Eigenschap:Toelichting

Het verslag van de bijeenkomst van Expertgroep IAM op woensdag 25 september 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep IAM op woensdag 24 februari 2021 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep IAM op woensdag 28 april 2021 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep IAM op woensdag 23 juni 2021 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep IAM op woensdag 22 september 2021 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep IAM op woensdag 27 oktober 2021 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep IAM op woensdag 15 december 2021 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep NORA Begrippenkader op dinsdag 3 oktober 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep NORA Begrippenkader op woensdag 11 oktober 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep NORA Begrippenkader op woensdag 8 november 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep NORA Begrippenkader op donderdag 30 november 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep NORA Begrippenkader op woensdag 24 januari 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep NORA Begrippenkader op dinsdag 2 april 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Zaakgericht Werken op dinsdag 25 januari 2022 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Zaakgericht Werken op donderdag 14 april 2022 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Zaakgericht Werken op donderdag 29 augustus 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Zaakgericht Werken op dinsdag 27 februari 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Zaakgericht Werken op donderdag 2 juni 2022 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Zaakgericht Werken op woensdag 21 juni 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Zaakgericht Werken op woensdag 27 maart 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Zaakgericht Werken op donderdag 30 mei 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Zaakgericht Werken op woensdag 29 november 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Zaakgericht Werken op donderdag 26 oktober 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 6 april 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 4 april 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 29 augustus 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 21 december 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 29 februari 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 26 januari 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 25 januari 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 15 juni 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 20 juni 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 2 maart 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 11 mei 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 16 mei 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 19 november 2020 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op vrijdag 26 november 2021 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 16 november 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 7 november 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 12 oktober 2023 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 3 oktober 2024 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op dinsdag 22 september 2020 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 7 september 2023 is gepubliceerd.  +

In deze nieuwsbrief [[media:NORA Familienieuws mei 2020.pdf|nieuwsbrief (PDF, 126 kB)]] onder andere: *Het Informatiehuis Water is bezig om de [[Aquo-standaard]] als Linked Data beschikbaar stellen via een semantische wiki. Hiermee wordt een belangrijke stap gezet in de toegankelijkheid en gebruiksvriendelijkheid van de Aquo-standaard. *[[BRM]] (Business Rules Management) is een nieuw thema binnen de NORA. De groep Regelbeheer vraagt anderen om mee te denken en zelfs aan te sluiten bij de groep. *[[Cloud Computing (Cloud)]] is een thema in wording. Kennis, feedback en vragen zijn van harte welkom en kun je sturen naar [mailto:nora@ictu.nl nora@ictu.nl]. *En....wonderlijk nieuws vanuit het NORA-team zelf... Belangstelling en inschrijven voor de nieuwsbrief? Kijk voor meer informatie op [[Nieuwsbrieven NORA|Nieuwsbrieven NORA]]. [[Afbeelding:Printscreen NORA nieuwsbrief mei 2020.png|thumb|left|350px|[[media:NORA Familienieuws mei 2020.pdf|NORA Familienieuws mei 2020.pdf, volg de link voor leesbare versie (PDF, 126 kB)]]]]  +

De afgelopen maanden hebben we gewerkt aan de ontsluiting van [[de Privacy Baseline]] van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]] via noraonline. Het is een voorloper van een serie normenkaders van het CIP op het gebied van informatiebeveiliging die ontsloten gaan worden als de [[ISOR (Information Security Object Repository)]]. De Privacy Baseline is opgesteld volgens dezelfde structuurprincipes als die welke worden gehanteerd in de nog te publiceren beveiligingskaders, ontleend aan de [[SIVA-methode]]. Voordat we breed ruchtbaarheid geven aan de ontsluiting willen we graag feedback van gebruikers, om een zo 'af' mogelijk product op te kunnen leveren. We horen graag je [mailto:nora@ictu.nl?subject=feedback%20ontsluiting%20van%20de%20Privacy%20Baseline%20via%20noraonline&cc=Ruud.deBruijn@cip-overheid.nl feedback] over: * Layout, structuur en navigatie: is dit overzichtelijk, mis je verbindingen, is de balans tekst/visueel goed? * Uitleg van termen, indelingen et cetera: is dit zo afdoende, of begrijpen jullie iets niet? * Fouten en bugs: zie je een typefout, werkt een link niet, is een afbeelding niet goed te bekijken? Het is mogelijk tekst binnen een pagina open- en dicht te klikken, werkt dat voor jou? Alle feedback zullen we zo veel mogelijk direct verwerken. Inhoudelijke feedback is zeker welkom, maar zal meestal niet onmiddellijk verwerkt kunnen worden. ==Waar begin ik met de review?== Als je op [[de Privacy Baseline]] klikt kom je op de hoofdpagina van dat normenkader. Hier kun je met een klik de inhoudelijke hoofdstukken lezen, of doorklikken naar de dertien Privacyprincipes binnen het normenkader. Naast deze pagina's zijn er uitleg- en overzichtspagina's die je kunt bereiken door op links en/of plaatjes te klikken. ==Wat is het verband tussen de Privacy Baseline en het thema Privacy?== NORA heeft het thema [[Privacy]] als een speerpunt benoemd in het [[Jaarplanning|jaarplan 2018]]. De trekker, Marc Gerrard ([mailto:marc.gerrard@ictu.nl?subject=NORA-thema%20Privacy%20by%20design&cc=nora@ictu.nl marc.gerrard@ictu.nl]), heeft als doel de behoefte van de NORA community aan kennis over Privacy by Design en het aanbod aan kennis met elkaar in balans te brengen. De Privacy Baseline maakt deel uit van dat aanbod, maar is zeker niet de enige kennisbron. ==Is de Baseline van NORA of van CIP?== De Privacy Baseline is een product van de CIP-community. De CIP-domeingroep Privacy zal de pagina's beheren en inhoudelijke wijzigingsvoorstellen beoordelen en verwerken. NORA is verantwoordelijk voor de verbinding van de Baseline met andere onderwerpen in de NORA, zoals het thema [[Privacy]] en de NORA [[Principes]]. ==Actuele versie van de Privacy Baseline== De 3.1 versie van de Baseline in de NORA wordt vervangen door versie 3.2, waarin de Uitvoeringswet AVG is verwerkt. Inhoudelijke feedback in deze reviewronde zal meegenomen worden bij het maken van die nieuwe versie. Naar verwachting zal de omwerking naar de 3.2 versie in het voorjaar van 2020 in de NORA zijn gerealiseerd. Je kunt ondertussen het originele pdf-document downloaden vanaf [https://www.cip-overheid.nl/productcategorieën-en-worshops/producten/gegevens-bescherming/#privacy-baseline de site van het CIP.]  

Het verslag van de bijeenkomst van Werkgroep NORA Architectuur Principes op dinsdag 17 mei 2022 is gepubliceerd.  +

Deze maatregel betreft het opslaan van feiten in een administratie; een administratie die de bron vormt voor de input van de gegevens voor regelbeheer. Zie voor nadere toelichting het artikel [https://www.tenderned.nl/tenderned-web/aankondiging/detail/documenten/document/a53342ebca41fb988455a4295db03926/pageId/D909C/huidigemenu/aankondigingen/map/a07276e21d21f0aa1f17d8c8878733d0/akid/0275d6570ea61ca0617f3b2a0d7ef46f/da/false/actie/aa274b487977199c90ed89bf7fb5b3adf319e66f5d0d86ee89d634f7ec8ea825b560366cc6cb9e9ed68ee310df42c04f1cc1862341c2128997415317b39e2617b100d520d07b4e25519806451311da19/cid/57331;jsessionid=EC8DFA7A31F8664EA8970C83D9ACD048.node6 Gestructureerd Nederlands voor feiten en regels] (artikel wordt gedownload bij het klikken op de link).  +

Het verslag van de bijeenkomst van op vrijdag 4 juni 2021 is gepubliceerd.  +

Dit gaat over of de gegevens voldoen aan het afgesproken formaat; of ze syntactisch correct zijn. Zijn alle symbolen overeenkomstig het verwachte formaat?  +

