NORA Gebruikersraad/2017-11-14

Uit NORA Online
Ga naar: navigatie, zoeken
NB: Rondom deze vergadering is een inhoudelijk programma georganiseerd: uitnodiging (PDF, 550 kB). De Themasessies Digitale Authenticatie en identificatie, Privacy by Design en Digitale Mobiliteit vinden van 13.20 uur - 15.45 uur plaats in verschillende zaaltjes. Na afloop van deze sessies worden de nieuwste ontwikkelingen van de NORA gepresenteerd. Gelijktijdig vergaderen de leden van de NORANederlandse Overheid ReferentieArchitectuur Gebruikersraad. We sluiten om 17.00 uur af met een borrel voor alle deelnemers van deze dag.
NB:Dit verslag is een concept. Wijzigingsvoorstellen kunnen rechtstreeks in de wiki worden aangebracht of via nora@ictu.nl.
Bijeenkomst van NORA Gebruikersraad op dinsdag 14 november 2017, 16.00-17.00 uur, locatie: ICTU.
Doel: Inhoudelijke besluitvorming, visievorming, knelpunten benoemen.
Doelgroep: Leden van de NORANederlandse Overheid ReferentieArchitectuur Gebruikersraad (architecturen & stakeholders).


Inhoud

Opening en mededelingen (16.00 uur)

  • Saco laat weten dat hij per 1 januari vertrekt bij de Belastingdienst. Er is nog geen besluit genomen over het voorzitterschap van de Gebruikersraad na die datum. Voor de continuïteit is Saco bereid om in ieder geval de eerste vergadering in 2018 nog voor te zitten. Ondertussen zijn er gesprekken met het ministerie van BZK over de een definitieve oplossing.
  • KING wordt per 1 januari VNG Realisatie. De werkzaamheden gaan wel door, waarbij VNG Realisatie zich ook richt op het collectief (inkopen van) oplossingen.

RFC Afgeleide Principes 16 & 17 (16.10 uur)

Als laatste resultaat van de Afgeleide Principes Revisited ligt er een gedragen wijzigingsvoorstel (PDF, 762 kB) om de Afgeleide Principes AP16 en AP17 samen te voegen tot één herzien Afgeleid Principe met als id AP17. In het wijzigingsvoorstel zijn alle ingebrachte opmerkingen verwerkt. De Gebruikersraad wordt verzocht formeel in te stemmen met deze wijziging.

Terugkoppeling Themasessies door trekkers (16.15 uur)

Digitale Mobiliteit

Terugkoppeling door Ludwina van der Wijst. Deze sessie is georganiseerd in samenwerking met het Overheid Mobility Overleg (OMO). In OMO gebruiken we intervisie om enerzijds de indiener van de casus concreet verder te helpen en anderzijds te leren van elkaars kennis en inzichten. In deze sessie stond de casus van de zogenaamde justitiabelen centraal: gevangenen gebruiken nu veel verschillende papieren formulieren om bijvoorbeeld een kappersbezoek aan te vragen, een bezoek te krijgen van de gevangenisdominee of een pakje shag te kopen. De ‘tablet voor gevangenen’ zou dat gemakkelijker kunnen maken, maar is dat echt zo en hoe pak je dat aan?

Het was een kleine groep met deelnemers, maar de discussie en ideeën waren goed. We hebben ook nagedacht over verdere sessies, en welke thema’s die zouden moeten behandelen. Het is nu de bedoeling om drie vervolgsessies te organiseren het komende half jaar, waarbij telkens een casus gezocht wordt die aansluit bij een thema waar de groep over wil praten. De drie thema’s die zijn genoemd:

  • Hoe besluit je of je een app nodig hebt of niet?
  • Richtinggevende uitspraken over mobility zijn er nog niet echt, daar is wel behoefte aan, dus hoe komen we daartoe en hoe hangen die dan in de context van NORANederlandse Overheid ReferentieArchitectuur?
  • Kun je mobiel werken zonder internet, dus op plekken waar online gaan geen optie is?

Voor de drie vervolgsessies wordt ook de NORA-community nadrukkelijk uitgenodigd en de resultaten krijgen hun plek in het thema Mobility.

Privacy by Design

Terugkoppeling door Rianne Bennink. De themasessie van zonet is onderdeel van de samenwerking met het Centrum Informatiebeveiliging en Privacybescherming (CIP). We willen de expertise die daar is opgebouwd combineren met de praktijkervaring van architecten om samen te kijken wat de rol van de architect zou moeten zijn als het gaat om Privacy.

De 25 deelnemers zijn in vijf groepen uiteen gegaan met een concrete casus: het is augustus 2018 en de auditor geeft 10 bevindingen waarin je organisatie/project niet voldoet aan de AVG mee. Intern wordt je hierop aangekeken, kan je deze bevindingen weerleggen? Elke groep bekeek een ander deel van de bevindingen, vanuit de eigen praktijk, en koppelde vervolgens weer terug.

De vraag wat de rol is van de architect is deels fundamenteel en levert dan ook discussie op. Maar deels is het ook een praktische: welke vragen heb je in de praktijk, welke oplossingen zijn er beschikbaar en bieden architectuurkaders als de NORANederlandse Overheid ReferentieArchitectuur voldoende richting? Vragen die nog echt in de groep speelden waren:

  • hoe je met privacy by design in de keten om kan gaan
  • wat nou echt de (on)mogelijkheden van encryptie zijn
  • of er ook (lichte) PIA’s zijn die zich alleen op aanpassingen of op het ketenaspect richten.

Maar er waren ook concrete voorstellen, bijvoorbeeld om slim om te gaan met administratieve verplichtingen, het koppelen van het privacy vraagstuk aan primair proces en werkprocessen, gebruik van de afgeleide principes, psa’s en standaardisering waar dat kan.

Vanuit de community is er ook behoefte om de afgeleide principes van de NORANederlandse Overheid ReferentieArchitectuur aan te scherpen, om zo de architect verder te ondersteunen in het borgen van privacy. Er is samen met het CIP al een eerste analyse uitgevoerd hoe privacy nu geborgd is in de NORANederlandse Overheid ReferentieArchitectuur. Die is te vinden via de themapagina Privacy. Ook kan je hier een matching tussen de NORANederlandse Overheid ReferentieArchitectuur AP’s en de Privacyprincipes van de Privacy Baseline vinden. Later dit jaar wordt bovendien De Privacy Baseline ontsloten via de NORA-wiki, hetgeen het mogelijk maakt om de relaties tussen AP’s en privacyprincipes dynamisch weer te geven en de hele context mee te nemen bij een verdere aanscherping.

Digitale Authenticatie en Identificatie

Terugkoppeling door Menno Gmelig Meijling. Menno en Vincent van de Laar zijn de trekkers geweest van dit onderwerp. In tegenstelling tot de andere focuspunten is er eigenlijk geen natuurlijke partner om mee samen op te trekken bij dit onderwerp. Voor de aanbodkant is Logius een goed beginpunt, maar de vraagkant is eigenlijk nog niet georganiseerd. We zijn dan ook in veel opzichten bij 0 begonnen.

De sessie was druk bezocht en dynamisch. Er was veel kennis in de zaal aanwezig, hetgeen de discussie ten goede kwam. Het was al snel duidelijk dat er grote vragen zijn op dit vlak die we niet allemaal in een sessie kunnen aansnijden, laat staan beantwoorden. Zou je bijvoorbeeld Digitale Authenticatie wel los moeten zien van authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. in het algemeen? Deze sessie was bedoeld om te kijken waar NORANederlandse Overheid ReferentieArchitectuur een bijdrage kan en moet leveren: wat is de behoefte en wat is er haalbaar binnen de context van NORANederlandse Overheid ReferentieArchitectuur?

We zijn in groepen uiteen gegaan om daar antwoorden op te geven. Een aantal behoeften werden duidelijk:

  • We zijn nog niet goed genoeg op de hoogte van wat er al vast ligt, wat er nog in beweging is en waar nog witte vlakken zijn die nog helemaal niet zijn ingevuld. We missen dus een soort landkaart van het onderwerp.
  • De behoefte van de verschillende sectoren en domeinen moet bij elkaar gelegd worden
  • We moeten bezig zijn met de implementatie van korte termijn oplossingen, maar ook los van de bestaande keuzes en oplossingen nadenken over de toekomst: misschien kunnen en moeten zaken als het onderscheid tussen privé en werkidentiteiten (DigiD versus E-Herkenning) -wel fundamenteel anders.
  • Het gaat ook over informatie- en kennisdeling: veel kennis is al ergens beschikbaar, maar het komt niet bij elkaar. Zo vraag je je in de praktijk geregeld af of je je tijd goed besteed door iets helemaal zelf uit te pluizen, of dat iemand anders de kennis al in huis heeft.
  • Uiteindelijk moet die kennis ook ontsloten en gecommuniceerd worden naar een bredere groep collega’s dan nu is aangehaakt.

Vraag: werden het onderwerp digitale authenticatiemiddelen af te geven via bestaande (niet-digitale) afgiftetrajecten ook aangesneden? Ja, zijdelings wel, maar we zullen het expliciet meenemen. Het de bedoeling om dit gesprek voort te zetten in maandelijkse werksessies. Zo’n 10 personen hebben ook aan het einde van de sessie aangegeven dat ze hieraan mee willen werken en vormen zo de eerste start van een expertgroep authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. en identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen..

Over de drie onderwerpen heen

Saco herkent een rode draad over de onderwerpen heen, namelijk dat de kennis die specialisten hebben opgebouwd in NORANederlandse Overheid ReferentieArchitectuur ‘gewone’ kennis moet worden, dus kennis die iedereen heeft en kan gebruiken.

