ID | Naam | Stelling | Implicaties | Toepassing in project |
---|
AP01 | Diensten zijn herbruikbaar | De dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruiken | De dienst:
- is zó beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden
- maakt maximaal gebruik gemaakt van (open) standaarden om zo min mogelijk drempels op te werpen voor gebruik
- kent een minimum aan gebruiksvoorwaarden
- is aangemeld bij een landelijk serviceregister
| |
AP02 | Ontkoppelen met diensten | De stappen uit het dienstverleningsproces zijn ontsloten als dienst. |
De dienstverlener heeft afgewogen welke ondersteunende processtappen, handelingen en informatie-objecten uit het dienstverleningsproces meerwaarde hebben voor andere organisaties
Deze handelingen en objecten zijn beschreven en ontsloten als afzonderlijke en herbruikbare diensten
De resulterende diensten zijn zó beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden
De diensten zijn gepubliceerd in een landelijk serviceregister of dienstencatalogus.
| |
AP03 | Diensten vullen elkaar aan | De dienst vult andere diensten aan en overlapt deze niet | De dienst:
- is beschreven
- de opzet is afgestemd met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen
- sluit aan op de verwante diensten.
| |
AP04 | Positioneer de dienst | De dienst is helder gepositioneerd in het dienstenaanbod. | De dienst wordt in de context van de bredere overheidsdienstverlening beschreven, gecommuniceerd en ontsloten:
de relevante groep diensten is bepaald (op basis van life event, doelgroep etc.)
er is onderzocht hoe deze diensten, voor welke doelgroepen ontsloten wordt: via welke organisaties, loketten, websites, formulieren etc.
de dienst is beschreven in relatie tot de andere diensten in dit domein
de dienst wordt aangeboden via de in dit domein gebruikelijke contactfuncties. | |
AP05 | Nauwkeurige dienstbeschrijving | De dienst is nauwkeurig beschreven. | Zorg voor een adequate beschrijving van de dienst. Deze beschrijft o.a.
begrippenkader of semantisch model
resultaat van de dienst voor afnemers
verantwoordelijke organisatie. Zie AP 26
wettelijke basis
prijs en leveringsvoorwaarden
wijze van ontsluiting
- website, Klantcontactcentrum, formulieren
- vereiste authenticatie
dialoog. De dienst kan alleen geleverd worden na afronding van een dialoog tussen afnemer en dienstverlener. Denk aan: de aanvraag van de dienst door de afnemer, de wedervraag van de dienstverlener om meer informatie en het antwoord daarop. Deze dialoog stelt voorwaarden aan de afnemer. De afnemer moet de beschrijving van deze dialoog begrijpen, wil hij aan de voorwaarden kunnen voldoen.
Kwaliteitsindicatoren voor aspecten als toegankelijkheid, vindbaarheid, beschikbaarheid, uitwisselbaarheid, betrouwbaarheid, authenticiteit en volledigheid. Deze indicatoren maken sturing op kwaliteit mogelijk. Op basis daarvan kan de dienstverlener verantwoording afleggen aan opdrachtgevers, afnemers en derde partijen (b.v. toezichthouders). Zie AP 29 en 30
De kwaliteit van de dienst is vastgelegd in algemene leveringsvoorwaarden. Afspraken met afnemers worden vastgelegd in bijvoorbeeld Service Level Agreements (SLA's). De leveringsvoorwaarden en SLA's leggen zowel eisen op aan de leverende partij als aan de afnemer (randvoorwaardelijk voor de levering). | |
AP06 | Gebruik standaard oplossingen | De dienst maakt gebruik van standaard oplossingen |
De voor de dienst relevante standaardoplossingen zijn geïnventariseerd voor gebieden zoals:
Oplossingen zijn op geschiktheid beoordeeld. Bij geschiktheid zijn ze opgenomen in de opzet van de dienst
| |
AP07 | Gebruik de landelijke bouwstenen | De dienst maakt gebruik van de landelijke bouwstenen e-overheid |
- De voor de dienst relevante bouwstenen zijn geïnventariseerd en op geschiktheid beoordeeld;
- Bij geschiktheid zijn ze opgenomen in de opzet van de dienst.
