NORA Gebruikersraad/2017-11-14
Bijeenkomst van NORA Gebruikersraad op dinsdag 14 november 2017, 16.00-17.00 uur, locatie: ICTU.
Doel: Inhoudelijke besluitvorming, visievorming, knelpunten benoemen.
Doelgroep: Leden van de NORA Gebruikersraad (architecturen & stakeholders). .
Opening en mededelingen (16.00 uur)[bewerken]
- Saco laat weten dat hij per 1 januari vertrekt bij de Belastingdienst. Er is nog geen besluit genomen over het voorzitterschap van de Gebruikersraad na die datum. Voor de continuïteit is Saco bereid om in ieder geval de eerste vergadering in 2018 nog voor te zitten. Ondertussen zijn er gesprekken met het ministerie van BZK over een definitieve oplossing.
- Theo Peters meldt dat KING per 1 januari verder gaat als VNG Realisatie.
RFC Afgeleide Principes 16 & 17 (16.10 uur)[bewerken]
Robert van Wessel presenteert (PDF, 384 kB) het wijzigingsvoorstel (PDF, 762 kB) om de Afgeleide Principes Identificatie informatie-objecten en Informatie-objecten systematisch beschreven samen te voegen tot één herzien Afgeleid Principe met als id AP17. Dit voorstel is tot stand gekomen in samenwerking met verschillende partijen in vijf ronden, met uiteindelijk een openbare consultatie op noraonline. Belangrijke kennishouders op dit gebied, zoals ICTU, KING, Nationaal Archief en de beheerders van gegevenswoordenboeken hebben hun input geleverd. Het is dan niet verwonderlijk dat de Gebruikersraad zonder bezwaren akkoord geeft op de wijziging.
Dank en complimenten gaan uit naar Robert, Aty en de overige betrokkenen. Implementatie van de wijziging in de wiki volgt zo spoedig mogelijk.
Met het aannemen van deze wijziging zijn de top drie van prioriteiten uit het traject Afgeleide Principes Revisited aangepakt. Dit traject is daarmee afgerond.
Terugkoppeling Themasessies door trekkers (16.15 uur)[bewerken]
Digitale Mobiliteit[bewerken]
Terugkoppeling door Ludwina van der Wijst. Deze sessie is georganiseerd in samenwerking met het Overheid Mobility Overleg (OMO). In OMO gebruiken we intervisie om enerzijds de indiener van de casus concreet verder te helpen en anderzijds te leren van elkaars kennis en inzichten. In deze sessie stond de casus 'Zelfbediening justitiabelen' centraal: gevangenen gebruiken veel verschillende papieren formulieren om bijvoorbeeld een kappersbezoek aan te vragen, een bezoek te krijgen van de dominee of een pakje shag te kopen. De ‘tablet voor gevangenen’ zou die dienstverlening gemakkelijker kunnen maken, maar is dat echt zo en hoe pak je dat aan?
Het was een kleine groep deelnemers maar de discussie en ideeën waren goed. We hebben ook nagedacht over verdere sessies, en welke thema’s die zouden moeten behandelen. OMO gaat drie vervolgsessies organiseren in het komende half jaar, waarbij telkens een casus behandeld wordt die aansluit bij een thema waar de groep over wil praten. De drie thema’s die zijn genoemd:
- Hoe besluit je of je een app nodig hebt of niet en welke kaders hanteer je daarbij?
- Richtinggevende principes over mobility zijn er nog niet echt, daar is wel behoefte aan, dus hoe komen we daartoe en hoe passen die dan in de context van NORA?
- Hoe kun je toch mobiel werken zonder gebruik van internet, dus op plekken waar online gaan geen optie is.
Voor de drie vervolgsessies wordt ook de NORA-community nadrukkelijk uitgenodigd en de resultaten krijgen hun plek in het thema Mobiele apps. Nieuwe suggesties voor een te behandelen casus en/of thema zijn welkom via omo@ictu.nl.
Privacy by Design[bewerken]
Terugkoppeling door Rianne Bennink. De themasessie van zonet is onderdeel van de samenwerking met het CIP (Centrum Informatiebeveiliging en Privacybescherming). We willen de expertise die daar is opgebouwd combineren met de praktijkervaring van architecten om samen te kijken wat de rol van de architect zou moeten zijn als het gaat om Privacy.
De 25 deelnemers zijn in vijf groepen uiteen gegaan met een concrete casus: het is augustus 2018 en de auditor geeft 10 bevindingen waarin je organisatie/project niet voldoet aan de AVG mee. Intern word je hierop aangekeken, kan je deze bevindingen weerleggen? Elke groep bekeek een ander deel van de bevindingen, vanuit de eigen praktijk, en koppelde vervolgens weer terug.
