Afgeleide principes in tabelvorm
Deze pagina en alle Basisprincipes en Afgeleide Principes van de NORA zijn per 1 januari 2023 vervallen door nieuwe Bindende Architectuurafspraken: Kernwaarden van Dienstverlening, Kwaliteitsdoelen, Architectuurprincipes en Implicaties van Architectuurprincipes. Zie voor meer informatie het RFC Bindende architectuurafspraken 2022, goedgekeurd door de NORA Gebruikersraad op 13 september 2022.
Dit overzicht van afgeleide principes is in het bijzonder geschikt voor het opstellen van een PSA (Project Startarchitectuur).
De rationales en implicaties zijn in één overzicht gegeven, geclusterd in een aantal thema's. Je kunt dit overzicht kopiëren in je tekstverwerker en in de laatste kolom je uitwerking invullen: hoe pas je NORA toe in je project, systeem of organisatie(-onderdeel)?
Dienstenaanbod[bewerken]
Principe en rationale | Implicaties | Uitwerking |
---|---|---|
AP01: Diensten zijn herbruikbaar[bewerken]De dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruiken. De opzet van de dienst anticipeert op onvoorziene afnemers en gebruik. Toepassing van dit principe maakt de dienst interoperabel en bruikbaar voor een zo groot mogelijke groep afnemers. Dit draagt bij aan een hoger rendement van de dienst. |
De dienst:
|
|
AP02: Ontkoppelen met diensten[bewerken]De stappen uit het dienstverleningsproces zijn ontsloten als dienst.. Interne processtappen in het dienstverleningsproces kunnen ook voor afnemers grote meerwaarde hebben. Het 'open stellen' van deze processtappen voor gebruik door afnemers, of juist de uitbesteding aan andere dienstverleners, is van groot belang voor het vermogen om samen te werken en de interoperabiliteit. De dienstverlener kan daartoe de processtappen als diensten ontkoppelen en positioneren. Toepassing van dit principe draagt bij aan het rendement van de dienstverlening door méér diensten aan afnemers aan te kunnen bieden. Ook bevordert het uitbesteding en daarmee een concentratie op kerntaken. Dit alles maakt de organisatie doelmatiger en doeltreffender. Het aanbieden van voorheen op eigen processen toegesneden diensten aan externe afnemers, is een logische keuze wanneer de dienst goed aansluit bij de wettelijke taak en expertise van de organisatie. Het herbruikbaar maken van het werk van overheidsorganisaties buiten de oorspronkelijke context, is echter een grote uitdaging. Het vraagt van organisaties dat zij de door hen geleverde meerwaarde beschouwen binnen het grotere geheel van de overheid en de interne- en procesgerichtheid loslaten. |
|
|
AP03: Diensten vullen elkaar aan[bewerken]De dienst vult andere diensten aan en overlapt deze niet. Diensten moeten vanuit het perspectief van de afnemer meerwaarde hebben ten opzichte van andere diensten. Dit draagt bij aan de eenduidigheid en vindbaarheid van diensten en voorkomt verwarring. Daarnaast draagt het terugdringen van overlap bij aan efficiency binnen de overheid. Het stelt dienstverleners in staat om te excelleren in een beperkter pakket van diensten. Het is van groot belang dat individuele organisaties zélf verantwoordelijkheid nemen voor het aanbieden van 'unieke' diensten, omdat een organisatie overstijgende regie op diensten niet altijd bestaat. Wanneer blijkt dat elders een zelfde of overlappende dienst wordt aangeboden, dwingt dit de dienstverlener om afstemming te zoeken met de andere aanbieder en de dienst van opzet te veranderen. |
De dienst:
|
|
AP04: Positioneer de dienst[bewerken]De dienst is helder gepositioneerd in het dienstenaanbod.. Een heldere positionering draagt bij aan het gebruik van de dienst. Het maakt diensten gemakkelijker vindbaar voor afnemers. Het draagt ook bij aan het begrip bij afnemers van wat de dienst wel en niet te bieden heeft, ten opzichte van andere verwante diensten. De dienstverlener zelf krijgt ook greep op de toegevoegde waarde van de eigen dienstverlening. Veranderingen in het bredere dienstenaanbod kunnen aanleiding zijn om de eigen dienst aan te passen, uit te breiden of juist in te krimpen. Dit leidt tot een effectievere en efficiëntere invulling van de eigen taak. De dienstverlener is zelf verantwoordelijk om met andere dienstverleners contact te leggen en afspraken te maken op het gebied van de positionering van diensten. |
De dienst wordt in de context van de bredere overheidsdienstverlening beschreven, gecommuniceerd en ontsloten:
|
|
AP05: Nauwkeurige dienstbeschrijving[bewerken]De dienst is nauwkeurig beschreven.. Door een nauwkeurige beschrijving van de dienst weten alle afnemers waar zij aan toe zijn en worden misverstanden voorkomen. |
Zorg voor een adequate beschrijving van de dienst. Deze beschrijft o.a.
