NORA Gebruikersraad/2019-09-17

Uit NORA Online
< NORA Gebruikersraad
Ga naar: navigatie, zoeken

Bijeenkomst van NORA Gebruikersraad op dinsdag 17 september 2019, 15.30-17.30 uur incl. borrel, locatie: Nationaal Archief (Mullerzaal), Prins Willem-Alexanderhof 20, 2595 BE Den Haag. (Naast het Centraal Station, aan de kant van Babylon)..
Doel: Besluit- en visievorming
Doelgroep: Leden van de NORA Gebruikersraad (architecturen & stakeholders). .

Opening[bewerken]

De voorzitter opent de vergadering en laat de deelnemerslijst rond gaan. In vervolg willen we een deelnemerslijst gebruiken om bij te houden wie aanwezig zijn geweest bij het nemen van bepaalde besluiten en bij het onderzoek of de juiste personen aan tafel zitten.

Presentatie ontwikkelingen Nederlands (inter) netwerkverkeer[bewerken]

Peter Smid vertelt ons in een presentatie (PDF, 1,31 MB) over een pilot van Logius om het Nederlandse internetverkeer robuuster en betrouwbaarder te maken. Uitbouw van deze pilot in productie is potentieel interessant voor alle overheidsdienstverleners, omdat het kan voorkomen dat diensten onbereikbaar raken tijdens DDos-aanvallen.

De pilot van Logius gaat uit van de aanname dat de meeste DDos-aanvallen van buiten Nederland komen, terwijl de meeste gebruikers van de diensten van de Nederlandse overheid juist binnenlands zijn. Als je bij een DDos-aanval de mogelijkheid hebt om het buitenlandse verkeer buiten te sluiten kun je de dienst beschikbaar houden voor de meeste Nederlanders. Ze noemen deze oplossing, waarbij de overheid afspraken maakt met Nederlandse Internet Service Providers om alleen vertrouwd binnenlands verkeer door te geleiden naar kritische diensten als eHerkenning en DigiD, kwaliteitspeering. Zo ontstaat een vrije “busbaan” voor de klanten van de ISP’s in Nederland. Dit is geen totaaloplossing, maar moet gezien worden als een aanvulling op andere anti-DDos aanval maatregelen, zoals Blackholing, Content Delivery Networks en DDos wasstraten.

Opmerkingen vanuit de leden: De kwetsbaarheid van internet is een maatschappelijk vraagstuk dat breder gaat dan de overheid: als door een DDos aanval het internet of delen daarvan niet beschikbaar zijn leidt dat tot maatschappelijke problemen. De oplossing die vandaag is gepresenteerd is voorlopig alleen bedoeld voor overheden – zou die breder ingezet kunnen worden? Voor de burger die klant is van bijvoorbeeld de SVB is het minder relevant of de SVB-website bereikbaar is dan of het geld op hun rekening is gestort en zij daar bij kunnen met hun betaal-app.

Doen andere landen dit ook? Nee, niet in deze vorm. Wel zijn er een aantal landen die hun hele internet afschermen, zoals China’s big Firewall.

Mag dit eigenlijk wel, als het gaat om principes als netneutraliteit en de het recht om als Europeaan digitale overheidsdiensten te kunnen afnemen vanuit andere lidstaten? Technisch gesproken betekent het dat je als burger of bedrijf in het buitenland tijdelijk geen gebruik kunt maken van een digitale dienst terwijl een burger of in Nederland dat wel kan. Maar het is belangrijk om voor ogen te houden dat dit alleen zo is tijdens een DDos-aanval, waarbij zonder deze maatregel geen enkele garanties gegeven kan worden voor bereikbaarheid. Zodra de aanval voorbij is wordt het buitenlandse internetverkeer weer toegelaten tot de dienst en kan je weer inloggen vanuit het buitenland.

Op dit moment bevindt de oplossing van kwaliteitspeering zich in het volgende stadium:

  • De proof of concept in samenwerking met de grootste Nederlandse ISP’s was succesvol
  • Platform Logius en Platform belastingdienst gaan 19 oktober meedoen aan een grote DDos test
  • Q4 zal het in productie worden genomen voor één Logius service

Link met NORA:

  • Basisprincipe is afnemers hebben eenvoudig toegang tot de dienst (Toegankelijk)
  • Afgeleide principe (Voorkeurskanaal internet) dat internet het voorkeurskanaal is voor burgers en bedrijven met de overheid.
  • Afbreukrisico van internet is dat continuiteitsafspraken end- to-end niet mogelijk zijn. Dit laatste is in strijd met basisprincipe betrouwbaar (Betrouwbaar) en de afgeleide principe is beschikbaarheid (Beschikbaarheid).
  • De continuïteitsafspraken zijn gemaakt op basis van de afbreukrisico's die afnemers lopen bij uitval. Afnemers verwachten 24 uur per dag, 7 dagen per week zaken te kunnen afhandelen, de continuïteit en beschikbaarheid van de dienstverlening is belangrijk (Beschikbaarheid).
  • De uitdaging is de continuïteit van het gebruik van het internet te verbeteren.

Wat wordt er van de NORA gevraagd:

  • Is het een Interessante ontwikkeling voor de diverse domeinen?
  • Wordt het door de NORA gezien als een relevante ontwikkeling?
  • Hoe zou dit te verankeren zijn in NORA? Bijvoorbeeld afgeleid principe dat het voorkeurskanaal Diginetwerk is voor onderling verkeer van de overheid. Of bijvoorbeeld aanvullingen op AP41 beschikbaarheid: Beschikbaarheid van Internetverkeer tussen burgers en bedrijven en digitale overheidsdiensten wordt geborgd middels kwaliteitspeering.
  • Welke organisaties willen zelf kwaliteitspeering als methode toepassen?
  • Wie van de NORA Gebruikersraad wil deelnemen aan een gebruikersoverleg?
  • Hoe wordt de positie richting Internet Service Providers verstevigd en wordt het interessanter voor ze gemaakt?

Actie NORA GR leden: Als je interesse hebt, meld je aan via nora@ictu.nl of via peter.smid@logius.nl en peter.kort@logius.nl

API strategie[bewerken]

Paul Zeef en Frank Terpstra geven een toelichting op dit onderwerp, dit vooralsnog ter informatie.

Er wordt een kort historisch overzicht gegeven van de API ontwikkeling. Inmiddels bestaan API’s al zo’n 18 jaar. De overheid heeft al snel ingezet op de trend, waarbij destijds de analyse was dat vooral SOAP API’s gebruikt werden. Dat bleek op termijn de verkeerde gok en het is ruim tijd om over te stappen naar de dominante standaard: Restful API’s. Ter illustratie: de BAG Restful API die dit jaar de Gouden API prijs heeft gewonnen heeft dit jaar al 300 miljoen requests verwerkt: even veel requests als zeven jaar SOAP API. Inmiddels is er een manifest “Naar een overheidsbrede API strategie” ondertekend door het ministerie van BZK, PinkRoccade, Vicrea, VNG Realisatie, Forum Standaardisatie, Geonovum, Logius Centric, Digicosmos, APIwise en SWIS. Zie bijgaande presentatie. De strategie zelf wordt doorontwikkeld binnen het Kennisplatform API’s en de ambitie is om de API design rules er uit op de pas-toe-of-leg uit lijst te krijgen.

Vragen vanuit de Gebruikersraad:

  • Sluit de manier van werken aan bij BOMOS? Ja, het is de bedoeling dat de API strategie bij Logius in beheer komt volgens BOMOS.
  • Hoe ga je om met marktpartijen die voor overheden API’s ontwikkelen? Zij worden betrokken bij de werkgroepen en verschillende van hen hebben het manifest ondertekend. Over het algemeen zijn ze blij met dit initiatief. Publicatie van API’s op developer.api.nl is ook een manier om marktpartijen te betrekken. Het is bovendien de bedoeling om veel kennis uit de markt te gebruiken en zo de kosten te drukken. De overheid zal dus volgen en niet vooruit lopen.
  • Massaal gebruik van API’s heeft potentieel een impact op heel veel architectuuronderwerpen. De beveiliging moet bijvoorbeeld anders, hoe ga je daar mee om? De beveiligingsparagraaf in de strategie is nu nog heel dun en alleen toegespitst op Oauth, er is nog ruimte om hierover mee te denken.

Link met NORA:

  • Paul Zeef vraagt input van de architecten uit de NORA Familie om het hoofdstuk architectuur uit de API strategie verder in lijn te brengen met NORA en waar nodig uit te breiden.
  • Wanneer de API design rules inderdaad op de PTOLU lijst komt te staan is dit nieuws om te verspreiden binnen de NORA community

Wat wordt er van de leden van de Gebruikersraad gevraagd?

  • Sluit je als organisatie aan bij Kennisplatform API’s
  • Meld je API’s aan via developer.overheid.nl
  • Overweeg als organisatie om zelf een developer.organisatienaam te starten
  • Werk mee aan de doorontwikkeling van de API Strategie

Notitie NORA principes bij nieuw beleid[bewerken]

Martijn de Bruine (belastingdienst) heeft samen met Jasper Kuyten en André Plat een notie met een voorstel ingediend om de aansluiting van NORA principes bij nieuw beleid beter te kunnen borgen. Op Beleidskader kun je zien dat een aantal basisprincipes gebaseerd zijn op beleid dat al jaren oud is, ook waar er misschien al nieuwere stukken beschikbaar zijn die het principes ook onderschrijven. We hebben geen indicaties dat principes radicaal gewijzigd moeten worden, omdat de koers van de overheid redelijk stabiel is. Maar het is wel wenselijk om dat te kunnen hardmaken. Bij nader onderzoek blijkt dat in de NORA principes (NORA wiki) vaak verwezen wordt naar stukken uit een ver verleden terwijl er inmiddels nieuwe beleidsstukken zijn gepresenteerd. Welke van deze stukken nog relevant zijn voor de principes, is niet duidelijk. De voorkeur zou zijn als we vanuit beleid op de hoogte worden gehouden van (aankomend) beleid dat impact kan hebben. Dit is in de praktijk echter niet het geval. De meest reële aanpak lijkt te zijn om de kracht van de Gebruikersraad en de aangesloten organisaties te mobiliseren met facilitatie en coördinatie door NORA Beheer. Het voorstel is om een pilot te doen met deze aanpak en te kijken hoe dat bevalt. Een aantal discussiepunten die te verwachten zijn in zo’n pilot:

  • wat telt er als beleid? Wetten zijn vrij duidelijk, maar welke beleidsstukken neem je mee? Vaak blijkt pas later wat een invloedrijk beleidsstuk wordt.
  • zijn oude verwijzingen verouderd en moeten ze vervangen, of hebben ze een waarde en moet je nieuwe verwijzingen toevoegen?
  • op welk overheidsniveau en over welke domeinen bekijken we als NORA beleid? Zou wat er in een enkele overheidslaag of in een enkel domein voor beleid is invloed moeten hebben op de NORA principes, of geldt dat alleen voor beleid dat over de grenzen van organisaties, lagen en domeinen heengaat?Unaniem besluit: Eric Brouwer zal een op basis van de voorstellen uit de notitie een aanpak voorbereiden voor een pilot en bij iedereen navragen welke stukken relevant zijn om te bekijken welk nieuw beleid van invloed is op het aanpassen van principes en welke principes prioriteit hebben om aangepast te moeten gaan worden. Daarnaast zal gekeken worden welke stukken belangrijk zijn voor het NORA architectuur erfgoed.

Actie NORA GR leden: Inventariseer welke stukken belangrijk zijn voor deze opschoning en meld dit via Nora@ictu.nl

NORA als stuurinstrument[bewerken]

Eric Brouwer deelt met de Gebruikersraad de presentatie NORA als stuurinstrument (PDF, 533 kB) die hij gaf aan Ge Linsen in een kennismakingsgesprek over NORA als sturingsinstrument. Dit sluit aan bij de suggestie die in de gebruikersraad van 6 juni werd gedaan dat de NORA als sturingsmiddel gebruikt kan worden. Niet alle deelnemers zagen die rol van NORA (nog) in de praktijk, dus dit is een discussiepunt voor de komende jaren.

Het zou mooi zijn als beleidsmakers architecten eerder betrekken bij het ontwikkelen van beleid. Dat zien ze ook bij DIO als een kans: de bredere holistische blik van de architect kan helpen om beleid beter op elkaar en de praktijk aan te laten sluiten. Meer kennis van NORA kan de beleidsmedewerker tijd schelen (verwijzen i.p.v. opnieuw verzinnen) en vanuit NORA kan je de duiding en toelichting geven die helpt een keuze te maken uit meerdere alternatieven. De bredere samenhang tussen standaarden is daar een voorbeeld van.

NORA werkt op basis van richtinggevende principes (niet meer als blauwdruk). Het kan dus gebruikt worden door beleidsmakers als stuurinstrument, maar ook andersom kunnen beleidsmakers NORA sturen.

Eric heeft bij DIO een aantal voorstellen neergelegd om die wederzijdse bijsturing vorm te geven:

  • Benoemen van een nieuwe portefeuillehouder NORA bij DIO
  • Vertegenwoordiging van de NORA in het OBDO borgen
  • Beleidsmedewerkers bij DIO vragen om mee te helpen om bestaande beleidskaders af te stemmen op de Basisprincipes van de NORA

De NORA is geen expliciet onderwerp van besturing vanuit het OBDO, maar raakt wel sterk aan de beleidsvraagstukken die daar worden behandeld. Ge Linsen is bereid om de NORA in het OBDO te vertegenwoordigen. De Basisprincipes (BP’s ) van de NORA beschrijven namelijk de kwaliteit van overheidsdienstverlening vanuit het perspectief van de wensen van de samenleving, de burgers en bedrijven (het wat, niet het hoe). Beleidskaders worden dus bij uitstek afgestemd op die Basisprincipes. En vice versa, moeten Basisprincipes afgestemd worden op nieuwe beleidskaders. De NORA community onderzoekt voortaan jaarlijks deze afstemming. Daarbij is samenwerking gewenst met de portefeuillehouders van DIO. De keuze om hierbij de Basisprincipes en niet de Afgeleide principes als basis van discussie te nemen is een praktische: de Basisprincipes passen door hun richtinggevende en ruime karakter beter bij het maken van keuzes in de beleidsfase, terwijl de Afgeleide principes die keuzes in de ontwerpfase concretiseren.

Actie Eric Brouwer: Portefeuillehouders bij DIO vragen om toekomstige beleidsvraagstukken c.q. NL DIGIbeter opgaven (ook) te bespreken met de NORA Gebruikersraad en een PSA te laten opstellen. Een PSA is een architectuur-product voor het sturen op goede oplossingen en is in een vroegtijdig stadium van een vraagstuk het meest effectief.

In 2006- 2007 is op kabinetsniveau de afspraak gemaakt dat de NORA principes moeten worden gebruikt. NORA kan gebruikt worden als sturingsmechanisme op het moment dat een beleidsmaker zit met een probleem en je kan aangeven hoe architectuur kan helpen bij de oplossing.

Vragen vanuit de Gebruikersraad:

  • Wat als je beleidsmedewerkers betrekt en ze het vervolgens niet eens zijn met een basisprincipe? Dan ga je de discussie aan, dat is gezond. Een richtinggevende uitspraak moet daar tegen kunnen en zo nee moeten we deze verbeteren.
  • Deze presentatie is gehouden bij DIO, maar is dat niet veel te beperkt? Beleid komt vanaf een heleboel verschillende hoeken, vanuit Rijksoverheid en andere overheidslagen. In feite zou je dat breder moeten aankaarten. En ook grote projecten moeten op onze tafel terecht komen ongeacht de oorspronkelijke bron.

Eric geeft aan dat je dit inderdaad breder moet zien dan DIO: in elk domein moet je voor elkaar zien te krijgen. Actie: Eric Brouwer gaat een rondje langs de CIO offices van de verschillende ministeries doen, om na te gaan hoe architectuur eerder betrokken kan worden in de probleemoplossing van beleidsmakers. Eric zal een voorstel doen in het jaarplan 2020 om deze verkenning vorm te geven. De uitkomsten worden eventueel opgenomen in de positionering van de NORA (Opzet en werking NORA Gebruikersraad).

Verslag en actiepuntenlijst[bewerken]

Verslag: NORA Gebruikersraad/2019-06-06 Gezien de tijd wordt dit onderwerp doorgeschoven naar de volgende keer. De voorzitter wil de afspraak maken, dat als een onderwerp 3x op de actiepuntenlijst blijft staan, zonder dat er gevolg aan wordt gegevens, het punt van de actiepuntenlijst gaat. Kennelijk is dat een signaal dat het punt niet belangrijk genoeg is.

Besluit: De Gebruikersraad stemt hiermee in.

Mededelingen en w.v.t.k.[bewerken]

Aanpassing informatie over de NORA Gebruikersraad[bewerken]

Inmiddels is de tekst over de Gebruikersraad en de governance van NORA op NORA online aangepast op basis van de notitie Opzet en werking NORA Gebruikersraad

De pagina NORA Gebruikersraad bevat sinds kort een ‘Smoelenboek’ met de namen en foto’s van alle leden, voor zover beschikbaar. Op dit moment is er geen contactmogelijkheid weergegeven (geen mailadressen of telefoonnummers), maar wie daar geen bezwaar tegen heeft kan die zelf toe laten voegen. Wie zelf een account aanmaakt of heeft op noraonline kan ook een link laten opnemen waarmee andere ingelogde gebruikers een mail aan je kunnen versturen zonder dat je mailadres op de website staat. Actie: Alle leden controleren hun eigen profiel en stuur wensen voor wijzigingen of aanvullingen naar nora@ictu.nl

Jaarplan 2020[bewerken]

Eric is van plan de jaarplannen voor NORA rechtstreeks in de wiki te maken, de eerste concepten voor jaarplan 2020 zijn al te lezen. Reageren kan per mail of met een opmerking op de bijbehorende overlegpagina.

Voorraadagenda Gebruikersraad[bewerken]

We gaan werken met een voorraad agenda. Actie NORA GR leden: Als er nog zaken zijn, waarvan je vind dat deze op de voorraad agenda moeten, dan dit graag doorgeven via NORA@ictu.nl

Afsluiting met borrel[bewerken]

Om 17.30 uur sluit de voorzitter de vergadering, waarna iedereen kan nagenieten van een hapje en een drankje.