Downloadbare tabel met alle implicaties

Onderdeel van: Bindende Architectuurafspraken
Contact: NORA Gebruikersraad; nora@ictu.nl
Status: In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)

Onderdeel van RFC 2022: Deze pagina maakte onderdeel uit van RFC 2022; Alle Overzichten uit RFC 2022

In de onderstaande tabellen staan alle actuele Implicaties van Architectuurprincipes, over alle lagen van het NORA Vijflaagsmodel.

De eerste tabel (even omlaag scrollen) toont alleen de meest gebruikte eigenschappen, de tweede geeft alle eigenschappen die binnen het Kennismodel toegestaan zijn voor een Implicatie.

De derde tabel toont ook niet-actuele kwaliteitsdoelen: concepten en implicaties die zijn vervangen of uitgefaseerd.

Alle actuele Implicaties[bewerken]

Binnen deze tabel kun je zoeken, sorteren binnen een kolom en kiezen hoeveel resultaten tegelijk getoond worden. Ook kun je de informatie uit deze tabel rechtstreeks exporteren en downloaden in de formats json, csv, rss en rdf. (Uitleg)

ID	Implicatie	Beschrijving	hoort bij Architectuurprincipe(s)
IMP060	Bepaal autorisaties met metadata	Autorisaties voor het verstrekken en gebruik van gegevens kan worden bepaald op basis van metadata. De beheerder die het gegeven beheert en het wil verstrekken voor verdere bewerking, voegt metadata toe aan de hand waarvan de beheerder en de afnemer een autorisatiebeslissing kan nemen.	Informeer bij de bron
IMP063	Bepaal de continuïteitseisen	Continuïteitseisen vormen de input voor het maken van een calamiteitenplan. Voorbeelden van continuïteitseisen zijn Maximum Tolerable Outage (MTO), Recovery Time Objective (RTO), Recovery Point Objective (RPO).	Beheers risico's voortdurend
IMP071	Bepaal taken en verantwoordelijkheden van de gegevensverwerking	Verantwoordelijkheden, bevoegdheden en taken bij gegevensverwerking zijn bepaald en bekend.	Stuur cyclisch op kwaliteit
IMP001	Beschrijf informatieobjecten in een model	Voor een optimale dienstverlening aan burgers en bedrijven en voor effectieve en efficiënte samenwerking in het leveren van diensten tussen en binnen overheidsorganisaties, is het belangrijk om een gezamenlijk beeld te hebben van de informatie die hierbinnen worden gebruikt en nodig zijn. Dit is alleen mogelijk door informatieobjecten voor een dienst, systematisch te beschrijven met behulp van een informatiemodel dat de semantiek en syntax van de gegevens vastlegt. Zo kunnen de betrokken gebruikers de relevante informatieobjecten vinden, toepassen, (her)gebruiken en archiveren. Dit betekent dat een informatiemodel minimaal bevat: Informatietypen (entiteiten) (een ordening van informatieobjecten in zogenaamde informatietypen, ook wel de hoofdstructuur (entiteiten) van het informatiemodel met hun onderlinge relaties. Attributen (een ordening elementen die binnen de entiteiten zijn of worden opgenomen met de beschrijving daarvan). Regels (een opsomming van eisen waar de entiteiten en attributen aan moeten voldoen). Maak het informatiemodel bekend in een datacatalogus die inzicht geeft in de beschikbaarheid van data. En benut visualistatiemiddelen om het model en de samenhang/relaties tussen de objecten visueel inzichtelijk te maken.	Beschrijf de dienst nauwkeurig Neem gegevens als fundament
IMP021	Bevorder hergebruik van gegevens	Maak zo veel mogelijk gebruik van gegevens die reeds beschikbaar zijn in plaats van deze gegevens opnieuw te verzamelen of te creëren.	Informeer bij de bron Bundel diensten Bied de dienst proactief aan Neem gegevens als fundament Hergebruik vóór kopen vóór maken
IMP078	Bewaak de continuïteit en stel een calamiteitenplan op	Bewaak de continuïteit van voorzieningen zodat bij bedreiging van de continuïteit alarm geslagen wordt en er voorzien is in een calamiteitenplan. Test en evalueer dit plan op regelmatige basis.	Beheers risico's voortdurend
IMP010	Bied multi- en omni-channel dienstverlening	Bied diensten aan via meerdere kanalen aan. Bij multichannel kunnen afnemers kiezen tussen enkele kanalen die niet direct op elkaar zijn afgestemd. Bij omnichannel gebruikt de afnemer heel veel verschillende kanalen die goed op elkaar zijn afgestemd.	Lever een kanaal-onafhankelijk resultaat
IMP005	Bied één contactpunt (Single point of contact)	Bied de dienst zo veel mogelijk vanuit één contactpunt aan richting burgers en bedrijven. Zo hoeven burgers en bedrijven niet met verschillende partijen te schakelen om de dienst af te kunnen nemen.	Verplaats je in de gebruiker Bundel diensten Voorkom onnodige complexiteit
IMP081	Borg de vertrouwelijkheid van gegevens in maatregelen	De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens.	Beheers risico's voortdurend
IMP080	Controleer de verwerking van gegevens	Controleer de verwerking van gegevens: Zijn de criteria voor juistheid, en tijdigheid vastgesteld? Worden gegevens die vanuit een systeemvreemde omgeving ingevoerd zijn eerst gecontroleerd op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt? Worden te versturen gegevens gecontroleerd op juistheid, volledigheid en tijdigheid? Worden ter verwerking aangeboden gegevens gecontroleerd op juiste, volledig en tijdige verwerking? Worden kritieke gegevens die in verschillende gegevensverzamelingen voorkomen periodiek met elkaar vergeleken op consistentie? (Dit geldt alleen zolang de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens)	Beheers risico's voortdurend
IMP020	Defineer de toegangsregels kanaalonafhankelijk	Formuleer uniforme regels die gelden voor toegang tot de entiteiten (dienst, informatie, object) onafhankelijk van het kanaal.	Lever een kanaal-onafhankelijk resultaat
IMP049	Draag zorg voor juiste en actuele en volledige informatie	Een gebruiker kan er op vertrouwen dat een informatieobject, zoals deze in de bron is vastgelegd, juist, actueel en volledig is. Fouten kunnen worden gemeld en hersteld. Daarbij is het van belang dat herstelwijzigingen worden gelogd, zodat traceerbaar is hoe foutieve gegevens zijn verwerkt en wat het effect daarvan is. Dit betekent dat: De kwaliteit van de informatie transparant, verankerd en geborgd moet zijn binnen de processen van de verantwoordelijke en leverende organisatie (datamanagement). Er gebruik moet worden gemaakt van gestandaardiseerde gegevensmodellen, gegevenswoordenboeken en catalogussen ten behoeve van machinematige verwerking van gegevens. De informatie tijdens de gehele levenscyclus moet worden gemonitord, gecontroleerd, gevalideerd op basis van regels, kaders, normen en standaarden waarbij wijzigingen traceerbaar moeten worden gemaakt. De informatie tijdens de gehele levenscyclus regelmatig moet worden getoetst aan wet- en regelgeving en daar verantwoording over moet worden afgelegd. Er cyclisch gerapporteerd moet worden over de kwaliteit van de gegevens. Voor afwijkingen moeten de juiste maatregelen worden getroffen om de betrouwbaarheid en de kwaliteit van de informatie te kunnen waarborgen. De informatie moet door de gehele lifecycle gevolgd kunnen worden vanaf de oorsprong tot aan het verwerken, opslaan, bewerken en beschikbaar stellen en/of vernietigen. (data-lineage). Er gebruik moet worden gemaakt van authentieke- en/of kwalitatieve bronnen.	Neem gegevens als fundament
IMP014	Elimineer overbodige processtappen (voor de afnemer)	Stel bij iedere processtap de vraag of deze stap waarde toevoegt voor de afnemer of dat de processtap evengoed weggelaten kan worden.	Voorkom onnodige complexiteit
IMP062	Evalueer de risicoanalyse bij veranderingen	Een verandering in het dreigingsprofiel, of in een bedrijfsproces of in de onderliggende voorzieningen kan een mogelijke kwetsbaarheid introduceren of gevolgen hebben voor de veiligheidsbelangen van stakeholders. Een verandering kan de kans of de impact van een dreiging veranderen.	Beheers risico's voortdurend
IMP079	Garandeer de beschikbaarheid van systemen	ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door: Vermeervoudiging van systeemfuncties. Herstelbaarheid en beheersing van verwerkingen. Voorspelling van discontinuïteit. Handhaving van functionaliteit.	Beheers risico's voortdurend
IMP034	Gebruik de standaard met het meest specifieke werkingsgebied	Gebruik de standaard met het meest specifieke werkingsgebied. Als deze conflicteert met bredere (internationale) standaarden, zorg dan in de sector voor afstemming daarmee.	Standaardiseer waar mogelijk
IMP035	Gebruik een actueel register met standaarden	Maak gebruik van een actueel register met standaarden per toepassingsgebied. Functionele standaarden hebben betrekking op bijvoorbeeld gegevensuitwisseling, beveiliging, taalgebruik, digitale communicatie, etc. Standaarden met een organisatorisch werkingsgebied hebben betrekking op bijvoorbeeld de strafrechtketen, zorgketen, sociale zekerheid, financiën, etc.	Standaardiseer waar mogelijk
IMP038	Gebruik gestandaardiseerde referentiedata	Gebruik gestandaardiseerde referentiedata. Zie ook CBS referentiedata, of domeinspecifieke bronnen voor referentiedata.	Standaardiseer waar mogelijk
IMP027	Gebruik open source	Bij gelijke geschiktheid heeft Open Source software de voorkeur bij het ontwikkelen van een dienst. Zie ook EIF principle 2 "Openness", aanbeveling 3.	Hergebruik vóór kopen vóór maken
IMP075	Gebruik open standaarden voor modellering	Organisaties werken volgens een open standaard voor o.a. architectuur-, data- en procesmodellering die door alle samenwerkende partijen op uniforme wijze wordt toegepast. De gekozen open standaard is bepalend voor de keuze van modelleersystemen die deze standaard ondersteunen. Wissel modellen uit tussen organisaties op basis van open standaarden. Voorbeelden van modelleerstandaarden zijn ArchiMate (architectuur), UML (data) en BPMN (processen).	Standaardiseer waar mogelijk
IMP089	Gebruik standaard oplossingen (implicatie)	Ontwikkel geen eigen processen, systemen en technieken wanneer deze ergens anders al beschikbaar zijn. Stel je actief op de hoogte van beschikbare en geplande standaardoplossingen, om daar bij het maken van plannen rekening mee te houden. De bruikbare elementen van beschikbare standaardoplossingen zullen moeten worden ingepast in de eigen organisatie. Geen enkele standaardoplossing past altijd voor de volle honderd procent. Daarom zal de bereidheid tot het sluiten van compromissen aanwezig moeten zijn.	Standaardiseer waar mogelijk
IMP025	Gebruik standaard oplossingen zonder maatwerk	Gebruik een standaardoplossing (zoals bijvoorbeeld een pakketoplossing) zoveel mogelijk ongewijzigd, dus zonder maatwerkaanpassingen. Pas bij de toepassing van een standaardoplossing je werkwijze aan bij de standaarden en de best-practices die aan de oplossing ten grondslag liggen. Volg waar het kan de inrichtingsfilosofie van leveranciers.	Voorkom onnodige complexiteit Standaardiseer waar mogelijk
IMP009	Geef de afnemer inzage in rechten en voorwaarden en plichten	De bij de dienst horende rechten, voorwaarden en plichten dienen op duidelijke en transparante wijze toegankelijk te worden gemaakt voor burgers en bedrijven die deze dienst af willen of moeten nemen.	Beschrijf de dienst nauwkeurig Geef inzicht in de afhandeling van de dienst
IMP059	Geef de voorkeur aan halen i.p.v. brengen van gegevens	Geef de voorkeur aan het halen (pull) i.p.v. het brengen van gegevens (push).	Informeer bij de bron
IMP055	Gegevens eenmalig uitgevraagd, uniek opgeslagen, meervoudig gebruikt	Gegevens worden eenmalig uitgevraagd of verzameld, uniek opgeslagen, en vervolgens meervoudig gebruikt. Dit impliceert tevens dat de juistheid van de gebruikte informatie-objecten uit een bronregistratie niet voor gebruik opnieuw hoeft te worden gecontroleerd.	Informeer bij de bron
IMP044	Hanteer bewaartermijnen voor informatie	Informatie wordt niet langer bewaard en niet eerder vernietigd dan wettelijk is toegestaan. Dit betekent dat: Er een selectielijst is, waarin opgenomen de te vernietigen informatieobjecten of onderdelen daarvan. Er vastgesteld in de organisatie verankerd beleid is met betrekking tot vernietigen. Bevoegdheden, rollen en verantwoordelijkheden en beleid rondom vernietigen zijn belegd. De organisatie inzicht heeft in informatieobjecten, bewaartermijnen, processen, informatiesystemen en hun onderlinge samenhang.	Neem gegevens als fundament
IMP069	Hanteer het zero-trust model	Ga nooit uit van het impliciete vertrouwen dat wie op een bepaald netwerk of systeem komt daar ook hoort: Controleer overal het netwerkverkeer. Controleer toegang per sessie. Hanteer dynamische policies en gebruik daarbij de geldigheidsduur van de laatste authenticatie. Blijf continue monitoren. Verzamel zoveel mogelijk gegevens om de beveiliging te blijven verbeteren. Dit wordt ook wel het 'zero-trust' model genoemd.	Verifieer altijd