Vraag: organiseren we de volgende Gebruikersraad en themasessies op 29 mei weer bij elkaar? De Gebruikersraad bevestigt en vraagt: wat gebeurt er in de tussentijd? Antwoord: de focusgebieden bepalen zelf het tempo dat bij hen past. Ook volgend jaar heeft elk speerpunt een trekker, die bijeenkomsten organiseert maar ook op andere manieren communiceert en de tussenresultaten ontsluit in de wiki noraonline. NORANederlandse Overheid ReferentieArchitectuur Beheer heeft alle mailadressen van de geïnteresseerden van deze dag en zal die ook gebruiken om te zorgen dat er gecommuniceerd wordt over het verloop van de onderwerpen, zowel binnen het onderwerp als naar buiten toe.

NORANederlandse Overheid ReferentieArchitectuur Jaarplan 2018 (16.45 uur)

Norbert Jansen, projectleider NORANederlandse Overheid ReferentieArchitectuur, licht het concept voor het NORA Jaarplan 2018 (PDF, 465 kB) toe. Het conceptjaarplan dat op tafel ligt is pas op vrijdag in de wiki gezet en verspreid, dus er is ook na de vergadering de gelegenheid om (telefonisch of per mail) je mening te geven. Alle opmerkingen die uiterlijk vrijdag 24 november binnen zijn neemt Norbert mee als input voor de volgende versie. Die versie wordt vervolgens ingebracht in de Regieraad van 12 december. Ook de opmerkingen van de Regieraad worden verwerkt, waarna de opdrachtgever bij BZK het jaarplan definitief vaststelt.

Voor het komende jaar is een vergelijkbaar budget beschikbaar als het afgelopen jaar. Omdat het nog maar een half jaar geleden is dat de Regieraad, op voorstel van de Gebruikersraad, de drie focuspunten Digitale mobiliteit, Authenticatie en identificatieHet bekend maken van de identiteit van personen, organisaties of IT-voorzieningen. en Privacy by Design benoemde, ligt het voor de hand deze drie voort te zetten. Mocht een van de focuspunten zijn afgerond voor het einde van 2018 en het budget resteert, dan besluit de Gebruikersraad over een vervangend focuspunt. Tegelijk lopen ook veel inhoudelijke onderwerpen door in het reguliere beheer en doorontwikkeling. En we bouwen actief verder aan een sterke community van architecten en beheerders van architecturen: de NORANederlandse Overheid ReferentieArchitectuur Familie.

Vraag: wordt er ook gekeken naar toepassing van NORANederlandse Overheid ReferentieArchitectuur, hoe meet je of die toepassing groeit? Het is wel het uitgangspunt bij alles wat we doen. De belangrijkste strategie is bekendheid genereren voor de NORANederlandse Overheid ReferentieArchitectuur Familie, want wat je niet kent kun je ook niet toepassen. In de GDI-monitor zijn (vorig jaar?) KPI’s vastgesteld voor NORANederlandse Overheid ReferentieArchitectuur, het gaat dan om gebruik van de wiki en het aantal deeplinks en verwijzingen.

Opmerking: Er blijkt nog niet veel ambitie uit het jaarplan, althans uit de presentatie van vanmiddag: waarom meer geld naar beheer dan doorontwikkeling en inspelen op nieuwe zaken? Beheer en doorontwikkeling gaan bij NORANederlandse Overheid ReferentieArchitectuur hand in hand, volgens BOMOS. In dit bedrag vallen dus ook het door laten lopen van bestaande onderwerpen als gegevensmanagement en data op het web, het ontsluiten van nieuwe informatie en de actualisatie van de Afgeleide Principes als dat nodig blijkt vanuit de focuspunten en andere ontwikkelingen. Dit kan explicieter duidelijk gemaakt worden in het jaarplan, dus dat gaan we doen.

Opmerking: Het plan is zo wel erg plat, de ambitie zou misschien al meer blijken wanneer de thema’s die worden voortgezet of opgepakt ook gewoon genoemd worden. Ook kunnen bijeenkomsten verder gespecificeerd worden: voor welke doelgroep ga je wat voor tyoe bijeenkomsten houden?

Opmerking: het is goed om ruimte te hebben om in te spelen op nieuwe ontwikkelingen. Dat moet dus ook duidelijk in het jaarplan staan.

Rondvraag

  • De DNB heeft contact gezocht met NORANederlandse Overheid ReferentieArchitectuur, zij hebben hun enterprise architectuurEen beschrijving van een complex geheel, en van de principes die van toepassing zijn op de ontwikkeling van het geheel en zijn onderdelen. geschoeid op NORANederlandse Overheid ReferentieArchitectuur en willen zo veel mogelijk rechtstreeks hergebruiken in plaats van zelf bedenken en onderhouden. Het resultaat is heel interessant, zij hebben ook een aanzet gedaan voor een onderdeel dat in NORANederlandse Overheid ReferentieArchitectuur nog wat minder uit de verf komt, namelijk handhaving. Saco stelt voor een themagebruikersraad op locatie te organiseren bij DNB, als zij daar aan mee willen werken.
  • De volgende ‘grote gebruikersraad’ met een inhoudelijk programma er om heen staat alvast gepland op 29 mei. In de tussentijd komen er wel een aantal ‘gewone’ gebruikersraden met daarin de besluiten of knelpunten die relevant zijn èn een inhoudelijk thema dat past bij de gastheer. De secretaris zal deze gebruikersraden gaan inplannen.
Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen