NORA Gebruikersraad/2017-11-14

Uit NORA Online
Ga naar: navigatie, zoeken
NB: Rondom deze vergadering is een inhoudelijk programma georganiseerd: uitnodiging (PDF, 550 kB). De Themasessies Digitale Authenticatie en identificatie, Privacy by Design en Digitale Mobiliteit vinden van 13.20 uur - 15.45 uur plaats in verschillende zaaltjes. Na afloop van deze sessies worden de nieuwste ontwikkelingen van de NORA gepresenteerd. Gelijktijdig vergaderen de leden van de NORANederlandse Overheid ReferentieArchitectuur Gebruikersraad. We sluiten om 17.00 uur af met een borrel voor alle deelnemers van deze dag.
Bijeenkomst van NORA Gebruikersraad op dinsdag 14 november 2017, 16.00-17.00 uur, locatie: ICTU.
Doel: Inhoudelijke besluitvorming, visievorming, knelpunten benoemen.
Doelgroep: Leden van de NORANederlandse Overheid ReferentieArchitectuur Gebruikersraad (architecturen & stakeholders). .


Inhoud

Opening en mededelingen (16.00 uur)

  • Saco laat weten dat hij per 1 januari vertrekt bij de Belastingdienst. Er is nog geen besluit genomen over het voorzitterschap van de Gebruikersraad na die datum. Voor de continuïteit is Saco bereid om in ieder geval de eerste vergadering in 2018 nog voor te zitten. Ondertussen zijn er gesprekken met het ministerie van BZK over een definitieve oplossing.
  • Theo Peters meldt dat KING per 1 januari verder gaat als VNG Realisatie.

RFC Afgeleide Principes 16 & 17 (16.10 uur)

Robert van Wessel presenteert (PDF, 384 kB) het wijzigingsvoorstel (PDF, 762 kB) om de Afgeleide Principes AP16 en AP17 samen te voegen tot één herzien Afgeleid Principe met als id AP17. Dit voorstel is tot stand gekomen in samenwerking met verschillende partijen in vijf ronden, met uiteindelijk een openbare consultatie op noraonline. Belangrijke kennishouders op dit gebied, zoals ICTU, KING, Nationaal Archief en de beheerders van gegevenswoordenboeken hebben hun input geleverd. Het is dan niet verwonderlijk dat de Gebruikersraad zonder bezwaren akkoord geeft op de wijziging.

Dank en complimenten gaan uit naar Robert, Aty en de overige betrokkenen. Implementatie van de wijziging in de wiki volgt zo spoedig mogelijk.

Met het aannemen van deze wijziging zijn de top drie van prioriteiten uit het traject Afgeleide Principes Revisited aangepakt. Dit traject is daarmee afgerond.

Terugkoppeling Themasessies door trekkers (16.15 uur)

Digitale Mobiliteit

Terugkoppeling door Ludwina van der Wijst. Deze sessie is georganiseerd in samenwerking met het Overheid Mobility Overleg (OMO). In OMO gebruiken we intervisie om enerzijds de indiener van de casus concreet verder te helpen en anderzijds te leren van elkaars kennis en inzichten. In deze sessie stond de casus 'Zelfbediening justitiabelen' centraal: gevangenen gebruiken veel verschillende papieren formulieren om bijvoorbeeld een kappersbezoek aan te vragen, een bezoek te krijgen van de dominee of een pakje shag te kopen. De ‘tablet voor gevangenen’ zou die dienstverlening gemakkelijker kunnen maken, maar is dat echt zo en hoe pak je dat aan?

Het was een kleine groep deelnemers maar de discussie en ideeën waren goed. We hebben ook nagedacht over verdere sessies, en welke thema’s die zouden moeten behandelen. OMO gaat drie vervolgsessies organiseren in het komende half jaar, waarbij telkens een casus behandeld wordt die aansluit bij een thema waar de groep over wil praten. De drie thema’s die zijn genoemd:

  • Hoe besluit je of je een app nodig hebt of niet en welke kaders hanteer je daarbij?
  • Richtinggevende principes over mobility zijn er nog niet echt, daar is wel behoefte aan, dus hoe komen we daartoe en hoe passen die dan in de context van NORANederlandse Overheid ReferentieArchitectuur?
  • Hoe kun je toch mobiel werken zonder gebruik van internet, dus op plekken waar online gaan geen optie is.

Voor de drie vervolgsessies wordt ook de NORA-community nadrukkelijk uitgenodigd en de resultaten krijgen hun plek in het thema Mobility. Nieuwe suggesties voor een te behandelen casus en/of thema zijn welkom via omo@ictu.nl.

Privacy by Design

Terugkoppeling door Rianne Bennink. De themasessie van zonet is onderdeel van de samenwerking met het Centrum Informatiebeveiliging en Privacybescherming (CIP). We willen de expertise die daar is opgebouwd combineren met de praktijkervaring van architecten om samen te kijken wat de rol van de architect zou moeten zijn als het gaat om Privacy.

De 25 deelnemers zijn in vijf groepen uiteen gegaan met een concrete casus: het is augustus 2018 en de auditor geeft 10 bevindingen waarin je organisatie/project niet voldoet aan de AVG mee. Intern word je hierop aangekeken, kan je deze bevindingen weerleggen? Elke groep bekeek een ander deel van de bevindingen, vanuit de eigen praktijk, en koppelde vervolgens weer terug.

De vraag wat de rol is van de architect is deels fundamenteel en levert dan ook discussie op. Maar deels is het ook een praktische: welke vragen heb je in de praktijk, welke oplossingen zijn er beschikbaar en bieden architectuurkaders als de NORANederlandse Overheid ReferentieArchitectuur voldoende richting? Vragen die nog echt in de groep speelden waren:

  • hoe je met privacy by design in de keten om kan gaan
  • wat nou echt de (on)mogelijkheden van encryptie zijn
  • of er ook (lichte) PIA’s zijn die zich alleen op aanpassingen of op het ketenaspect richten.

Maar er waren ook concrete voorstellen, bijvoorbeeld om slim om te gaan met administratieve verplichtingen, het koppelen van het privacy vraagstuk aan primair proces en werkprocessen, gebruik van de afgeleide principes, psa’s en standaardisering waar dat kan.

Vanuit de community is er ook behoefte om de afgeleide principes van de NORANederlandse Overheid ReferentieArchitectuur aan te scherpen, om zo de architect verder te ondersteunen in het borgen van privacy. Er is samen met het CIP al een eerste analyse uitgevoerd hoe privacy nu geborgd is in de NORANederlandse Overheid ReferentieArchitectuur. Die is te vinden via de themapagina Privacy. Ook kan je hier een matching tussen de NORANederlandse Overheid ReferentieArchitectuur AP’s en de Privacyprincipes van de Privacy Baseline vinden. Later dit jaar wordt bovendien de Privacy Baseline ontsloten via de NORA-wiki, hetgeen het mogelijk maakt om de relaties tussen AP’s en Privacyprincipes dynamisch weer te geven en de hele context mee te nemen bij een verdere aanscherping.

Digitale Authenticatie en Identificatie

Terugkoppeling door Menno Gmelig Meijling. Menno en Vincent van de Laar zijn de trekkers geweest van dit onderwerp. In tegenstelling tot de andere focuspunten is er eigenlijk geen natuurlijke partner om mee samen op te trekken bij dit onderwerp. Voor de aanbodkant is Logius een goed beginpunt, maar de vraagkant is eigenlijk nog niet georganiseerd. We zijn dan ook in veel opzichten bij 0 begonnen.

De sessie was druk bezocht en dynamisch. Er was veel kennis in de zaal aanwezig, hetgeen de discussie ten goede kwam. Het was al snel duidelijk dat er grote vragen zijn op dit vlak die we niet allemaal in een sessie kunnen aansnijden, laat staan beantwoorden. Zou je bijvoorbeeld Digitale Authenticatie wel los moeten zien van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. in het algemeen? Deze sessie was bedoeld om te kijken waar NORANederlandse Overheid ReferentieArchitectuur een bijdrage kan en moet leveren: wat is de behoefte en wat is er haalbaar binnen de context van NORANederlandse Overheid ReferentieArchitectuur?

We zijn in groepen uiteen gegaan om daar antwoorden op te geven. Een aantal behoeften werden duidelijk:

  • We zijn nog niet goed genoeg op de hoogte van wat er al vast ligt, wat er nog in beweging is en waar nog witte vlekken zijn die nog helemaal niet zijn ingevuld. We missen dus een soort landkaart van het onderwerp.
  • De behoefte van de verschillende sectoren en domeinen moet bij elkaar gelegd worden.
  • We moeten bezig zijn met de implementatie van korte termijn oplossingen, maar ook los van de bestaande keuzes en oplossingen nadenken over de toekomst: misschien kunnen en moeten zaken als het onderscheid tussen privé en werkidentiteiten (DigiD versus E-Herkenning) wel fundamenteel anders.
  • Het gaat ook over informatie- en kennisdeling: veel kennis is al ergens beschikbaar, maar het komt niet bij elkaar. Zo vraag je je in de praktijk geregeld af of je je tijd goed besteedt door iets helemaal zelf uit te pluizen, of dat iemand anders de kennis al in huis heeft.
  • Uiteindelijk moet die kennis ook ontsloten en gecommuniceerd worden naar een bredere groep collega’s dan nu is aangehaakt.

Vraag: werd het onderwerp 'digitale authenticatiemiddelen af te geven via bestaande (niet-digitale) afgiftetrajecten' ook aangesneden? Ja, zijdelings wel, maar we zullen het expliciet meenemen. Het is de bedoeling om dit gesprek voort te zetten in maandelijkse werksessies. Zo’n 10 personen hebben aan het einde van de sessie aangegeven dat ze hieraan mee willen werken en vormen zo de eerste start van een expertgroep authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen..

Over de drie onderwerpen heen

Saco herkent een rode draad over de onderwerpen heen, namelijk dat de kennis die specialisten hebben opgebouwd in NORANederlandse Overheid ReferentieArchitectuur ‘gewone’ kennis moet worden, dus kennis die iedereen heeft en kan gebruiken.