De vraag wat de rol is van de architect is deels fundamenteel en levert dan ook discussie op. Maar deels is het ook een praktische: welke vragen heb je in de praktijk, welke oplossingen zijn er beschikbaar en bieden architectuurkaders als de NORA voldoende richting? Vragen die nog echt in de groep speelden waren:
- hoe je met privacy by design in de keten om kan gaan
- wat nou echt de (on)mogelijkheden van encryptie zijn
- of er ook (lichte) PIA’s zijn die zich alleen op aanpassingen of op het ketenaspect richten.
Maar er waren ook concrete voorstellen, bijvoorbeeld om slim om te gaan met administratieve verplichtingen, het koppelen van het privacy vraagstuk aan primair proces en werkprocessen, gebruik van de afgeleide principes, psa’s en standaardisering waar dat kan.
Vanuit de community is er ook behoefte om de afgeleide principes van de NORA aan te scherpen, om zo de architect verder te ondersteunen in het borgen van privacy. Er is samen met het CIP al een eerste analyse uitgevoerd hoe privacy nu geborgd is in de NORA. Die is te vinden via de themapagina Privacy. Ook kan je hier een matching tussen de NORA AP’s en de Privacyprincipes van de Privacy Baseline vinden. Later dit jaar wordt bovendien de Privacy Baseline ontsloten via de NORA-wiki, hetgeen het mogelijk maakt om de relaties tussen AP’s en Privacyprincipes dynamisch weer te geven en de hele context mee te nemen bij een verdere aanscherping.
Digitale Authenticatie en Identificatie[bewerken]
Terugkoppeling door Menno Gmelig Meijling. Menno en Vincent van de Laar zijn de trekkers geweest van dit onderwerp. In tegenstelling tot de andere focuspunten is er eigenlijk geen natuurlijke partner om mee samen op te trekken bij dit onderwerp. Voor de aanbodkant is Logius een goed beginpunt, maar de vraagkant is eigenlijk nog niet georganiseerd. We zijn dan ook in veel opzichten bij 0 begonnen.
De sessie was druk bezocht en dynamisch. Er was veel kennis in de zaal aanwezig, hetgeen de discussie ten goede kwam. Het was al snel duidelijk dat er grote vragen zijn op dit vlak die we niet allemaal in een sessie kunnen aansnijden, laat staan beantwoorden. Zou je bijvoorbeeld Digitale Authenticatie wel los moeten zien van authenticatie in het algemeen? Deze sessie was bedoeld om te kijken waar NORA een bijdrage kan en moet leveren: wat is de behoefte en wat is er haalbaar binnen de context van NORA?
We zijn in groepen uiteen gegaan om daar antwoorden op te geven. Een aantal behoeften werden duidelijk:
- We zijn nog niet goed genoeg op de hoogte van wat er al vast ligt, wat er nog in beweging is en waar nog witte vlekken zijn die nog helemaal niet zijn ingevuld. We missen dus een soort landkaart van het onderwerp.
- De behoefte van de verschillende sectoren en domeinen moet bij elkaar gelegd worden.
- We moeten bezig zijn met de implementatie van korte termijn oplossingen, maar ook los van de bestaande keuzes en oplossingen nadenken over de toekomst: misschien kunnen en moeten zaken als het onderscheid tussen privé en werkidentiteiten (DigiD versus E-Herkenning) wel fundamenteel anders.
- Het gaat ook over informatie- en kennisdeling: veel kennis is al ergens beschikbaar, maar het komt niet bij elkaar. Zo vraag je je in de praktijk geregeld af of je je tijd goed besteedt door iets helemaal zelf uit te pluizen, of dat iemand anders de kennis al in huis heeft.
- Uiteindelijk moet die kennis ook ontsloten en gecommuniceerd worden naar een bredere groep collega’s dan nu is aangehaakt.
Vraag: werd het onderwerp 'digitale authenticatiemiddelen af te geven via bestaande (niet-digitale) afgiftetrajecten' ook aangesneden? Ja, zijdelings wel, maar we zullen het expliciet meenemen. Het is de bedoeling om dit gesprek voort te zetten in maandelijkse werksessies. Zo’n 10 personen hebben aan het einde van de sessie aangegeven dat ze hieraan mee willen werken en vormen zo de eerste start van een expertgroep authenticatie en identificatie.
Over de drie onderwerpen heen[bewerken]
Saco herkent een rode draad over de onderwerpen heen, namelijk dat de kennis die specialisten hebben opgebouwd in NORA ‘gewone’ kennis moet worden, dus kennis die iedereen heeft en kan gebruiken.