IMP074	Identificeer de voor de dienst relevante standaardoplossingen	Inventariseer de voor de dienst relevante standaardoplossingen voor gebieden zoals: identificatie authenticatie autorisatie onweerlegbaarheid encryptie semantiek toegankelijkheid presentatie en vormgeving Beoordeel de oplossingen op geschiktheid. Bij geschiktheid worden ze opgenomen in de opzet van de dienst.	Hergebruik vóór kopen vóór maken
IMP006	Ken je afnemers en stem diensten hierop af	Verdiep je in de achtergronden van je afnemers en de context waarin zij van de dienst gebruik maken en vergewis je van de digitale vaardigheden van je doelgroep. Zorg dat de dienst is afgestemd op de (digi)vaardigheden en mogelijkheden van alle (potentiële) afnemers. Weet welke informatie afnemers doorgaans zoeken en waar ze deze zoeken. Deze informatie meld je aan op de voor de afnemers bekende vindplaatsen, zoals zoekmachines, portals, catalogi en registers. Ook de dienst zelf voorzie je van de nodige zoekfuncties. Om de afnemer waar dat nodig is door te kunnen verwijzen, zorg je dat je op de hoogte bent van de andere plaatsen waar diensten te vinden zijn.	Verplaats je in de gebruiker
IMP085	Kies bij cloudoplossingen SaaS boven PaaS boven IaaS	Bij het kiezen voor een cloud oplossing, geef de voorkeur aan SaaS boven PaaS boven IaaS. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan. Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. Voorbeelden hiervan zijn Customer Relations Management, e-mail & Instant Messaging, Financiën, HRM en Project Management. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken. Opmerking: deze implicatie daagt uit om tot een zo hoog mogelijk niveau ontzorgd te worden. Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas.	Standaardiseer waar mogelijk Maak diensten schaalbaar Hergebruik vóór kopen vóór maken Beheers risico's voortdurend
IMP033	Koppel bronsystemen op basis van een passende classificatie	Verwerk als afnemer gegevens uit een bronsysteem met respect voor de classificatie van die gegevens. Geef het geen hogere classificatie voor beschikbaarheid en integriteit dan de bron, en geen lagere classificatie voor vertrouwelijkheid. Maak zonodig afspraken met de aanbieder om hun classificatie aan te passen en in hun dienst bijpassende maatregelen daarvoor te implementeren.	Informeer bij de bron Bouw diensten modulair op
IMP051	Leg auditlogs vast bij de bronregistratie van het gegeven	Als eigenaar van de bron wil je inzicht hebben in de toegang en inzage (CRUD) van de gegevens die vanuit de bron worden gebruikt. Voorkom dat auditgegevens verspreid raken over afnemende applicaties.	Neem gegevens als fundament
IMP048	Leg de context van een informatieobject vast in metadata	Informatie-objecten moeten goed worden beheerd. Onderdeel hiervan is dat de context van een informatieobject goed moet zijn vastgelegd in metadata. Informatie en gegevens moeten duidelijk binnen een bepaalde context te plaatsen zijn. Metadata is daar het passende instrument voor. Context (vastgelegd in metadata) is nodig om gegevens te begrijpen voor verwerking. Zie DUTO eisen (ISO 23081)	Neem gegevens als fundament
IMP045	Leg de doelbinding vast in de metadata van het gegevensobject	De verwerkingshistorie inclusief doel van verwerking wordt vastgelegd bij het gegegevensobject als metadata. Dit betekent dat de historie van acties waarin een gegevensobject wordt verwerkt (opvragen / vastleggen / wijzigen / verwijderen) inclusief het doel van de actie vastgelegd wordt bij het gegevenobject.	Pas doelbinding toe
IMP054	Leg de grondslag en het doel van de gegevensverwerking vast	Leg de grondslag en het doel vast, waarvoor informatie wordt uitgevraagd bij burgers en bedrijven. Aan het doel gekoppeld worden ook de eisen (kwaliteitscriteria) vastgelegd waaraan deze informatie moet voldoen. Houd er rekening mee dat het doel in de loop der tijd kan wijzigen.	Pas doelbinding toe
IMP042	Leg een Service Level Agreement vast bij de dienst	Leg de inhoud van de dienst en het akkoord hierop schriftelijk vast, in de vorm van een Service Level Agreement (SLA), een Gegevens Leverings Overeenkomst (GLO), of in wet- en regelgeving. Dit is in elk geval noodzakelijk voor bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter. Hierbij is het akkoord en de inhoud daarvan schriftelijk vastgelegd. De dienstverlener geeft hierbij ook aan welk betrouwbaarheidsniveau geldt voor de identificatie van de afnemer.	Beschrijf de dienst nauwkeurig
IMP041	Leg per dienst vast aan welke standaarden deze voldoet	Leg per dienst vast aan welke normen en standaarden je moet of wilt voldoen. Deze normen en standaarden moeten op hun beurt voldoen aan wet- en regelgeving. De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van deze norm worden geïdentificeerd.	Beschrijf de dienst nauwkeurig
IMP076	Maak afspraken over nieuwe (en oude) versies van standaarden	De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard. Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is.	Standaardiseer waar mogelijk
IMP008	Maak besluiten traceerbaar en controleerbaar	De overheid zorgt dat besluiten die burgers en bedrijven raken, ook door deze burgers en bedrijven te controleren zijn. Hierbij hebben zij de mogelijkheid om inzicht te krijgen op welke wijze en op basis van welke informatie besluiten tot stand zijn gekomen (traceerbaarheid).	Geef inzicht in de afhandeling van de dienst
IMP015	Maak beveiligingsmaatregelen zo gebruiksvriendelijk mogelijk	Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds en ander onveilig gedrag.	Verplaats je in de gebruiker Beheers risico's voortdurend
IMP012	Maak de dienst toegankelijk voor alle gebruikers	Zorg dat alle gebruikers, ook die met functiebeperking, de volwaardige dienst kunnen afnemen. Het streven is digitale inclusiviteit voor iedereen (digitoegankelijk).	Verplaats je in de gebruiker
IMP013	Maak de dienst toegankelijk voor anderstaligen	Zorg dat een (potentiële) anderstalige gebruiker de dienst ook kan afnemen, door deze ook in een algemeen toegankelijke taal aan te bieden (bv. Engels).	Verplaats je in de gebruiker
IMP028	Maak diensten herbruikbaar	De dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruiken. De opzet van de dienst anticipeert op onvoorziene afnemers en gebruik. Deze implicatie beoogt de dienst interoperabel en bruikbaar voor een zo groot mogelijke groep afnemers te maken. Dit draagt bij aan een hoger rendement van de dienst. Hiervoor is het nodig dat de dienst: zó is beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden maximaal gebruik maakt van (open) standaarden om zo min mogelijk drempels op te werpen voor gebruik een minimum aan gebruiksvoorwaarden kent is aangemeld bij een landelijk serviceregister.	Hergebruik vóór kopen vóór maken
IMP050	Maak gegevens herleidbaar tot de bron (herkomst)	Dit betekent dat inzichtelijk gemaakt moet worden hoe gegevens tot stand zijn gekomen, over de gehele verwerking in de keten heen. Dus van bronnen tot eindproduct. Van ieder gegeven zijn de herkomst en verwerkingen beschikbaar tot aan vernietiging	Geef inzicht in de afhandeling van de dienst Neem gegevens als fundament
IMP024	Maak heldere afspraken over aanbieden en afnemen van diensten	Maak heldere afspraken over aanbieden en afnemen van diensten, waaronder eventueel van toepassing zijnde vergoedingen (afbakening van verantwoordelijkheden). Doe dit zowel vooraf als bij het afsluiten. Maak duidelijke afspraken over de gegarandeerde levensduur van de aangeboden dienst. Stem de opzet van je diensten af met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen. Voordat je een eigen dienst maakt, bekijk eerst of er al iets soortgelijks aanwezig is. Vraag en aanbod van diensten vind plaats door bundeling op overheidsniveau.	Beschrijf de dienst nauwkeurig Hergebruik vóór kopen vóór maken
IMP019	Maak stelselafspraken over identificatie en authenticatie	Maak stelselafspraken om te komen tot één generiek digitaal stelsel voor identificatie en authenticatie of sluit aan bij een bestaand kanaaloverstijgend stelsel met afspraken over betrouwbaarheidsniveau's.	Verifieer altijd Lever een kanaal-onafhankelijk resultaat
IMP082	Maak technische schuld inzichtelijk	Maak technische schuld zichtbaar en stuur op het oplossen van technische schulden. Technische schuld (technical debt) treedt op als er - al dan niet bewust - voor een oplossing wordt gekozen die op de korte termijn voordelig is (of lijkt) en gelijktijdig op de langere termijn extra kosten met zich meebrengt en de algehele complexiteit verhoogt.	Stuur cyclisch op kwaliteit
IMP068	Maak toegang tot applicaties en gegevens afhankelijk van authenticatieniveau	Een gebruiker dient allereerst geautoriseerd te zijn om een applicatie te mogen gebruiken of gegevens te mogen inzien. Hierbij speelt het behaalde niveau van authenticatie een rol. Als bijvoorbeeld informatie met een tweede factor (MFA) moet zijn afgeschermd krijgt de gebruiker geen toegang als hij/zij slechts met een gebruikersnaam/wachtwoord combinatie kan authenticeren. Na succesvolle authenticatie kan bepaald worden of een gebruiker de applicatie mag gebruiken (of informatie mag inzien) aan de hand van autorisatieregels.	Verifieer altijd
IMP003	Maak zoveel mogelijk data beschikbaar als open data	Stel overheidsdata actief beschikbaar voor hergebruik door derden, bijvoorbeeld in de vorm van open data. Beschouw dit aanbod als een dienst. De enige uitzondering zijn overheidsdata waarvoor wet- en regelgeving expliciet beperkingen oplegt, die stel je niet actief beschikbaar. Vanuit o.a. de WOO richt de overheid zich op transparantie. Daarbij hoort het actief beschikbaar stellen dan wel delen van data. Wel met inachtneming van de beperkingen die daarbij gelden (bijv. vanuit de AVG). Er zijn meerdere redenen om data actief beschikbaar te stellen. Zo kan het meer transparantie en inzicht geven in het overheidshandelen en zo de accountability vergroten. Bijvoorbeeld door begrotingen of inkoopgegevens als open data beschikbaar te stellen. Het kan ook economische en maatschappelijke innovatie stimuleren, zoals de ontwikkeling van apps en informatiediensten op basis van overheidsdata.	Beschrijf de dienst nauwkeurig Neem gegevens als fundament Hergebruik vóór kopen vóór maken
IMP018	Maak één organisatie verantwoordelijk voor de dienst	Eén organisatie is verantwoordelijk en aanspreekbaar voor de geleverde dienst.	Beschrijf de dienst nauwkeurig Geef inzicht in de afhandeling van de dienst
IMP004	Minimaliseer het gebruik van gegevens	Verzamel of vraag alleen die gegevens op die nodig zijn voor het strikte doel van de dienstverlening. En houd de gegevensverwerking die hierop volgt in proportie met het doel. Dit voorkomt dat vertrouwelijke of privacygevoelige gegevens onnodig worden verwerkt.	Pas doelbinding toe
IMP043	Neem diensten op in een producten- en dienstencatalogus (PDC)	Beschrijf diensten in een producten- en dienstencatalogus (PDC) inclusief de daarbij behorende spelregels. Datasets worden beschreven in een datacatalogus (interne afnemers). Open data van de overheid biedt dit inzicht aan externe afnemers. Zie data.overheid.nl	Beschrijf de dienst nauwkeurig
IMP022	Neem oorspronkelijke grondslag mee bij hergebruik diensten	Bij hergebruik van diensten kijken zowel aanbieder als afnemer opnieuw naar de oorspronkelijke grondslag en doelbinding. Als dat nodig blijkt passen zij pseudonimisering dan wel anonimisering van de data toe. Dit houdt in dat bij te ontwikkelen functionaliteit de oorspronkelijke grondslag bepalend is voor de hergebruikmogelijkheden.	Pas doelbinding toe Hergebruik vóór kopen vóór maken
IMP032	Ontwerp diensten met oog voor doelbinding en grondslag	Ontwerp en implementeer diensten met oog voor doelbinding, data-minimalisatie en oorspronkelijke grondslag.	Bouw diensten modulair op Pas doelbinding toe
IMP031	Ontwerp op modulaire wijze	Realiseer complexe systemen op modulaire wijze. Dit doe je door het systeem zodanig te ontwerpen dat deze opgedeeld kan worden in modules. Elke module moet eigenschappen bevatten die het mogelijk maken om ze (via gestandaardiseerde koppelvlakken) aan elkaar te koppelen. Zodanig vormen ze in het geheel een complex systeem.	Bouw diensten modulair op
IMP047	Pas de FAIR dataprincipes toe	Pas de implicaties van de FAIR dataprincipes toe. Zie ook go.fair.org FAIR-principes.	Neem gegevens als fundament
IMP026	Pas je eigen proces en organisatie aan aan de standaard oplossing	Pas je processen en organisatie aan de standaard oplossingen aan, in plaats van het omgekeerde. Zie ook EIF principle 4 "Reusability", aanbeveling 6+7.	Voorkom onnodige complexiteit Standaardiseer waar mogelijk
IMP016	Pas ontwerprichtlijnen toe bij websites en portalen en apps	Elke overheidsorganisatie is verantwoordelijk voor het goed toegankelijk maken van haar activiteiten voor burgers en bedrijven. Voor websites geldt dat deze moeten voldoen aan de standaarden zoals gedefinieerd in WCAG. Dit geldt met name voor websites die toegankelijk zijn voor het publiek, maar ook voor intern gerichte websites. WCAG staat voor 'Web Content Accessibility Guidelines'. De wetgever heeft bepaald dat alle (semi-)overheids websites per 23 september 2020 aan deze WCAG standaard moeten voldoen.	Verplaats je in de gebruiker
IMP036	Pas open standaarden toe	Verwerf producten die aan de standaard(en) voldoen. Hierbij geldt: Open standaarden tenzij. Implementaties maken gebruik van de beschrijvingen uit de open standaarden om leveranciersonafhankelijkheid te behouden. Maak met afnemers afspraken over de te gebruiken open standaarden. Anticipeer hierbij op de ontwikkeling van de open standaarden, bijvoorbeeld door nieuws over standaarden te volgen via noraonline.nl of www.forumstandaardisatie.nl/	Standaardiseer waar mogelijk
IMP037	Pleeg onderhoud op de toegepaste standaarden	Zorg via lifecyclemanagement voor toepassing van voldoende actuele versies van standaarden. Inventariseer de relevante standaarden en neem dat mee in het ontwerp van de dienst/voorziening.	Standaardiseer waar mogelijk
IMP061	Reduceer rest-risico's	Besteed speciale aandacht aan de rest-risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het rest-risico. De verantwoordelijke voor het bedrijfsmiddel moet de rest-risico's accepteren.	Beheers risico's voortdurend
IMP023	Regisseer hergebruik diensten in de keten	Hergebruik van diensten in de keten moet onderling tussen de verschillende overheidsorganisaties georganiseerd en geregisseerd worden. Zorg voor een register van diensten die voor hergebruik geschikt en beschikbaar zijn.	Hergebruik vóór kopen vóór maken
IMP056	Registreer gegevens bij de bron	Registreer gegevens (zo dicht mogelijk) bij de bron, daar waar de gegevens ontstaan. Dit verhoogt de volledigheid, kwaliteit en de actualiteit van de gegevens aanzienlijk en voorkomt fouten. De vastgelegde gegevens kunnen daarna voor verschillende doeleinden worden gebruikt. Een ander belangrijk voordeel is dat het achteraf registreren van gegevens die eerder zijn ontstaan wordt voorkomen hetgeen de registratielast vermindert. Waar mogelijk, leg gegevens geautomatiseerd vast.	Informeer bij de bron
IMP072	Richt data governance in	Data governance staat aan de basis van goed gegevenbeheer. Het betreft alle afspraken (en structuren) waarmee je vastlegt hoe gebruik te maken van de beschikbare gegevens en de gegevenskwaliteit en veiligheid hiervan te waarborgen. Hierbij hoort ook het vastleggen van datastandaarden, visie en strategie. Inclusief wie welke verantwoordelijkheid hierin heeft. Zie ook [1]	Stuur cyclisch op kwaliteit
IMP066	Richt een sterke logging en audit-trail in	Logging is fundamenteel in applicaties. Richt een sterke logging en audit-trail in, voor elke applicatie en elk systeem. Logbestanden en audit-trails spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Logberichten moeten zo veel mogelijk informatie bevatten over hetgeen er gebeurd is (wie, wat, waar, wanneer) en moeten op het juiste niveau gelogd worden. Let er op dat logberichten geen persoonlijke kenmerken (AVG) of security kenmerken (zoals wachtwoorden) mogen bevatten.	Verifieer altijd
IMP029	Scheid proces van data	Scheid proces van data en data van software. Zorg dat software hardware-agnostisch is. De afhankelijkheden tussen (proces-)onderdelen moeten bij voorkeur zo klein mogelijk zijn. Hierdoor blijft ontkoppeling op een later moment mogelijk.	Bouw diensten modulair op
IMP030	Scheiding van datasets	Verdeel de informatie in afgebakende datasets, die ook elk afzonderlijk getoetst kunnen worden op vhet oldoen aan de AVG.	Bouw diensten modulair op
IMP070	Segmenteer het netwerk	Het segmenteren van het netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld, waartussen een inspectiepunt ontstaat. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoS-aanvallen beperkt.	Verifieer altijd Beheers risico's voortdurend
IMP052	Sla informatie op in een duurzaam toegankelijk bestandsformaat	Informatie moet toegankelijk zijn voor gebruikers, zowel mens als machine. Hiervoor moeten de gebruikers geen speciale toepassingen of hulpmiddelen nodig hebben. Daarbij moet het formaat waar de informatie in wordt opgeslagen toekomstbestendig zijn, zodat de informatie ook in de toekomst nog toegankelijk is. Dit betekent dat: Gebruik wordt gemaakt van een open standaard. Bij doorontwikkeling van de gebruikte formaten, het originele bronbestand opgeslagen blijft in zijn huidige formaat en het voorlaatste bestandformaat actief wordt gemigreerd naar het nieuwe formaat. Er voor het gebruik van het bestandsformaat geen afhankelijkheid is van één enkele leverancier en het onafhankelijk van hulpmiddelen of speciale toepassingen te gebruiken is. Het bestandsformaat goed is gedocumenteerd. Het formaat het eenvoudig uitwisselen met andere platforms en apparaten ondersteunt. Fouten in de bitopslag automatisch gedetecteerd kunnen worden en te herstellen zijn. Het formaat op grote schaal gebruikt wordt.	Neem gegevens als fundament
IMP011	Sluit aan op het voorkeurskanaal van de gebruiker	Sluit qua kanaal aan op de voorkeurkeuze van gebruikers. Digitale kanalen zijn hierin leidend, doch er mag niet voorbij worden gegaan aan het belang van burgers die geen of beperkte mogelijkheden hebben om digitaal te communiceren.	Verplaats je in de gebruiker
IMP053	Stel betrokkenen op de hoogte van het doel waarvoor gegevens verzameld worden	Stel bij het verzamelen en opvragen van persoonsgegevens de betrokkenen op de hoogte van het doel waarvoor de gegevens worden verzameld en van de rechten die zij mogen uitoefenen.	Pas doelbinding toe
IMP077	Stel de juridische aansprakelijkheid per gegevensobject vast	Stel per informatie-object de de bron vast, en daarmee de juridische aansprakelijkheid voor de juistheid van het object.	Informeer bij de bron Pas doelbinding toe
IMP040	Stel een duidelijke Quality of Service (QoS) vast voor de dienst	De dienst heeft een duidelijk beschreven 'Quality of Service'. Niet alleen op het technisch koppelvlak, maar juist ook op die aspecten die door de afnemers begrepen worden. Bijvoorbeeld in termen van beschikbaarheid, performance, supportniveau, etc.	Beschrijf de dienst nauwkeurig
IMP064	Stel onweerlegbaarheid vast	Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is, zodat daarvoor aanvullende maatregelen genomen kunnen worden.	Verifieer altijd Beheers risico's voortdurend
IMP073	Stel van ieder gegeven de kwaliteit vast	Stel voor ieder gegeven de kwaliteit vast volgens kenmerken van compleetheid, actualiteit en tijdigheid.	Stuur cyclisch op kwaliteit Neem gegevens als fundament
IMP058	Stel voor ieder gegeven de unieke bron vast	Het niet hebben van een 'single point of truth (SPOT)' kan leiden tot divergerende data en mogelijk tot inconsistente beslissingen die op basis van de verschillende databronnen worden genomen.	Informeer bij de bron Neem gegevens als fundament
IMP046	Stel één verantwoordelijke vast voor ieder gegeven	Voor ieder gegeven en voor iedere verwerking moet er een verantwoordelijke gegevenseigenaar zijn. Dat vraagt een inventarisatie van alle relevante gegevensobjecten.	Neem gegevens als fundament
IMP065	Verifieer de kwaliteit van gegevens van het begin tot het einde van het proces	Controleer de kwaliteit van gegevens vanaf invoer en op ieder koppelvlak aan de hand van de vastgestelde kwaliteitseisen. Eenmaal geverifieerd hoeft een verificatie niet opnieuw plaats te vinden als de eerder uitgevoerde verificatie nog betrouwbaar is.	Verifieer altijd
IMP067	Verifieer de werking van algoritmes	Kijk doorlopend hoe applicaties functioneren en of uitkomsten van functies en modellen passen binnen de specificaties en dat er geen sprake is van zaken als model drift, of het ontstaan van bias.	Verifieer altijd
IMP088	Verleen alleen strikt noodzakelijke toegangsrechten	Ken geen rollen en toegangsrechten toe aan accounts van gebruikers en services tenzij dat strikt noodzakelijk is (Least Privilege).	Verifieer altijd
IMP084	Versleutel gegevens in rust en transport	Versleutel alle gegevensdragers waarop niet-publieke informatie staat, inclusief smartphones en laptops, conform de laatst bekende en geldende richtlijnen. Dit reduceert het risico op een gegevenslek bij verlies van een dergelijk apparaat. Neem voor niet-publieke gegevens ook adequate beveiligingsmaatregelen om ze te beschermen in ransit. Dit kan door de verbinding te beveiligen, danwel door encryptie van de informatie zelf. Dit laatste heeft de voorkeur.	Beheers risico's voortdurend
IMP087	Verwerk bericht-interactie persistent	Zorg dat een bericht dat een mutatie tot gevolg heeft, bijvoorbeeld een bericht dat een betalingsopdracht representeert, niet verloren kan gaan. Een dergelijk 'transactioneel' bericht moet een incident als uitwijk of storing kunnen overleven. Alle onderdelen van een verwerkingsketen nemen verantwoordelijkheid voor het bericht en zorgen ervoor dat het bericht niet verloren gaat. Correcte verwerking heeft prioriteit boven verwerkingssnelheid. Persistentie houdt in dat een (transport-)transactie pas is voltooid als het bericht is opgeslagen in een 'persistent store', zoals een bestand of database. Een opvragingsbericht daarentegen heeft geen mutatie tot gevolg. Responsetijd heeft hier meer prioriteit. Bij verlies van een opvragingsbericht (door bv. een storing) wordt de opvraging opnieuw gedaan. Verwerk een opvragingsbericht daarom niet-persistent verwerkt.	Bouw diensten modulair op
IMP007	Verwijs naar de bron	Verwijzen naar de bron heeft voorkeur boven een kopie uit die bron. Inzage in de bron heeft de voorkeur boven zelf opslaan. Afspraken daarover worden vastgelegd en bekend gemaakt. Vanuit legitimiteitsperspectief kan het nodig zijn een kopie vast te leggen.	Informeer bij de bron
IMP002	Voorkom verlies van informatie	Veranderingen in techniek, organisatie of gebruikerswensen mogen niet van negatieve invloed zijn op de duurzame toegankelijkheid van informatie. Hetzelfde geldt voor bitrot (verlies van informatie door verval van opslagmedia). Neem vooraf maatregelen om informatie toekomstbestendig te maken, zodat deze toegankelijk blijft voor de van toepassing zijnde vormen van (her)gebruik. Dit betekent dat: Leveranciersafhankelijkheid wordt voorkomen. Analyse wordt gemaakt van welke gevolgen veranderingen (in techniek, organisatie, of gebruikerswensen) hebben voor de duurzame toegankelijkheid van informatie. Bij het ontwerpen van informatiesystemen na wordt gedacht over de te gebruiken technologie voor het beheren van informatie.	Neem gegevens als fundament
IMP057	Weet welke (bron)gegevens in huis zijn	Weet welke gegevens de overheid of overheidsorganisatie al in huis heeft in de bronadministraties en op welke manier deze gegevens hergebruikt kunnen worden.	Informeer bij de bron
IMP083	Wissel gegevens tussen (web)applicaties uit met API's	Gegevensuitwisseling tussen (web)applicaties gebeurt via Restful API's. De broneigenaar levert API's die voldoen aan de moderne RESTful standaarden. API's dienen centraal te worden beheerd in een API management systeem.	Bouw diensten modulair op
IMP017	Zorg dat overheidsinformatie eenvoudig te raadplegen is	De informatiegebruiker (mens of machine) kan een informatieobject of een verzameling informatieobjecten binnen redelijke tijd en inspanning gebruiken (zoals inzien, exporteren, bewaren en verwerken in de eigen gebruiksomgeving), nu en in de toekomst (gedurende de gehele levenscyclus). Daardoor is de informatiegebruiker zo min mogelijk afhankelijk van de beheeromgeving voor de toegang tot de informatie. Dit betekent dat: Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben. Onderscheid gemaakt moet worden in primaire en secundaire gebruikers op basis van doelbinding. De informatie beschikbaar moet worden gesteld in een bestandsformaat dat samenhangt met het doel waarvoor de informatie wordt gebruikt. Een zoekfunctie beschikbaar moet zijn waarmee alle relevante informatieobjecten vindbaar zijn. De informatie moet kunnen worden gevonden zonder dat er (specifieke) en/of kennis van de zoekfunctionaliteit of de gezochte informatie benodigd is. Van elk informatieobject een weergave en/of export beschikbaar moet zijn.	Verplaats je in de gebruiker
IMP086	Zorg dat software up-to-date is	Houd alle gebruikte software en software-componenten, van applicatief tot infrastructureel, actueel. Volg de update-cyclus van leveranciers strikt: voer updates, patches en beveiligingsupdates zo snel mogelijk door op alle relevante systemen.	Stuur cyclisch op kwaliteit Beheers risico's voortdurend
IMP039	Zorg voor open specificaties	Zorg voor open specificaties. Zodat deze hergebruikt kunnen worden over instellingen heen. Dit voorkomt dat verschillende organisaties hetzelfde wiel moeten uitvinden. Zie ook EIF principle 2: "Openness", aanbeveling 4. EIF-brochure (pdf)	Beschrijf de dienst nauwkeurig Bouw diensten modulair op Hergebruik vóór kopen vóór maken

