Overheidsdiensten zijn veilig en betrouwbaar

Uit NORA Online
Naar navigatie springen Naar zoeken springen
 
Een richtinggevende uitspraak over een generiek eigenschap die systemen moeten hebben - maar alleen van toepassing binnen een aspectgebied van informatievoorziening. Kan nevengeschikt of ondergeschikt zijn aan bestaande NORA Bindende Architectuurafspraken, meestal een Kwaliteitsdoel of Architectuurprincipe. Kan uitgroeien tot een Architectuurprincipe, als het relevant geacht wordt voor de gehele doelgroep van NORA.

Eigenschappen

IDGA-BP-6
StellingDe overheid moet ervoor zorgen dat hun diensten aan burgers en bedrijven veilig en betrouwbaar zijn.
RationaleBurgers en bedrijven moeten er vanuit kunnen gaan dat hun contact met de overheid veilig en betrouwbaar verloopt, zodat ze zonder risico’s gebruik kunnen maken van hun rechten en kunnen voldoen aan hun plichten.

‘Vertrouwelijk’ en ‘Betrouwbaar’ is ook onderdeel van het GO-basisprincipe GO-BP-1. Dit wordt hier (ook) als zelfstandig architectuurprincipe opgenomen vanwege het belang om expliciet aandacht te geven aan een veilige en betrouwbare werking van alle domeinen van de GDI.

Zie ook Toelichting op de relatie tussen principes van de GDI-Architectuur en van de NORA

Een verdere rationale voor dit architectuurprincipe en de implicaties die hieruit voortkomen is te vinden in:

Implicaties
  1. Burgers en bedrijven herkennen en zien dat zij zich in een veilige overheidsomgeving begeven of zich daarbuiten begeven.
  2. Diensten zijn ingericht met een passend beveiligingsniveau dat aantoonbaar is bepaald en wordt geverifieerd.
  3. Diensten voldoen aan geldende veiligheidseisen en maken gebruik van actuele veilige standaarden.
  4. Diensten zijn erop ingericht om misbruik en fraude te signaleren en daarop maatregelen te nemen.
Voorbeelden
  • Digitale authenticatiemiddelen passen de Baseline Informatiebeveiliging Overheid (BIO) toe.
  • Vrijwillige machtigingen kunnen worden geblokkeerd bij voldoende sterk vermoeden van misbruik of fraude.
  • Uitwisselingsstandaarden maken gebruik van actuele cipher-suites voor encryptie.
Status actualiteitActueel

Relaties

VertrekpuntRelatieEindpunten
Overheidsdiensten zijn veilig en betrouwbaarHeeft bron
Overheidsdiensten zijn veilig en betrouwbaarIs gerelateerd aan

Afgeleide relaties

VertrekpuntRelatieEindpunt

Toelichting relaties:

RelatiesoortEindpuntToelichting
Is gerelateerd aan Verplaats je in de gebruiker Maak beveiligingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in.
Is gerelateerd aan Geef inzicht in de afhandeling van de dienst De bij de dienst horende rechten, voorwaarden en plichten dienen op duidelijke en transparante wijze toegankelijk te worden gemaakt aan burgers en bedrijven die deze dienst af willen of moeten nemen.
Is gerelateerd aan Lever een kanaal-onafhankelijk resultaat Formuleer uniforme regels die gelden voor toegang tot de entiteiten (dienst, informatie, object) onafhankelijk van het kanaal.
Is gerelateerd aan Bied de dienst proactief aan Maak zo veel mogelijk gebruik van gegevens die reeds beschikbaar zijn in plaats van deze gegevens opnieuw te verzamelen of te creëren.
Is gerelateerd aan Hergebruik vóór kopen vóór maken Bij hergebruik van diensten neemt zowel aanbieder als afnemer de oorspronkelijke grondslag en doelbinding in ogenschouw. Daar waar van toepassing is pseudonimisering dan wel anonymisering noodzakelijk. Dit houdt in dat bij te ontwikkelen functionaliteit de oorspronkelijke grondslag bepalend is voor de hergebruikmogelijkheden.
Is gerelateerd aan Standaardiseer waar mogelijk Gebruik een standaardoplossing [zoals bijvoorbeeld een pakketoplossing] zoveel mogelijk ongewijzigd, dus zonder maatwerkaanpassingen. Pas bij de toepassing van een standaardoplossing je werkwijze aan bij de standaarden en de best-practices die aan de oplossing ten grondslag liggen.
Is gerelateerd aan Beschrijf de dienst nauwkeurig De bij de dienst behorende rechten, voorwaarden en plichten dienen op duidelijke en transparante wijze toegankelijk te worden gemaakt aan burgers en bedrijven die deze dienst af willen of moeten nemen. De dienst heeft een duidelijk beschreven 'Quality of Service'. Niet alleen op het technisch koppelvlak, maar juist ook op die aspecten die door de afnemers begrepen worden. Bijvoorbeeld in termen van beschikbaarheid, performance, supportniveau, etc.
Is gerelateerd aan Neem gegevens als fundament Veranderingen in techniek, organisatie of gebruikerswensen mogen niet van negatieve invloed zijn op de duurzame toegankelijkheid van informatie. Hetzelfde geldt voor bitrot. Er worden vooraf maatregelen genomen om informatie toekomstbestendig te maken, zodat deze toegankelijk blijft voor de van toepassing zijnde vormen van (her)gebruik.

Informatie wordt niet langer bewaard en niet eerder vernietigd dan wettelijk is toegestaan.

Een gebruiker kan er op vertrouwen dat een informatieobject is zoals deze in de bron is vastgelegd juist, actueel en volledig is. Fouten kunnen worden gemeld en hersteld. Daarbij is het van belang dat herstelwijzigingen worden gelogd, zodat traceerbaar is hoe foutieve gegevens zijn verwerkt en wat het effect daarvan is.

Dit betekent dat inzichtelijk gemaakt moet worden hoe gegevens tot stand zijn gekomen, over de gehele verwerking in de keten heen. Dus van bron(nen) tot eindproduct(en). Van ieder gegeven zijn de herkomst en verwerkingen beschikbaar tot aan vernietiging.

Stel voor ieder gegeven de kwaliteit vast volgens kenmerken van compleetheid, actualiteit en tijdigheid.
Is gerelateerd aan Pas doelbinding toe Vraag op of verzamel alleen die gegevens op die nodig zijn voor het strikte doel van de dienstverlening.

Ontwerp en implementeer diensten met oog voor doelbinding, data-minimalisatie en oorspronkelijke grondslag.

Stel bij het verzamelen en opvragen van persoonsgegevens betrokkenen op de hoogte van het doel waarvoor de gegevens worden verzameld en de mogelijkheid van de rechten die ze kunnen uitoefenen.

Per informatie-object is de bron en daarmee de juridische aansprakelijkheid voor de juistheid van het object vastgesteld.
Is gerelateerd aan Informeer bij de bron Verwerk als afnemer gegevens uit een bronsysteem niet met een hogere classificatie voor beschikbaarheid en integriteit, of een met lagere classificatie voor vertrouwlijkheid, dan waarvoor de bron geclassificeerd is. Registreer gegevens (zo dicht mogelijk) bij de bron, daar waar de gegevens ontstaan. Dit verhoogt de volledigheid, kwaliteit en de actualiteit van de gegevens aanzienlijk en voorkomt fouten.
Is gerelateerd aan Beheers risico's voortdurend Maak beveilingingsmaatregelen transparant voor de gebruiker en richt deze zo gebruiksvriendelijk mogelijk in.

Stel vast voor welke berichtenstromen of transacties onweerlegbaarheid van gegevens vereist is om daarvoor aanvullende maatregelen te kunnen nemen.

De dienstverlener zorgt ervoor dat de beoogde toegang tot gegevens en de juiste werking van zijn systemen continu alsook achteraf te controleren is.

ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid

De toegankelijkheid van openbare informatie en informatie die die relevant is voor vertrouwelijke- en zaakgerelateerde diensten, is gewaarborgd. Wanneer informatie verplaatst is, of niet meer (online) beschikbaar, worden bezoekers doorverwezen naar de plaats waar deze wel te vinden is.
Is gerelateerd aan Verifieer altijd Maak stelselafspraken om te komen tot één generiek digitaal stelsel voor identificatie en authenticatie of sluit aan bij een bestaand stelsel: kanaal-overstijgend stelsel met afspraken over betrouwbaarheidsniveaus. Ga nooit uit van een impliciet vertrouwen.
Is gerelateerd aan Voorkom onnodige complexiteit Bied de dienst zo veel mogelijk vanuit één contactpunt aan naar burgers en bedrijven. Dit moet voorkomen dat burgers en bedrijven niet met verschillende partijen moeten schakelen om de dienst af te kunnen nemen. Gebruik een standaardoplossing [zoals bijvoorbeeld een pakketoplossing] zoveel mogelijk ongewijzigd, dus zonder maatwerkaanpassingen. Pas bij de toepassing van een standaardoplossing je werkwijze aan bij de standaarden en de best-practices die aan de oplossing ten grondslag liggen.
Is gerelateerd aan Stuur cyclisch op kwaliteit Verantwoordelijkheden, bevoegdheden en taken bij gegevensverwerking zijn bepaald en bekend.

licht relaties toe

Nederlandse Overheid Referentie Architectuur.

Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Communicatiekanaal dat bij de dienstverlening wordt gebruikt. Elk kanaal kent verschillende vormen waarin informatie kan worden gedeeld.

De persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn.

Houdt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is.

Betekenisvolle gegevens.

Betekenisvolle gegevens.

Een op zichzelf staand geheel van gegevens met een eigen identiteit. Bijvoorbeeld: document, databasegegeven, emailbericht (met bijlagen), (zaak) dossier, internetsite (of een deel ervan),foto/afbeelding, geluidopname, wiki, blog enz.

Betekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld.

Begrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

Overgenomen van "https://www.noraonline.nl/index.php?title=Overheidsdiensten_zijn_veilig_en_betrouwbaar&oldid=64858"