|
Standaard oplossingen[bewerken]
Principe en rationale | Implicaties | Uitwerking |
---|---|---|
AP06: Gebruik standaard oplossingen[bewerken]De dienst maakt gebruik van standaard oplossingen. Dit principe is er op gericht dat afnemers de overheid in haar dienstverlening zo veel mogelijk zullen ervaren als één organisatie. Dit vraagt om standaardisatie en uniformiteit in dienstverlening en ondersteunende processen. Organisaties hoeven minder zelf te ontwikkelen en het rendement van oplossingen neemt toe. |
|
|
AP07: Gebruik de landelijke bouwstenen[bewerken]De dienst maakt gebruik van de landelijke bouwstenen e-overheid. Dit principe leidt ertoe dat organisaties minder voorzieningen zelf hoeven te ontwikkelen en het rendement van landelijke bouwstenen toeneemt. Het leidt bovendien tot standaardisatie en uniformiteit in dienstverlening en ondersteunende processen en draagt er aan bij dat de afnemers de overheid in haar dienstverlening als één bedrijf ervaren. |
|
|
AP08: Gebruik open standaarden[bewerken]De dienst maakt gebruik van open standaarden. Het gebruik van open standaarden bevordert de interoperabiliteit, bijvoorbeeld in het berichtenverkeer. Open standaarden kunnen door alle partijen vrijelijk worden gebruikt. Er zijn geen door private partijen afgedwongen beperking aan het gebruik. |
Een overzicht van vastgestelde open standaarden waarvoor het 'pas toe - of leg uit' - regime geldt, is te vinden op Lijst open standaarden |
Kanalen[bewerken]
Principe en rationale | Implicaties | Uitwerking |
---|---|---|
AP09: Voorkeurskanaal internet[bewerken]De dienst kan via internet worden aangevraagd. Afnemers verwachten 24 uur per dag, 7 dagen per week zaken te kunnen afhandelen. Internet maakt het mogelijk om 7/24 diensten te verlenen en informatie te verstrekken. Daarbij vergemakkelijkt internet allerlei vormen van samenwerking; bijvoorbeeld een gebundeld aanbod van diensten van verschillende organisaties. De ontsluiting van diensten via internet draagt bij aan hun toegankelijkheid voor afnemers en vergroot het aantal mogelijkheden voor dienstverlening aanzienlijk. Internet is daarom het voorkeurskanaal voor de overheid. Dit principe betekent overigens niet dat telefoon, balie en post geen rol meer zouden spelen; deze kanalen blijven onmisbaar voor veel vormen van dienstverlening, of voor bepaalde stappen in de dienstverlening. |
De organisatie is in staat om communicatie met de afnemer via internet en de andere gekozen kanalen af te wikkelen. |
|
AP10: Aanvullend kanaal[bewerken]De dienst kan, behalve via internet, via minimaal één ander kanaal voor persoonlijk contact worden aangevraagd.. De ontsluiting via internet draagt bij aan toegankelijkheid van de dienst. Er moet echter altijd een alternatief kanaal beschikbaar zijn voor afnemers die geen toegang hebben tot internet en voor situaties waarin internet niet gebruikt kan worden, bijvoorbeeld in het geval van een storing. Afnemers kunnen zonder bezwaar bij ieder contactmoment het voor hen optimale kanaal kiezen. |
De organisatie is in staat om communicatie met de afnemer via meerdere kanalen af te wikkelen |
|
AP11: Gelijkwaardig resultaat ongeacht kanaal[bewerken]Het resultaat van de dienst is gelijkwaardig, ongeacht het kanaal waarlangs de dienst wordt aangevraagd of geleverd.. Afnemers verwachten een gelijkwaardig resultaat, dat niet negatief beïnvloed wordt door hun kanaalkeuze. Het mag dus voor het resultaat van de dienst geen verschil uitmaken of deze bijvoorbeeld per mail of per telefoon is aangevraagd. De geleverde informatie is in alle gevallen hetzelfde, ongeacht de plaats of medewerker die deze informatie levert. Diensten waarvoor dit principe niet op gaat, zijn diensten waarvan de geleverde prestatie in hoge mate bepaald wordt door het gekozen kanaal. Denk hierbij aan de interactiviteit die eigen is aan persoonlijk contact, of het vermogen om in real-time geoinformatie weer te geven in websites. |
|
Informatie[bewerken]
Principe en rationale | Implicaties | Uitwerking |
---|---|---|