| |
AP08 | Gebruik open standaarden | De dienst maakt gebruik van open standaarden |
- Met afnemers zijn afspraken gemaakt over de te gebruiken open standaarden. Hierbij wordt tijdig geanticipeerd op de ontwikkeling van de open standaarden
- Volgens (open) standaarden zijn beschreven:
- de interactieprocessen
- het berichtenverkeer
- Applicatieportfolio
- Organisaties werken volgens een open standaard voor procesmodellering die door alle samenwerkende partijen op uniforme wijze wordt toegepast. De gekozen open standaard is bepalend voor de keuze van modelleersystemen die deze standaard ondersteunen.
Een overzicht van vastgestelde open standaarden waarvoor het 'pas toe - of leg uit' - regime geldt, is te vinden op Lijst open standaarden
| |
AP09 | Voorkeurskanaal internet | De dienst kan via internet worden aangevraagd | De organisatie is in staat om communicatie met de afnemer via internet en de andere gekozen kanalen af te wikkelen. | |
AP10 | Aanvullend kanaal | De dienst kan, behalve via internet, via minimaal één ander kanaal voor persoonlijk contact worden aangevraagd. | De organisatie is in staat om communicatie met de afnemer via meerdere kanalen af te wikkelen | |
AP11 | Gelijkwaardig resultaat ongeacht kanaal | Het resultaat van de dienst is gelijkwaardig, ongeacht het kanaal waarlangs de
dienst wordt aangevraagd of geleverd. |
- Alle relevante (klantcontact)informatie is beschikbaar voor de medewerkers aan het loket.
- De dienstverlener kan altijd beschikken over het klantbeeld (zie definitie) en alle relevante contactinformatie met de klant, ongeacht het kanaal waarover de communicatie is en /of wordt gevoerd.
- Op alle kanalen is dezelfde informatie beschikbaar, uit één bron.
- Verwerking en intake zijn losgekoppeld: afhandeling van aanvragen kan onafhankelijk van het kanaal gebeuren waarlangs het verzoek binnen komt.
- De mogelijke wisselingen tussen de kanalen zijn beschreven, zodat de afnemer op verschillende contactmomenten verschillende kanalen kan kiezen.
- Informatie over de kanaalkeuze, per contactmoment is als meta-informatie vastgelegd.
| |
AP12 | Eenmalige uitvraag | Afnemers wordt niet naar reeds bekende informatie gevraagd |
- Er is een overzicht van alle voor de levering van de dienst noodzakelijke gegevens
- Van elk van deze gegevens is vastgesteld of het al bij de overheid geregistreerd staat of niet. Voor de gegevens die reeds geregistreerd staan, is vastgesteld wat de bronregistratie is. Ook is vastgesteld welke van deze gegevens authentieke gegevens zijn
- Zijn er voor de dienst authentieke gegevens nodig, dan worden deze betrokken uit de basisregistraties.
- Is er behoefte aan niet-authentieke gegevens, dan wordt nagegaan of deze deze informatie al in eigen huis of bij andere overheidsorganisaties beschikbaar is. Wanneer dat het geval is en de WBP het toestaat, wordt deze informatie hergebruikt. Ook wanneer een andere organisatie de bronhouder is, wordt de informatie daarvan afgenomen.
- Is de informatie al beschikbaar en moet deze enkel gecontroleerd en aangevuld worden? Leg dan de reeds beschikbare informatie ter controle en aanvulling voor aan de afnemer.
| |
AP13 | Bronregistraties zijn leidend | Alle gebruikte informatieobjecten zijn afkomstig uit een bronregistratie. |
- Alle relevante informatie-objecten zijn geïnventariseerd
- informatie-objecten worden beheerd.