<br>''Toelichting''<br> * De AP houdt een openbaar register bij van FG's. * Eisen aan de FG: ** ''Bereikbaarheid''. Een concern kan één FG benoemen, op voorwaarde dat de FG vanuit elke vestiging makkelijk te contacteren is. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan met inachtneming van hun organisatiestructuren en omvang één FG worden aangewezen voor verschillende dergelijke instanties of organen. ** ''Voor een of meerdere organisaties''. De FG kan optreden voor verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen. ** ''Professionele kwaliteiten''. De FG wordt aangewezen op grond van zijn professionele kwaliteiten en in het bijzonder zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming. Hij moet bijvoorbeeld over toereikende kennis beschikken van de organisatie, van de gegevensverwerkingen die zich binnen de organisatie afspelen, van de belangen die daarbij betrokken zijn en uiteraard kennis van de privacywetgeving die op de verwerkingen binnen zijn organisatie van toepassing is. Hij moet betrouwbaar zijn en het vermogen hebben alle bij de verwerkingen betrokken belangen op een onafhankelijke wijze tegen elkaar te kunnen afwegen. Hij moet met name de volgende taken kunnen vervullen: *** Informeren en adviseren van de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken over hun verplichtingen uit hoofde van de AVG en andere wettelijke gegevensbeschermingsbepalingen; *** Toezien op het naleven van de AVG, van andere wettelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits; *** Desgevraagd verstrekken van advies met betrekking tot de DPIA en het toezien op de uitvoering daarvan; *** Samenwerken met de AP; *** Optreden als contactpunt voor de AP inzake met verwerking verband houdende aangelegenheden, met inbegrip van de voorafgaande raadpleging ten behoeve van de gegevensbeschermingseffectbeoordeling (DPIA - zie [[ISOR:Risicomanagement- Privacy by Design en de GEB|PRIV_B.03 Risicomanagement, Privacy by Design en de DPIA]]) en waar passend, overleg plegen over enige andere aangelegenheid. *** Naar behoren rekening houden met de aan verwerkingen verbonden risico's en met de aard, de omvang, de context en de verwerkingsdoeleinden. ** ''Positie''. De FG kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of de taken op grond van een dienstverleningsovereenkomst verrichten. De FG vervult zijn taken in onafhankelijkheid waarbij de verwerkingsverantwoordelijke de FG ondersteunt om de taken naar behoren uit te kunnen voeren. Dit betekent onder meer dat hem daartoe de benodigde menskracht en middelen ter beschikking worden gesteld. De FG geniet ontslagbescherming voor de wijze waarop hij invulling geeft aan de taakuitvoering. De FG is in het algemeen met betrekking tot de uitvoering van zijn taken binnen de geldende wetgeving gehouden tot geheimhouding of vertrouwelijkheid. Hij heeft in het bijzonder ook een geheimhoudingsplicht ten aanzien van hetgeen hem of haar op grond van een klacht of een verzoek van een betrokkene is bekend geworden, tenzij de betrokkene toestemt in bekendmaking<sup class="noot">UAVG Art. 39</sup>. ** ''Andere Taken''. De FG kan andere taken en plichten vervullen. Deze taken of plichten mogen niet tot een belangenconflict leiden.  

Specificeert de structuur en eigenschappen van de technologie waarin de informatie wordt vastgelegd of uitgewisseld. Dit is sterk afhankelijk van de gebruikte opslagtechnologie zoals een specifieke database of de servicetechnologie zoals XML, GML, SOAP, REST, (Geo)JSON, LinkedData e.d. Het kan tevens informatie bevatten over de manier waarop berichten ‘verpakt’ worden, het (internet)protocol en de logistiek van het berichtenverkeer. De technische specificaties worden over het algemeen zoveel als mogelijk gegenereerd uit het logisch informatiemodel. Deze specificaties worden opgesteld voor ‘machines’, te gebruiken door software-ontwikkelaars.  +

De GDI-Architectuur is uitgebreid beschreven, zie [[GDI-Architectuur (GA)]]<br> De GA gaat alleen over de GDI.<br> Maar er is dus meer overheidsarchitectuur, zie [[NORA Familie]]  +

Harmonisatie en standaardisatie zijn de leidende gedachten geweest bij het inrichten van de Generieke Digitale Infrastructuur (GDI) van de overheid (voorheen digitale basisinfrastructuur) voor het contact met burgers en bedrijven én het realiseren van een efficiënte overheid.<br> De GA zorgt er voor dat deze leidende gedachten blijvend worden gerealiseerd. Deze generieke functie GDI-Architectuur is als hoogste abstractieniveau toegevoegd: ter ordening en structurering van de generieke functies van de GA. ==Kaders== Deze kaders zijn bepalend voor GA: * [[Lijst Open Standaarden voor Pas Toe of Leg Uit]] * [[Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten]] * [[Digitale Basisinfrastructuur]] * [[Wet Digitale Overheid]] (WDO) * [[Algemene Wet Bestuursrecht]] * [[NL DIGIbeter]] * [[UAVG (Uitvoeringswet AVG)]] * [[Regeling voorzieningen GDI]] * [https://wetten.overheid.nl/BWBR0037987/2021-07-01 Besluit verwerking persoonsgegevens GDI] * [[Cybersecuritywet]] * [[Archiefwet]] van 2015 wordt vervangen door [https://www.rijksoverheid.nl/onderwerpen/archieven/documenten/kamerstukken/2021/11/18/archiefwet-2021-wettekst-met-mvt Archiefwet 2021] * [[Brede maatschappelijke heroverweging Rijksfinancien]] == Generieke Functies == De volgende [[Generieke_functie_(begrip)|generieke functies]] maken deel uit van GA: <ul> <li>[[Interactie|Interactie]]</li> <li>[[Gegevensuitwisseling_(Generieke_Functie)|Gegevensuitwisseling]]</li> <li>[[Toegang]] <span class="mw-customtoggle-myDivisionToegang " style="text-decoration:underline;color:#0645ad"> '"`UNIQ--nowiki-00002249-QINU`"'</span> <ul class="mw-collapsible mw-collapsed" id="mw-customcollapsible-myDivisionToegang"> <li>[[:Identificatie en authenticatie|Identificatie en authenticatie]]</li><li>[[:Machtigen en vertegenwoordigen|Machtigen en vertegenwoordigen]]</li></ul> <li>[[Identificatie en Authenticatie van burgers en bedrijven]] <span class="mw-customtoggle-myDivisionIdentificatie_en_Authenticatie_van_burgers_en_bedrijven " style="text-decoration:underline;color:#0645ad"> '"`UNIQ--nowiki-0000224A-QINU`"'</span> <ul class="mw-collapsible mw-collapsed" id="mw-customcollapsible-myDivisionIdentificatie_en_Authenticatie_van_burgers_en_bedrijven"> <li>[[:Authenticeren|Authenticeren]]</li><li>[[:Instaan voor betrouwbaarheid en veiligheid|Instaan voor betrouwbaarheid en veiligheid]]</li><li>[[:Inzage geven|Inzage geven]]</li><li>[[:Voorzien in identificatiemiddelen|Voorzien in identificatiemiddelen]]</li></ul> <li>[[Machtigen en vertegenwoordigen]] <span class="mw-customtoggle-myDivisionMachtigen_en_vertegenwoordigen " style="text-decoration:underline;color:#0645ad"> '"`UNIQ--nowiki-0000224B-QINU`"'</span> <ul class="mw-collapsible mw-collapsed" id="mw-customcollapsible-myDivisionMachtigen_en_vertegenwoordigen"> <li>[[:Beheer van vertegenwoordigingsbevoegdheden|Beheer van vertegenwoordigingsbevoegdheden]]</li><li>[[:Diensten beschikbaar maken voor vertegenwoordiging|Diensten beschikbaar maken voor vertegenwoordiging]]</li><li>[[:Gebruiken van vertegenwoordigingsbevoegdheden|Gebruiken van vertegenwoordigingsbevoegdheden]]</li><li>[[:Overzicht en inzicht van vertegenwoordigingsbevoegdheden|Overzicht en inzicht van vertegenwoordigingsbevoegdheden]]</li></ul> <li>[[Infrastructuur]] <span class="mw-customtoggle-myDivisionInfrastructuur " style="text-decoration:underline;color:#0645ad"> '"`UNIQ--nowiki-0000224C-QINU`"'</span> <ul class="mw-collapsible mw-collapsed" id="mw-customcollapsible-myDivisionInfrastructuur"> <li>[[:Digitaal datatransport (connectiviteit)|Digitaal datatransport (connectiviteit)]]</li><li>[[:Voorkomen detecteren en delen netwerkdreigingen|Voorkomen detecteren en delen netwerkdreigingen]]</li></ul> </ul> Deze generieke functies hebben nog niet een consistente uitwerking. Een deel is op basis van de pressurecooker opgenomen en zal GA verder concretiseren en harmoniseren.  