AP12: Eenmalige uitvraag[bewerken]Afnemers wordt niet naar reeds bekende informatie gevraagd. Het meerdere keren moeten aanleveren van dezelfde informatie is één van de grootste ergernissen voor burgers en bedrijven. Onnodige uitvraag van informatie moet dus voorkomen worden. Voor de dienstverlener betekent het hergebruiken van reeds bij de overheid geregistreerde informatie een beperking van de kosten voor registratie en beheer van gegevens. |
|
|
AP13: Bronregistraties zijn leidend[bewerken]Alle gebruikte informatieobjecten zijn afkomstig uit een bronregistratie.. Voor betrouwbare dienstverlening is het gebruik van de juiste informatie en documenten van cruciaal belang. Om geschillen over de juistheid van een gegeven te voorkomen, moet duidelijk zijn welke organisatie bepaalt wat de juiste waarde is. Uitgangspunt is dat er binnen de overheid voor ieder informatie-object een unieke bron bestaat. In NORA wordt deze unieke bron de bronregistratie genoemd, niet te verwarren met een basisregistratie (zie definitie). De bronregistratie is de plaats waar het gegeven of document voor het eerst wordt vastgelegd. De eigenaar van de bronregistratie is verantwoordelijk voor de kwaliteit van de informatie-objecten in de registratie. Bronregistraties kunnen een groot aantal vormen aannemen: denk niet alleen aan databases en registraties zoals de basis- en kernregistraties, maar ook aan websites, publicaties, rapporten, wiki's. Voor de overheid als geheel zijn deze bronregistraties leidend. Dat betekent dat alle organisaties hierop zijn aangewezen. Wanneer informatie-objecten in meerdere gelijksoortige registraties voorkomen, gelden alleen informatie-objecten in de bronregistratie als betrouwbaar. Om technische redenen (bijvoorbeeld in relatie tot performance of mobiliteit) kunnen kopieën van gegevensbestanden en documenten noodzakelijk zijn. Als door fouten in de techniek en het beheer, een gekopieerd informatie-object afwijkt van de bronregistratie, zal het object uit de bronregistratie als juist worden aangemerkt. |
|
|
AP14: Terugmelden aan bronhouder[bewerken]Bij gerede twijfel aan de juistheid van informatie, meldt de dienstverlener dit aan de verantwoordelijke bronhouder. Door terugmelden van vermeende onjuistheden aan bronregistraties, dragen de afnemende overheidsorganisaties bij aan de goede kwaliteit van de informatie. Hierbij kan het ook gaan om ontbrekende informatie, zoals een persoon die onbekend is bij de bronhouder. Als de bron een basisregistratie betreft, zijn overheidsorganisaties wettelijk verplicht om terug te melden. In de toekomst zal het mogelijk worden om onjuistheden in de basisregistraties via één centraal punt – Digimelding- terug te melden. Als het een ander soort bronregistratie betreft, verloopt terugmelding via onderling afgesproken procedures. Elke overheidsorganisatie bepaalt zelf of de twijfel aanleiding is om de dienstverlening op te schorten. De bedoeling van het terugmelden is dat de bronhouder de juistheid van de melding verifieert. Bij gebleken juistheid voert hij dit direct door in zijn registratie en informeert de terugmelder. Als het een ander soort bronregistratie betreft, verloopt terugmelding via onderling afgesproken procedures. Elke overheidsorganisatie bepaalt zelf of het geconstateerde verschil een opschortende werking heeft in de dienstverlening. De bedoeling van het terugmelden is dat de bronhouder de juistheid van de melding verifieert. Bij gebleken juistheid voert hij dit direct door in zijn registratie en informeert de terugmelder. Een verandering in de 'administratieve werkelijkheid' moet ook geometrisch teruggemeld kunnen worden: een handhaver die ter plekke constateert dat de pandgeometrie zoals opgenomen in de BAG in werkelijkheid is gewijzigd doordat er een uitbouw heeft plaatsgevonden. |
|
|
AP15: Doelbinding (AP)[bewerken]Het doel waarvoor informatie wordt (her)gebruikt is verenigbaar met het doel waarvoor deze oorspronkelijk is verzameld.. Afnemers verwachten dat dienstverleners hun gegevens niet misbruiken. Bij hergebruik van informatie beoordeelt de dienstverlener daarom steeds of het doel van het hergebruik, verenigbaar is met het doel waarvoor deze gegevens oorspronkelijk zijn verzameld. Hoe dichter die twee doelen bij elkaar liggen (of hoe meer ze verwant zijn), hoe groter de kans dat hergebruik mogelijk is. Vertrouwelijkheid van gegevens beperkt de ruimte voor hergebruik in sterke mate. De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat persoonsgegevens alleen verwerkt mogen worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Het doel waarvoor de gegevens zijn verzameld en vervolgens worden gebruikt, is bepalend voor de hoeveelheid en de soort informatie die mag worden gedeeld. |