- Per informatie-object is de bron en daarmee de juridische aansprakelijkheid voor de juistheid van het object vastgesteld
- Authentieke gegevens, zoals beschreven in de wetgeving op basisregistraties, worden afgenomen van de basisregistraties
- De juistheid van de gebruikte informatie-objecten wordt niet voor gebruik gecontroleerd
| |
AP14 | Terugmelden aan bronhouder | Bij gerede twijfel aan de juistheid van informatie, meldt de dienstverlener dit aan de verantwoordelijke bronhouder |
- Er zijn procedures en middelen om twijfel aan de juistheid te melden.
- Met bronhouders zijn afspraken gemaakt voor de inname en verwerking van de meldingen.
- Van alle in de dienst gebruikte gegevens is vastgelegd welke acties bij gerede twijfel aan deze gegevens moeten worden uitgevoerd.
| |
AP15 | Doelbinding (AP) | Het doel waarvoor informatie wordt (her)gebruikt is verenigbaar met het doel waarvoor deze oorspronkelijk is verzameld. |
- Op basis van de meta-informatie kan worden vastgesteld wat de oorspronkelijke reden is van het verzamelen van de informatie.
- Het doel waarvoor informatie wordt uitgevraagd, is vastgelegd en getoetst door bevoegde instanties.
- In samenwerkingsrelaties is vooraf bepaald wat het gemeenschappelijke doel van de samenwerking is en of alle deelnemers in het kader hiervan informatie mogen delen, bijvoorbeeld over personen.
| |
AP17 | Informatie-objecten systematisch beschreven | De aan de dienst gerelateerde informatieobjecten zijn, uniek geïdentificeerd, in een informatiemodel beschreven. |
- Systematisch beschrijven en uniek identificeren van informatieobjecten volgens de relevante metadata-standaarden, waarbij gebruik wordt gemaakt van de FAIR principes (Findable, Accessible, Interoperable, Reusable), zie www.dtls.nl.
- Het visualiseren van de informatieobjecten in hun onderlinge samenhang (informatiemodel) zodat de structurele relaties tussen informatieobjecten duidelijk worden.
- Digitaal publiceren van het informatiemodel (beschrijving en de visualisatie).
Voor het beschrijven van informatieobjecten in een informatiemodel is een stappenplan beschikbaar, samengevat:
- Maak een overzicht van de (types) informatieobjecten die benodigd zijn voor de dienst.
- Zorg ervoor dat al deze informatieobjecten systematisch zijn beschreven, inclusief hun metadata.
- Relateer de informatieobjecten aan bestaande informatiemodellen.
- Publiceer de informatieobjecten digitaal en benoem de vindplaats zodat ze uniek identificeerbaar zijn.
| |
AP18 | Ruimtelijke informatie via locatie | De dienst ontsluit ruimtelijke informatie locatiegewijs. |
- Er is vastgesteld of: **de dienst ruimtelijke informatie bevat die op een interactieve kaart kan worden ontsloten **welke kaartinformatie er in het relevante domein van diensten wordt gebruikt om ruimtelijke informatie in te ontsluiten *De geïdentificeerde ruimtelijke informatie is ontsloten via de relevante interactieve kaarten.
| |
AP19 | Perspectief gebruiker | De gebruiker staat aantoonbaar centraal gedurende het (door-)ontwikkelen van diensten en ondersteunende systemen. | 1. Bij het (door-)ontwikkelen van een product of dienst moet de context van de gebruiker meegewogen worden. Houd dus rekening met de omstandigheden, de combinatie van andere (private en overheids-)diensten en het doel. Het kan nodig zijn om verschillende diensten gezamenlijk door te ontwikkelen.
2. Een ketendienst moet zowel rekening houden met de (eind)gebruiker als met de tussenliggende gebruikers. Hierbij is het bereiken van het doel van de dienstverlening leidend. Dit houdt in dat ook het gebruikersgedrag over de keten heen moet worden gemeten.
3. Een dienst of product is nooit ‘af’ maar blijft zich ontwikkelen. Hiervoor wordt structureel rekening gehouden in de jaarlijkse budgetteringen. Eigenaren, beheerders èn ontwikkelaars zijn gespitst op ontwikkelingen in de omgeving die aanpassing noodzakelijk maken (zoals nieuwe bedieningsconcepten of technologieën). Men moet bedacht zijn op nieuwe diensten die bestaande producten en diensten sterk kunnen beïnvloeden of zelfs overbodig kunnen maken.