In december 2023 is er een tevredenheidsonderzoek gedaan onder de gemeentelijke gebruikers van de GEMMA Softwarecatalogus. De deelnemende gemeenten en samenwerkingen gaven de catalogus gemiddeld een 6.9. De [https://www.softwarecatalogus.nl/ GEMMA Softwarecatalogus] bevat een overzicht van het huidige en toekomstige softwareaanbod van aangemelde ICT-leveranciers. Alle applicaties worden geregistreerd onder een referentiecomponent. Gemeenten kunnen hun applicatielandschap invoeren en zo kennis en informatie uitwisselen en gebruikte software vergelijken met andere gemeenten. Deze informatie is vertrouwelijk en alleen zichtbaar voor deelnemende gemeenten.  +

<br>''Toelichting''<br> In aanvulling van de maatregelen ter bescherming van het gerechtvaardigd belang van de betrokkene wordt de betrokkene de logica meegedeeld die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 38 lid 3</sup>.  +

<br>''Toelichting''<br> *De betrokkene dient het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] overweging 66</sup>. *Het begrip 'besluit' in de zin van de AVG dient hierbij ruimer te worden gelezen dan het besluitbegrip uit de ABW; ook private partijen vallen onder de reikwijdte van deze bepaling wanneer ze gebruik maken van geautomatiseerde besluitvorming. *Wanneer sprake is van uitoefening van gebonden bevoegdheden met geringe beoordelingsruimte, heeft menselijke tussenkomst bij besluitvorming in beginsel geen meerwaarde. De risico's die de verordening beoogt in te dammen doen zich hier feitelijk niet voor<sup class="noot">Toelichting AVG op AVG Art. 38</sup>. Ook de private sector heeft enige ruimte om, bij de vervulling van wettelijke verplichtingen, gebruik te maken van geautomatiseerde besluitvorming, anders dan op basis van profilering, zonder menselijke tussenkomst<sup class="noot">Toelichting AVG bij AVG Art. 38</sup>. *De negatieve kenmerken van een bepaalde groep mogen niet tegengeworpen worden aan een individu. Het individu hoeft deze kenmerken namelijk helemaal niet te hebben. *Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten. In de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden is de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt niet vereist<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] overweging 38</sup>. *Indien de geautomatiseerde individuele besluitvorming, anders dan op basis van profilering, is toegestaan bij de wet- en regelgeving is dit toegestaan, omdat dit noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is ter uitvoering van een taak van algemeen belang<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 38 lid 1 ; UAVG Art. 40 lid 1</sup>.  

<br>''Toelichting''<br> De maatregelen zijn passend ter bescherming van het gerechtvaardigd belang van de betrokkene<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 38 lid 2 ; UAVG Art. 40 lid 2</sup>.  +

Forum Standaardisatie is geregeld op zoek naar gebruikers van de (kandidaat-)standaarden op hun lijsten om te helpen beoordelen of en in welke variant ze aanbevolen of verplicht gesteld moeten worden. Dit keer gaat het over twee standaarden: DCAT en SETU. : → [https://forumstandaardisatie.nl/nieuws/dcat-en-setu-experts-gezocht oorspronkelijke nieuwsbericht Forum Standaardisatie] ==DCAT op Pas-Toe-Of-Leg-Uit== Er ligt een voorstel om een variant van de standaard [https://forumstandaardisatie.nl/open-standaarden/dcat-ap-donl Data Catalog Vocabulary (DCAT)] te plaatsen op de pas-toe-of-leg-uit lijst van het Forum Standaardisatie. Het Forum zoekt gebruikers of experts van deze standaard, die hen kunnen helpen dit voorstel te beoordelen. Op het moment staat DCAT op de lijst met aanbevolen standaarden, het voorstel gaat over het toepassingsprofiel DCAT-AP-DONL 1.1,dat de Nederlandse overheid heeft ontwikkeld op basis van het Europese toepassingsprofiel DCAT-AP-EU 1.1. Dit zou dus verplicht worden in de gehele publieke sector. Wil je meepraten over de inhoud of de impact van dit voorstel? Meld je dan snel via [mailto:info@forumstandaardisatie.nl?subject=aanmelding%20expertmeeting%20DCAT info@forumstandaardisatie.nl] of 070-8887776, want de expertmeeting is al op 27 januari. ==SETU wijziging opgenomen deelspecificaties== [https://forumstandaardisatie.nl/open-standaarden/setu SETU] is een open standaard voor de uniformering van het elektronisch berichtenverkeer tussen aanbieders en afnemers (inleners) van tijdelijk personeel (flexibele arbeid). De standaard is al opgenomen op de ‘Pas toe of leg uit’-lijst. Het voorstel is om de versies van de deelspecificaties te vernieuwen en een nieuwe deelspecificatie (SETU Standard for Vacancies v1.1) aan SETU toe te voegen. Het Forum zoekt dan ook gebruikers en experts van SETU voor een meeting op 16 februari, aanmelding weer via [mailto:info@forumstandaardisatie.nl?subject=aanmelding%20expertmeeting%20SETU info@forumstandaardisatie.nl] of 070-8887776.  

Het verslag van de bijeenkomst van op dinsdag 21 november 2023 is gepubliceerd.  +

Dit gaat zowel over de groepen die de gegevens gebruiken als over hun precieze gebruik (de doelen waarvoor de gegevens worden gebruikt). De laatste vraagt het loggen van het gebruik en het inzichtelijk maken van deze logging in de vorm van statistieken.  +

Wil jij gluren bij de buren? Benieuwd hoe architecten van andere organisaties kijken naar jouw organisatie en manier van werken? Of zij zelf ook te maken hebben met de vraagstukken waar jij tegenaan loopt? En hoe jouw organisatie daarvan kan leren? Geef jouw organisatie dan op voor de Meeloopdagen NORA Familie! Zoals aangekondigd tijdens de NORA Gebruikersraad van begin april, organiseert NORA in oktober 2024 voor de eerste keer de NORA Meeloopdagen. Tijdens een Meeloopdag loopt de architect van de ene organisatie letterlijk een dag(deel) mee met een collega uit een andere organisatie en vice versa. De Meeloopdagen zijn bedoeld voor architecten die bij de overheid werken en nieuwsgierig zijn naar hoe er bij een andere organisatie wordt gewerkt. Het doel is ervaringen uit te wisselen, van elkaar te leren en inspiratie op te doen. Ook kunnen er mooie samenwerkingen ontstaan. Is jouw organisatie bereid iemand voor een bezoek van een dag te ontvangen en mee te laten lopen tijdens afspraken en dagelijkse werkzaamheden? Geef je dan op! Mail de naam van je organisatie / afdeling naar NORA. Wij publiceren de namen van de meewerkende organisaties op NORA Online. Ook berichten we hierover op social media en in bijeenkomsten. Architecten die het leuk vinden een kijkje in jouw keuken te nemen, kunnen NORA dan laten weten waar ze graag eens langs willen komen. Wij brengen jullie dan met elkaar in contact. Wil je je organisatie opgeven of heb je nog vragen? Mail dan naar [mailto:nora@ictu.nl nora@ictu.nl]  +

<br>''Toelichting''<br> Het publiek heeft toegang tot persoonsgegevens in officiële documenten die voor de uitvoering van een taak van algemeen belang in het bezit zijn van een overheidsinstantie, een overheidsorgaan of een particulier orgaan. Deze gegevens mogen door de instantie of het orgaan in kwestie worden bekendgemaakt in overeenstemming met het wettelijke recht dat op de overheidsinstantie of het orgaan van toepassing is teneinde het recht van toegang van het publiek tot officiële documenten in overeenstemming te brengen met het recht op bescherming van persoonsgegevens uit hoofde van de AVG.  +

Voor meer informatie over de bron, zie http://labyrinth.rienkjonker.nl/content/archiefterminologie-voor-nederland-en-vlaanderen  +

Dit begrip is omschreven in de context van [[Gegevensmanagement]]. In andere contexten heeft dit begrip wellicht een andere betekenis. Gegevensmanagement betreft het integraal en beheerst verwerken van gegevens in een organisatie zowel op strategisch tactisch als operationeel niveau met als doel de gewenste kwaliteit en beschikbaarheid te realiseren.<br>  +

<br>''Toelichting''<br>Het recht op gegevenswissing ('recht op vergetelheid') is niet van toepassing voor zover verwerking nodig is: #Voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie; #Voor het nakomen van een in een het wettelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend; #Om redenen van algemeen belang op het gebied van volksgezondheid; #Met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, voor zover het recht op gegevenswissing de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen; #Voor de instelling, uitoefening of onderbouwing van een rechtsvordering<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] Art. 17 lid 3</sup>.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op maandag 11 maart 2019 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 30 november 2017 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 1 februari 2018 is gepubliceerd.  +

Op 3 oktober was er een workshop gegevensmanagement om te bepalen in hoeverre de kennis over gegevensmanagement in GEMMA een goede basis is voor een generiek NORA thema Gegevensmanagement en welke vervolgstappen nodig zijn om zo'n thema in te richten. Besloten is om naast de GEMMA katernen ook kennis vanuit andere domeinen mee te nemen en dit te ordenen naar mate van behoefte: welke kennis is op NORA-niveau nodig om als organisatie tot een overkoepelend gegevensmanagement te komen? De gloednieuwe [[Expertgroep Gegevensmanagement|NORA Expertgroep Gegevensmanagement]], voornamelijk gevuld door de aanwezigen bij de workshop, zal de komende tijd aan het werk gaan om die vraag te beantwoorden.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 5 april 2018 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 11 oktober 2018 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op donderdag 17 januari 2019 is gepubliceerd.  +

Het verslag van de bijeenkomst van Expertgroep Gegevensmanagement op woensdag 30 oktober 2019 is gepubliceerd.  +

Dit omvat dus zowel de digitale gegevensuitwisseling (via informatiesystemen) als niet-digitale gegevensuitwisseling. Vanuit het oogpunt van efficiëntie en privacy wordt gestreefd naar minimalisatie van gegevensuitwisseling. Dus zo min mogelijk "rond-pompen van gegevens".  +

Het Beleidskader Digitale Infrastructuur licht gemeenschappelijk als volgt toe:<br> Voor ‘gemeenschappelijke functies’ en ‘gemeenschappelijke voorzieningen’ geldt dat ze door meerdere (minimaal 2) organisaties toegepast worden. Daarmee omvat dit behalve generieke functies/voorzieningen met name ook functies/voorzieningen die door een deel van de organisaties samen (gemeenschappelijk) is ingericht. Vanuit de GDI wordt gemeenschappelijk als volgt geïnterpreteerd:<br> De GDI is beperkt tot generieke functies. Daarnaast zijn er niet-generieke functies die voortkomen uit andere – gemeenschappelijke of individuele - behoeften van beleid en dienstaanbieders. Voor de invulling van die niet-generieke functies zijn zij zelf verantwoordelijk, al dan niet in een coalitie van partijen. De intentie bij de inrichting van deze functies is dat hergebruik in bredere zin mogelijk moet zijn, waarbij (vanzelfsprekend) tegemoetgekomen wordt aan architectuurprincipes en geldende standaarden.<br> Gemeenschappelijk impliceert vaak dat iets niet-generiek is. Aangezien dit impliciet is, wordt de voorkeur gegeven aan ‘niet-generiek’ waar dit onderscheid wezenlijk is.<br> Zie ook [[Generiek]] In aanvulling hierop onderkent NORA ook nog het begrip [[Gemeenschappelijk gegevensgebruik]].<br> Ook zou je nog gemeenschappelijke processen kunnen onderkennen, voor samenwerking.<br> Gemeenschappelijk is dan in feite de organisatie-vorm van iets: je kunt het alleen doen, of samen, vrijwillig of verplicht e.d. Die organisatie-vorm kan je expliciet duiden.  +

Het verslag van de bijeenkomst van op vrijdag 28 mei 2021 is gepubliceerd.  +

De [[GEMMA (Gemeentelijke ModelArchitectuur)|GEMMA]] is de modelarchitectuur voor gemeenten, waar gemeenten hun eigen architectuur op kunnen baseren. Omdat lang niet alle gemeenten daar de kennis en capaciteit voor in huis hebben proberen ze dit zo makkelijk mogelijk te maken. Zo kun je als gemeente inmiddels een eigen architectuurmodel samenstellen en downloaden op basis van de GEMMA en je eigen softwarepakketten. Die softwarepakketten staan in de Softwarecatalogus en zijn uniform beschreven qua globale functionaliteit, standaarden et cetera, waardoor ze automatisch geplot worden op GEMMA referentiecomponenten. Zo ontstaat een consistent en op de eigen gemeente toegespitst model. ==Wat is de GEMMA Softwarecatalogus?== De [https://www.softwarecatalogus.nl/ GEMMA Softwarecatalogus] is een instrument waarmee de softwarepakketten die een gemeente gebruikt kunnen worden geregistreerd. In dit online informatiesysteem staat het (verwachte) softwareaanbod voor gemeenten en het gebruik door gemeenten. Per softwareproduct is aangegeven wat de globale functionaliteit is, wat de productplanning is en welke standaarden worden ondersteund. ===Wat kunnen gemeenten met de Softwarecatalogus?=== Gemeenten kunnen de Softwarecatalogus gebruiken bij ICT-vervangings- of investeringsvraagstukken binnen de gemeente of samenwerkingsverband. Gemeenten kunnen ingevoerde applicatielandschap en koppelingen vergelijken met andere gemeenten en contact zoeken met vergelijkbare gemeenten. Bijvoorbeeld bij: * marktoriëntatie voor nieuwe of vervangende software; * vergelijken met andere gemeenten; * contact leggen met gemeenten met interessant productportfolio; * het plannen van ICT vervangingen; * het opstellen van een programma van eisen; * het beoordelen van offertes; * het bespreken van meningsverschillen met hun leverancier over wat is afgesproken en wat is geleverd. ===Wat hebben leveranciers aan de Softwarecatalogus?=== ICT-leveranciers kunnen dankzij de Softwarecatalogus hun aanbod op elkaar afstemmen en inspelen op ondersteuning van nieuwe standaarden en functionaliteiten. ==Mogelijkheid om software te plotten op GEMMA views== In de GEMMA-softwarecatalogus wordt ook de functionaliteit geboden het gemeentelijk landschap af te beelden op de GEMMA views zoals deze in GEMMA Online worden aangeboden. Zo kan een gemeente zijn applicatielandschap plotten een het gemeentelijk sociaal domein of op de nieuwe functionaliteit zoals deze geboden moet worden als gevolg van de invoering van de omgevingswet. De softwarepakketten worden automatisch geplot op de bijbehorende GEMMA-referentiecomponenten. ===GEMMA API=== Desgewenst kan men ook de complete GEMMA-referentiearchitectuur [https://www.gemmaonline.nl/index.php/GEMMA_Architectuurrepository downloaden] inclusief de alle views waarin referentiecomponenten staan waarop de gemeentelijke softwarepakketten geplot kunnen worden. GEMMA Online heeft een API waarmee de GEMMA views en export gerealiseerd kunnen worden. De export wordt gedaan in het ArchiMate Exchange File Format (AMEFF) voor ArchiMate versie 2.1 en binnenkort ook voor versie 3.01. Op deze manier kan een gemeente versneld aan de gang met haar eigen architectuurmodellen. Momenteel werkt VNG aan de mogelijkheid om modellen te updaten voor als er een nieuwe GEMMA versie verschijnt, zodat uitbreiding op het gemeentelijk model intact blijven. ==Contact== Wil je meer weten, of heb je suggesties voor GEMMA, neem dan even contact op met Toine Schijvenaars (Informatie Architect) bij VNG Realisatie (de beheerorganisatie van GEMMA) : [mailto:gemmaonline@vng.nl gemmaonline@vng.nl].  

Dit wordt vooral gebruikt als kernbegrip van de GDI-Architectuur, om het verschil tussen generiek en [[Gemeenschappelijk]] te duiden. Denk aan generieke functies of generieke voorzieningen.  +

Het Generiek waarderingsmodel Rijksoverheid is een sterk ingedikt generieke selectielijst gebaseerd op de MARIJ (Model Architectuur Rijksdienst). Het dient niet als de wettelijke selectielijst, maar als een model dat zorgdragers kunnen gebruiken om uiteindelijk een eigen selectielijst samen te stellen.  +

De GDI bestaat uit de kern van de digitale overheid die niet organisatie-, sector- of domein specifiek is en die wordt begrensd door de Generieke functies. <br> De GDI omvat tevens de functies van de in de [[Wet Digitale Overheid]] genoemde voorzieningen. Het wetsvoorstel hiervoor (de eerste tranche van de Wet Digitale Overheid) regelt nu het voor authenticatie relevante deel van de infrastructuur bij bestuursorganen en aangewezen organisaties, zodat burgers met een toegelaten identificatiemiddel van het juiste betrouwbaarheidsniveau toegang hebben tot de digitale dienstverlening van alle bestuursorganen en aangewezen organisaties. Zie voor nadere toelichting [[GDI-Architectuur (GA)]]  +

  ==ArchiMate-vertaling== ;Capability (Competentie, Vermogen, Capaciteit). :<div class="inspring">The current or desired abilities of an organization, realized by its people, processes, information, and technology. They are focused on specific business outcomes, and are used for strategic planning purposes.</div> ===Rationale in vertaling en verbijzondering === We hebben bewust niet gekozen voor het Archimate element "Business Function" maar voor het Archimate element "Capability". Dit omdat daarbij expliciet staat dat het ook gaat om gewenste vaardigheden en gericht zijn op specifieke gewenste effecten /doelen (outcome). Ook zijn Capability's meer generiek, in plaats van afgestemd op het functioneren van de organisatie. <br><br> Verder is bewust gekozen voor de term "Generieke Functie" in plaats van een vertaling van het Engelse capability. De term "Generieke Functie" is ingeburgerd bij bestuurders en wordt door hen beter begrepen. Ervaringen hiermee in de context van GA zijn zeer positief en leiden tot positieve reacties in de Architectuurraad van MIDO, Programmeringsraad GDI (PGDI) en het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO). <div class="inspring pijl">[[Generieke functie|Element met relaties in kennismodel]]</div> ===Toelichting uit ArchiMate=== Een generieke functie vertegenwoordigt een vaardigheid die bv een organisatie, persoon of systeem, bezit. Op het gebied van zakendoen levert strategisch denken en plannen: strategieën en doelstellingen op hoog niveau op, die vaak niet direct implementeerbaar zijn in de architectuur van een organisatie. Deze langetermijn- of generieke plannen moeten worden gespecificeerd en uitvoerbaar gemaakt op een manier waar zowel bedrijfsleiders als organisatiearchitecten zich mee kunnen identificeren, en op een relatief hoog abstractieniveau. Generieke functies helpen deze kloof te verkleinen door te focussen op bedrijfsresultaten. Enerzijds geven ze een hoogstaand beeld van de huidige en gewenste capaciteiten van een organisatie, in relatie tot haar strategie en haar omgeving. Aan de andere kant worden ze gerealiseerd door verschillende elementen (mensen, processen, systemen, enzovoort) die kunnen worden beschreven, ontworpen en geïmplementeerd met behulp van Enterprise Architectuur-benaderingen. Generieke functies kunnen ook 'bedient'-relaties hebben; bijvoorbeeld om aan te geven dat de ene mogelijkheid bijdraagt aan de andere. * Generieke functies worden uitgedrukt in algemene termen en termen op hoog niveau, en worden doorgaans gerealiseerd door een combinatie van organisatie, mensen, processen, informatie en technologie. Bijvoorbeeld: marketing, klantcontact of uitgaande telemarketing. * Generieke functies zijn doorgaans gericht op het bereiken van een bepaald doel of het leveren van waarde door een resultaat te realiseren. * Generieke functies worden vaak gebruikt voor op capaciteiten gebaseerde planning, om hun evolutie in de tijd te beschrijven. Om dergelijke zogenaamde capaciteitsverhogingen te modelleren, kan de specialisatierelatie worden gebruikt om aan te geven dat een bepaalde capaciteitsverhoging een specifieke versie van die capaciteit is. * De naam van een Generieke functie moet de nadruk leggen op "wat we doen" in plaats van "hoe we het doen". Typisch moet het worden uitgedrukt als een samengesteld zelfstandig naamwoord of het infinitief van een werkwoord; bijv. "Projectbeheer", "Marktontwikkeling", "Productontwikkeling' enz. (Afkomstig [https://pubs.opengroup.org/architecture/archimate3-doc/chap07.html uit ArchiMate 3.1], vertaald naar het Nederlands en ontdaan van enkele technische ArchiMate-toelichtingen) == GDI == Binnen de GDI wordt gebruik gemaakt van Generieke functies om de doelen van de GDI te bereiken. De GDI-Architectuur werkt die Generieke functies uit in afspraken, standaarden en voorzieningen die in alle gevallen van toepassing zijn en gebruikt worden.  

Voor generieke voorzieningen geldt dat de afspraak is dat alle overheidsorganisaties deze binnen het toepassingsgebied daarvan gebruiken als ondersteuning voor dienstverlening aan burgers en bedrijven of voor samenwerking met andere organisaties. Een generieke voorziening kan onderdeel zijn van de GDI. Er zijn echter ook generieke voorzieningen buiten de GDI zoals bijvoorbeeld PDOK.  +

Dit gaat over onder meer de gridgrootte en aantal decimalen van coördinaten. Er wordt in de context van rasterdata ook wel gesproken over resolutie; het scheidend vermogen van een optisch apparaat.  +

Dit gaat over attributen die een geometrie bevatten. De verzameling punten die onderdeel uitmaken van deze geometrie moeten aan specifieke voorwaarden voldoen. Zo mogen zij bijvoorbeeld niet in een incorrecte ringvolgorde zitten, geen dubbele punten bevatten, het juiste aantal punten bevatten en geen onnodig korte lijnen.  +

Gemiddeld eens in de twee jaar is er rond het onderwerp [[Geo]] zoveel gebeurd, dat het de hoogste tijd is om iedereen bij te praten. Geonovum doet dit door de Open Geodag te organiseren. Op 2 oktober vertellen de medewerkers van Geonovum je het laatste nieuws over de standaarden, komen hun samenwerkingspartners aan het woord over de laatste ontwikkelingen en praten ze iedereen bij vanuit de verschillende innovatieplatforms. Veel aandacht gaat er ook naar de ontwikkelingen in het kader van SDI.Next; de noemer waaronder geodata beter bruikbaar gemaakt wordt voor developers. ==Deelname en aanmelden== Als altijd is de Open Geodag net zo open als de GEO-standaarden: iedereen mag aanschuiven en toegang is gratis. Aanmelden bij Geonovum kan nu al via de pagina van [https://www.geonovum.nl/over-geonovum/agenda/open-geodag-sdinext Open Geodag 2019] of direct in het [https://fd10.formdesk.com/geonovum/opengeodag19 aanmeldformulier]. ==Programma & Impressie eerdere edities== Het programma is nog niet definitief vastgesteld, wie zich aanmeld krijgt hier meer informatie over. Na elke Open Geodag deelt Geonovum een impressie op hun website, de [https://www.geonovum.nl/themas/open-geodag impressies] van de afgelopen jaren geven je een goed beeld van wat je op 2 oktober kunt verwachten. ==Suggestie voor het programma== Heb je zelf een (niet commercieel) verhaal over actuele ontwikkelingen in jouw organisatie of sector die je op 2 oktober wilt delen met de geo-community? Neem dan contact op met de [mailto:y.verdonk@geonovum.nl?subject=suggestie%20programma%20Open%20Geodag organisatie].  +