|
|
AP17: Informatie-objecten systematisch beschreven[bewerken]De aan de dienst gerelateerde informatieobjecten zijn, uniek geïdentificeerd, in een informatiemodel beschreven.. Samenwerking tussen en binnen organisaties is alleen goed mogelijk wanneer de betrokkenen de relevante informatieobjecten kunnen toepassen, hergebruiken en duurzaam archiveren. Een systematische beschrijving van informatieobjecten, hun semantiek en onderlinge structuur is nodig om de informatie eenduidig te kunnen interpreteren en digitale uitwisseling mogelijk te maken. De unieke identificatie is nodig om ervoor te zorgen dat mensen en machines op een eenduidige manier naar informatieobjecten kunnen verwijzen zodat ze vindbaar en van elkaar onderscheidbaar zijn. |
Voor het beschrijven van informatieobjecten in een informatiemodel is een stappenplan beschikbaar, samengevat:
|
|
AP18: Ruimtelijke informatie via locatie[bewerken]De dienst ontsluit ruimtelijke informatie locatiegewijs.. Locatiegewijze ontsluiting maakt ruimtelijke informatie voor afnemers begrijpelijk en toegankelijk. Ruimtelijke samenhang is bovendien een belangrijke basis voor bundeling en het proactief aanbieden van diensten. De transparantie van de overheid wordt er door bevorderd. Ook zijn informatie-objecten op basis van de locatie eenvoudig buiten de beoogde toepassing te hergebruiken.Informatie over een locatie kan zowel betrekking hebben op de geografische positie, de vorm (geometrie) als op een verwijzing waar elders deze positie en vorm te vinden zijn (bv. postcode, woonplaats). Het ontsluiten kan zowel geschieden door het tonen van de geometrie, als op basis van de verwijzing. |
|
Vraaggerichtheid naar een hoger plan[bewerken]
Principe en rationale | Implicaties | Uitwerking |
---|---|---|
AP19: Perspectief gebruiker[bewerken]De gebruiker staat aantoonbaar centraal gedurende het (door-)ontwikkelen van diensten en ondersteunende systemen.. Overheidsdienstverlening staat niet op zichzelf, maar draagt bij aan een doel. Dat doel is alleen te bereiken door interactie met de gebruikers waar de dienst voor bedoeld is. Gebruikers zullen meer en gemakkelijker van een dienst en de dienst ondersteunende voorzieningen gebruik maken, wanneer deze vanaf het eerste ontwerp aantoonbaar met representatieve gebruikers is opgezet. Dit houdt in dat gedurende de gehele lifecycle van een dienst relevante gebruikersgroepen met hun verschillende gedragingen, voorkeuren en vaardigheden vertegenwoordigd zijn. Diensten en producten zullen mee moeten veranderen met gebruikers. Het is daarom van belang om niet alleen bij het oorspronkelijke ontwerp van een dienst na te gaan wat de toekomstige gebruikers nodig hebben, maar interactie met de gebruikers en het monitoren van gedrag van gebruikers onderdeel te maken van het reguliere beheer en doorontwikkeling. Denk in dit kader ook aan de vormgeving en ontwikkeling van contactfuncties bij de overheid zoals formulieren, buitendiensten, websites en klantcontactcentra. |
1. Bij het (door-)ontwikkelen van een product of dienst moet de context van de gebruiker meegewogen worden. Houd dus rekening met de omstandigheden, de combinatie van andere (private en overheids-)diensten en het doel. Het kan nodig zijn om verschillende diensten gezamenlijk door te ontwikkelen. 2. Een ketendienst moet zowel rekening houden met de (eind)gebruiker als met de tussenliggende gebruikers. Hierbij is het bereiken van het doel van de dienstverlening leidend. Dit houdt in dat ook het gebruikersgedrag over de keten heen moet worden gemeten. 3. Een dienst of product is nooit ‘af’ maar blijft zich ontwikkelen. Hiervoor wordt structureel rekening gehouden in de jaarlijkse budgetteringen. Eigenaren, beheerders èn ontwikkelaars zijn gespitst op ontwikkelingen in de omgeving die aanpassing noodzakelijk maken (zoals nieuwe bedieningsconcepten of technologieën). Men moet bedacht zijn op nieuwe diensten die bestaande producten en diensten sterk kunnen beïnvloeden of zelfs overbodig kunnen maken. 4. Gebruikers moeten (gewijzigde) behoeften kunnen doorgeven aan de eigenaar van de dienst die ontvankelijk is voor deze feedback. Daarnaast is deze eigenaar actief op zoek naar informatie over de behoeften, verwachtingen en vaardigheden van de gebruikers. 5. Vanaf het ontwikkeltraject tot en met de beheerfase is op basis van daadwerkelijk gemeten gebruikergegevens (geanonimiseerd monitoren van de dienst zelf) en de ervaring van de gebruikers van de voorziening (marktonderzoek en analytics) verwerkt naar een volgende versie of aanpassing. Hierbij moeten privacy regels en informatiebeveiliging regels in acht worden genomen. |
|
AP20: Persoonlijke benadering[bewerken]De dienst benadert geïdentificeerde afnemers op persoonlijke wijze.. Afnemers verwachten dat de dienstverlener hun voorkeuren en specifieke wensen onthoudt en daarmee rekening houdt. Wanneer de afnemer geïdentificeerd is, zijn diens gegevens en mogelijke voorkeuren ook bekend. De dienst moet het mogelijk maken om op basis van deze informatie het verdere contact vorm te geven. Dit principe is met name relevant voor diensten waarbij de afnemer bekend is, zoals vertrouwelijke of zaakgerelateerde diensten. |
|
|
AP21: Bundeling van diensten[bewerken]De dienst wordt gebundeld met verwante diensten zodat deze samen met één aanvraag afgenomen kunnen worden.. Door bundeling van diensten nemen gebruiksgemak en meerwaarde voor afnemers toe: waar voorheen meerdere aanvragen nodig waren, kan nu met één aanvraag worden volstaan. Dienstverleners kunnen kosten en energie delen, bijvoorbeeld in de front office. Veel diensten kunnen worden samengesteld door informatie logisch te combineren. Zo kan op basis van de locatie een grote hoeveelheid ruimtelijke overheidsinformatie gebundeld worden aangeboden. Een dienst moet op verschillende manieren, momenten en in verschillende combinaties gebundeld kunnen worden. Voor de duidelijkheid: hier wordt over bundeling gesproken als verschillende organisaties voor een eigen dienst in de bundel verantwoordelijk zijn. Zodra één organisatie deze verantwoordelijkheid van de andere organisaties overneemt is er sprake van een nieuwe (samengestelde) dienst. |
|
|
AP22: No wrong door[bewerken]Overheidsloketten verwijzen gericht door naar de dienst. Afnemers willen snel geholpen worden en niet van het kastje naar de muur gestuurd. Dit ongeacht het overheidsloket waar zij zich melden. De dienstverlener van de gezochte dienst is verantwoordelijk voor de gerichte doorverwijzing naar de eigen dienst door alle relevante loketten en contactvoorzieningen. De dienstverlener borgt zo dat afnemers gericht worden doorverwezen naar de dienst die zij zoeken of waar zij behoefte aan hebben. Voor de duidelijkheid: ‘Gericht verwijzen' betekent hier verwijzen naar de precieze plek (webpagina, loket, formulier) waar de dienst wordt aangeboden. Een globale verwijzing naar een organisatie of website volstaat niet. Het is zaak om een balans te vinden tussen de inspanningen om 'no wrong door' te borgen en het verwachte rendement. Het borgen van doorverwijzing is met name relevant voor loketten, die naar verwachting veel door de doelgroep van de dienst bezocht worden. |
|
|
AP23: Automatische dienstverlening[bewerken]De dienst wordt na bepaalde signalen automatisch geleverd.. Het gebruik en gemak van de dienst neemt toe wanneer deze geleverd wordt zodra er een signaal is dat een afnemer behoefte heeft aan de dienst. De afnemer hoeft in dit geval de dienst niet zelf aan te vragen. Dergelijke signalen kunnen ook van andere organisaties afkomstig zijn. Veel signalen zijn locatiegebonden. Overigens heeft dit principe niet alleen betrekking op ICT: ook medewerkers kunnen 'automatisch', volgens afspraken en protocollen handelen. |
Per dienst is bepaald:
|
|
AP24: Proactief aanbieden[bewerken]De dienst ondersteunt proactiviteit van dienstverleners binnen en buiten de organisatie. Het gebruik en gemak van diensten neemt toe wanneer dienstverleners creatief inspelen op signalen die duiden op (latente) behoeften bij de afnemer. Op basis hiervan nemen zij het initiatief om aanvullende diensten, ook van andere organisaties, aan te bieden of er naar door te wijzen. Afnemers hoeven daardoor niet eerst zelf de vraag te stellen, of te weten welke diensten beschikbaar zijn. Proactiviteit is een belangrijk aspect van de vraag- en klantgerichtheid die de overheid nastreeft. Proactieve dienstverlening vraagt om een afweging tussen de behoeften enerzijds en de eigen verantwoordelijkheid van de afnemer en mogelijke weerzin tegen betutteling anderzijds. Deze afweging is afhankelijk van de aard van de dienst, de doelgroep en de situatie van de afnemer waarin de dienst relevant is. |
Per dienst is bepaald:
|
|
AP25: Transparante dienstverlening[bewerken]Afnemers worden geïnformeerd over de stand van zaken bij de gevraagde dienst.. Afnemers willen graag inzicht hebben in de voortgang van de dienstverlening. Dit is met name van belang wanneer de afnemer het resultaat nodig heeft voor vervolg- activiteiten. De dienstverlener neemt onzekerheid weg door deze transparantie te bieden: “is mijn verzoek überhaupt aangekomen, krijg ik de uitslag op tijd?” |
|
|
AP26: Afnemer heeft inzage[bewerken]De afnemer heeft inzage in de eigen informatie en het gebruik er van. Het inzagerecht geeft invulling aan het streven naar een betrouwbare en transparante overheid. Onrust over mogelijke schending van privacy en onrechtmatige of overmatige uitwisseling van vertrouwelijke informatie kan hiermee worden voorkomen. Daarom krijgen afnemers inzage:
Dit alles uiteraard behoudens wettelijke uitzonderingen. Het inzagerecht (en in het verlengde hiermee correctierecht en eventueel recht op verwijdering) wordt nu nog sterk beknot door praktische drempels. Ontsluiting via internet kan deze situatie sterk verbeteren. Online inzage biedt ook betere mogelijkheden om de afnemer proactief te informeren, zonder dat er een verzoek aan is vooraf gegaan. |
|
Sturing en verantwoordelijkheid[bewerken]
Principe en rationale | Implicaties | Uitwerking |
---|---|---|
AP27: Een verantwoordelijke organisatie[bewerken]Eén organisatie is verantwoordelijk en aanspreekbaar voor de dienst. Er kan maar één organisatie verantwoordelijk zijn voor de dienst, zodat burgers, bedrijven en medeoverheden er altijd iemand op kunnen aanspreken. Afnemers willen weten of de dienstaanbieder een bekende, betrouwbare partij is. Vervolgens wil men die partij kunnen aanspreken op de kwaliteit. Deze vraag geldt ook in hoge mate voor overheidsorganisaties die hun eigen dienstverlening baseren op diensten van anderen en van deze leveranciers afhankelijk zijn. Daarom is het noodzakelijk dat helder is voor welke prestatie de dienstverlener verantwoordelijk is. |
|
|
AP28: Afspraken vastgelegd[bewerken]Dienstverlener en afnemer hebben afspraken vastgelegd over de levering van de dienst. Hoe bescheiden of bedrijfskritisch een dienst ook is: voor alle diensten gelden leveringsvoorwaarden en kwaliteitscriteria. Afspraken hierover zorgen ervoor dat dienstverlener en afnemer weten waar zij aan toe zijn en elkaar kunnen vertrouwen. Bij bedrijfskritische diensten kan het noodzakelijk zijn om afspraken schriftelijk vast te leggen (bijvoorbeeld in een SLA). Bij minder kritische diensten kunnen leveringsvoorwaarden en kwaliteitscriteria als basis voor een stilzwijgende afspraak volstaan. |
|
|
AP29: De dienstverlener voldoet aan de norm[bewerken]De dienstverlener draagt zelf de consequenties wanneer de dienst afwijkt van afspraken en standaarden.. Afnemers die zich houden aan de afspraak of norm, mogen niet de dupe worden van dienstverleners die zich daar niet aan houden. De dienstverlener is in dat geval verantwoordelijk voor aanvullende voorzieningen om aan de norm te kunnen voldoen. Wanneer dat niet lukt, is de dienstverlener verantwoordelijk voor additionele kosten bij de afnemer. |
|
|