Mededeling: Op 29 mei 2018 is er weer een gecombineerde bijeenkomst van de themagroepen en de gebruikersraad. Vraag: Wat gebeurt er in de tussentijd? De themagroepen voeren hun plan uit, zodat er op 29 mei een breder bespreekbaar resultaat ligt. De focuspunten bepalen zelf het tempo dat bij hen past. Ook volgend jaar heeft elk focuspunt een trekker, die bijeenkomsten organiseert maar ook op andere manieren communiceert en de tussenresultaten ontsluit in de wiki noraonline. NORANederlandse Overheid ReferentieArchitectuur Beheer heeft alle mailadressen van de geïnteresseerden van deze dag en zal die ook gebruiken om te zorgen dat er gecommuniceerd wordt over het verloop van de onderwerpen, zowel binnen het onderwerp als naar buiten toe.

NORANederlandse Overheid ReferentieArchitectuur Jaarplan 2018 (16.45 uur)

Norbert Jansen, projectleider NORANederlandse Overheid ReferentieArchitectuur, licht het concept voor het NORA Jaarplan 2018 (PDF, 465 kB) toe. Het conceptjaarplan dat op tafel ligt is pas op vrijdag in de wiki gezet en verspreid, dus er is ook na de vergadering de gelegenheid om (telefonisch of per mail) je mening te geven. Alle opmerkingen die uiterlijk vrijdag 24 november binnen zijn neemt Norbert mee als input voor de volgende versie. Die versie wordt vervolgens ingebracht in de Regieraad van 12 december. Ook de opmerkingen van de Regieraad worden verwerkt, waarna de opdrachtgever bij BZK het jaarplan definitief vaststelt.

Voor het komende jaar is een vergelijkbaar budget beschikbaar als het afgelopen jaar. Omdat het nog maar een half jaar geleden is dat de Regieraad, op voorstel van de Gebruikersraad, de drie focuspunten Digitale mobiliteit, Authenticatie en identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en Privacy by Design benoemde, ligt het voor de hand deze drie voort te zetten. Mocht een van de focuspunten zijn afgerond voor het einde van 2018 en het budget resteert, dan besluit de Gebruikersraad over een vervangend focuspunt. Tegelijk lopen ook veel inhoudelijke onderwerpen door in het reguliere beheer en doorontwikkeling. En we bouwen actief verder aan een sterke community van architecten en beheerders van architecturen: de NORANederlandse Overheid ReferentieArchitectuur Familie.

Vraag: wordt er ook gekeken naar toepassing van NORANederlandse Overheid ReferentieArchitectuur, hoe meet je of die toepassing groeit? Het is wel het uitgangspunt bij alles wat we doen. De belangrijkste strategie is bekendheid genereren voor de NORANederlandse Overheid ReferentieArchitectuur Familie, want wat je niet kent kun je ook niet toepassen. In de GDI-monitor zijn (vorig jaar) KPI’s vastgesteld voor NORANederlandse Overheid ReferentieArchitectuur, het gaat dan om gebruik van de wiki en het aantal deeplinks en verwijzingen.

Opmerking: Er blijkt nog niet veel ambitie uit het jaarplan, althans uit de presentatie van vanmiddag: waarom meer geld naar beheer dan doorontwikkeling en inspelen op nieuwe zaken? Beheer en doorontwikkeling gaan bij NORANederlandse Overheid ReferentieArchitectuur hand in hand, volgens BOMOS. In dit bedrag vallen dus ook het door laten lopen van bestaande onderwerpen als gegevensmanagement en data op het web, het ontsluiten van nieuwe informatie en de actualisatie van de Afgeleide Principes als dat nodig blijkt vanuit de focuspunten en andere ontwikkelingen. Dit kan explicieter duidelijk gemaakt worden in het jaarplan, dus dat gaan we doen.

Opmerking: Het plan is zo wel erg plat, de ambitie zou misschien al meer blijken wanneer de thema’s die worden voortgezet of opgepakt ook gewoon genoemd worden. Ook kunnen bijeenkomsten verder gespecificeerd worden: voor welke doelgroep ga je wat voor type bijeenkomsten houden?

Opmerking: het is goed om ruimte te hebben om in te spelen op nieuwe ontwikkelingen. Dat moet dus ook duidelijk in het jaarplan staan.

Rondvraag

  • De DNB heeft contact gezocht met NORANederlandse Overheid ReferentieArchitectuur, zij hebben hun enterprise architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. geschoeid op NORANederlandse Overheid ReferentieArchitectuur en willen zo veel mogelijk rechtstreeks hergebruiken in plaats van zelf bedenken en onderhouden. Het resultaat is heel interessant, zij hebben ook een aanzet gedaan voor een onderdeel dat in NORANederlandse Overheid ReferentieArchitectuur nog wat minder uit de verf komt, namelijk handhaving. Saco stelt voor een themagebruikersraad op locatie te organiseren bij DNB, als zij daar aan mee willen werken.
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen