Leidende principes Regie op Gegevens

Uit NORA Online
Versie door M.M.Vos (overleg | bijdragen) op 13 apr 2022 om 17:35 (→‎3.3 Transparantie: correcte niveau)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen
Logo van het programma Regie op Gegevens

Onderdeel van Referentiearchitectuur Regie op Gegevens.
Status: In review, versie 2021

Reviewreactie insturen

In fase 1 van het programma Regie op Gegevens zijn aan de hand van de (beoogde) wetgeving en beleid meer in detail de principes waarlangs Regie op gegevens ingevuld dient te worden, nader uitgewerkt.

3.1 Burger centraal[bewerken]

Organisaties begrijpen wat de burger raakt en dat merkt de burger in zijn contact met hen, ongeacht diversiteit in fysieke, cognitieve, psychosociale aspecten, of de omstandigheden waarin burgers zich bevinden. Regie op gegevens leidt tot vergroting van inzicht in – en invloed op – zijn eigen persoonlijk gegevensverkeer, en hierdoor verstevigt de burger zijn positie ten opzichte van aanbieders en afnemers van deze gegevens. Denk daarbij aan de toegenomen mogelijkheid voor de burger voor:

  1. delen van gegevens: de eigen gegevens zelf, digitaal kunnen delen met dienstverleners buiten de overheid;
  2. eenmalige verstrekking: kunnen weigeren om gegevens te verstrekken die binnen de overheid al beschikbaar zijn;
  3. inzage en correctie: de eigen gegevens kunnen inzien en controleren, kunnen inzien welke gegevens worden en zijn uitgewisseld, en de gegevens kunnen (laten) corrigeren.

Voor regie op gegevens houdt dit een ontwikkeling in waarbij niet de organisatie leidend is, maar de leefwereld en behoeften van de burger, en waarbij de autonome burger zoveel mogelijk zelf regie voert op zijn eigen situatie.

3.1.1 Digitale zelfbeschikking[bewerken]

Burgers hebben digitale zelfbeschikkingsmacht. Tijdens alle fasen van dienstverlening (idee vorming, ontwerp, realisatie en exploitatie) is er participatie vanuit kwetsbare gebruikersgroepen en individuele burgers. Belangrijke uitgangspunt hier is dat wordt uitgegaan van feiten en niet van aannames.

3.1.2 Gebruiksvriendelijkheid/ begrijpelijkheid[bewerken]

Regie op de eigen gegevens is voor alle burgers. Kwetsbare en/of niet-digivaardige burgers hebben daarbij speciale aandacht. Dit betekent onder andere dat de informatie of communicatie beknopt, begrijpelijk en gemakkelijk toegankelijk zijn en er moet duidelijke en eenvoudige taal worden gebruikt. Hiernaast wordt deze groep, waar het nodig is, ondersteund.

3.1.3 Vertegenwoordiging[bewerken]

Specifiek als het gaat om kwetsbare en/of niet-digivaardige burgers heeft het kabinet in de brief "Digitale inclusie; iedereen moet kunnen meedoen" aangegeven hoe deze ondersteund moeten worden om mee te kunnen in de informatiesamenleving. De daarbij uiteengezette lijn is ook van toepassing op het voeren van regie op de eigen gegevens. Daarbij is de primaire inzet het digivaardig maken van wie dat nu niet is, onder meer door het aanbieden van cursussen. Wie ondanks alle ondersteuning niet digitaal kan, kan iemand machtigen om namens hem regie te voeren (zoals een zorgcoach of belastingconsulent). In overleg met de betreffende overheidsorganisatie kan ook een ander, analoog kanaal worden gezocht, zoals balie, telefoon of papieren post. Er is een ‘audit trail’ mogelijk op afgegeven en ingetrokken machtigingen en het bereik waarop deze van toepassing zijn.

3.1.4 Menselijke tussenkomst[bewerken]

Uitgangspunt van regie op gegevens is dat de leefwereld leidend is boven de systeemwereld. De met digitalisering gepaard gaande standaardisatie kan ertoe leiden dat fouten kunnen worden gemaakt, doordat in de systeemwereld vaak niet op voorhand rekening kan worden gehouden met alle relevante aspecten van de – vele malen complexere – leefwereld. Hierom is het van belang dat de betrokken bij de mogelijkheid heeft zich zo nodig tot een (menselijk) loket te wenden.

3.2 Vertrouwen[bewerken]

Afsprakenstelsels en regietoepassingen vergroten het vertrouwen van burgers, aanbieders en afnemers, in regie op gegevens. Het waarborgen van de privacy en veiligheid is een verantwoordelijkheid van alle betrokken partijen. Onder andere zijn privacy en security by design & default essentieel om vertrouwen in afsprakenstelsel en regietoepassingen te krijgen en te behouden. Deze thema’s worden onderstaand nader toegelicht. Het vertrouwen in gebruik wordt alleen vergroot worden indien het eenvoudig is om op een goede manier om te gaan met privacy en veiligheid ook geborgd is. Indien stelsels en regietoepassingen niet gemakkelijk in gebruik zijn zullen ze minder toegepast worden en zal er minder vertrouwen in zijn.