AP30: Verantwoording dienstlevering mogelijk[bewerken]De wijze waarop een dienst geleverd is, kan worden verantwoord. Dienstverleners moeten individuele leveringen van diensten kunnen verantwoorden, naar aanleiding van bijvoorbeeld klachten van afnemers, accountantscontroles en gerechtelijke procedures. Met het oog op informatiebeveiliging moet het mogelijk zijn om vast te stellen wie welke handelingen heeft verricht op een ICT-voorziening, of welke fouten zijn opgetreden. Om dit mogelijk te maken, moeten de voor verantwoording relevante informatieobjecten worden vastgelegd. De waarde (en definitie van die waarde) van deze informatie-objecten moeten op een bepaald moment in de tijd gereconstrueerd kunnen worden. |
Per dienst is bepaald:
|
|
AP31: PDCA-cyclus in besturing kwaliteit[bewerken]De kwaliteit van de dienst wordt bestuurd op basis van cyclische terugkoppeling.. Afnemers vragen om een merkbare borging van de kwaliteit en ruimte voor feedback. De organisatie kan alleen duurzaam haar doelstellingen realiseren wanneer zij haar diensten continu aanpast aan de omstandigheden, zoals de wijzigende vraag van afnemers, wijzigingen in de eigen middelen en wetgeving of tekortkomingen in geleverde diensten. Dit betekent dat de dienstverlener op methodische wijze werkt aan de kwaliteit en vraaggerichtheid van de dienst. Dit veronderstelt een cyclische terugkoppeling of Plan-Do-Check-Act-cyclus (Deming-cirkel) op de kwaliteit van de dienst. NORA stelt met dit principe alleen een globale eis aan de kwaliteitsborging. NORA doet geen uitspraak over specifieke methodes of de precieze organisatie. Dit is voor de interoperabiliteit van de dienst van wezenlijk belang. |
|
|
AP32: Sturing kwaliteit op het hoogste niveau[bewerken]Sturing op de kwaliteit van de dienst is verankerd op het hoogste niveau van de organisatie. De verankering van de kwaliteitssturing op het hoogste niveau, is voor afnemers een voorwaarde voor vertrouwen in de dienst. De kwaliteit van de dienst wordt namelijk mede bepaald door de kwaliteit en samenhang van het gehele dienstenportfolio, de bedrijfsvoering van de organisatie en het toezicht op de kwaliteit van de tactische sturing. Deze zaken overstijgen de span of control van een individuele lijn- of programmamanager en zijn alleen op het strategische niveau van de organisatie aan te sturen. |
De hoogst verantwoordelijke binnen de organisatie is verantwoordelijk voor en legt verantwoording af over:
|
|
AP33: Baseline kwaliteit diensten[bewerken]De dienst voldoet aan de baseline kwaliteit.. Voor afnemers is het van belang om snel inzicht te kunnen krijgen in het pakket van maatregelen voor de borging van de kwaliteit. Dit is met name in het kader van samenwerking tussen organisaties van belang. Op basis van inzicht in deze maatregelen ontstaat vertrouwen en het vermogen om snel samenwerking te realiseren. De baseline is het instrument waarmee de dienstverlener dit inzicht aan de afnemer kan bieden. Daarnaast zorgt de baseline voor standaardisatie tussen organisaties, waardoor de kwaliteitsmaatregelen de interoperabiliteit bevorderen en niet hinderen. NORA beschouwt baselines voor een domein als een referentiekader, vergelijkbaar met NORA zelf. De afzonderlijke organisaties stellen op basis van dit referentiekader ieder een eigen baseline op, waarover zij verantwoording afleggen. Een baseline is een door de organisatie vastgesteld normenkader. Het is gebaseerd op afspraken binnen de keten en op geldende standaarden en best practices. De baseline beschrijft alle maatregelen die de kwaliteit van diensten borgen in samenhang. De baseline bevat minimaal de normen en maatregelen die vanuit het perspectief van de afnemers relevant zijn. Denk hierbij bijvoorbeeld aan maatregelen rond informatiebeveiliging en privacy, de toegankelijkheid van de dienst, het meten en verbeteren van klanttevredenheid. Voor de dienstverlener is het voordeel van de baseline dat deze het bestuur van de organisatie greep geeft op de kwaliteitsborging. De baseline maakt tijdrovende analyses van benodigde maatregelen voor iedere dienst afzonderlijk, overbodig. De aandacht kan gefocust worden op afwijkende situaties, waarvoor wél maatwerk nodig is. NORA beschouwt baselines voor een domein, zoals de Baseline Informatiehuishouding Rijksoverheid, als een referentiekader, vergelijkbaar met NORA zelf. De afzonderlijke organisaties stellen op basis van dit referentiekader ieder een eigen baseline op, waarover zij verantwoording afleggen. De Code voor Informatiekwaliteit, te vinden op de website van Stichting DAMA NL, kan eveneens dienen als referentiemodel voor een baseline kwaliteit. Dit voor het geval de dienst bestaat uit gestructureerde informatie (bijvoorbeeld het leveren van een bestand met persoonsgegevens, maar niet het leveren van een paspoort). |