4. Gebruikers moeten (gewijzigde) behoeften kunnen doorgeven aan de eigenaar van de dienst die ontvankelijk is voor deze feedback. Daarnaast is deze eigenaar actief op zoek naar informatie over de behoeften, verwachtingen en vaardigheden van de gebruikers.
5. Vanaf het ontwikkeltraject tot en met de beheerfase is op basis van daadwerkelijk gemeten gebruikergegevens (geanonimiseerd monitoren van de dienst zelf) en de ervaring van de gebruikers van de voorziening (marktonderzoek en analytics) verwerkt naar een volgende versie of aanpassing. Hierbij moeten privacy regels en informatiebeveiliging regels in acht worden genomen. | |
AP20 | Persoonlijke benadering | De dienst benadert geïdentificeerde afnemers op persoonlijke wijze. |
- De dienstverlener slaat klantcontactinformatie op (contactmomenten-, personen, afgenomen diensten en voorkeuren) en bouwt op basis hiervan klantbeelden (zie definitie) op.
- De dienst wordt aangevraagd en geleverd op basis van deze klantbeelden.
- Dit klantbeeld is beschikbaar in alle contactfuncties (zie definitie) wanneer er contact is met de afnemer
- Bij de verzameling van klantcontactinformatie informeert de dienstverlener de betrokkenen over alle verwerkingen.
- De dienstverlener deelt klantcontactinformatie met andere dienstverleners in het kader van persoonsgerichte dienstverlening. Juridische en praktische implicaties hiervan zijn onderzocht.
| |
AP21 | Bundeling van diensten | De dienst wordt gebundeld met verwante diensten zodat deze samen met één aanvraag afgenomen kunnen worden. |
- De aanbod- en vraagzijde van de markt zijn in kaart gebracht:
- doelgroepen en hun perspectief
- aanverwante diensten en dienstverleners
- Afstemming is gezocht met de andere relevante (overheids)dienstverleners
- De dienst wordt (vanuit perspectief van de afnemer) gebundeld aangeboden met een of meer diensten van andere organisaties
| |
AP22 | No wrong door | Overheidsloketten verwijzen gericht door naar de dienst |
- De dienstverlener zorgt voor informatie over de dienst en een passende ontsluiting.
- Er is onderzocht welke contactfuncties het meest gebruikt worden door de doelgroep van de dienst (die dus de meeste afnemers zouden kunnen doorverwijzen). Afspraken met de betreffende organisaties borgen de doorverwijzing.
- Deze contactfuncties en hun medewerkers beschikken over de informatie die nodig is om de vraag van de afnemer zodanig te verhelderen, dat gericht naar de dienst kan worden doorverwezen. Deze medewerkers zijn in staat om te werken met alle relevante zoekinstrumenten.
- De dienst is vindbaar en toegankelijk via alle contactfuncties
- De dienst maakt deel uit van overzichten van overheidsdienstverlening (zoals Samenwerkend Catalogi, thematische webportals)
| |
AP23 | Automatische dienstverlening | De dienst wordt na bepaalde signalen automatisch geleverd. | Per dienst is bepaald:
- of automatische verstrekking gewenst is
- de invulling van de automatische verstrekking
- welke signalen (ook van andere organisaties) de dienstverlening in gang zetten. De dienstverlener deelt daartoe klantcontactinformatie met andere dienstverleners. Juridische en praktische implicaties hiervan zijn onderzocht.
| |
AP24 | Proactief aanbieden | De dienst ondersteunt proactiviteit van dienstverleners binnen en buiten de organisatie | Per dienst is bepaald:
voor welke doelgroepen en in welke situaties een proactief aanbod van de dienst gewenst is
welke signalen de dienstverlening in gang zetten
welke andere verwante diensten in dit domein worden aangeboden
welke dienstverleners in dit domein contact hebben met de doelgroep. Deze dienstverleners krijgen de informatie die nodig is om de relevantie van de dienst voor de doelgroep te kunnen beoordelen.
welke klantcontactinformatie voor andere dienstverleners als signaal bruikbaar is en wat de juridische en praktische implicaties van dit hergebruik zijn | |
AP25 | Transparante dienstverlening | Afnemers worden geïnformeerd over de stand van zaken bij de gevraagde dienst. |
De dienstverleningsprocessen zijn geautomatiseerd.