De afnemer moet weten wat de definitie van een gegeven in een basisregistratie is om te kunnen beoordelen of het wel of niet klopt.  +

Dit begrip is omschreven in de context van [[Gegevensmanagement]]. In andere contexten heeft dit begrip wellicht een andere betekenis. Gegevensmanagement betreft het integraal en beheerst verwerken van gegevens in een organisatie zowel op strategisch tactisch als operationeel niveau met als doel de gewenste kwaliteit en beschikbaarheid te realiseren.<br>  +

''NB: ID PRIV_U.03.03.02 wordt niet opgevuld (ivm verwijzing naar deze ID nummers in gerelateerde cip-documenten).''  +

''NB: ID aangepast naar PRIV_U.03.03.05 was PRIV_U.03.03.06''  +

De specifieke governance van NORA is door de jaren heen een paar keer gewijzigd, maar de uitgangspunten vanuit dit memo bleven gelijk: * Beheer onder verantwoordelijkheid van gemandateerd opdrachtgever ministerie van BZK * Beheer belegd bij stichting ICTU * Doorontwikkeling gezamenlijke verantwoordelijkheid van de verschillende overheidslagen * Gebruikersraad met vertegenwoordigers van de verschillend overheidsarchitecturen en verdere stakeholders * Inzet op transparantie en de gemeenschap van architecten  +

# [[Grip op Secure Software Development/Voorwoord en leeswijzer|Voorwoord en leeswijzer]] # [[Grip op Secure Software Development/Inleiding|Inleiding (algemene inleiding)]] # [[Grip op Secure Software Development/Uitleg van de opzet van de beveiligingseisen|Uitleg van de opzet van de beveiligingseisen (specifieke inleiding)]] # [[Grip op Secure Software Development/Structuur beveiligingseisen|Structuur beveiligingseisen (specifieke inleiding)]] # [[Grip op Secure Software Development/De SIVA-methode voor het opstellen van beveiligingseisen|De SIVA-methode voor het opstellen van beveiligingseisen (toelichting)]] # [[Grip op Secure Software Development/Wijzigingen ten opzichte van de versie 2|Wijzigingen ten opzichte van de versie 2 (toelichting)]]   +

Vandaag is de [[Publieke review Kernwaarden van Dienstverlening en bijbehorende Kwaliteitsdoelen en Architectuurprincipes|publieke review]] gestart van de meest ingrijpende veranderingen aan de NORA in 10 jaar. De feedback die in de review verzameld wordt zal in 2022 als input gelden voor de [[Werkgroep NORA Architectuur Principes]] om hun wijzigingsvoorstel af te ronden en in te dienen bij de [[NORA Gebruikersraad]]. Dit is dus het moment om mee te praten! Lees meer over de wijzigingsplannen op de pagina [[Publieke review Kernwaarden van Dienstverlening en bijbehorende Kwaliteitsdoelen en Architectuurprincipes]]. ==Welke onderdelen van NORA gaan wijzigen?== De wijziging gaat over de bindende afspraken van de NORA: de [[Basisprincipes]] en [[Afgeleide principes]] veranderen in deze vorm en daarvoor in de plaats komen [[Kernwaarden van Dienstverlening]], [[Kwaliteitsdoelen]] en [[Architectuurprincipes]]. ==Wie gaan geraakt worden door deze wijzigingen?== Iedereen die in een overheidsdienst (her-)ontwerpt is verplicht de bindende afspraken van de NORA toe te passen. Deze wijziging raakt dus: * Beleidsmedewerkers op het vlak van digitale dienstverlening * Opdrachtgevers & uitvoerders van diensten * Architecten die diensten (her-)ontwerpen * Enterprise architecten en anderen die de NORA Principes (deels) overnemen en gebruiken in de architectuur van dienst, organisatie, keten, domein of sector. ==Hoe lang staat de review open?== Reacties zijn welkom t/m '''31 januari 2022'''.  +

Het verslag van de bijeenkomst van op donderdag 6 juni 2019 is gepubliceerd.  +

In het Handelsregister (HR) staan alle ondernemers en rechtspersonen in Nederland geregistreerd. Ook groepen die voorheen geen inschrijfplicht hadden, zoals eenmanszaken in de landbouw en beoefenaars van vrije beroepen. Ook gemeenten zijn verplicht per 2010 in het Handelsregister geregistreerd te staan.  +

HTTP Strict Transport Security (HTTPS) bestaat uit het gebruik van HTTP over een met TLS beveiligde verbinding. HSTS zorgt ervoor dat een browser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS. Door HTTPS samen met HSTS te gebruiken wordt het gebruik van beveiligde verbindingen naar zoveel mogelijk afgedwongen. Dit maakt het voor hackers en cybercriminelen moeilijker om verkeer om te leiden naar valse websites, en om de inhoud van webverkeer te onderscheppen.  +

We gaan gebruikers een nadrukkelijke ‘stem’ geven in het richten en prioriteren van de doorontwikkeling van de manier waarop we de BIO Thema-uitwerkingen en andere kennis vanuit het CIP ontsluiten op noraonline.nl. ==Wat gaan we doen?== Vanaf aanvang 2023 gaan we met een kleine taskforce vanuit CIP en NORA in een scrum-achtige aanpak werken aan verbeteringen. Geert-Jan van de Ven, directeur CIP, zal optreden als Product Owner en zoekt een gevarieerde groep van gebruikers die hun ervaringen en behoeften delen, helpen kiezen tussen oplossingsrichtingen en bij demonstraties feedback geven op de (tussen-)resultaten. We zien deze aanpak als een pilot, zowel voor latere verbeteringen aan de thema’s Beveiliging en Privacy, als voor een bredere Redesign die NORA later in 2023 hoopt te starten. ===Waarom doen we dat?=== Kennis is alleen waardevol als je die kunt gebruiken. En dat kan alleen als je weet dat het bestaat, je er bij kunt, het voor jou begrijpelijk is en het past bij jouw eigen praktijk. Daar willen we graag voor zorgen. Wat moeten we anders doen om de kennis van het CIP voor jou bruikbaar te maken? Verschilt dat voor verschillende gebruikerstypes? Hoe voorkomen we dat wat de ene gebruiker helpt, de ander in de weg zit? We willen een gevarieerde gebruikersgroep om ons heen verzamelen, die ons helpt de juiste keuzes te maken in het verbeteringstraject. ===Wie zijn wij?=== Het Centrum Informatiebeveiliging en Privacybescherming (CIP) is een kenniscentrum en netwerk van overheidsprofessionals die zich bezig houden met de onderwerpen beveiliging en privacy. De NORA (Nederlandse Overheid Referentie Architectuur) is de community van architecten en architecturen in de publieke sector, met als kennisplatform noraonline.nl. ==Wie zoeken wij?== Hoe gevarieerder de groep, hoe beter het resultaat aansluit bij de wensen van toekomstige gebruikers. We zoeken daarom in ieder geval: * Beginnende architecten en ervaren architecten voor wie beveiliging een nieuw aandachtsgebied is/wordt; * Experts op (deelgebieden van) beveiliging die de ontsluiting op noraonline willen gebruiken, hetzij als naslagwerk/referentiebron, hetzij om informatie te exporteren en in te lezen in de eigen systemen; * Projectleiders, beleidsmedewerkers en anderen die noraonline zo nu en dan gebruiken als informatiebron en dat ook voor de BIO Thema-uitwerkingen willen kunnen doen; * Beheerders van architecturen in de publieke sector, die beveiliging nu als thema hebben opgenomen of dat overwegen. ===Wat vragen wij?=== #Een serieuze poging om te kijken naar de content zoals we die nu ontsluiten. (Reken 1 uur voor een serieuze verkenning, plus 1 uur om na te denken en je bevindingen te formuleren.) ## is de content begrijpelijk en sluit die aan bij jouw praktijkbehoefte? ## Voor welk doel zou je het (willen) gebruiken en is het daar in deze vorm bruikbaar voor? ## Wat zou jou helpen om je doel makkelijker te bereiken? # Deelname aan een online sessie om gedeelde behoeften te vinden en prioriteiten te stellen. Dit kost je circa anderhalf uur. # Naar eigen keuze deelname aan een of meer uitwerkingssessies om te kiezen tussen mogelijke oplossingsrichtingen voor die gedeelde behoeften. Reken hiervoor anderhalf uur per sessie. # Meekijken met (online) demonstratie van de tussenresultaten en feedback geven. Reken 45 minuten, één keer per 6 weken. ===Wat bieden wij?=== # (Hernieuwd) kennis maken met BIO Thema-uitwerkingen, waarbij je direct vragen kunt stellen over de inhoud, structuur, status en vorm. # De kans om mede richting te geven aan de ontsluitingswijze, zodat die goed aansluit bij jouw (toekomstige) behoeften en die van je collega’s. ==Scope van het gebruikerspanel en samenwerking met Expertgroep Beveiliging== Naast het gebruikerspanel is er ook een NORA-CIP [[Expertgroep Beveiliging]], die de inhoudelijke doorontwikkeling van het thema en de samenhang met de BIO Thema- uitwerkingen oppakt. Het gebruikerspanel kan inhoudelijke bevindingen doorzetten naar de Expertgroep en de Expertgroep kan het Gebruikerspanel gebruiken als klankbord om hun inhoud zo goed mogelijk te laten landen in de praktijk. Het gebruikerspanel geeft feedback over de manier waarop de inhoud ontsloten wordt: * Taalgebruik en uitleg van termen * Gewenste overzichten en uitlegpagina’s * Duiding van de samenhang met andere veelgebruikte bronnen * Navigatie en layout * Structuur en indelingen * Aangeboden exportmogelijkheden en queries Gebruikerswensen die niet binnen budget of scope van de pilot gerealiseerd kunnen worden, zullen we inbrengen in de later startende verbetertrajecten.  

Dit gaat vooral over het beschikbaar zijn van informatie over de herkomst van gegevens en het pad dat zij hebben gevolgd. Dit is onderdeel van 'data lineage'. Het vraagt een audit trail waarin dergelijke gegevens beschikbaar zijn. In tegenstelling tot een meer algemene audit trail is deze onderdeel van de gegevens zelf. Het detailniveau van de audit trail is op het niveau van handelingen van subjecten.  +