Mededeling: Op 29 mei 2018 is er weer een gecombineerde bijeenkomst van de themagroepen en de gebruikersraad.
Vraag: Wat gebeurt er in de tussentijd? De themagroepen voeren hun plan uit, zodat er op 29 mei een breder bespreekbaar resultaat ligt. De focuspunten bepalen zelf het tempo dat bij hen past. Ook volgend jaar heeft elk focuspunt een trekker, die bijeenkomsten organiseert maar ook op andere manieren communiceert en de tussenresultaten ontsluit in de wiki noraonline. NORA Beheer heeft alle mailadressen van de geïnteresseerden van deze dag en zal die ook gebruiken om te zorgen dat er gecommuniceerd wordt over het verloop van de onderwerpen, zowel binnen het onderwerp als naar buiten toe.
NORA Jaarplan 2018 (16.45 uur)[bewerken]
Norbert Jansen, projectleider NORA, licht het concept voor het NORA Jaarplan 2018 (PDF, 465 kB) toe. Het conceptjaarplan dat op tafel ligt is pas op vrijdag in de wiki gezet en verspreid, dus er is ook na de vergadering de gelegenheid om (telefonisch of per mail) je mening te geven. Alle opmerkingen die uiterlijk vrijdag 24 november binnen zijn neemt Norbert mee als input voor de volgende versie. Die versie wordt vervolgens ingebracht in de Regieraad van 12 december. Ook de opmerkingen van de Regieraad worden verwerkt, waarna de opdrachtgever bij BZK het jaarplan definitief vaststelt.
Voor het komende jaar is een vergelijkbaar budget beschikbaar als het afgelopen jaar. Omdat het nog maar een half jaar geleden is dat de Regieraad, op voorstel van de Gebruikersraad, de drie focuspunten Digitale mobiliteit, Authenticatie en identificatie en Privacy by Design benoemde, ligt het voor de hand deze drie voort te zetten. Mocht een van de focuspunten zijn afgerond voor het einde van 2018 en het budget resteert, dan besluit de Gebruikersraad over een vervangend focuspunt. Tegelijk lopen ook veel inhoudelijke onderwerpen door in het reguliere beheer en doorontwikkeling. En we bouwen actief verder aan een sterke community van architecten en beheerders van architecturen: de NORA Familie.
Vraag: wordt er ook gekeken naar toepassing van NORA, hoe meet je of die toepassing groeit? Het is wel het uitgangspunt bij alles wat we doen. De belangrijkste strategie is bekendheid genereren voor de NORA Familie, want wat je niet kent kun je ook niet toepassen. In de GDI-monitor zijn (vorig jaar) KPI’s vastgesteld voor NORA, het gaat dan om gebruik van de wiki en het aantal deeplinks en verwijzingen.
Opmerking: Er blijkt nog niet veel ambitie uit het jaarplan, althans uit de presentatie van vanmiddag: waarom meer geld naar beheer dan doorontwikkeling en inspelen op nieuwe zaken? Beheer en doorontwikkeling gaan bij NORA hand in hand, volgens BOMOS. In dit bedrag vallen dus ook het door laten lopen van bestaande onderwerpen als gegevensmanagement en data op het web, het ontsluiten van nieuwe informatie en de actualisatie van de Afgeleide Principes als dat nodig blijkt vanuit de focuspunten en andere ontwikkelingen. Dit kan explicieter duidelijk gemaakt worden in het jaarplan, dus dat gaan we doen.
Opmerking: Het plan is zo wel erg plat, de ambitie zou misschien al meer blijken wanneer de thema’s die worden voortgezet of opgepakt ook gewoon genoemd worden. Ook kunnen bijeenkomsten verder gespecificeerd worden: voor welke doelgroep ga je wat voor type bijeenkomsten houden?
Opmerking: het is goed om ruimte te hebben om in te spelen op nieuwe ontwikkelingen. Dat moet dus ook duidelijk in het jaarplan staan.
Rondvraag[bewerken]
- De DNB heeft contact gezocht met NORA, zij hebben hun enterprise architectuur geschoeid op NORA en willen zo veel mogelijk rechtstreeks hergebruiken in plaats van zelf bedenken en onderhouden. Het resultaat is heel interessant, zij hebben ook een aanzet gedaan voor een onderdeel dat in NORA nog wat minder uit de verf komt, namelijk handhaving. Saco stelt voor een themagebruikersraad op locatie te organiseren bij DNB, als zij daar aan mee willen werken.