|
|
AP34: Verantwoording besturing kwaliteit[bewerken]De dienstverlener legt verantwoording af over de mate van control, in overleg met de afnemer.. Afnemers vragen overheidsorganisaties om transparantie ten aanzien van de geleverde kwaliteit en de sturing daarop. De directie legt over deze sturing verantwoording af en geeft aan of zij 'in control' is. Daarmee geeft de directie aan greep te hebben op de sturing van de kwaliteitsborging van de dienstverlening. In overleg met afnemers bepaalt de dienstverlener de wijze van toetsing van de verantwoording van de directie. In het geval van bedrijfskritische diensten kan gekozen worden voor een onafhankelijke toetsing. |
|
Betrouwbaarheid[bewerken]
Principe en rationale | Implicaties | Uitwerking |
---|---|---|
AP40: Onweerlegbaarheid (principe)[bewerken]De onweerlegbaarheid van berichtenuitwisseling wordt gegarandeerd door wederzijdse authenticatie en door versleuteling van elektronische handtekeningen.. Bij diensten met rechtsconsequenties is onweerlegbaarheid van groot belang. Onweerlegbaarheid houdt in dat de afzender of ontvanger van een bericht niet kunnen ontkennen het bericht respectievelijk verstuurd, dan wel ontvangen te hebben. Hiervoor is wederzijdse authenticatie en controle op de integriteit van het bericht nodig. |
De onweerlegbaarheid van transacties wordt gegarandeerd door wederzijdse authenticatie en versleuteling van elektronische handtekeningen. Specifiek:
|
|
AP41: Beschikbaarheid[bewerken]De beschikbaarheid van de dienst voldoet aan de met de afnemer gemaakte continuïteitsafspraken.. De continuïteitsafspraken zijn gemaakt op basis van de afbreukrisico's die afnemers lopen bij uitval. De processen van afnemers kunnen spaak lopen met financiële en maatschappelijke schade en het vertrouwen in betrouwbaarheid van de dienst kan afnemen. |
De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door vermeervoudiging van systeemfuncties, door herstelbaarheid en beheersing van verwerkingen, door voorspelling van discontinuïteit en handhaving van functionaliteit. Specifiek:
|
|
AP42: Integriteit[bewerken]De dienstverlener waarborgt de integriteit van gegevens en systeemfuncties.. De gebruiker van een gegeven moet erop kunnen vertrouwen dat hij het correcte, complete en actuele gegeven ontvangt. |
De integriteit van gegevens en systeemfuncties wordt gegarandeerd door validatie en beheersing van gegevensverwerking en geautoriseerde toegang tot gegevens en systeemfuncties, door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling en door beperking van functionaliteit. Controle van gegevensverwerking:
|
|
AP43: Vertrouwelijkheid (principe)[bewerken]De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens.. De gebruiker moet erop kunnen vertrouwen dat gegevens niet worden misbruikt. |
De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens. Fysieke en logische toegang:
Zonering en Filtering:
|
|
AP44: Controleerbaarheid[bewerken]De dienstverlener zorgt ervoor dat de beoogde toegang tot gegevens en de juiste werking van zijn systemen continu alsook achteraf te controleren is.. Het gebruik en gedrag van de dienst moet voldoen aan de gestelde regels. Om te borgen dat dit gebeurt, moet continu worden gemonitord. Om de juistheid van uitkomsten van het systeem aan te kunnen tonen, moet gelogd worden. |
De controleerbaarheid van gebruikers- en systeemgedrag wordt gerealiseerd door registratie en bewaking van gebeurtenissen en door alarmering op het overschrijden van toelaatbare drempels. Specifiek voor logging: analyseer periodieke logbestanden om de juiste werking van het systeem vast te stellen en beveiligingsincidenten te detecteren. |