De afnemer kan online 24/7 per week, of op elk ander afgesproken moment, de status raadplegen.
Statusovergangen zijn inzichtelijk gemaakt.
De voor de afnemer relevante voortgangsinformatie in de totstandkoming van diensten is beschreven (zowel als kwaliteitsattribuut in het metamodel van de dienst, als in de leveringsvoorwaarden (SLA)).
Voor het bepalen van relevante voortgangsinformatie is de behoefte van de afnemer of doelgroep geïnventariseerd.
De bijbehorende stadia in het uitvoeringsproces zijn eenduidig vastgelegd en gekoppeld aan het klant- en zaaknummer.
Aan de voortbrenging van de dienst is een casus of zaak gekoppeld die uniek identificeerbaar is en via alle kanalen beschikbaar en toegankelijk (transparant) blijft gedurende de geldigheidstermijn.
Voortgangsinformatie wordt ontsloten via alle kanalen waarlangs de dienst wordt verleend én via de persoonlijke contactvoorzieningen van voorkeur van de afnemer (ViaMijnBank, MijnOverheid.nl, MijnBerichten, e-mail).
De afnemer wordt geïnformeerd over statuswijzigingen.
| |
AP26 | Afnemer heeft inzage | De afnemer heeft inzage in de eigen informatie en het gebruik er van |
- Tijdens verlening van de dienst wordt de verwerking en verstrekking van informatie als zodanig vastgelegd.
- Daarbij wordt vastgelegd welke medewerkers de informatie hebben bewerkt en aan welke organisaties deze informatie is verstrekt.
- Deze informatie wordt ontsloten via de contactvoorzieningen die voor het doel van inzage zijn ingericht.
- Bij het verzamelen van persoonsgegevens worden betrokkenen op de hoogte gesteld van het doel of de doeleinden waarvoor de gegevens worden verzameld.
| |
AP27 | Een verantwoordelijke organisatie | Eén organisatie is verantwoordelijk en aanspreekbaar voor de dienst |
- In de dienstbeschrijving is duidelijk op welke prestatie de dienst betrekking heeft en welke organisatie hiervoor verantwoordelijk is *In de vormgeving en communicatie van de dienst wordt de verantwoordelijke organisatie duidelijk gepresenteerd*Wanneer de dienst in een bundel wordt aangeboden die in één keer kan worden afgenomen, wordt helder gecommuniceerd dat het hier een bundel betreft, met per dienst de verantwoordelijke organisatie.
| |
AP28 | Afspraken vastgelegd | Dienstverlener en afnemer hebben afspraken vastgelegd over de levering van de dienst |
- De dienst is nauwkeurig beschreven, zie AP 5 Nauwkeurige dienstbeschrijving.
- Hierbij is bepaald wie de afnemers zijn, wat zij mogen verwachten en wat de voorwaarden voor levering zijn.
- De dienst wordt verleend nadat de afnemer akkoord is gegaan met de voorwaarden. Wanneer het op praktische bezwaren stuit om met iedere afnemer afzonderlijk afspraken te maken, kan de dienstverlener deze afspraken maken met een vertegenwoordiger van de afnemers
- Bij bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter is het akkoord en de inhoud daarvan schriftelijk vastgelegd. Denk hierbij aan Service Level Agreements (SLA) en Gegevens Levering Overeenkomsten (GLO).
- De dienstverlener geeft hierbij ook aan welk betrouwbaarheidsniveau geldt voor de identificatie van de afnemer.
| |
AP29 | De dienstverlener voldoet aan de norm | De dienstverlener draagt zelf de consequenties wanneer de dienst afwijkt van afspraken en standaarden. |
- Voor de dienst is vastgesteld aan welke normen en standaarden deze moet voldoen.
- De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van de norm zijn geïdentificeerd.
- Voor alle afwijkingen zijn voorzieningen getroffen.
| |
AP30 | Verantwoording dienstlevering mogelijk | De wijze waarop een dienst geleverd is, kan worden verantwoord | Per dienst is bepaald:
- de informatie-objecten die van belang zijn voor hergebruik, controle en verantwoording van de dienst
- de eisen die aan deze informatie-objecten worden gesteld, (bv. t.a.v. inhoud, structuur, verschijningsvorm (en in bepaalde gevallen ook het gedrag)
- het moment, de wijze van archiveren en de termijn waarop deze informatieobjecten moeten worden bewaard.
- de vragen die de audittrail moet beantwoorden.
- de beheeractiviteiten op de informatie-objecten zijn uitgevoerd
- met welke besturings- of toepassingsprogrammatuur zij worden beheerd
| |
AP31 | PDCA-cyclus in besturing kwaliteit | De kwaliteit van de dienst wordt bestuurd op basis van cyclische terugkoppeling. |
Voor de start van de ontwikkeling van een nieuwe dienst zijn de vereisten waaraan de dienst moet voldoen schriftelijk vastgelegd.
monitoring vindt plaats van:
- naleving prestatie normen
- gebruiksstatistieken
- Klanttevredenheid
feedback door afnemers wordt actief ondersteund met behulp van:
- focusgroepen
- klachtenprocedures
- cliëntenraden
Een gestructureerd proces voor methodische verwerking van issues en voorstellen voor verandering is ingericht
| |
AP32 | Sturing kwaliteit op het hoogste niveau | Sturing op de kwaliteit van de dienst is verankerd op het hoogste niveau van de organisatie | De hoogst verantwoordelijke binnen de organisatie is verantwoordelijk voor en legt verantwoording af over:
- het voor de dienst relevante kwaliteitsbeleid en de wijze van monitoring van de kwaliteit
- de geleverde prestaties
- naleving van afspraken met afnemers.
| |
AP33 | Baseline kwaliteit diensten | De dienst voldoet aan de baseline kwaliteit. |
De dienstverlener heeft voor zijn gehele pakket van diensten de algemeen geldende kwaliteitscriteria, standaarden en best practices geïdentificeerd.
De kwaliteitscriteria, standaarden en best practices zijn vertaald in een bij de organisatie passende baseline.
De dienst voldoet aan deze baseline. In aanvulling daarop is bepaald in hoeverre aanvullende kwaliteitsmaatregelen vereist zijn.
Deze aanvullende maatregelen zijn genomen.
| |
AP34 | Verantwoording besturing kwaliteit | De dienstverlener legt verantwoording af over de mate van control, in overleg met de afnemer. |
- In overleg met afnemers is de wijze van verantwoording en vorm van toetsing vastgesteld.
- PDCA-cycli op strategisch en tactisch niveau zijn ingericht.
- De baseline kwaliteit is vastgesteld.
- De naleving van de baseline en aanvullende kwaliteitsmaatregelen zijn gecontroleerd.
- De directie legt verantwoording af.
- De verantwoording en bijbehorende toetsingsrapportages zijn toegankelijk voor afnemers (voor zover dit geen risico's oplevert voor de informatiebeveiliging).
| |
AP40 | Onweerlegbaarheid (principe) | De onweerlegbaarheid van berichtenuitwisseling wordt gegarandeerd door wederzijdse authenticatie en door versleuteling van elektronische handtekeningen. | De onweerlegbaarheid van transacties wordt gegarandeerd door wederzijdse authenticatie en versleuteling van elektronische handtekeningen.
Specifiek:
- Er is vastgesteld welke berichten onweerlegbaar moeten zijn.
- Bij deze berichten is geborgd dat het ontvangen bericht afkomstig is van de afzender en dat de inhoud niet door derden is beïnvloed.
| |
AP41 | Beschikbaarheid | De beschikbaarheid van de dienst voldoet aan de met de afnemer gemaakte continuïteitsafspraken. | De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door vermeervoudiging van systeemfuncties, door herstelbaarheid en beheersing van verwerkingen, door voorspelling van discontinuïteit en handhaving van functionaliteit.
Specifiek:
- Het niveau van beschikbaarheid is in overleg met de afnemers vastgesteld
- ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid
- De continuïteit van voorzieningen wordt bewaakt, bij bedreiging van de continuïteit wordt alarm geslagen en er is voorzien in een calamiteitenplan.
- De toegankelijkheid van openbare informatie en informatie die die relevant is voor vertrouwelijke- en zaakgerelateerde diensten, is gewaarborgd. Wanneer informatie verplaatst is, of niet meer (online) beschikbaar, worden bezoekers doorverwezen naar de plaats waar deze wel te vinden is.
- De afnemer merkt niets van wijzigingen in het beheer van de dienst.
- Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is.
- De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard.
| |
AP42 | Integriteit | De dienstverlener waarborgt de integriteit van gegevens en systeemfuncties. | De integriteit van gegevens en systeemfuncties wordt gegarandeerd door validatie en beheersing van gegevensverwerking en geautoriseerde toegang tot gegevens en systeemfuncties, door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling en door beperking van functionaliteit.
Controle van gegevensverwerking:
- De criteria voor juistheid, en tijdigheid zijn vastgesteld
- controleren vanuit een systeemvreemde omgeving ingevoerde gegevens op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt.
- controleren te versturen gegevens op juistheid, volledigheid en tijdigheid
- controleren ter verwerking aangeboden gegevens op juiste, volledig en tijdige verwerking
- vergelijken periodiek kritieke gegevens die in verschillende gegevensverzamelingen voorkomen met elkaar op consistentie. Dit geldt alleen zolang als de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens.
| |
AP43 | Vertrouwelijkheid (principe) | De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens. | De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens.
Fysieke en logische toegang:
- Per dienst zijn de mate van vertrouwelijkheid en de bijbehorende identificatie-eisen vastgesteld
- Voor een intern systeem, besloten gebouw of ruimte, geldt: “niets mag, tenzij toegestaan”. Daarom wordt de gebruiker voor toegangsverlening geauthenticeerd. Voor afnemers van vertrouwelijke diensten geldt hetzelfde. Daardoor zijn deze gebruikers en afnemers uniek herleidbaar tot één natuurlijk persoon, organisatie of ICT-voorziening.
- Bij authenticatie dwingt het systeem toepassing van sterke wachtwoordconventies af.
- De instellingen van het aanmeldproces voorkomen dat een gebruiker werkt onder een andere dan de eigen identiteit.
- Om de mogelijkheden van misbruik te beperken, hebben gebruikers van systemen niet méér rechten dan zij voor hun werk nodig hebben (autorisatie). Daarbij zijn maatregelen getroffen om een onbedoeld gebruik van autorisaties te voorkomen.
- Verleende toegangsrechten zijn inzichtelijk en beheersbaar.
- De identificatie.-eis voor een samengestelde dienst wordt bepaald door de dienst met de hoogste identificatie -eis.
Zonering en Filtering:
- De zonering en de daarbij geldende uitgangspunten en eisen per zone zijn vastgesteld.
- De fysieke en technische infrastructuur is opgedeeld in zones.
- Deze zones zijn voorzien van de benodigde vormen van beveiliging (de 'filters').
- Informatie-betekenisvolle gegevens.-uitwisseling en bewegingen van mensen tussen zones wordt naar vorm en inhoud gecontroleerd en zo nodig geblokkeerd
| |
AP44 | Controleerbaarheid | De dienstverlener zorgt ervoor dat de beoogde toegang tot gegevens en de juiste werking van zijn systemen continu alsook achteraf te controleren is. | De controleerbaarheid van gebruikers- en systeemgedrag wordt gerealiseerd door registratie en bewaking van gebeurtenissen en door alarmering op het overschrijden van toelaatbare drempels.
Specifiek voor logging: analyseer periodieke logbestanden om de juiste werking van het systeem vast te stellen en beveiligingsincidenten te detecteren. | |