Sandbox:gebruikersdag 19 november 2019
Uitnodiging downloaden en delen[bewerken]
Voel je vrij om de Uitnodiging (PDF, 393 kB) voor deze dag te downloaden, op kantoor op te hangen of verder te verspreiden.
Thema en programma[bewerken]
Hierbij nodigen we je van harte uit voor de NORA Gebruikersdag. Het thema van de dag is de toekomst en hoe we daar in ons werk op voor kunnen sorteren. Zoals schrijver William Gibson het ooit formuleerde:
“The future is already here — it's just not very evenly distributed.”
Als architecten staan we natuurlijk altijd al met één been in het heden en één in de toekomst . En weten we dat de legacy van de ene organisatie een stap vooruit kan zijn voor de andere. Het is als ambtenaren in de digitale overheid de kunst om, met respect voor die diversiteit, samen in te zetten op een toekomst waar we straks zelf als burger ook in willen leven.
Deze gebruikersdag tonen we je twee visies op die toekomst: Regie op Gegevens (RoG) en DIStributed Collaborative Information Platform (Discipl ). Twee brede en veelomvattende toekomstvisies, die in het heden al de eerste resultaten beginnen op te leveren.
Beide visies bouwen bovendien voort op dezelfde hedendaagse ontwikkelingen en concepten: Self Sovereign Identity, methoden om authenticatie te realiseren op basis van verifieerbare beweringen waar privacy al by design is ingebouwd, de API-revolutie die voorheen ongekende mogelijkheden biedt om gegevens te delen en te gebruiken, een bredere visie op architectuur op het niveau van de samenleving.
In drie breakout-ronden van telkens een half uur kun je kiezen uit zes onderwerpen, waarvan de meeste drie keer achter elkaar gegeven zullen worden. Met die kennis op zak kun je vervolgens in de verdiepingsronde aansluiten bij RoG of bij Discipl, om te onderzoeken wat hun toekomstvisie betekent voor jouw werk, jouw toekomst en jouw organisatie.
Net als vorige keer komen we daarna weer als groep bij elkaar om in een paneldiscussie te reflecteren op de dag. Pak alvast een drankje en praat mee: Waar hebben we elkaar gevonden in een gedeelde visie? Waar liggen nog discussiepunten en waar zou die discussie gevoerd moeten worden? En hoe voelen wij eigenlijk ons bij de geschetste toekomst en willen we daar aan bij dragen? Waar en wanneer? Dinsdagmiddag 19 november. Onze gastheer is Rijkswaterstaat in Utrecht, Griffioenlaan 2, 3526 LA Utrecht (P+R westraven parkeren & ov-halte). We beginnen om 12.00 uur en vanaf 17.30 uur is er een netwerkborrel.
Voor wie?[bewerken]
Iedereen die zich met architectuur bezighoudt in de publieke sector is welkom, dus zet deze uitnodiging gerust door in je netwerk.
Hoe meld ik me aan?[bewerken]
Registreer je deelname via de NORA community op Pleio (het is niet nodig een Pleio-account aan te maken om je in te schrijven). Inschrijven kan tot en met 14 november.
Programma[bewerken]
In drie breakout-ronden van telkens een half uur kun je kiezen uit 6 onderwerpen, waarvan de meeste 3 keer achter elkaar gegeven zullen worden. Met die kennis op zak kun je vervolgens in de verdiepingsronde aansluiten op RoG of Discpl, om te onderzoeken wat hun toekomstvisie betekent op jouw werk, jouw toekomst en jouw organisatie.
Tijdsschema[bewerken]
12:00 - 12:30 Opening door Nadeem Taverne, voorzitter NORA Gebruikersraad
12:45 - 13:15 Breakout-ronde 1
13:30 - 14:00 Breakout-ronde 2
14:15 - 14:45 Breakout-ronde 3
15:00 - 16:30 Verdiepingsronde
16:45 - 17:30 Paneldiscussie met drankje
17:30 - 18:00 Netwerkborrel
Breakout-ronden[bewerken]
API’s en de samenwerkende overheid[bewerken]
Sprekers: Youetta de Jager, Enterprise Architect (ICTU), Youetta de Jager, Enterprise Architect (ICTU)
Doel sessie: Informeren over het concept API en de betekenis voor de samenwerkende overheid
Youetta de Jager (ICTU, senior consultant) neemt de deelnemers mee op reis met de API-strategie van de overheid. Maar wat is eigenlijk zo’n API? Wat kan een API en wat weten we er al over? NORA ondersteunt de community in het ontwikkelen van een strategie en het gebruik van API’s. Waar is behoefte aan bij dit thema?
Door API’s (Application Programming Interfaces) kunnen computerprogramma’s communiceren met een ander programma. Het zijn programmeerbare blokjes waarmee een dienst slim samengesteld kan worden. API’s bieden mogelijkheden voor privacy-by-design. Er zijn bijvoorbeeld API’s die alleen ja/nee antwoorden geven. Daarmee kan het gebruik van Self Sovereign Identity worden gerealiseerd.
