst horende rechten, voorwaarden en plichten dienen op duidelijke en transparante wijze toegankelijk te worden gemaakt voor burgers en bedrijven die deze dienst af willen of moeten nemen.  +

Geef de voorkeur aan het halen (pull) i.p.v. het brengen van gegevens (push).  +

Gegevens worden eenmalig uitgevraagd of verzameld, uniek opgeslagen, en vervolgens meervoudig gebruikt. Dit impliceert tevens dat de juistheid van de gebruikte informatie-objecten uit een bronregistratie niet voor gebruik opnieuw hoeft te worden gecontroleerd.  +

* Alle relevante (klantcontact)informatie is beschikbaar voor de medewerkers aan het loket. * De dienstverlener kan altijd beschikken over het klantbeeld (zie definitie) en alle relevante contactinformatie met de klant, ongeacht het kanaal waarover de communicatie is en /of wordt gevoerd. * Op alle kanalen is dezelfde informatie beschikbaar, uit één bron. * Verwerking en intake zijn losgekoppeld: afhandeling van aanvragen kan onafhankelijk van het kanaal gebeuren waarlangs het verzoek binnen komt. * De mogelijke wisselingen tussen de kanalen zijn beschreven, zodat de afnemer op verschillende contactmomenten verschillende kanalen kan kiezen. * Informatie over de kanaalkeuze, per contactmoment is als meta-informatie vastgelegd.   +

Informatie wordt niet langer bewaard en niet eerder vernietigd dan wettelijk is toegestaan. Dit betekent dat: * Er een selectielijst is, waarin opgenomen de te vernietigen informatieobjecten of onderdelen daarvan. * Er vastgesteld in de organisatie verankerd beleid is met betrekking tot vernietigen. * Bevoegdheden, rollen en verantwoordelijkheden en beleid rondom vernietigen zijn belegd. * De organisatie inzicht heeft in informatieobjecten, bewaartermijnen, processen, informatiesystemen en hun onderlinge samenhang.  +

Ga nooit uit van het impliciete vertrouwen dat wie op een bepaald netwerk of systeem komt daar ook hoort: * Controleer overal het netwerkverkeer. * Controleer toegang per sessie. * Hanteer dynamische policies en gebruik daarbij de geldigheidsduur van de laatste authenticatie. * Blijf continue monitoren. Verzamel zoveel mogelijk gegevens om de beveiliging te blijven verbeteren. Dit wordt ook wel het 'zero-trust' model genoemd.  +

* Per dienst zijn de mate van vertrouwelijkheid en de bijbehorende identificatieeisen vastgesteld * Voor een intern systeem, besloten gebouw of ruimte, geldt: “niets mag, tenzij toegestaan”. Daarom wordt de gebruiker voor toegangverlening geauthenticeerd. Voor afnemers van vertrouwelijke diensten geldt hetzelfde. Daardoor zijn deze gebruikers en afnemers uniek herleidbaar tot één natuurlijk persoon, organisatie, of ICT-voorziening. * Bij authenticatie met behulp van wachtwoorden dwingt het systeem toepassing van sterke wachtwoordconventies af. * De instellingen van het aanmeldproces voorkomen dat een gebruiker werkt onder een andere dan de eigen identiteit. * Om de mogelijkheden van misbruik te beperken, hebben gebruikers van systemen niet méér rechten dan zij voor hun werk nodig hebben (autorisatie). Daarbij zijn maatregelen getroffen om een onbedoeld gebruik van autorisaties te voorkomen. * Verleende toegangsrechten zijn inzichtelijk en beheersbaar. * De identificatie-eis voor een samengestelde dienst wordt bepaald door de dienst met de hoogste identificatie-eis.   +

* Betrokken dienstverleners gebruiken dezelfde identificatiemethode, bijvoorbeeld een Uniforme Resource Indicator ([http://nl.wikipedia.org/wiki/Uniform_Resource_Identifier URI] * informatie-objecten worden beheerd. * Bij gebundelde diensten maken dienstverleners afspraken over de informatieobjecten die hierin een rol spelen.   +

Inventariseer de voor de dienst relevante standaardoplossingen voor gebieden zoals: * identificatie * authenticatie * autorisatie * onweerlegbaarheid * encryptie * semantiek * toegankelijkheid * presentatie en vormgeving Beoordeel de oplossingen op geschiktheid. Bij geschiktheid worden ze opgenomen in de opzet van de dienst.  +

# Systematisch beschrijven en uniek identificeren van informatieobjecten volgens de relevante metadata-standaarden, waarbij gebruik wordt gemaakt van de FAIR principes (Findable, Accessible, Interoperable, Reusable), zie [https://www.dtls.nl/fair-data/fair-data/ www.dtls.nl]. # Het visualiseren van de informatieobjecten in hun onderlinge samenhang (informatiemodel) zodat de structurele relaties tussen informatieobjecten duidelijk worden. # Digitaal publiceren van het informatiemodel (beschrijving en de visualisatie). Voor het beschrijven van informatieobjecten in een informatiemodel is een [[Stappenplan beschrijven van informatieobjecten in een informatiemodel|stappenplan]] beschikbaar, samengevat: * Maak een overzicht van de (types) informatieobjecten die benodigd zijn voor de dienst. * Zorg ervoor dat al deze informatieobjecten systematisch zijn beschreven, inclusief hun metadata. * Relateer de informatieobjecten aan bestaande informatiemodellen. * Publiceer de informatieobjecten digitaal en benoem de vindplaats zodat ze uniek identificeerbaar zijn.   +

*De zonering en de daarbij geldende uitgangspunten en eisen per zone zijn vastgesteld. * De fysieke en technische infrastructuur is opgedeeld in zones. * Deze zones zijn voorzien van de benodigde vormen van beveiliging (de 'filters'). * Informatie-uitwisseling en bewegingen van mensen tussen zones wordt naar vorm en inhoud gecontroleerd en zo nodig geblokkeerd.   +

De integriteit van gegevens en systeemfuncties wordt gegarandeerd door validatie en beheersing van gegevensverwerking en geautoriseerde toegang tot gegevens en systeemfuncties, door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling en door beperking van functionaliteit. Controle van gegevensverwerking: * De criteria voor juistheid, en tijdigheid zijn vastgesteld * controleren vanuit een systeemvreemde omgeving ingevoerde gegevens op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt. * controleren te versturen gegevens op juistheid, volledigheid en tijdigheid * controleren ter verwerking aangeboden gegevens op juiste, volledig en tijdige verwerking * vergelijken periodiek kritieke gegevens die in verschillende gegevensverzamelingen voorkomen met elkaar op consistentie. Dit geldt alleen zolang als de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens.  +

Verdiep je in de achtergronden van je afnemers en de context waarin zij van de dienst gebruik maken en vergewis je van de digitale vaardigheden van je doelgroep. Zorg dat de dienst is afgestemd op de (digi)vaardigheden en mogelijkheden van alle (potentiële) afnemers. Weet welke informatie afnemers doorgaans zoeken en waar ze deze zoeken. Deze informatie meld je aan op de voor de afnemers bekende vindplaatsen, zoals zoekmachines, portals, catalogi en registers. Ook de dienst zelf voorzie je van de nodige zoekfuncties. Om de afnemer waar dat nodig is door te kunnen verwijzen, zorg je dat je op de hoogte bent van de andere plaatsen waar diensten te vinden zijn.  +

Bij het kiezen voor een cloud oplossing, geef de voorkeur aan SaaS boven PaaS boven IaaS. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan. Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. Voorbeelden hiervan zijn Customer Relations Management, e-mail & Instant Messaging, Financiën, HRM en Project Management. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken. Opmerking: deze implicatie daagt uit om tot een zo hoog mogelijk niveau ontzorgd te worden. Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas.  +

Verwerk als afnemer gegevens uit een bronsysteem met respect voor de classificatie van die gegevens. Geef het geen hogere classificatie voor beschikbaarheid en integriteit dan de bron, en geen lagere classificatie voor vertrouwelijkheid. Maak zonodig afspraken met de aanbieder om hun classificatie aan te passen en in hun dienst bijpassende maatregelen daarvoor te implementeren.  +

Als eigenaar van de bron wil je inzicht hebben in de toegang en inzage (CRUD) van de gegevens die vanuit de bron worden gebruikt. Voorkom dat auditgegevens verspreid raken over afnemende applicaties.  +

Informatie-objecten moeten goed worden beheerd. Onderdeel hiervan is dat de context van een informatieobject goed moet zijn vastgelegd in metadata. * Informatie en gegevens moeten duidelijk binnen een bepaalde context te plaatsen zijn. Metadata is daar het passende instrument voor. * Context (vastgelegd in metadata) is nodig om gegevens te begrijpen voor verwerking. * Zie [[DUTO (Normenkader Duurzaam Toegankelijke Overheidsinformatie)|DUTO]] eisen (ISO 23081)  +

De verwerkingshistorie inclusief doel van verwerking wordt vastgelegd bij het gegegevensobject als metadata. Dit betekent dat de historie van acties waarin een gegevensobject wordt verwerkt (opvragen / vastleggen / wijzigen / verwijderen) inclusief het doel van de actie vastgelegd wordt bij het gegevenobject.  +

Leg de grondslag en het doel vast, waarvoor informatie wordt uitgevraagd bij burgers en bedrijven. Aan het doel gekoppeld worden ook de eisen (kwaliteitscriteria) vastgelegd waaraan deze informatie moet voldoen. Houd er rekening mee dat het doel in de loop der tijd kan wijzigen.  +

Leg de inhoud van de dienst en het akkoord hierop schriftelijk vast, in de vorm van een Service Level Agreement (SLA), een Gegevens Leverings Overeenkomst (GLO), of in wet- en regelgeving. Dit is in elk geval noodzakelijk voor bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter. Hierbij is het akkoord en de inhoud daarvan schriftelijk vastgelegd. De dienstverlener geeft hierbij ook aan welk betrouwbaarheidsniveau geldt voor de identificatie van de afnemer.  +

Leg per dienst vast aan welke normen en standaarden je moet of wilt voldoen. Deze normen en standaarden moeten op hun beurt voldoen aan wet- en regelgeving. De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van deze norm worden geïdentificeerd.  +

De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard. Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is.  +

De overheid zorgt dat besluiten die burgers en bedrijven raken, ook door deze burgers en bedrijven te controleren zijn. Hierbij hebben zij de mogelijkheid om inzicht te krijgen op welke wijze en op basis van welke informatie besluiten tot stand zijn gekomen (traceerbaarheid).  +

Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds en ander onveilig gedrag.  +

Zorg dat alle gebruikers, ook die met functiebeperking, de volwaardige dienst kunnen afnemen. Het streven is digitale inclusiviteit voor iedereen (digitoegankelijk).  +

Zorg dat een (potentiële) anderstalige gebruiker de dienst ook kan afnemen, door deze ook in een algemeen toegankelijke taal aan te bieden (bv. Engels).  +

De dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruiken. De opzet van de dienst anticipeert op onvoorziene afnemers en gebruik. Deze implicatie beoogt de dienst interoperabel en bruikbaar voor een zo groot mogelijke groep afnemers te maken. Dit draagt bij aan een hoger rendement van de dienst. Hiervoor is het nodig dat de dienst: * zó is beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden * maximaal gebruik maakt van (open) standaarden om zo min mogelijk drempels op te werpen voor gebruik * een minimum aan gebruiksvoorwaarden kent * is aangemeld bij een landelijk serviceregister.  +

Dit betekent dat inzichtelijk gemaakt moet worden hoe gegevens tot stand zijn gekomen, over de gehele verwerking in de keten heen. Dus van bronnen tot eindproduct. Van ieder gegeven zijn de herkomst en verwerkingen beschikbaar tot aan vernietiging  +

Maak heldere afspraken over aanbieden en afnemen van diensten, waaronder eventueel van toepassing zijnde vergoedingen (afbakening van verantwoordelijkheden). Doe dit zowel vooraf als bij het afsluiten. * Maak duidelijke afspraken over de gegarandeerde levensduur van de aangeboden dienst. * Stem de opzet van je diensten af met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen. Voordat je een eigen dienst maakt, bekijk eerst of er al iets soortgelijks aanwezig is. * Vraag en aanbod van diensten vind plaats door bundeling op overheidsniveau.  +

Maak stelselafspraken om te komen tot één generiek digitaal stelsel voor identificatie en authenticatie of sluit aan bij een bestaand kanaaloverstijgend stelsel met afspraken over betrouwbaarheidsniveau's.  +

Maak technische schuld zichtbaar en stuur op het oplossen van technische schulden. Technische schuld (technical debt) treedt op als er - al dan niet bewust - voor een oplossing wordt gekozen die op de korte termijn voordelig is (of lijkt) en gelijktijdig op de langere termijn extra kosten met zich meebrengt en de algehele complexiteit verhoogt.  +

Een gebruiker dient allereerst geautoriseerd te zijn om een applicatie te mogen gebruiken of gegevens te mogen inzien. Hierbij speelt het behaalde niveau van authenticatie een rol. Als bijvoorbeeld informatie met een tweede factor (MFA) moet zijn afgeschermd krijgt de gebruiker geen toegang als hij/zij slechts met een gebruikersnaam/wachtwoord combinatie kan authenticeren. Na succesvolle authenticatie kan bepaald worden of een gebruiker de applicatie mag gebruiken (of informatie mag inzien) aan de hand van autorisatieregels.  +

Stel overheidsdata actief beschikbaar voor hergebruik door derden, bijvoorbeeld in de vorm van open data. Beschouw dit aanbod als een dienst. De enige uitzondering zijn overheidsdata waarvoor wet- en regelgeving expliciet beperkingen oplegt, die stel je niet actief beschikbaar. Vanuit o.a. de WOO richt de overheid zich op transparantie. Daarbij hoort het actief beschikbaar stellen dan wel delen van data. Wel met inachtneming van de beperkingen die daarbij gelden (bijv. vanuit de AVG). Er zijn meerdere redenen om data actief beschikbaar te stellen. Zo kan het meer transparantie en inzicht geven in het overheidshandelen en zo de accountability vergroten. Bijvoorbeeld door begrotingen of inkoopgegevens als open data beschikbaar te stellen. Het kan ook economische en maatschappelijke innovatie stimuleren, zoals de ontwikkeling van apps en informatiediensten op basis van overheidsdata.  +