3.2.1 Privacy-by-design & default[bewerken]

Privacy by design is een proactieve benadering van de bescherming van privacy door het borgen van privacy leidend te maken binnen afsprakenstelsels en regietoepassingen voor de verwerking van persoonsgegevens van de burger. De aandacht voor privacy blijft tijdens het gehele proces van gegevensuitwisseling bestaan. Er is sprake van ‘privacy by default’ als de standaardinstellingen van de regietoepassing zodanig zijn dat maximale privacy wordt geborgd, zonder dat de regietoepassing in de knel komt.

3.2.2 Security by design & default[bewerken]

Bij beveiliging (security) gaat het erom dat waarborgen zijn getroffen ten behoeve van beschikbaarheid, integriteit, en vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens. De noodzakelijk waarborgen hebben onder andere betrekking op:

  • Het beheer en de beveiliging van de regietoepassingen;
  • De beveiliging van gegevens in transport en opslag;
  • Behandeling van incidenten;
  • Beheer van de continuïteit;
  • Toezicht (monitoring), controle (auditing) en testen;
  • Inachtneming van de internationale normen.
  • Identificatie, Authenticatie en Autorisatie (IAA).

Verder leidt het gebruik van authentieke bronnen tot verhoging van de gegevenskwaliteit en uniformiteit in dienstverlening en ondersteunende processen.

3.3 Transparantie[bewerken]

Burgers, aanbieders en afnemers en overige stakeholders zijn open en eerlijk over hun intenties en gedrag in regie op gegevens. Inzicht in wat organisaties met welke gegevens van burgers doen is belangrijk om transparantie te creëren en te behouden. Er moet zo weinig mogelijk verschil zijn in de informatiepositie die de verschillende partijen innemen. Technische en organisatorische aspecten van gegevensuitwisseling moeten controleerbaar en herleidbaar zijn.

3.3.1 Informatiepositie burger[bewerken]

De burger kan zijn gegevens inzien en is voor hem/haar herkenbaar wanneer, met wie en waarom zijn gegevens zijn opgevraagd of uitgewisseld. Een en ander gekoppeld aan de verleende toestemming of wettelijke regels.

3.3.2 Openheid[bewerken]

Openheid is voor veel zaken essentieel, denk bijvoorbeeld aan reguliere audits laten uitvoeren of kwaliteitsdashboards die iedereen kan raadplegen die de desbetreffende gegevens gebruikt. Ook openheid over geconstateerde datalekken , de genomen acties, etc.

3.3.3 Toegankelijkheid[bewerken]

Informatie over wet- en regelgeving en afspraken, beleid en andere informatie over het verwerken van gegevens is steeds op eenvoudige wijze raadpleegbaar.

3.4 Interoperabiliteit[bewerken]

Afsprakenstelsels en regietoepassingen borgen de koppelbaarheid tussen de diensten en gegevens van burgers, aanbieders en afnemers. Interoperabiliteit is de mogelijkheid van autonome, heterogene systemen (apparaten, afdelingen, organisaties) om met elkaar informatie uit te wisselen en samen te werken. Interoperabiliteit komt mede tot stand door afspraken op organisatorische als informatie-technische kant. In dergelijke afspraken kan worden vastgelegd welke standaard men zal gebruiken.

3.4.1 Dataportabiliteit[bewerken]

Het recht op overdraagbaarheid van persoonsgegevens (AVG) zorgt voor het vergroten van de controle van burger op zijn persoonsgegevens en voorkomt hiermee vendor lock-in.


3.5 Balans in belangen[bewerken]

Burgers, aanbieders en afnemers hebben een verschillende maar gelijkwaardige positie ten aanzien van besluitvorming over de dienstverlening. Naast rechten en plichten van aanbieders en afnemers moeten ook de voorwaarden voor de burger duidelijk worden gemaakt. Wat zorgplicht voor regie op gegevens anders maakt, is dat de betrokken burger zelf verantwoordelijk is voor de beslissing om gegevens te delen met derden. Echter, in de ‘digitale sluis’ variant heeft/houdt de overheid een verantwoordelijkheid/ zorgplicht. Er geldt dan ook een aanvullende zorgplicht om de belangen van de burgers te beschermen, gezien het hier gaat om bronregistraties van de overheid.

3.5.1 Geen druk op het (digitaal) delen van gegevens[bewerken]

Het delen van gegevens gebeurt alleen op basis van expliciete toestemming van de burger. Het delen van gegevens digitaal is op basis van vrijwilligheid. Gegevens digitaal (in plaats van op papier) te delen mag bij de afnemer geen rol spelen voor het wel of niet verkrijgen van een dienst door de burger. De burger mag niet gedwongen worden gegevens aan te leveren voor een bepaald dienst die niet noodzakelijk zijn en/of vereist zijn vanuit regelgeving.

3.5.2 Geen druk ten aanzien van het gebruik van een (digitale) regietoepassing[bewerken]

De burger kan niet worden verplicht gebruik te maken van een bepaalde digitale regietoepassing, althans niet als het gaat om overheidsdienstverlening. De mogelijkheid om dienstverlening niet via digitale weg te hoeven regelen en ontvangen, moet voor iedere betrokkene blijven bestaan.


Bovenstaande principes zijn meer in detail uitgewerkt een in Zie matrix op pleio.