Alle actuele Implicaties met alle eigenschappen[bewerken]

Binnen deze tabel kun je zoeken, sorteren binnen een kolom en kiezen hoeveel resultaten tegelijk getoond worden. Ook kun je de informatie uit deze tabel rechtstreeks exporteren en downloaden in de formats json, csv, rss en rdf. (Uitleg)

ID	Implicatie	Beschrijving	hoort bij Architectuurprincipe(s)	Laag binnen vijflaagsmodel	Status actualiteit	Status toelichting
IMP060	Bepaal autorisaties met metadata	Autorisaties voor het verstrekken en gebruik van gegevens kan worden bepaald op basis van metadata. De beheerder die het gegeven beheert en het wil verstrekken voor verdere bewerking, voegt metadata toe aan de hand waarvan de beheerder en de afnemer een autorisatiebeslissing kan nemen.	Informeer bij de bron	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP063	Bepaal de continuïteitseisen	Continuïteitseisen vormen de input voor het maken van een calamiteitenplan. Voorbeelden van continuïteitseisen zijn Maximum Tolerable Outage (MTO), Recovery Time Objective (RTO), Recovery Point Objective (RPO).	Beheers risico's voortdurend	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP071	Bepaal taken en verantwoordelijkheden van de gegevensverwerking	Verantwoordelijkheden, bevoegdheden en taken bij gegevensverwerking zijn bepaald en bekend.	Stuur cyclisch op kwaliteit	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP001	Beschrijf informatieobjecten in een model	Voor een optimale dienstverlening aan burgers en bedrijven en voor effectieve en efficiënte samenwerking in het leveren van diensten tussen en binnen overheidsorganisaties, is het belangrijk om een gezamenlijk beeld te hebben van de informatie die hierbinnen worden gebruikt en nodig zijn. Dit is alleen mogelijk door informatieobjecten voor een dienst, systematisch te beschrijven met behulp van een informatiemodel dat de semantiek en syntax van de gegevens vastlegt. Zo kunnen de betrokken gebruikers de relevante informatieobjecten vinden, toepassen, (her)gebruiken en archiveren. Dit betekent dat een informatiemodel minimaal bevat: Informatietypen (entiteiten) (een ordening van informatieobjecten in zogenaamde informatietypen, ook wel de hoofdstructuur (entiteiten) van het informatiemodel met hun onderlinge relaties. Attributen (een ordening elementen die binnen de entiteiten zijn of worden opgenomen met de beschrijving daarvan). Regels (een opsomming van eisen waar de entiteiten en attributen aan moeten voldoen). Maak het informatiemodel bekend in een datacatalogus die inzicht geeft in de beschikbaarheid van data. En benut visualistatiemiddelen om het model en de samenhang/relaties tussen de objecten visueel inzichtelijk te maken.	Beschrijf de dienst nauwkeurig Neem gegevens als fundament	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP021	Bevorder hergebruik van gegevens	Maak zo veel mogelijk gebruik van gegevens die reeds beschikbaar zijn in plaats van deze gegevens opnieuw te verzamelen of te creëren.	Informeer bij de bron Bundel diensten Bied de dienst proactief aan Neem gegevens als fundament Hergebruik vóór kopen vóór maken	2 3 4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP078	Bewaak de continuïteit en stel een calamiteitenplan op	Bewaak de continuïteit van voorzieningen zodat bij bedreiging van de continuïteit alarm geslagen wordt en er voorzien is in een calamiteitenplan. Test en evalueer dit plan op regelmatige basis.	Beheers risico's voortdurend	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP010	Bied multi- en omni-channel dienstverlening	Bied diensten aan via meerdere kanalen aan. Bij multichannel kunnen afnemers kiezen tussen enkele kanalen die niet direct op elkaar zijn afgestemd. Bij omnichannel gebruikt de afnemer heel veel verschillende kanalen die goed op elkaar zijn afgestemd.	Lever een kanaal-onafhankelijk resultaat	2 3 4 5	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP005	Bied één contactpunt (Single point of contact)	Bied de dienst zo veel mogelijk vanuit één contactpunt aan richting burgers en bedrijven. Zo hoeven burgers en bedrijven niet met verschillende partijen te schakelen om de dienst af te kunnen nemen.	Verplaats je in de gebruiker Bundel diensten Voorkom onnodige complexiteit	1 2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP081	Borg de vertrouwelijkheid van gegevens in maatregelen	De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens.	Beheers risico's voortdurend	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP080	Controleer de verwerking van gegevens	Controleer de verwerking van gegevens: Zijn de criteria voor juistheid, en tijdigheid vastgesteld? Worden gegevens die vanuit een systeemvreemde omgeving ingevoerd zijn eerst gecontroleerd op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt? Worden te versturen gegevens gecontroleerd op juistheid, volledigheid en tijdigheid? Worden ter verwerking aangeboden gegevens gecontroleerd op juiste, volledig en tijdige verwerking? Worden kritieke gegevens die in verschillende gegevensverzamelingen voorkomen periodiek met elkaar vergeleken op consistentie? (Dit geldt alleen zolang de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens)	Beheers risico's voortdurend	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP020	Defineer de toegangsregels kanaalonafhankelijk	Formuleer uniforme regels die gelden voor toegang tot de entiteiten (dienst, informatie, object) onafhankelijk van het kanaal.	Lever een kanaal-onafhankelijk resultaat	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP049	Draag zorg voor juiste en actuele en volledige informatie	Een gebruiker kan er op vertrouwen dat een informatieobject, zoals deze in de bron is vastgelegd, juist, actueel en volledig is. Fouten kunnen worden gemeld en hersteld. Daarbij is het van belang dat herstelwijzigingen worden gelogd, zodat traceerbaar is hoe foutieve gegevens zijn verwerkt en wat het effect daarvan is. Dit betekent dat: De kwaliteit van de informatie transparant, verankerd en geborgd moet zijn binnen de processen van de verantwoordelijke en leverende organisatie (datamanagement). Er gebruik moet worden gemaakt van gestandaardiseerde gegevensmodellen, gegevenswoordenboeken en catalogussen ten behoeve van machinematige verwerking van gegevens. De informatie tijdens de gehele levenscyclus moet worden gemonitord, gecontroleerd, gevalideerd op basis van regels, kaders, normen en standaarden waarbij wijzigingen traceerbaar moeten worden gemaakt. De informatie tijdens de gehele levenscyclus regelmatig moet worden getoetst aan wet- en regelgeving en daar verantwoording over moet worden afgelegd. Er cyclisch gerapporteerd moet worden over de kwaliteit van de gegevens. Voor afwijkingen moeten de juiste maatregelen worden getroffen om de betrouwbaarheid en de kwaliteit van de informatie te kunnen waarborgen. De informatie moet door de gehele lifecycle gevolgd kunnen worden vanaf de oorsprong tot aan het verwerken, opslaan, bewerken en beschikbaar stellen en/of vernietigen. (data-lineage). Er gebruik moet worden gemaakt van authentieke- en/of kwalitatieve bronnen.	Neem gegevens als fundament	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP014	Elimineer overbodige processtappen (voor de afnemer)	Stel bij iedere processtap de vraag of deze stap waarde toevoegt voor de afnemer of dat de processtap evengoed weggelaten kan worden.	Voorkom onnodige complexiteit	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP062	Evalueer de risicoanalyse bij veranderingen	Een verandering in het dreigingsprofiel, of in een bedrijfsproces of in de onderliggende voorzieningen kan een mogelijke kwetsbaarheid introduceren of gevolgen hebben voor de veiligheidsbelangen van stakeholders. Een verandering kan de kans of de impact van een dreiging veranderen.	Beheers risico's voortdurend	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP079	Garandeer de beschikbaarheid van systemen	ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door: Vermeervoudiging van systeemfuncties. Herstelbaarheid en beheersing van verwerkingen. Voorspelling van discontinuïteit. Handhaving van functionaliteit.	Beheers risico's voortdurend	3 4 5	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP034	Gebruik de standaard met het meest specifieke werkingsgebied	Gebruik de standaard met het meest specifieke werkingsgebied. Als deze conflicteert met bredere (internationale) standaarden, zorg dan in de sector voor afstemming daarmee.	Standaardiseer waar mogelijk	1	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP035	Gebruik een actueel register met standaarden	Maak gebruik van een actueel register met standaarden per toepassingsgebied. Functionele standaarden hebben betrekking op bijvoorbeeld gegevensuitwisseling, beveiliging, taalgebruik, digitale communicatie, etc. Standaarden met een organisatorisch werkingsgebied hebben betrekking op bijvoorbeeld de strafrechtketen, zorgketen, sociale zekerheid, financiën, etc.	Standaardiseer waar mogelijk	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP038	Gebruik gestandaardiseerde referentiedata	Gebruik gestandaardiseerde referentiedata. Zie ook CBS referentiedata, of domeinspecifieke bronnen voor referentiedata.	Standaardiseer waar mogelijk	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP027	Gebruik open source	Bij gelijke geschiktheid heeft Open Source software de voorkeur bij het ontwikkelen van een dienst. Zie ook EIF principle 2 "Openness", aanbeveling 3.	Hergebruik vóór kopen vóór maken	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP075	Gebruik open standaarden voor modellering	Organisaties werken volgens een open standaard voor o.a. architectuur-, data- en procesmodellering die door alle samenwerkende partijen op uniforme wijze wordt toegepast. De gekozen open standaard is bepalend voor de keuze van modelleersystemen die deze standaard ondersteunen. Wissel modellen uit tussen organisaties op basis van open standaarden. Voorbeelden van modelleerstandaarden zijn ArchiMate (architectuur), UML (data) en BPMN (processen).	Standaardiseer waar mogelijk	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP089	Gebruik standaard oplossingen (implicatie)	Ontwikkel geen eigen processen, systemen en technieken wanneer deze ergens anders al beschikbaar zijn. Stel je actief op de hoogte van beschikbare en geplande standaardoplossingen, om daar bij het maken van plannen rekening mee te houden. De bruikbare elementen van beschikbare standaardoplossingen zullen moeten worden ingepast in de eigen organisatie. Geen enkele standaardoplossing past altijd voor de volle honderd procent. Daarom zal de bereidheid tot het sluiten van compromissen aanwezig moeten zijn.	Standaardiseer waar mogelijk	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP025	Gebruik standaard oplossingen zonder maatwerk	Gebruik een standaardoplossing (zoals bijvoorbeeld een pakketoplossing) zoveel mogelijk ongewijzigd, dus zonder maatwerkaanpassingen. Pas bij de toepassing van een standaardoplossing je werkwijze aan bij de standaarden en de best-practices die aan de oplossing ten grondslag liggen. Volg waar het kan de inrichtingsfilosofie van leveranciers.	Voorkom onnodige complexiteit Standaardiseer waar mogelijk	2 4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP009	Geef de afnemer inzage in rechten en voorwaarden en plichten	De bij de dienst horende rechten, voorwaarden en plichten dienen op duidelijke en transparante wijze toegankelijk te worden gemaakt voor burgers en bedrijven die deze dienst af willen of moeten nemen.	Beschrijf de dienst nauwkeurig Geef inzicht in de afhandeling van de dienst	1 2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP059	Geef de voorkeur aan halen i.p.v. brengen van gegevens	Geef de voorkeur aan het halen (pull) i.p.v. het brengen van gegevens (push).	Informeer bij de bron	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP055	Gegevens eenmalig uitgevraagd, uniek opgeslagen, meervoudig gebruikt	Gegevens worden eenmalig uitgevraagd of verzameld, uniek opgeslagen, en vervolgens meervoudig gebruikt. Dit impliceert tevens dat de juistheid van de gebruikte informatie-objecten uit een bronregistratie niet voor gebruik opnieuw hoeft te worden gecontroleerd.	Informeer bij de bron	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP044	Hanteer bewaartermijnen voor informatie	Informatie wordt niet langer bewaard en niet eerder vernietigd dan wettelijk is toegestaan. Dit betekent dat: Er een selectielijst is, waarin opgenomen de te vernietigen informatieobjecten of onderdelen daarvan. Er vastgesteld in de organisatie verankerd beleid is met betrekking tot vernietigen. Bevoegdheden, rollen en verantwoordelijkheden en beleid rondom vernietigen zijn belegd. De organisatie inzicht heeft in informatieobjecten, bewaartermijnen, processen, informatiesystemen en hun onderlinge samenhang.	Neem gegevens als fundament	1	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP069	Hanteer het zero-trust model	Ga nooit uit van het impliciete vertrouwen dat wie op een bepaald netwerk of systeem komt daar ook hoort: Controleer overal het netwerkverkeer. Controleer toegang per sessie. Hanteer dynamische policies en gebruik daarbij de geldigheidsduur van de laatste authenticatie. Blijf continue monitoren. Verzamel zoveel mogelijk gegevens om de beveiliging te blijven verbeteren. Dit wordt ook wel het 'zero-trust' model genoemd.	Verifieer altijd	5	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP074	Identificeer de voor de dienst relevante standaardoplossingen	Inventariseer de voor de dienst relevante standaardoplossingen voor gebieden zoals: identificatie authenticatie autorisatie onweerlegbaarheid encryptie semantiek toegankelijkheid presentatie en vormgeving Beoordeel de oplossingen op geschiktheid. Bij geschiktheid worden ze opgenomen in de opzet van de dienst.	Hergebruik vóór kopen vóór maken	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP006	Ken je afnemers en stem diensten hierop af	Verdiep je in de achtergronden van je afnemers en de context waarin zij van de dienst gebruik maken en vergewis je van de digitale vaardigheden van je doelgroep. Zorg dat de dienst is afgestemd op de (digi)vaardigheden en mogelijkheden van alle (potentiële) afnemers. Weet welke informatie afnemers doorgaans zoeken en waar ze deze zoeken. Deze informatie meld je aan op de voor de afnemers bekende vindplaatsen, zoals zoekmachines, portals, catalogi en registers. Ook de dienst zelf voorzie je van de nodige zoekfuncties. Om de afnemer waar dat nodig is door te kunnen verwijzen, zorg je dat je op de hoogte bent van de andere plaatsen waar diensten te vinden zijn.	Verplaats je in de gebruiker	1	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP085	Kies bij cloudoplossingen SaaS boven PaaS boven IaaS	Bij het kiezen voor een cloud oplossing, geef de voorkeur aan SaaS boven PaaS boven IaaS. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan. Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. Voorbeelden hiervan zijn Customer Relations Management, e-mail & Instant Messaging, Financiën, HRM en Project Management. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken. Opmerking: deze implicatie daagt uit om tot een zo hoog mogelijk niveau ontzorgd te worden. Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas.	Standaardiseer waar mogelijk Maak diensten schaalbaar Hergebruik vóór kopen vóór maken Beheers risico's voortdurend	2 3 4 5	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP033	Koppel bronsystemen op basis van een passende classificatie	Verwerk als afnemer gegevens uit een bronsysteem met respect voor de classificatie van die gegevens. Geef het geen hogere classificatie voor beschikbaarheid en integriteit dan de bron, en geen lagere classificatie voor vertrouwelijkheid. Maak zonodig afspraken met de aanbieder om hun classificatie aan te passen en in hun dienst bijpassende maatregelen daarvoor te implementeren.	Informeer bij de bron Bouw diensten modulair op	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP051	Leg auditlogs vast bij de bronregistratie van het gegeven	Als eigenaar van de bron wil je inzicht hebben in de toegang en inzage (CRUD) van de gegevens die vanuit de bron worden gebruikt. Voorkom dat auditgegevens verspreid raken over afnemende applicaties.	Neem gegevens als fundament	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP048	Leg de context van een informatieobject vast in metadata	Informatie-objecten moeten goed worden beheerd. Onderdeel hiervan is dat de context van een informatieobject goed moet zijn vastgelegd in metadata. Informatie en gegevens moeten duidelijk binnen een bepaalde context te plaatsen zijn. Metadata is daar het passende instrument voor. Context (vastgelegd in metadata) is nodig om gegevens te begrijpen voor verwerking. Zie DUTO eisen (ISO 23081)	Neem gegevens als fundament	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP045	Leg de doelbinding vast in de metadata van het gegevensobject	De verwerkingshistorie inclusief doel van verwerking wordt vastgelegd bij het gegegevensobject als metadata. Dit betekent dat de historie van acties waarin een gegevensobject wordt verwerkt (opvragen / vastleggen / wijzigen / verwijderen) inclusief het doel van de actie vastgelegd wordt bij het gegevenobject.	Pas doelbinding toe	1	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP054	Leg de grondslag en het doel van de gegevensverwerking vast	Leg de grondslag en het doel vast, waarvoor informatie wordt uitgevraagd bij burgers en bedrijven. Aan het doel gekoppeld worden ook de eisen (kwaliteitscriteria) vastgelegd waaraan deze informatie moet voldoen. Houd er rekening mee dat het doel in de loop der tijd kan wijzigen.	Pas doelbinding toe	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP042	Leg een Service Level Agreement vast bij de dienst	Leg de inhoud van de dienst en het akkoord hierop schriftelijk vast, in de vorm van een Service Level Agreement (SLA), een Gegevens Leverings Overeenkomst (GLO), of in wet- en regelgeving. Dit is in elk geval noodzakelijk voor bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter. Hierbij is het akkoord en de inhoud daarvan schriftelijk vastgelegd. De dienstverlener geeft hierbij ook aan welk betrouwbaarheidsniveau geldt voor de identificatie van de afnemer.	Beschrijf de dienst nauwkeurig	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP041	Leg per dienst vast aan welke standaarden deze voldoet	Leg per dienst vast aan welke normen en standaarden je moet of wilt voldoen. Deze normen en standaarden moeten op hun beurt voldoen aan wet- en regelgeving. De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van deze norm worden geïdentificeerd.	Beschrijf de dienst nauwkeurig	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP076	Maak afspraken over nieuwe (en oude) versies van standaarden	De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard. Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is.	Standaardiseer waar mogelijk	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP008	Maak besluiten traceerbaar en controleerbaar	De overheid zorgt dat besluiten die burgers en bedrijven raken, ook door deze burgers en bedrijven te controleren zijn. Hierbij hebben zij de mogelijkheid om inzicht te krijgen op welke wijze en op basis van welke informatie besluiten tot stand zijn gekomen (traceerbaarheid).	Geef inzicht in de afhandeling van de dienst	1 2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP015	Maak beveiligingsmaatregelen zo gebruiksvriendelijk mogelijk	Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds en ander onveilig gedrag.	Verplaats je in de gebruiker Beheers risico's voortdurend	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP012	Maak de dienst toegankelijk voor alle gebruikers	Zorg dat alle gebruikers, ook die met functiebeperking, de volwaardige dienst kunnen afnemen. Het streven is digitale inclusiviteit voor iedereen (digitoegankelijk).	Verplaats je in de gebruiker	1	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP013	Maak de dienst toegankelijk voor anderstaligen	Zorg dat een (potentiële) anderstalige gebruiker de dienst ook kan afnemen, door deze ook in een algemeen toegankelijke taal aan te bieden (bv. Engels).	Verplaats je in de gebruiker	1	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP028	Maak diensten herbruikbaar	De dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruiken. De opzet van de dienst anticipeert op onvoorziene afnemers en gebruik. Deze implicatie beoogt de dienst interoperabel en bruikbaar voor een zo groot mogelijke groep afnemers te maken. Dit draagt bij aan een hoger rendement van de dienst. Hiervoor is het nodig dat de dienst: zó is beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden maximaal gebruik maakt van (open) standaarden om zo min mogelijk drempels op te werpen voor gebruik een minimum aan gebruiksvoorwaarden kent is aangemeld bij een landelijk serviceregister.	