Het verslag van de bijeenkomst van op dinsdag 25 mei 2021 is gepubliceerd.  +

Het Programma voor de [[NORA Gebruikersweek 25 mei tot 4 juni 2021|NORA Gebruikersweek]] van 25 mei tot 4 juni 2021 is definitief rond: 18 interactieve sessies propvol inhoud, discussie, ontmoetingen en inspiratie. Wie zich inschrijft via [https://noracommunity.pleio.nl/events/view/2c45455d-65ca-47a5-86d6-b51a6943bbf0/nora-gebruikersweek pleio.nl] ontvangt op 20 mei een mail met alle inloggegevens voor alle sessies. NB: Schrijf je je op of na 20 mei in, doe dat dan wel tenminste 24 uur vóór de eerste sessie die je wilt bezoeken: wij versturen maximaal 1x per dag inloggegevens naar nieuwe deelnemers. Er zijn drie nieuwe sessies sinds het versturen van de uitnodiging: op 31 mei openen twee expertgroepen hun reguliere overleg voor een presentatie van de stand van zaken en op 4 juni sluiten we de Gebruikersweek af met een spetterende finale. ==31 mei: Stand van zaken vernieuwing NORA architectuurprincipes== Weet jij al wat Kernwaarden zijn in de context van NORA? En dat de [[Principes]] van de NORA worden aangepast om daar bij aan te sluiten? Of het je nu nog niets zegt, of je vooral benieuwd bent naar de praktische uitwerking, lees de informatie op [[Stand van zaken vernieuwing NORA architectuurprincipes]] en laat je bijpraten op 31 mei van 15.00-15.30 uur. ==31 mei: Presentatie nieuwe versie Raamwerk Gegevenskwaliteit== In maart eindigde de reviewperiode voor het raamwerk gegevenskwaliteit waar de [[Expertgroep Gegevensmanagement]] aan heeft gewerkt. De reacties waren niet alleen positief, maar ook zo prikkelend dat de kerngroep gelijk een nieuwe versie heeft gemaakt. Op 31 mei om 15.45 is de [[Presentatie nieuwe versie Raamwerk Gegevenskwaliteit|presentatie]] en daagt de expertgroep je uit om het raamwerk verder te verrijken met jouw ervaringen en voorbeelden. ==4 juni finale met spelshow: hoe goed spreken architecten de taal van bestuurders, afdelingshoofden en projectleiders?== In de [[Finale NORA Gebruikersweek mei 2021]] willen we op een ludieke manier aandacht besteden aan een terugkerende verzuchting uit NORA bijeenkomsten: hoe verkopen we onze architectuur nu effectief aan anderen, zodat organisatie en projecten ook echt onder architectuur gaan werken? Teams van architecten strijden onder het oog van een vakjury van Plaatsvervangend Directeur, Afdelingshoofd en Projectleider om de 'Praatbokaal:' Wie geeft de jury kort en helder uitleg en maakt hen duidelijk waarom en wanneer ze eigenlijk architecten nodig hebben? ==Volledige programma== Op [[NORA Gebruikersweek 25 mei tot 4 juni 2021]] vind je meer uitleg over de week en het thema Samen. Ook zijn het doel en de doelgroep van elke sessie daar aangegeven. Of klik in het onderstaande overzicht op de naam van de sessie voor een uitgebreide beschrijving.<table class="sortable wikitable smwtable"><th class="Datum"><span class="smw-highlighter" data-type="1" data-state="inline" data-title="Eigenschap" title="“Datum (Date)” is een type en voorgedefinieerde eigenschap, geleverd door Semantic MediaWiki, om datumwaarden weer te geven."><span class="smwbuiltin">[[:Eigenschap:Date|Datum]]</span><span class="smwttcontent">“Datum <span style="font-size:small;">(Date)</span>” is een [[Special:Types/Date|type]] en voorgedefinieerde eigenschap, geleverd door [https://www.semantic-mediawiki.org/wiki/Help:Special_properties Semantic MediaWiki], om datumwaarden weer te geven.</span></span></th><th class="sessie">sessie</th><tr data-row-number="1" class="row-odd"><td class="Datum smwtype_dat" data-sort-value="2459359.9583333">25 mei 2021 11:00:00</td><td class="sessie smwtype_wpg">[[:Oefensessie Miro gebruiken|Oefensessie Miro gebruiken]]</td></tr><tr data-row-number="2" class="row-even"><td class="Datum smwtype_dat" data-sort-value="2459360.0208333">25 mei 2021 12:30:00</td><td class="sessie smwtype_wpg">[[:Start NORA Gebruikersweek mei 2021|Start NORA Gebruikersweek mei 2021]]</td></tr><tr data-row-number="3" class="row-odd"><td class="Datum smwtype_dat" data-sort-value="2459360.0833333">25 mei 2021 14:00:00</td><td class="sessie smwtype_wpg">[[:Het Nederlandse Dienstverleningsconcept|Het Nederlandse Dienstverleningsconcept]]</td></tr><tr data-row-number="4" class="row-even"><td class="Datum smwtype_dat" data-sort-value="2459361.0416667">26 mei 2021 13:00:00</td><td class="sessie smwtype_wpg">[[:Verhalen vertellen bij het kampvuur (startsessie)|Verhalen vertellen bij het kampvuur (startsessie)]]</td></tr><tr data-row-number="5" class="row-odd"><td class="Datum smwtype_dat" data-sort-value="2459361.125">26 mei 2021 15:00:00</td><td class="sessie smwtype_wpg">[[:Presentatie ReadID in Expertgroep IAM|Presentatie ReadID in Expertgroep IAM]]</td></tr><tr data-row-number="6" class="row-even"><td class="Datum smwtype_dat" data-sort-value="2459362">27 mei 2021 12:00:00</td><td class="sessie smwtype_wpg">[[:Meetup Architecten met de voeten in de klei|Meetup Architecten met de voeten in de klei]]</td></tr><tr data-row-number="7" class="row-odd"><td class="Datum smwtype_dat" data-sort-value="2459362.0833333">27 mei 2021 14:00:00</td><td class="sessie smwtype_wpg">[[:Bring Your Own PSA (sessie 1)|Bring Your Own PSA (sessie 1)]]</td></tr><tr data-row-number="8" class="row-even"><td class="Datum smwtype_dat" data-sort-value="2459362.9166667">28 mei 2021 10:00:00</td><td class="sessie smwtype_wpg">[[:Gemeenschappelijke Overheidsarchitectuur GDI (introductie en overzicht)|Gemeenschappelijke Overheidsarchitectuur GDI (introductie en overzicht)]]</td></tr><tr data-row-number="9" class="row-odd"><td class="Datum smwtype_dat" data-sort-value="2459362.9583333">28 mei 2021 11:00:00</td><td class="sessie smwtype_wpg">[[:Deep-Dive in de Gemeenschappelijke Overheidsarchitectuur (GO)|Deep-Dive in de Gemeenschappelijke Overheidsarchitectuur (GO)]]</td></tr><tr data-row-number="10" class="row-even"><td class="Datum smwtype_dat" data-sort-value="2459366.125">31 mei 2021 15:00:00</td><td class="sessie smwtype_wpg">[[:Stand van zaken vernieuwing NORA architectuurprincipes|Stand van zaken vernieuwing NORA architectuurprincipes]]</td></tr><tr data-row-number="11" class="row-odd"><td class="Datum smwtype_dat" data-sort-value="2459366.15625">31 mei 2021 15:45:00</td><td class="sessie smwtype_wpg">[[:Presentatie nieuwe versie Raamwerk Gegevenskwaliteit|Presentatie nieuwe versie Raamwerk Gegevenskwaliteit]]</td></tr><tr data-row-number="12" class="row-even"><td class="Datum smwtype_dat" data-sort-value="2459367.0833333">1 juni 2021 14:00:00</td><td class="sessie smwtype_wpg">[[:Bring Your Own PSA (sessie 2)|Bring Your Own PSA (sessie 2)]]</td></tr><tr data-row-number="13" class="row-odd"><td class="Datum smwtype_dat" data-sort-value="2459367.1666667">1 juni 2021 16:00:00</td><td class="sessie smwtype_wpg">[[:Het zelf-likkende ijsje en andere metaforen die je niet meer uit je hoofd krijgt|Het zelf-likkende ijsje en andere metaforen die je niet meer uit je hoofd krijgt]]</td></tr><tr data-row-number="14" class="row-even"><td class="Datum smwtype_dat" data-sort-value="2459368">2 juni 2021 12:00:00</td><td class="sessie smwtype_wpg">[[:Meetup Leerlingen en gezellen|Meetup Leerlingen en gezellen]]</td></tr><tr data-row-number="15" class="row-odd"><td class="Datum smwtype_dat" data-sort-value="2459368.0833333">2 juni 2021 14:00:00</td><td class="sessie smwtype_wpg">[[:Erven bij leven - de NORA Familie deelt haar mooiste meubilair|Erven bij leven - de NORA Familie deelt haar mooiste meubilair]]</td></tr><tr data-row-number="16" class="row-even"><td class="Datum smwtype_dat" data-sort-value="2459369">3 juni 2021 12:00:00</td><td class="sessie smwtype_wpg">[[:Meetup van de werkvloer tot de boardroom - hoe laat je je architectuur landen?|Meetup van de werkvloer tot de boardroom - hoe laat je je architectuur landen?]]</td></tr><tr data-row-number="17" class="row-odd"><td class="Datum smwtype_dat" data-sort-value="2459369.0416667">3 juni 2021 13:00:00</td><td class="sessie smwtype_wpg">[[:Verhalen vertellen bij het kampvuur (slotsessie)|Verhalen vertellen bij het kampvuur (slotsessie)]]</td></tr><tr data-row-number="18" class="row-even"><td class="Datum smwtype_dat" data-sort-value="2459370.0416667">4 juni 2021 13:00:00</td><td class="sessie smwtype_wpg">[[:Finale NORA Gebruikersweek mei 2021|Finale NORA Gebruikersweek mei 2021]]</td></tr></table>  

<br>''Toelichting''<br> * Een DPIA wordt in een zo vroeg mogelijk stadium uitgevoerd; in ieder geval voordat wordt overgegaan tot de verwerking van persoonsgegevens. Zo kunnen gegevensbeschermings¬maatregelen vooraf al in het ontwerp worden meegenomen. Dit voorkomt dat achteraf blijkt dat de gegevensverwerking niet voldoet aan de verplichtingen die volgen uit de AVG inzake het treffen van passende technische en organisatorische maatregelen om onrechtmatige gegevensverwerkingen te voorkomen. Op deze manier kunnen ook kosten worden bespaard: het meenemen van beveiligingsmaatregelen bij de ontwikkeling van een ICT-systeem is goedkoper dan het achteraf aanpassen ervan. Bovendien kunnen schadevergoedingen worden vermeden, omdat adequate maatregelen zijn genomen om te voorkomen dat voorzienbare risico's zich daadwerkelijk voordoen. * Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden. * De DPIA bevat ten minste: #Een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd; #Een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden; #Een beoordeling van de hierboven genoemde risico's, en: #De beoogde maatregelen om de risico's aan te pakken; waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en aan te tonen dat aan de AVG is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie. * Een DPIA in verband met een hoog risico is met name vereist in de volgende gevallen c.q. bij de volgende risico's<sup class="noot">[[Algemene Verordening Gegevensbescherming (AVG)|AVG]] art. 35 lid 3.</sup>: #Een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; #Grootschalige verwerking van bijzondere categorieën persoonsgegevens (U.01/04 of AVG Art. 9, lid 1) of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten (U.04/05) of AVG Art. 10), of: #Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.. * Dit dient met name te gelden voor grootschalige verwerkingen die bedoeld zijn voor de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal betrokkenen gevolgen kan ondervinden en die bijvoorbeeld vanwege hun gevoelige aard een hoog risico met zich kunnen brengen wanneer conform het bereikte niveau van technologische kennis een nieuwe technologie op grote schaal wordt gebruikt, alsmede voor andere verwerkingen die een groot risico voor de rechten en/of vrijheden van de betrokkenen inhouden, met name wanneer betrokkenen als gevolg van die verwerkingen hun rechten moeilijker kunnen uitoefenen. * Een DPIA dient ook te worden uitgevoerd wanneer persoonsgegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevens of na de verwerking van bijzondere categorieën persoonsgegevens, biometrische gegevens of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. * Een DPIA is ook nodig voor de grootschalige bewaking van openbaar toegankelijke ruimten, met name wanneer optisch elektronische apparatuur wordt gebruikt of voor alle andere verwerkingen waarover de AP oordeelt dat zij waarschijnlijk een groot risico inhouden voor de rechten en vrijheden van betrokkenen, met name omdat betrokkenen als gevolg van deze verwerkingen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst of omdat deze verwerkingen systematisch op grote schaal worden uitgevoerd. * De verwerking van persoonsgegevens mag niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat. In die gevallen mag een DPIA niet verplicht worden gesteld.