Hergebruik vóór kopen vóór maken	2 4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP050	Maak gegevens herleidbaar tot de bron (herkomst)	Dit betekent dat inzichtelijk gemaakt moet worden hoe gegevens tot stand zijn gekomen, over de gehele verwerking in de keten heen. Dus van bronnen tot eindproduct. Van ieder gegeven zijn de herkomst en verwerkingen beschikbaar tot aan vernietiging	Geef inzicht in de afhandeling van de dienst Neem gegevens als fundament	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP024	Maak heldere afspraken over aanbieden en afnemen van diensten	Maak heldere afspraken over aanbieden en afnemen van diensten, waaronder eventueel van toepassing zijnde vergoedingen (afbakening van verantwoordelijkheden). Doe dit zowel vooraf als bij het afsluiten. Maak duidelijke afspraken over de gegarandeerde levensduur van de aangeboden dienst. Stem de opzet van je diensten af met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen. Voordat je een eigen dienst maakt, bekijk eerst of er al iets soortgelijks aanwezig is. Vraag en aanbod van diensten vind plaats door bundeling op overheidsniveau.	Beschrijf de dienst nauwkeurig Hergebruik vóór kopen vóór maken	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP019	Maak stelselafspraken over identificatie en authenticatie	Maak stelselafspraken om te komen tot één generiek digitaal stelsel voor identificatie en authenticatie of sluit aan bij een bestaand kanaaloverstijgend stelsel met afspraken over betrouwbaarheidsniveau's.	Verifieer altijd Lever een kanaal-onafhankelijk resultaat	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP082	Maak technische schuld inzichtelijk	Maak technische schuld zichtbaar en stuur op het oplossen van technische schulden. Technische schuld (technical debt) treedt op als er - al dan niet bewust - voor een oplossing wordt gekozen die op de korte termijn voordelig is (of lijkt) en gelijktijdig op de langere termijn extra kosten met zich meebrengt en de algehele complexiteit verhoogt.	Stuur cyclisch op kwaliteit	4 5	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP068	Maak toegang tot applicaties en gegevens afhankelijk van authenticatieniveau	Een gebruiker dient allereerst geautoriseerd te zijn om een applicatie te mogen gebruiken of gegevens te mogen inzien. Hierbij speelt het behaalde niveau van authenticatie een rol. Als bijvoorbeeld informatie met een tweede factor (MFA) moet zijn afgeschermd krijgt de gebruiker geen toegang als hij/zij slechts met een gebruikersnaam/wachtwoord combinatie kan authenticeren. Na succesvolle authenticatie kan bepaald worden of een gebruiker de applicatie mag gebruiken (of informatie mag inzien) aan de hand van autorisatieregels.	Verifieer altijd	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP003	Maak zoveel mogelijk data beschikbaar als open data	Stel overheidsdata actief beschikbaar voor hergebruik door derden, bijvoorbeeld in de vorm van open data. Beschouw dit aanbod als een dienst. De enige uitzondering zijn overheidsdata waarvoor wet- en regelgeving expliciet beperkingen oplegt, die stel je niet actief beschikbaar. Vanuit o.a. de WOO richt de overheid zich op transparantie. Daarbij hoort het actief beschikbaar stellen dan wel delen van data. Wel met inachtneming van de beperkingen die daarbij gelden (bijv. vanuit de AVG). Er zijn meerdere redenen om data actief beschikbaar te stellen. Zo kan het meer transparantie en inzicht geven in het overheidshandelen en zo de accountability vergroten. Bijvoorbeeld door begrotingen of inkoopgegevens als open data beschikbaar te stellen. Het kan ook economische en maatschappelijke innovatie stimuleren, zoals de ontwikkeling van apps en informatiediensten op basis van overheidsdata.	Beschrijf de dienst nauwkeurig Neem gegevens als fundament Hergebruik vóór kopen vóór maken	1 3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP018	Maak één organisatie verantwoordelijk voor de dienst	Eén organisatie is verantwoordelijk en aanspreekbaar voor de geleverde dienst.	Beschrijf de dienst nauwkeurig Geef inzicht in de afhandeling van de dienst	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP004	Minimaliseer het gebruik van gegevens	Verzamel of vraag alleen die gegevens op die nodig zijn voor het strikte doel van de dienstverlening. En houd de gegevensverwerking die hierop volgt in proportie met het doel. Dit voorkomt dat vertrouwelijke of privacygevoelige gegevens onnodig worden verwerkt.	Pas doelbinding toe	1 3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP043	Neem diensten op in een producten- en dienstencatalogus (PDC)	Beschrijf diensten in een producten- en dienstencatalogus (PDC) inclusief de daarbij behorende spelregels. Datasets worden beschreven in een datacatalogus (interne afnemers). Open data van de overheid biedt dit inzicht aan externe afnemers. Zie data.overheid.nl	Beschrijf de dienst nauwkeurig	2 3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP022	Neem oorspronkelijke grondslag mee bij hergebruik diensten	Bij hergebruik van diensten kijken zowel aanbieder als afnemer opnieuw naar de oorspronkelijke grondslag en doelbinding. Als dat nodig blijkt passen zij pseudonimisering dan wel anonimisering van de data toe. Dit houdt in dat bij te ontwikkelen functionaliteit de oorspronkelijke grondslag bepalend is voor de hergebruikmogelijkheden.	Pas doelbinding toe Hergebruik vóór kopen vóór maken	1	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP032	Ontwerp diensten met oog voor doelbinding en grondslag	Ontwerp en implementeer diensten met oog voor doelbinding, data-minimalisatie en oorspronkelijke grondslag.	Bouw diensten modulair op Pas doelbinding toe	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP031	Ontwerp op modulaire wijze	Realiseer complexe systemen op modulaire wijze. Dit doe je door het systeem zodanig te ontwerpen dat deze opgedeeld kan worden in modules. Elke module moet eigenschappen bevatten die het mogelijk maken om ze (via gestandaardiseerde koppelvlakken) aan elkaar te koppelen. Zodanig vormen ze in het geheel een complex systeem.	Bouw diensten modulair op	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP047	Pas de FAIR dataprincipes toe	Pas de implicaties van de FAIR dataprincipes toe. Zie ook go.fair.org FAIR-principes.	Neem gegevens als fundament	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP026	Pas je eigen proces en organisatie aan aan de standaard oplossing	Pas je processen en organisatie aan de standaard oplossingen aan, in plaats van het omgekeerde. Zie ook EIF principle 4 "Reusability", aanbeveling 6+7.	Voorkom onnodige complexiteit Standaardiseer waar mogelijk	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP016	Pas ontwerprichtlijnen toe bij websites en portalen en apps	Elke overheidsorganisatie is verantwoordelijk voor het goed toegankelijk maken van haar activiteiten voor burgers en bedrijven. Voor websites geldt dat deze moeten voldoen aan de standaarden zoals gedefinieerd in WCAG. Dit geldt met name voor websites die toegankelijk zijn voor het publiek, maar ook voor intern gerichte websites. WCAG staat voor 'Web Content Accessibility Guidelines'. De wetgever heeft bepaald dat alle (semi-)overheids websites per 23 september 2020 aan deze WCAG standaard moeten voldoen.	Verplaats je in de gebruiker	4 5	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP036	Pas open standaarden toe	Verwerf producten die aan de standaard(en) voldoen. Hierbij geldt: Open standaarden tenzij. Implementaties maken gebruik van de beschrijvingen uit de open standaarden om leveranciersonafhankelijkheid te behouden. Maak met afnemers afspraken over de te gebruiken open standaarden. Anticipeer hierbij op de ontwikkeling van de open standaarden, bijvoorbeeld door nieuws over standaarden te volgen via noraonline.nl of www.forumstandaardisatie.nl/	Standaardiseer waar mogelijk	2 3 4 5	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP037	Pleeg onderhoud op de toegepaste standaarden	Zorg via lifecyclemanagement voor toepassing van voldoende actuele versies van standaarden. Inventariseer de relevante standaarden en neem dat mee in het ontwerp van de dienst/voorziening.	Standaardiseer waar mogelijk	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP061	Reduceer rest-risico's	Besteed speciale aandacht aan de rest-risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het rest-risico. De verantwoordelijke voor het bedrijfsmiddel moet de rest-risico's accepteren.	Beheers risico's voortdurend	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP023	Regisseer hergebruik diensten in de keten	Hergebruik van diensten in de keten moet onderling tussen de verschillende overheidsorganisaties georganiseerd en geregisseerd worden. Zorg voor een register van diensten die voor hergebruik geschikt en beschikbaar zijn.	Hergebruik vóór kopen vóór maken	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP056	Registreer gegevens bij de bron	Registreer gegevens (zo dicht mogelijk) bij de bron, daar waar de gegevens ontstaan. Dit verhoogt de volledigheid, kwaliteit en de actualiteit van de gegevens aanzienlijk en voorkomt fouten. De vastgelegde gegevens kunnen daarna voor verschillende doeleinden worden gebruikt. Een ander belangrijk voordeel is dat het achteraf registreren van gegevens die eerder zijn ontstaan wordt voorkomen hetgeen de registratielast vermindert. Waar mogelijk, leg gegevens geautomatiseerd vast.	Informeer bij de bron	2 3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP072	Richt data governance in	Data governance staat aan de basis van goed gegevenbeheer. Het betreft alle afspraken (en structuren) waarmee je vastlegt hoe gebruik te maken van de beschikbare gegevens en de gegevenskwaliteit en veiligheid hiervan te waarborgen. Hierbij hoort ook het vastleggen van datastandaarden, visie en strategie. Inclusief wie welke verantwoordelijkheid hierin heeft. Zie ook [2]	Stuur cyclisch op kwaliteit	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP066	Richt een sterke logging en audit-trail in	Logging is fundamenteel in applicaties. Richt een sterke logging en audit-trail in, voor elke applicatie en elk systeem. Logbestanden en audit-trails spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Logberichten moeten zo veel mogelijk informatie bevatten over hetgeen er gebeurd is (wie, wat, waar, wanneer) en moeten op het juiste niveau gelogd worden. Let er op dat logberichten geen persoonlijke kenmerken (AVG) of security kenmerken (zoals wachtwoorden) mogen bevatten.	Verifieer altijd	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP029	Scheid proces van data	Scheid proces van data en data van software. Zorg dat software hardware-agnostisch is. De afhankelijkheden tussen (proces-)onderdelen moeten bij voorkeur zo klein mogelijk zijn. Hierdoor blijft ontkoppeling op een later moment mogelijk.	Bouw diensten modulair op	2 3 4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP030	Scheiding van datasets	Verdeel de informatie in afgebakende datasets, die ook elk afzonderlijk getoetst kunnen worden op vhet oldoen aan de AVG.	Bouw diensten modulair op	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP070	Segmenteer het netwerk	Het segmenteren van het netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld, waartussen een inspectiepunt ontstaat. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoS-aanvallen beperkt.	Verifieer altijd Beheers risico's voortdurend	5	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP052	Sla informatie op in een duurzaam toegankelijk bestandsformaat	Informatie moet toegankelijk zijn voor gebruikers, zowel mens als machine. Hiervoor moeten de gebruikers geen speciale toepassingen of hulpmiddelen nodig hebben. Daarbij moet het formaat waar de informatie in wordt opgeslagen toekomstbestendig zijn, zodat de informatie ook in de toekomst nog toegankelijk is. Dit betekent dat: Gebruik wordt gemaakt van een open standaard. Bij doorontwikkeling van de gebruikte formaten, het originele bronbestand opgeslagen blijft in zijn huidige formaat en het voorlaatste bestandformaat actief wordt gemigreerd naar het nieuwe formaat. Er voor het gebruik van het bestandsformaat geen afhankelijkheid is van één enkele leverancier en het onafhankelijk van hulpmiddelen of speciale toepassingen te gebruiken is. Het bestandsformaat goed is gedocumenteerd. Het formaat het eenvoudig uitwisselen met andere platforms en apparaten ondersteunt. Fouten in de bitopslag automatisch gedetecteerd kunnen worden en te herstellen zijn. Het formaat op grote schaal gebruikt wordt.	Neem gegevens als fundament	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP011	Sluit aan op het voorkeurskanaal van de gebruiker	Sluit qua kanaal aan op de voorkeurkeuze van gebruikers. Digitale kanalen zijn hierin leidend, doch er mag niet voorbij worden gegaan aan het belang van burgers die geen of beperkte mogelijkheden hebben om digitaal te communiceren.	Verplaats je in de gebruiker	1	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP053	Stel betrokkenen op de hoogte van het doel waarvoor gegevens verzameld worden	Stel bij het verzamelen en opvragen van persoonsgegevens de betrokkenen op de hoogte van het doel waarvoor de gegevens worden verzameld en van de rechten die zij mogen uitoefenen.	Pas doelbinding toe	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP077	Stel de juridische aansprakelijkheid per gegevensobject vast	Stel per informatie-object de de bron vast, en daarmee de juridische aansprakelijkheid voor de juistheid van het object.	Informeer bij de bron Pas doelbinding toe	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP040	Stel een duidelijke Quality of Service (QoS) vast voor de dienst	De dienst heeft een duidelijk beschreven 'Quality of Service'. Niet alleen op het technisch koppelvlak, maar juist ook op die aspecten die door de afnemers begrepen worden. Bijvoorbeeld in termen van beschikbaarheid, performance, supportniveau, etc.	Beschrijf de dienst nauwkeurig	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP064	Stel onweerlegbaarheid vast	Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is, zodat daarvoor aanvullende maatregelen genomen kunnen worden.	Verifieer altijd Beheers risico's voortdurend	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP073	Stel van ieder gegeven de kwaliteit vast	Stel voor ieder gegeven de kwaliteit vast volgens kenmerken van compleetheid, actualiteit en tijdigheid.	Stuur cyclisch op kwaliteit Neem gegevens als fundament	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP058	Stel voor ieder gegeven de unieke bron vast	Het niet hebben van een 'single point of truth (SPOT)' kan leiden tot divergerende data en mogelijk tot inconsistente beslissingen die op basis van de verschillende databronnen worden genomen.	Informeer bij de bron Neem gegevens als fundament	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP046	Stel één verantwoordelijke vast voor ieder gegeven	Voor ieder gegeven en voor iedere verwerking moet er een verantwoordelijke gegevenseigenaar zijn. Dat vraagt een inventarisatie van alle relevante gegevensobjecten.	Neem gegevens als fundament	2	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP065	Verifieer de kwaliteit van gegevens van het begin tot het einde van het proces	Controleer de kwaliteit van gegevens vanaf invoer en op ieder koppelvlak aan de hand van de vastgestelde kwaliteitseisen. Eenmaal geverifieerd hoeft een verificatie niet opnieuw plaats te vinden als de eerder uitgevoerde verificatie nog betrouwbaar is.	Verifieer altijd	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP067	Verifieer de werking van algoritmes	Kijk doorlopend hoe applicaties functioneren en of uitkomsten van functies en modellen passen binnen de specificaties en dat er geen sprake is van zaken als model drift, of het ontstaan van bias.	Verifieer altijd	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP088	Verleen alleen strikt noodzakelijke toegangsrechten	Ken geen rollen en toegangsrechten toe aan accounts van gebruikers en services tenzij dat strikt noodzakelijk is (Least Privilege).	Verifieer altijd	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP084	Versleutel gegevens in rust en transport	Versleutel alle gegevensdragers waarop niet-publieke informatie staat, inclusief smartphones en laptops, conform de laatst bekende en geldende richtlijnen. Dit reduceert het risico op een gegevenslek bij verlies van een dergelijk apparaat. Neem voor niet-publieke gegevens ook adequate beveiligingsmaatregelen om ze te beschermen in ransit. Dit kan door de verbinding te beveiligen, danwel door encryptie van de informatie zelf. Dit laatste heeft de voorkeur.	Beheers risico's voortdurend	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP087	Verwerk bericht-interactie persistent	Zorg dat een bericht dat een mutatie tot gevolg heeft, bijvoorbeeld een bericht dat een betalingsopdracht representeert, niet verloren kan gaan. Een dergelijk 'transactioneel' bericht moet een incident als uitwijk of storing kunnen overleven. Alle onderdelen van een verwerkingsketen nemen verantwoordelijkheid voor het bericht en zorgen ervoor dat het bericht niet verloren gaat. Correcte verwerking heeft prioriteit boven verwerkingssnelheid. Persistentie houdt in dat een (transport-)transactie pas is voltooid als het bericht is opgeslagen in een 'persistent store', zoals een bestand of database. Een opvragingsbericht daarentegen heeft geen mutatie tot gevolg. Responsetijd heeft hier meer prioriteit. Bij verlies van een opvragingsbericht (door bv. een storing) wordt de opvraging opnieuw gedaan. Verwerk een opvragingsbericht daarom niet-persistent verwerkt.	Bouw diensten modulair op	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP007	Verwijs naar de bron	Verwijzen naar de bron heeft voorkeur boven een kopie uit die bron. Inzage in de bron heeft de voorkeur boven zelf opslaan. Afspraken daarover worden vastgelegd en bekend gemaakt. Vanuit legitimiteitsperspectief kan het nodig zijn een kopie vast te leggen.	Informeer bij de bron	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP002	Voorkom verlies van informatie	Veranderingen in techniek, organisatie of gebruikerswensen mogen niet van negatieve invloed zijn op de duurzame toegankelijkheid van informatie. Hetzelfde geldt voor bitrot (verlies van informatie door verval van opslagmedia). Neem vooraf maatregelen om informatie toekomstbestendig te maken, zodat deze toegankelijk blijft voor de van toepassing zijnde vormen van (her)gebruik. Dit betekent dat: Leveranciersafhankelijkheid wordt voorkomen. Analyse wordt gemaakt van welke gevolgen veranderingen (in techniek, organisatie, of gebruikerswensen) hebben voor de duurzame toegankelijkheid van informatie. Bij het ontwerpen van informatiesystemen na wordt gedacht over de te gebruiken technologie voor het beheren van informatie.	Neem gegevens als fundament	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP057	Weet welke (bron)gegevens in huis zijn	Weet welke gegevens de overheid of overheidsorganisatie al in huis heeft in de bronadministraties en op welke manier deze gegevens hergebruikt kunnen worden.	Informeer bij de bron	3	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP083	Wissel gegevens tussen (web)applicaties uit met API's	Gegevensuitwisseling tussen (web)applicaties gebeurt via Restful API's. De broneigenaar levert API's die voldoen aan de moderne RESTful standaarden. API's dienen centraal te worden beheerd in een API management systeem.	Bouw diensten modulair op	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP017	Zorg dat overheidsinformatie eenvoudig te raadplegen is	De informatiegebruiker (mens of machine) kan een informatieobject of een verzameling informatieobjecten binnen redelijke tijd en inspanning gebruiken (zoals inzien, exporteren, bewaren en verwerken in de eigen gebruiksomgeving), nu en in de toekomst (gedurende de gehele levenscyclus). Daardoor is de informatiegebruiker zo min mogelijk afhankelijk van de beheeromgeving voor de toegang tot de informatie. Dit betekent dat: Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben. Onderscheid gemaakt moet worden in primaire en secundaire gebruikers op basis van doelbinding. De informatie beschikbaar moet worden gesteld in een bestandsformaat dat samenhangt met het doel waarvoor de informatie wordt gebruikt. Een zoekfunctie beschikbaar moet zijn waarmee alle relevante informatieobjecten vindbaar zijn. De informatie moet kunnen worden gevonden zonder dat er (specifieke) en/of kennis van de zoekfunctionaliteit of de gezochte informatie benodigd is. Van elk informatieobject een weergave en/of export beschikbaar moet zijn.	Verplaats je in de gebruiker	4	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP086	Zorg dat software up-to-date is	Houd alle gebruikte software en software-componenten, van applicatief tot infrastructureel, actueel. Volg de update-cyclus van leveranciers strikt: voer updates, patches en beveiligingsupdates zo snel mogelijk door op alle relevante systemen.	Stuur cyclisch op kwaliteit Beheers risico's voortdurend	4 5	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP039	Zorg voor open specificaties	Zorg voor open specificaties. Zodat deze hergebruikt kunnen worden over instellingen heen. Dit voorkomt dat verschillende organisaties hetzelfde wiel moeten uitvinden. Zie ook EIF principle 2: "Openness", aanbeveling 4. EIF-brochure (pdf)	Beschrijf de dienst nauwkeurig Bouw diensten modulair op Hergebruik vóór kopen vóór maken	1	Actueel	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)

Alle Implicaties ongeacht status actualiteit[bewerken]

Binnen deze tabel kun je zoeken, sorteren binnen een kolom en kiezen hoeveel resultaten tegelijk getoond worden. Ook kun je de informatie uit deze tabel rechtstreeks exporteren en downloaden in de formats json, csv, rss en rdf. (Uitleg)

ID	Status actualiteit	Implicatie	Beschrijving	hoort bij Architectuurprincipe(s)	Laag binnen vijflaagsmodel	Status toelichting
IMP060	Actueel	Bepaal autorisaties met metadata	Autorisaties voor het verstrekken en gebruik van gegevens kan worden bepaald op basis van metadata. De beheerder die het gegeven beheert en het wil verstrekken voor verdere bewerking, voegt metadata toe aan de hand waarvan de beheerder en de afnemer een autorisatiebeslissing kan nemen.	Informeer bij de bron	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP063	Actueel	Bepaal de continuïteitseisen	Continuïteitseisen vormen de input voor het maken van een calamiteitenplan. Voorbeelden van continuïteitseisen zijn Maximum Tolerable Outage (MTO), Recovery Time Objective (RTO), Recovery Point Objective (RPO).	Beheers risico's voortdurend	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP071	Actueel	Bepaal taken en verantwoordelijkheden van de gegevensverwerking	Verantwoordelijkheden, bevoegdheden en taken bij gegevensverwerking zijn bepaald en bekend.	Stuur cyclisch op kwaliteit	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP001	Actueel	Beschrijf informatieobjecten in een model	Voor een optimale dienstverlening aan burgers en bedrijven en voor effectieve en efficiënte samenwerking in het leveren van diensten tussen en binnen overheidsorganisaties, is het belangrijk om een gezamenlijk beeld te hebben van de informatie die hierbinnen worden gebruikt en nodig zijn. Dit is alleen mogelijk door informatieobjecten voor een dienst, systematisch te beschrijven met behulp van een informatiemodel dat de semantiek en syntax van de gegevens vastlegt. Zo kunnen de betrokken gebruikers de relevante informatieobjecten vinden, toepassen, (her)gebruiken en archiveren. Dit betekent dat een informatiemodel minimaal bevat: Informatietypen (entiteiten) (een ordening van informatieobjecten in zogenaamde informatietypen, ook wel de hoofdstructuur (entiteiten) van het informatiemodel met hun onderlinge relaties. Attributen (een ordening elementen die binnen de entiteiten zijn of worden opgenomen met de beschrijving daarvan). Regels (een opsomming van eisen waar de entiteiten en attributen aan moeten voldoen). Maak het informatiemodel bekend in een datacatalogus die inzicht geeft in de beschikbaarheid van data. En benut visualistatiemiddelen om het model en de samenhang/relaties tussen de objecten visueel inzichtelijk te maken.	Beschrijf de dienst nauwkeurig Neem gegevens als fundament	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP021	Actueel	Bevorder hergebruik van gegevens	Maak zo veel mogelijk gebruik van gegevens die reeds beschikbaar zijn in plaats van deze gegevens opnieuw te verzamelen of te creëren.	Informeer bij de bron Bundel diensten Bied de dienst proactief aan Neem gegevens als fundament Hergebruik vóór kopen vóór maken	2 3 4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP078	Actueel	Bewaak de continuïteit en stel een calamiteitenplan op	Bewaak de continuïteit van voorzieningen zodat bij bedreiging van de continuïteit alarm geslagen wordt en er voorzien is in een calamiteitenplan. Test en evalueer dit plan op regelmatige basis.	Beheers risico's voortdurend	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP010	Actueel	Bied multi- en omni-channel dienstverlening	Bied diensten aan via meerdere kanalen aan. Bij multichannel kunnen afnemers kiezen tussen enkele kanalen die niet direct op elkaar zijn afgestemd. Bij omnichannel gebruikt de afnemer heel veel verschillende kanalen die goed op elkaar zijn afgestemd.	Lever een kanaal-onafhankelijk resultaat	2 3 4 5	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP005	Actueel	Bied één contactpunt (Single point of contact)	Bied de dienst zo veel mogelijk vanuit één contactpunt aan richting burgers en bedrijven. Zo hoeven burgers en bedrijven niet met verschillende partijen te schakelen om de dienst af te kunnen nemen.	Verplaats je in de gebruiker Bundel diensten Voorkom onnodige complexiteit	1 2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP081	Actueel	Borg de vertrouwelijkheid van gegevens in maatregelen	De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens.	Beheers risico's voortdurend	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP080	Actueel	Controleer de verwerking van gegevens	Controleer de verwerking van gegevens: Zijn de criteria voor juistheid, en tijdigheid vastgesteld? Worden gegevens die vanuit een systeemvreemde omgeving ingevoerd zijn eerst gecontroleerd op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt? Worden te versturen gegevens gecontroleerd op juistheid, volledigheid en tijdigheid? Worden ter verwerking aangeboden gegevens gecontroleerd op juiste, volledig en tijdige verwerking? Worden kritieke gegevens die in verschillende gegevensverzamelingen voorkomen periodiek met elkaar vergeleken op consistentie? (Dit geldt alleen zolang de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens)	Beheers risico's voortdurend	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP020	Actueel	Defineer de toegangsregels kanaalonafhankelijk	Formuleer uniforme regels die gelden voor toegang tot de entiteiten (dienst, informatie, object) onafhankelijk van het kanaal.	Lever een kanaal-onafhankelijk resultaat	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
NAP07.01	Uitgefaseerd	Diensten vullen elkaar aan (implicatie)	Zorg er voor dat diensten elkaar aanvullen en niet overlappen: Geef een heldere beschrijving van je dienst Stem de opzet van de dienst af met aanbieders van verwante diensten Sluit aan op die verwante diensten Burgers en bedrijven moeten de dienst en de meerwaarde er van kunnen herkennen: de dienst moet uniek zijn en niet overlappen met andere diensten. Dat voorkomt verwarring en zorgt dat de beoogde gebruiker de dienst weet te vinden. Daarvoor moeten individuele organisaties zelf de verantwoordelijkheid nemen om hun dienstverlening naast elkaar te leggen en op elkaar af te stemmen. Dit voorkomt dubbel werk en overlappende diensten. De overheid als geheel kan zo efficiënter werken. En bij individuele dienstverleners komt capaciteit en focus vrij om zich te concentreren op de kwaliteit van de unieke dienst die ze aanbieden.	Bouw diensten modulair op	2	Deze implicatie kwam voor in eerdere versies van het RFC Bindende architectuurafspraken 2022, maar heeft het uiteindelijke voorstel niet gehaald.
IMP049	Actueel	Draag zorg voor juiste en actuele en volledige informatie	Een gebruiker kan er op vertrouwen dat een informatieobject, zoals deze in de bron is vastgelegd, juist, actueel en volledig is. Fouten kunnen worden gemeld en hersteld. Daarbij is het van belang dat herstelwijzigingen worden gelogd, zodat traceerbaar is hoe foutieve gegevens zijn verwerkt en wat het effect daarvan is. Dit betekent dat: De kwaliteit van de informatie transparant, verankerd en geborgd moet zijn binnen de processen van de verantwoordelijke en leverende organisatie (datamanagement). Er gebruik moet worden gemaakt van gestandaardiseerde gegevensmodellen, gegevenswoordenboeken en catalogussen ten behoeve van machinematige verwerking van gegevens. De informatie tijdens de gehele levenscyclus moet worden gemonitord, gecontroleerd, gevalideerd op basis van regels, kaders, normen en standaarden waarbij wijzigingen traceerbaar moeten worden gemaakt. De informatie tijdens de gehele levenscyclus regelmatig moet worden getoetst aan wet- en regelgeving en daar verantwoording over moet worden afgelegd. Er cyclisch gerapporteerd moet worden over de kwaliteit van de gegevens. Voor afwijkingen moeten de juiste maatregelen worden getroffen om de betrouwbaarheid en de kwaliteit van de informatie te kunnen waarborgen. De informatie moet door de gehele lifecycle gevolgd kunnen worden vanaf de oorsprong tot aan het verwerken, opslaan, bewerken en beschikbaar stellen en/of vernietigen. (data-lineage). Er gebruik moet worden gemaakt van authentieke- en/of kwalitatieve bronnen.	Neem gegevens als fundament	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP014	Actueel	Elimineer overbodige processtappen (voor de afnemer)	Stel bij iedere processtap de vraag of deze stap waarde toevoegt voor de afnemer of dat de processtap evengoed weggelaten kan worden.	Voorkom onnodige complexiteit	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP062	Actueel	Evalueer de risicoanalyse bij veranderingen	Een verandering in het dreigingsprofiel, of in een bedrijfsproces of in de onderliggende voorzieningen kan een mogelijke kwetsbaarheid introduceren of gevolgen hebben voor de veiligheidsbelangen van stakeholders. Een verandering kan de kans of de impact van een dreiging veranderen.	Beheers risico's voortdurend	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP079	Actueel	Garandeer de beschikbaarheid van systemen	ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door: Vermeervoudiging van systeemfuncties. Herstelbaarheid en beheersing van verwerkingen. Voorspelling van discontinuïteit. Handhaving van functionaliteit.	Beheers risico's voortdurend	3 4 5	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP034	Actueel	Gebruik de standaard met het meest specifieke werkingsgebied	Gebruik de standaard met het meest specifieke werkingsgebied. Als deze conflicteert met bredere (internationale) standaarden, zorg dan in de sector voor afstemming daarmee.	Standaardiseer waar mogelijk	1	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP035	Actueel	Gebruik een actueel register met standaarden	Maak gebruik van een actueel register met standaarden per toepassingsgebied. Functionele standaarden hebben betrekking op bijvoorbeeld gegevensuitwisseling, beveiliging, taalgebruik, digitale communicatie, etc. Standaarden met een organisatorisch werkingsgebied hebben betrekking op bijvoorbeeld de strafrechtketen, zorgketen, sociale zekerheid, financiën, etc.	Standaardiseer waar mogelijk	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP038	Actueel	Gebruik gestandaardiseerde referentiedata	Gebruik gestandaardiseerde referentiedata. Zie ook CBS referentiedata, of domeinspecifieke bronnen voor referentiedata.	Standaardiseer waar mogelijk	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP027	Actueel	Gebruik open source	Bij gelijke geschiktheid heeft Open Source software de voorkeur bij het ontwikkelen van een dienst. Zie ook EIF principle 2 "Openness", aanbeveling 3.	Hergebruik vóór kopen vóór maken	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP075	Actueel	Gebruik open standaarden voor modellering	Organisaties werken volgens een open standaard voor o.a. architectuur-, data- en procesmodellering die door alle samenwerkende partijen op uniforme wijze wordt toegepast. De gekozen open standaard is bepalend voor de keuze van modelleersystemen die deze standaard ondersteunen. Wissel modellen uit tussen organisaties op basis van open standaarden. Voorbeelden van modelleerstandaarden zijn ArchiMate (architectuur), UML (data) en BPMN (processen).	Standaardiseer waar mogelijk	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP089	Actueel	Gebruik standaard oplossingen (implicatie)	Ontwikkel geen eigen processen, systemen en technieken wanneer deze ergens anders al beschikbaar zijn. Stel je actief op de hoogte van beschikbare en geplande standaardoplossingen, om daar bij het maken van plannen rekening mee te houden. De bruikbare elementen van beschikbare standaardoplossingen zullen moeten worden ingepast in de eigen organisatie. Geen enkele standaardoplossing past altijd voor de volle honderd procent. Daarom zal de bereidheid tot het sluiten van compromissen aanwezig moeten zijn.	Standaardiseer waar mogelijk	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP025	Actueel	Gebruik standaard oplossingen zonder maatwerk	Gebruik een standaardoplossing (zoals bijvoorbeeld een pakketoplossing) zoveel mogelijk ongewijzigd, dus zonder maatwerkaanpassingen. Pas bij de toepassing van een standaardoplossing je werkwijze aan bij de standaarden en de best-practices die aan de oplossing ten grondslag liggen. Volg waar het kan de inrichtingsfilosofie van leveranciers.	Voorkom onnodige complexiteit Standaardiseer waar mogelijk	2 4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP009	Actueel	Geef de afnemer inzage in rechten en voorwaarden en plichten	De bij de dienst horende rechten, voorwaarden en plichten dienen op duidelijke en transparante wijze toegankelijk te worden gemaakt voor burgers en bedrijven die deze dienst af willen of moeten nemen.	Beschrijf de dienst nauwkeurig Geef inzicht in de afhandeling van de dienst	1 2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP059	Actueel	Geef de voorkeur aan halen i.p.v. brengen van gegevens	Geef de voorkeur aan het halen (pull) i.p.v. het brengen van gegevens (push).	Informeer bij de bron	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP055	Actueel	Gegevens eenmalig uitgevraagd, uniek opgeslagen, meervoudig gebruikt	Gegevens worden eenmalig uitgevraagd of verzameld, uniek opgeslagen, en vervolgens meervoudig gebruikt. Dit impliceert tevens dat de juistheid van de gebruikte informatie-objecten uit een bronregistratie niet voor gebruik opnieuw hoeft te worden gecontroleerd.	Informeer bij de bron	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP044	Actueel	Hanteer bewaartermijnen voor informatie	Informatie wordt niet langer bewaard en niet eerder vernietigd dan wettelijk is toegestaan. Dit betekent dat: Er een selectielijst is, waarin opgenomen de te vernietigen informatieobjecten of onderdelen daarvan. Er vastgesteld in de organisatie verankerd beleid is met betrekking tot vernietigen. Bevoegdheden, rollen en verantwoordelijkheden en beleid rondom vernietigen zijn belegd. De organisatie inzicht heeft in informatieobjecten, bewaartermijnen, processen, informatiesystemen en hun onderlinge samenhang.	Neem gegevens als fundament	1	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP069	Actueel	Hanteer het zero-trust model	Ga nooit uit van het impliciete vertrouwen dat wie op een bepaald netwerk of systeem komt daar ook hoort: Controleer overal het netwerkverkeer. Controleer toegang per sessie. Hanteer dynamische policies en gebruik daarbij de geldigheidsduur van de laatste authenticatie. Blijf continue monitoren. Verzamel zoveel mogelijk gegevens om de beveiliging te blijven verbeteren. Dit wordt ook wel het 'zero-trust' model genoemd.	Verifieer altijd	5	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP074	Actueel	Identificeer de voor de dienst relevante standaardoplossingen	Inventariseer de voor de dienst relevante standaardoplossingen voor gebieden zoals: identificatie authenticatie autorisatie onweerlegbaarheid encryptie semantiek toegankelijkheid presentatie en vormgeving Beoordeel de oplossingen op geschiktheid. Bij geschiktheid worden ze opgenomen in de opzet van de dienst.	Hergebruik vóór kopen vóór maken	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP006	Actueel	Ken je afnemers en stem diensten hierop af	Verdiep je in de achtergronden van je afnemers en de context waarin zij van de dienst gebruik maken en vergewis je van de digitale vaardigheden van je doelgroep. Zorg dat de dienst is afgestemd op de (digi)vaardigheden en mogelijkheden van alle (potentiële) afnemers. Weet welke informatie afnemers doorgaans zoeken en waar ze deze zoeken. Deze informatie meld je aan op de voor de afnemers bekende vindplaatsen, zoals zoekmachines, portals, catalogi en registers. Ook de dienst zelf voorzie je van de nodige zoekfuncties. Om de afnemer waar dat nodig is door te kunnen verwijzen, zorg je dat je op de hoogte bent van de andere plaatsen waar diensten te vinden zijn.	Verplaats je in de gebruiker	1	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP085	Actueel	Kies bij cloudoplossingen SaaS boven PaaS boven IaaS	Bij het kiezen voor een cloud oplossing, geef de voorkeur aan SaaS boven PaaS boven IaaS. Houd hierbij rekening met het definiëren van een goede exit strategie en interoperabiliteit standaarden om de vendor lock-in zo beperkt mogelijk te houden. Een cloud oplossing vergt bovendien een gedegen strategie en plan van aanpak vanuit de eigen organisatie hoe met (publieke, community of private) cloud diensten om te gaan. Het SaaS (Software as a Service) model richt zich primair op eindgebruikers. Deze zijn (vaak) te prefereren voor oplossingen die niet uniek of onderscheidend zijn voor de organisatie of het werkdomein. Voorbeelden hiervan zijn Customer Relations Management, e-mail & Instant Messaging, Financiën, HRM en Project Management. PaaS (Platform as a Service) richt zich vooral op ontwikkelaars waarmee ze een ontwikkelplatform ter beschikking krijgen waarbij de cloud dienstverlener zorgdraagt voor de infrastructurele aspecten. Bij IaaS (Infrastructure as a Service) neem je infrastructuur componenten uit de cloud af zoals servers, opslag, en netwerken. Opmerking: deze implicatie daagt uit om tot een zo hoog mogelijk niveau ontzorgd te worden. Bij Cloud oplossingen ga je eerst kijken of de functionele eisen met SaaS kunnen worden ingevuld. Als specifiek aan een applicatie-ontwikkelomgeving of infra de behoefte is, dan kies je uiteraard voor PaaS respectievelijk Iaas.	Standaardiseer waar mogelijk Maak diensten schaalbaar Hergebruik vóór kopen vóór maken Beheers risico's voortdurend	2 3 4 5	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP033	Actueel	Koppel bronsystemen op basis van een passende classificatie	Verwerk als afnemer gegevens uit een bronsysteem met respect voor de classificatie van die gegevens. Geef het geen hogere classificatie voor beschikbaarheid en integriteit dan de bron, en geen lagere classificatie voor vertrouwelijkheid. Maak zonodig afspraken met de aanbieder om hun classificatie aan te passen en in hun dienst bijpassende maatregelen daarvoor te implementeren.	Informeer bij de bron Bouw diensten modulair op	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP051	Actueel	Leg auditlogs vast bij de bronregistratie van het gegeven	Als eigenaar van de bron wil je inzicht hebben in de toegang en inzage (CRUD) van de gegevens die vanuit de bron worden gebruikt. Voorkom dat auditgegevens verspreid raken over afnemende applicaties.	Neem gegevens als fundament	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP048	Actueel	Leg de context van een informatieobject vast in metadata	Informatie-objecten moeten goed worden beheerd. Onderdeel hiervan is dat de context van een informatieobject goed moet zijn vastgelegd in metadata. Informatie en gegevens moeten duidelijk binnen een bepaalde context te plaatsen zijn. Metadata is daar het passende instrument voor. Context (vastgelegd in metadata) is nodig om gegevens te begrijpen voor verwerking. Zie DUTO eisen (ISO 23081)	Neem gegevens als fundament	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP045	Actueel	Leg de doelbinding vast in de metadata van het gegevensobject	De verwerkingshistorie inclusief doel van verwerking wordt vastgelegd bij het gegegevensobject als metadata. Dit betekent dat de historie van acties waarin een gegevensobject wordt verwerkt (opvragen / vastleggen / wijzigen / verwijderen) inclusief het doel van de actie vastgelegd wordt bij het gegevenobject.	Pas doelbinding toe	1	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP054	Actueel	Leg de grondslag en het doel van de gegevensverwerking vast	Leg de grondslag en het doel vast, waarvoor informatie wordt uitgevraagd bij burgers en bedrijven. Aan het doel gekoppeld worden ook de eisen (kwaliteitscriteria) vastgelegd waaraan deze informatie moet voldoen. Houd er rekening mee dat het doel in de loop der tijd kan wijzigen.	Pas doelbinding toe	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP042	Actueel	Leg een Service Level Agreement vast bij de dienst	Leg de inhoud van de dienst en het akkoord hierop schriftelijk vast, in de vorm van een Service Level Agreement (SLA), een Gegevens Leverings Overeenkomst (GLO), of in wet- en regelgeving. Dit is in elk geval noodzakelijk voor bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter. Hierbij is het akkoord en de inhoud daarvan schriftelijk vastgelegd. De dienstverlener geeft hierbij ook aan welk betrouwbaarheidsniveau geldt voor de identificatie van de afnemer.	Beschrijf de dienst nauwkeurig	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP041	Actueel	Leg per dienst vast aan welke standaarden deze voldoet	Leg per dienst vast aan welke normen en standaarden je moet of wilt voldoen. Deze normen en standaarden moeten op hun beurt voldoen aan wet- en regelgeving. De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van deze norm worden geïdentificeerd.	Beschrijf de dienst nauwkeurig	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP076	Actueel	Maak afspraken over nieuwe (en oude) versies van standaarden	De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard. Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is.	Standaardiseer waar mogelijk	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP008	Actueel	Maak besluiten traceerbaar en controleerbaar	De overheid zorgt dat besluiten die burgers en bedrijven raken, ook door deze burgers en bedrijven te controleren zijn. Hierbij hebben zij de mogelijkheid om inzicht te krijgen op welke wijze en op basis van welke informatie besluiten tot stand zijn gekomen (traceerbaarheid).	Geef inzicht in de afhandeling van de dienst	1 2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP015	Actueel	Maak beveiligingsmaatregelen zo gebruiksvriendelijk mogelijk	Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in. Verleid de gebruiker zo veel mogelijk om veilig te werken: zo leidt het afdwingen van gebruikersonvriendelijke beveiligingsmaatregelen vaak tot onveilige workarounds en ander onveilig gedrag.	Verplaats je in de gebruiker Beheers risico's voortdurend	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP012	Actueel	Maak de dienst toegankelijk voor alle gebruikers	Zorg dat alle gebruikers, ook die met functiebeperking, de volwaardige dienst kunnen afnemen. Het streven is digitale inclusiviteit voor iedereen (digitoegankelijk).	Verplaats je in de gebruiker	1	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP013	Actueel	Maak de dienst toegankelijk voor anderstaligen	Zorg dat een (potentiële) anderstalige gebruiker de dienst ook kan afnemen, door deze ook in een algemeen toegankelijke taal aan te bieden (bv. Engels).	Verplaats je in de gebruiker	1	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP028	Actueel	Maak diensten herbruikbaar	De dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruiken. De opzet van de dienst anticipeert op onvoorziene afnemers en gebruik. Deze implicatie beoogt de dienst interoperabel en bruikbaar voor een zo groot mogelijke groep afnemers te maken. Dit draagt bij aan een hoger rendement van de dienst. Hiervoor is het nodig dat de dienst: zó is beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden maximaal gebruik maakt van (open) standaarden om zo min mogelijk drempels op te werpen voor gebruik een minimum aan gebruiksvoorwaarden kent is aangemeld bij een landelijk serviceregister.	Hergebruik vóór kopen vóór maken	2 4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP050	Actueel	Maak gegevens herleidbaar tot de bron (herkomst)	Dit betekent dat inzichtelijk gemaakt moet worden hoe gegevens tot stand zijn gekomen, over de gehele verwerking in de keten heen. Dus van bronnen tot eindproduct. Van ieder gegeven zijn de herkomst en verwerkingen beschikbaar tot aan vernietiging	Geef inzicht in de afhandeling van de dienst Neem gegevens als fundament	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP024	Actueel	Maak heldere afspraken over aanbieden en afnemen van diensten	Maak heldere afspraken over aanbieden en afnemen van diensten, waaronder eventueel van toepassing zijnde vergoedingen (afbakening van verantwoordelijkheden). Doe dit zowel vooraf als bij het afsluiten. Maak duidelijke afspraken over de gegarandeerde levensduur van de aangeboden dienst. Stem de opzet van je diensten af met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen. Voordat je een eigen dienst maakt, bekijk eerst of er al iets soortgelijks aanwezig is. Vraag en aanbod van diensten vind plaats door bundeling op overheidsniveau.	Beschrijf de dienst nauwkeurig Hergebruik vóór kopen vóór maken	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP019	Actueel	Maak stelselafspraken over identificatie en authenticatie	Maak stelselafspraken om te komen tot één generiek digitaal stelsel voor identificatie en authenticatie of sluit aan bij een bestaand kanaaloverstijgend stelsel met afspraken over betrouwbaarheidsniveau's.	Verifieer altijd Lever een kanaal-onafhankelijk resultaat	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP082	Actueel	Maak technische schuld inzichtelijk	Maak technische schuld zichtbaar en stuur op het oplossen van technische schulden. Technische schuld (technical debt) treedt op als er - al dan niet bewust - voor een oplossing wordt gekozen die op de korte termijn voordelig is (of lijkt) en gelijktijdig op de langere termijn extra kosten met zich meebrengt en de algehele complexiteit verhoogt.	Stuur cyclisch op kwaliteit	4 5	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP068	Actueel	Maak toegang tot applicaties en gegevens afhankelijk van authenticatieniveau	Een gebruiker dient allereerst geautoriseerd te zijn om een applicatie te mogen gebruiken of gegevens te mogen inzien. Hierbij speelt het behaalde niveau van authenticatie een rol. Als bijvoorbeeld informatie met een tweede factor (MFA) moet zijn afgeschermd krijgt de gebruiker geen toegang als hij/zij slechts met een gebruikersnaam/wachtwoord combinatie kan authenticeren. Na succesvolle authenticatie kan bepaald worden of een gebruiker de applicatie mag gebruiken (of informatie mag inzien) aan de hand van autorisatieregels.	Verifieer altijd	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP003	Actueel	Maak zoveel mogelijk data beschikbaar als open data	Stel overheidsdata actief beschikbaar voor hergebruik door derden, bijvoorbeeld in de vorm van open data. Beschouw dit aanbod als een dienst. De enige uitzondering zijn overheidsdata waarvoor wet- en regelgeving expliciet beperkingen oplegt, die stel je niet actief beschikbaar. Vanuit o.a. de WOO richt de overheid zich op transparantie. Daarbij hoort het actief beschikbaar stellen dan wel delen van data. Wel met inachtneming van de beperkingen die daarbij gelden (bijv. vanuit de AVG). Er zijn meerdere redenen om data actief beschikbaar te stellen. Zo kan het meer transparantie en inzicht geven in het overheidshandelen en zo de accountability vergroten. Bijvoorbeeld door begrotingen of inkoopgegevens als open data beschikbaar te stellen. Het kan ook economische en maatschappelijke innovatie stimuleren, zoals de ontwikkeling van apps en informatiediensten op basis van overheidsdata.	Beschrijf de dienst nauwkeurig Neem gegevens als fundament Hergebruik vóór kopen vóór maken	1 3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP018	Actueel	Maak één organisatie verantwoordelijk voor de dienst	Eén organisatie is verantwoordelijk en aanspreekbaar voor de geleverde dienst.	Beschrijf de dienst nauwkeurig Geef inzicht in de afhandeling van de dienst	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP004	Actueel	Minimaliseer het gebruik van gegevens	Verzamel of vraag alleen die gegevens op die nodig zijn voor het strikte doel van de dienstverlening. En houd de gegevensverwerking die hierop volgt in proportie met het doel. Dit voorkomt dat vertrouwelijke of privacygevoelige gegevens onnodig worden verwerkt.	Pas doelbinding toe	1 3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP043	Actueel	Neem diensten op in een producten- en dienstencatalogus (PDC)	Beschrijf diensten in een producten- en dienstencatalogus (PDC) inclusief de daarbij behorende spelregels. Datasets worden beschreven in een datacatalogus (interne afnemers). Open data van de overheid biedt dit inzicht aan externe afnemers. Zie data.overheid.nl	Beschrijf de dienst nauwkeurig	2 3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP022	Actueel	Neem oorspronkelijke grondslag mee bij hergebruik diensten	Bij hergebruik van diensten kijken zowel aanbieder als afnemer opnieuw naar de oorspronkelijke grondslag en doelbinding. Als dat nodig blijkt passen zij pseudonimisering dan wel anonimisering van de data toe. Dit houdt in dat bij te ontwikkelen functionaliteit de oorspronkelijke grondslag bepalend is voor de hergebruikmogelijkheden.	Pas doelbinding toe Hergebruik vóór kopen vóór maken	1	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP032	Actueel	Ontwerp diensten met oog voor doelbinding en grondslag	Ontwerp en implementeer diensten met oog voor doelbinding, data-minimalisatie en oorspronkelijke grondslag.	Bouw diensten modulair op Pas doelbinding toe	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP031	Actueel	Ontwerp op modulaire wijze	Realiseer complexe systemen op modulaire wijze. Dit doe je door het systeem zodanig te ontwerpen dat deze opgedeeld kan worden in modules. Elke module moet eigenschappen bevatten die het mogelijk maken om ze (via gestandaardiseerde koppelvlakken) aan elkaar te koppelen. Zodanig vormen ze in het geheel een complex systeem.	Bouw diensten modulair op	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP047	Actueel	Pas de FAIR dataprincipes toe	Pas de implicaties van de FAIR dataprincipes toe. Zie ook go.fair.org FAIR-principes.	Neem gegevens als fundament	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP026	Actueel	Pas je eigen proces en organisatie aan aan de standaard oplossing	Pas je processen en organisatie aan de standaard oplossingen aan, in plaats van het omgekeerde. Zie ook EIF principle 4 "Reusability", aanbeveling 6+7.	Voorkom onnodige complexiteit Standaardiseer waar mogelijk	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP016	Actueel	Pas ontwerprichtlijnen toe bij websites en portalen en apps	Elke overheidsorganisatie is verantwoordelijk voor het goed toegankelijk maken van haar activiteiten voor burgers en bedrijven. Voor websites geldt dat deze moeten voldoen aan de standaarden zoals gedefinieerd in WCAG. Dit geldt met name voor websites die toegankelijk zijn voor het publiek, maar ook voor intern gerichte websites. WCAG staat voor 'Web Content Accessibility Guidelines'. De wetgever heeft bepaald dat alle (semi-)overheids websites per 23 september 2020 aan deze WCAG standaard moeten voldoen.	Verplaats je in de gebruiker	4 5	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP036	Actueel	Pas open standaarden toe	Verwerf producten die aan de standaard(en) voldoen. Hierbij geldt: Open standaarden tenzij. Implementaties maken gebruik van de beschrijvingen uit de open standaarden om leveranciersonafhankelijkheid te behouden. Maak met afnemers afspraken over de te gebruiken open standaarden. Anticipeer hierbij op de ontwikkeling van de open standaarden, bijvoorbeeld door nieuws over standaarden te volgen via noraonline.nl of www.forumstandaardisatie.nl/	Standaardiseer waar mogelijk	2 3 4 5	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP037	Actueel	Pleeg onderhoud op de toegepaste standaarden	Zorg via lifecyclemanagement voor toepassing van voldoende actuele versies van standaarden. Inventariseer de relevante standaarden en neem dat mee in het ontwerp van de dienst/voorziening.	Standaardiseer waar mogelijk	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP061	Actueel	Reduceer rest-risico's	Besteed speciale aandacht aan de rest-risico's die overblijven na toepassen van de standaard maatregelen die op basis van de BIO of vanuit de AVG zijn ingericht en weeg de consequenties van de maatregelen af tegen het accepteren van het rest-risico. De verantwoordelijke voor het bedrijfsmiddel moet de rest-risico's accepteren.	Beheers risico's voortdurend	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP023	Actueel	Regisseer hergebruik diensten in de keten	Hergebruik van diensten in de keten moet onderling tussen de verschillende overheidsorganisaties georganiseerd en geregisseerd worden. Zorg voor een register van diensten die voor hergebruik geschikt en beschikbaar zijn.	Hergebruik vóór kopen vóór maken	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP056	Actueel	Registreer gegevens bij de bron	Registreer gegevens (zo dicht mogelijk) bij de bron, daar waar de gegevens ontstaan. Dit verhoogt de volledigheid, kwaliteit en de actualiteit van de gegevens aanzienlijk en voorkomt fouten. De vastgelegde gegevens kunnen daarna voor verschillende doeleinden worden gebruikt. Een ander belangrijk voordeel is dat het achteraf registreren van gegevens die eerder zijn ontstaan wordt voorkomen hetgeen de registratielast vermindert. Waar mogelijk, leg gegevens geautomatiseerd vast.	Informeer bij de bron	2 3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP072	Actueel	Richt data governance in	Data governance staat aan de basis van goed gegevenbeheer. Het betreft alle afspraken (en structuren) waarmee je vastlegt hoe gebruik te maken van de beschikbare gegevens en de gegevenskwaliteit en veiligheid hiervan te waarborgen. Hierbij hoort ook het vastleggen van datastandaarden, visie en strategie. Inclusief wie welke verantwoordelijkheid hierin heeft. Zie ook [3]	Stuur cyclisch op kwaliteit	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP066	Actueel	Richt een sterke logging en audit-trail in	Logging is fundamenteel in applicaties. Richt een sterke logging en audit-trail in, voor elke applicatie en elk systeem. Logbestanden en audit-trails spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Logberichten moeten zo veel mogelijk informatie bevatten over hetgeen er gebeurd is (wie, wat, waar, wanneer) en moeten op het juiste niveau gelogd worden. Let er op dat logberichten geen persoonlijke kenmerken (AVG) of security kenmerken (zoals wachtwoorden) mogen bevatten.	Verifieer altijd	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP029	Actueel	Scheid proces van data	Scheid proces van data en data van software. Zorg dat software hardware-agnostisch is. De afhankelijkheden tussen (proces-)onderdelen moeten bij voorkeur zo klein mogelijk zijn. Hierdoor blijft ontkoppeling op een later moment mogelijk.	Bouw diensten modulair op	2 3 4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP030	Actueel	Scheiding van datasets	Verdeel de informatie in afgebakende datasets, die ook elk afzonderlijk getoetst kunnen worden op vhet oldoen aan de AVG.	Bouw diensten modulair op	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP070	Actueel	Segmenteer het netwerk	Het segmenteren van het netwerk beperkt de gevolgen van een aanval. Segmenteren betekent dat een netwerk in meerdere zones wordt verdeeld, waartussen een inspectiepunt ontstaat. Netwerksegmentatie voorkomt dat een virus of aanvaller zich kan verspreiden in het gehele netwerk. Afhankelijk van de wijze van implementatie is netwerksegmentatie een maatregel die de gevolgen van ransomware-aanvallen of DDoS-aanvallen beperkt.	Verifieer altijd Beheers risico's voortdurend	5	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP052	Actueel	Sla informatie op in een duurzaam toegankelijk bestandsformaat	Informatie moet toegankelijk zijn voor gebruikers, zowel mens als machine. Hiervoor moeten de gebruikers geen speciale toepassingen of hulpmiddelen nodig hebben. Daarbij moet het formaat waar de informatie in wordt opgeslagen toekomstbestendig zijn, zodat de informatie ook in de toekomst nog toegankelijk is. Dit betekent dat: Gebruik wordt gemaakt van een open standaard. Bij doorontwikkeling van de gebruikte formaten, het originele bronbestand opgeslagen blijft in zijn huidige formaat en het voorlaatste bestandformaat actief wordt gemigreerd naar het nieuwe formaat. Er voor het gebruik van het bestandsformaat geen afhankelijkheid is van één enkele leverancier en het onafhankelijk van hulpmiddelen of speciale toepassingen te gebruiken is. Het bestandsformaat goed is gedocumenteerd. Het formaat het eenvoudig uitwisselen met andere platforms en apparaten ondersteunt. Fouten in de bitopslag automatisch gedetecteerd kunnen worden en te herstellen zijn. Het formaat op grote schaal gebruikt wordt.	Neem gegevens als fundament	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP011	Actueel	Sluit aan op het voorkeurskanaal van de gebruiker	Sluit qua kanaal aan op de voorkeurkeuze van gebruikers. Digitale kanalen zijn hierin leidend, doch er mag niet voorbij worden gegaan aan het belang van burgers die geen of beperkte mogelijkheden hebben om digitaal te communiceren.	Verplaats je in de gebruiker	1	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP053	Actueel	Stel betrokkenen op de hoogte van het doel waarvoor gegevens verzameld worden	Stel bij het verzamelen en opvragen van persoonsgegevens de betrokkenen op de hoogte van het doel waarvoor de gegevens worden verzameld en van de rechten die zij mogen uitoefenen.	Pas doelbinding toe	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP077	Actueel	Stel de juridische aansprakelijkheid per gegevensobject vast	Stel per informatie-object de de bron vast, en daarmee de juridische aansprakelijkheid voor de juistheid van het object.	Informeer bij de bron Pas doelbinding toe	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP040	Actueel	Stel een duidelijke Quality of Service (QoS) vast voor de dienst	De dienst heeft een duidelijk beschreven 'Quality of Service'. Niet alleen op het technisch koppelvlak, maar juist ook op die aspecten die door de afnemers begrepen worden. Bijvoorbeeld in termen van beschikbaarheid, performance, supportniveau, etc.	Beschrijf de dienst nauwkeurig	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP064	Actueel	Stel onweerlegbaarheid vast	Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is, zodat daarvoor aanvullende maatregelen genomen kunnen worden.	Verifieer altijd Beheers risico's voortdurend	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP073	Actueel	Stel van ieder gegeven de kwaliteit vast	Stel voor ieder gegeven de kwaliteit vast volgens kenmerken van compleetheid, actualiteit en tijdigheid.	Stuur cyclisch op kwaliteit Neem gegevens als fundament	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP058	Actueel	Stel voor ieder gegeven de unieke bron vast	Het niet hebben van een 'single point of truth (SPOT)' kan leiden tot divergerende data en mogelijk tot inconsistente beslissingen die op basis van de verschillende databronnen worden genomen.	Informeer bij de bron Neem gegevens als fundament	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP046	Actueel	Stel één verantwoordelijke vast voor ieder gegeven	Voor ieder gegeven en voor iedere verwerking moet er een verantwoordelijke gegevenseigenaar zijn. Dat vraagt een inventarisatie van alle relevante gegevensobjecten.	Neem gegevens als fundament	2	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP065	Actueel	Verifieer de kwaliteit van gegevens van het begin tot het einde van het proces	Controleer de kwaliteit van gegevens vanaf invoer en op ieder koppelvlak aan de hand van de vastgestelde kwaliteitseisen. Eenmaal geverifieerd hoeft een verificatie niet opnieuw plaats te vinden als de eerder uitgevoerde verificatie nog betrouwbaar is.	Verifieer altijd	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP067	Actueel	Verifieer de werking van algoritmes	Kijk doorlopend hoe applicaties functioneren en of uitkomsten van functies en modellen passen binnen de specificaties en dat er geen sprake is van zaken als model drift, of het ontstaan van bias.	Verifieer altijd	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP088	Actueel	Verleen alleen strikt noodzakelijke toegangsrechten	Ken geen rollen en toegangsrechten toe aan accounts van gebruikers en services tenzij dat strikt noodzakelijk is (Least Privilege).	Verifieer altijd	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP084	Actueel	Versleutel gegevens in rust en transport	Versleutel alle gegevensdragers waarop niet-publieke informatie staat, inclusief smartphones en laptops, conform de laatst bekende en geldende richtlijnen. Dit reduceert het risico op een gegevenslek bij verlies van een dergelijk apparaat. Neem voor niet-publieke gegevens ook adequate beveiligingsmaatregelen om ze te beschermen in ransit. Dit kan door de verbinding te beveiligen, danwel door encryptie van de informatie zelf. Dit laatste heeft de voorkeur.	Beheers risico's voortdurend	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP087	Actueel	Verwerk bericht-interactie persistent	Zorg dat een bericht dat een mutatie tot gevolg heeft, bijvoorbeeld een bericht dat een betalingsopdracht representeert, niet verloren kan gaan. Een dergelijk 'transactioneel' bericht moet een incident als uitwijk of storing kunnen overleven. Alle onderdelen van een verwerkingsketen nemen verantwoordelijkheid voor het bericht en zorgen ervoor dat het bericht niet verloren gaat. Correcte verwerking heeft prioriteit boven verwerkingssnelheid. Persistentie houdt in dat een (transport-)transactie pas is voltooid als het bericht is opgeslagen in een 'persistent store', zoals een bestand of database. Een opvragingsbericht daarentegen heeft geen mutatie tot gevolg. Responsetijd heeft hier meer prioriteit. Bij verlies van een opvragingsbericht (door bv. een storing) wordt de opvraging opnieuw gedaan. Verwerk een opvragingsbericht daarom niet-persistent verwerkt.	Bouw diensten modulair op	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP007	Actueel	Verwijs naar de bron	Verwijzen naar de bron heeft voorkeur boven een kopie uit die bron. Inzage in de bron heeft de voorkeur boven zelf opslaan. Afspraken daarover worden vastgelegd en bekend gemaakt. Vanuit legitimiteitsperspectief kan het nodig zijn een kopie vast te leggen.	Informeer bij de bron	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP002	Actueel	Voorkom verlies van informatie	Veranderingen in techniek, organisatie of gebruikerswensen mogen niet van negatieve invloed zijn op de duurzame toegankelijkheid van informatie. Hetzelfde geldt voor bitrot (verlies van informatie door verval van opslagmedia). Neem vooraf maatregelen om informatie toekomstbestendig te maken, zodat deze toegankelijk blijft voor de van toepassing zijnde vormen van (her)gebruik. Dit betekent dat: Leveranciersafhankelijkheid wordt voorkomen. Analyse wordt gemaakt van welke gevolgen veranderingen (in techniek, organisatie, of gebruikerswensen) hebben voor de duurzame toegankelijkheid van informatie. Bij het ontwerpen van informatiesystemen na wordt gedacht over de te gebruiken technologie voor het beheren van informatie.	Neem gegevens als fundament	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP057	Actueel	Weet welke (bron)gegevens in huis zijn	Weet welke gegevens de overheid of overheidsorganisatie al in huis heeft in de bronadministraties en op welke manier deze gegevens hergebruikt kunnen worden.	Informeer bij de bron	3	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP083	Actueel	Wissel gegevens tussen (web)applicaties uit met API's	Gegevensuitwisseling tussen (web)applicaties gebeurt via Restful API's. De broneigenaar levert API's die voldoen aan de moderne RESTful standaarden. API's dienen centraal te worden beheerd in een API management systeem.	Bouw diensten modulair op	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP017	Actueel	Zorg dat overheidsinformatie eenvoudig te raadplegen is	De informatiegebruiker (mens of machine) kan een informatieobject of een verzameling informatieobjecten binnen redelijke tijd en inspanning gebruiken (zoals inzien, exporteren, bewaren en verwerken in de eigen gebruiksomgeving), nu en in de toekomst (gedurende de gehele levenscyclus). Daardoor is de informatiegebruiker zo min mogelijk afhankelijk van de beheeromgeving voor de toegang tot de informatie. Dit betekent dat: Alle informatieobjecten op basis van classificatie en/of autorisatie & authenticatie (policies) beschikbaar en bruikbaar moet zijn voor diegene die daar recht toe hebben. Onderscheid gemaakt moet worden in primaire en secundaire gebruikers op basis van doelbinding. De informatie beschikbaar moet worden gesteld in een bestandsformaat dat samenhangt met het doel waarvoor de informatie wordt gebruikt. Een zoekfunctie beschikbaar moet zijn waarmee alle relevante informatieobjecten vindbaar zijn. De informatie moet kunnen worden gevonden zonder dat er (specifieke) en/of kennis van de zoekfunctionaliteit of de gezochte informatie benodigd is. Van elk informatieobject een weergave en/of export beschikbaar moet zijn.	Verplaats je in de gebruiker	4	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP086	Actueel	Zorg dat software up-to-date is	Houd alle gebruikte software en software-componenten, van applicatief tot infrastructureel, actueel. Volg de update-cyclus van leveranciers strikt: voer updates, patches en beveiligingsupdates zo snel mogelijk door op alle relevante systemen.	Stuur cyclisch op kwaliteit Beheers risico's voortdurend	4 5	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)
IMP039	Actueel	Zorg voor open specificaties	Zorg voor open specificaties. Zodat deze hergebruikt kunnen worden over instellingen heen. Dit voorkomt dat verschillende organisaties hetzelfde wiel moeten uitvinden. Zie ook EIF principle 2: "Openness", aanbeveling 4. EIF-brochure (pdf)	Beschrijf de dienst nauwkeurig Bouw diensten modulair op Hergebruik vóór kopen vóór maken	1	In werking getreden op 1-1-2023, conform RFC 2022. (zie besluit)

Downloadbare tabel met alle implicaties

Inhoud

Alle actuele Implicaties[bewerken]

Alle actuele Implicaties met alle eigenschappen[bewerken]

Alle Implicaties ongeacht status actualiteit[bewerken]

Navigatiemenu

Downloadbare tabel met alle implicaties

Alle actuele Implicaties[bewerken]

Alle actuele Implicaties met alle eigenschappen[bewerken]

Alle Implicaties ongeacht status actualiteit[bewerken]

Navigatiemenu

Zoeken