“Tot nu toe is er veel technisch werk verricht. Er liggen bijvoorbeeld standaarden voor API’s”, vertelt Youetta. “Dar gaat nog vooral om de vraag: welke data zitten erin? Als gebruiker wil je weten hoe robuust zo’n dienst gebouwd is. Bijvoorbeeld: deze API is 24/7 beschikbaar. Of: deze API is geschikt voor meer dan 10000 gebruikers.”
Ze heeft een Mindmap (PDF, 80 kB) gemaakt over API’s en nodigt iedereen uit: “Werk mee, denk mee, vul aan.”
Waar hebben deelnemers behoefte aan?
- “Help ons standaarden beter te begrijpen.”
- “Vindbaar maken en bieden van standaarden.”
- “API’s kunnen plotten op alle architectuurlagen. Structuren.”
- “Hoe maken we de transitie naar op API’s gebaseerde diensten?”
- “Omschrijvingen van API’s vanuit de behoefte van de eindgebruiker en eisen aan de dienst.”
- “Behoefte aan organisatie die API’s publiceert en beheert: een soort API Management Platform.”
- “Gemeenten werken samen in de Common Ground. We zijn al met API’s bezig. Eigenlijk wil je dat ook landelijk als overheid. NORA kan een rol hebben in het bij elkaar brengen van die ontwikkelingen.“
Voorbeelden
Er zijn voorbeelden beschikbaar, vertelt Youetta. “Uber heeft architectuur met API’s, ook de Belastingdienst heeft voorbeelden. Er zijn mogelijkheden kennis uit te wisselen.” In NORA staan al namen van organisaties die met API’s werken, met contactpersonen erbij.
“Wat verwacht je van NORA?”, vraagt Youetta. “Focus op het gemeenschappelijke niveau. Domeinspecifiek hoort bij de domeinreferentie architecturen.” Youetta vertelt wat er al gebeurt: “We maken een verbinding tussen het Kennisplatform API’s en de NORA. Ontwerpvragen als ‘Hoe ontwerp ik een API?’ pakt developer.overheid.nl op. Op dat platform worden ook de API’s gepubliceerd.”
Het gedachtengoed van API’s wordt verwerkt in de NORA in de themapagina API.
An introduction to Society Architecture[bewerken]
Sprekers: Bas Kaptijn, Discipl, Innovatie Architect Digicampus (ICTU) & Steven Gort, Discipl, Datafluisteraar (ICTU), Bas Kaptijn, Discipl, Innovatie Architect Digicampus (ICTU) & Steven Gort, Discipl, Datafluisteraar (ICTU)
Doel sessie: Kennismaken met "Society Architecture:" het wat, waarom en hoe ervan in context van huidige ontwikkelingen. Peilen van interesse bij de aanwezigen om hier aan bij te dragen.
'Reinvent Government,' dagen Steven Gort en Bas Kaptijn (ICTU, Discipl) ons uit.
Als de bestaande organisaties, silo's en administratieve werkelijkheid er niet zouden zijn en je opnieuw zou beginnen, hoe zou je dan vandaag of morgen publieke dienstverlening inrichten?
Voor hen is dit duidelijk: de mens en de behoeften van die mens moeten centraal staan en de rest organiseer je flexibel genoeg om te veranderen als onze behoeften als burgers en samenleving veranderen. Gegevens die nu in silo's van overheden zitten moeten onder regie van de burger komen, bereikbaar vanuit je eigen devices en deelbaar als dat voor jou nuttig is. Wetten, regels, subsidies en toeslagen dienen de mens en moeten dus begrijpelijk worden in je eigen unieke context. Daar kan de techniek een handje bij helpen, als we wetten en regels als open linked data beschikbaar stellen: een persoonlijke app kan jouw gegevens en de wettelijke mogelijkheden voor je uitzoeken en wat in jouw situatie relevant is in heldere taal uitleggen.
In hun visie komt de techniek niet in de plaats van contact tussen burger en overheid, maar maakt dit contact juist menselijker: je uit je behoeften in je eigen woorden en zonder dat je zelf hoeft uit te zoeken bij welke overheidsorganisatie je moet zijn: ‘Ik wil een betaalbaar huis’ in plaats van ‘ik schrijf mij in voor een sociale huurwoning bij deze woningcorporatie’ & ‘ik vraag huurtoeslag aan bij de belastingdienst.’
Doordat de techniek veel wetsinterpretatie en rondschuiven met gegevens uit handen neemt heeft de ambtenaar de tijd om echt contact te leggen met de mensen die dat nodig hebben, terwijl het gros van de diensten automatisch verstrekt kan worden.
Door de dialoog tussen burger en overheid te versterken en te faciliteren groeit het wederzijds vertrouwen. En de flexibiliteit en ruimte die juristen oorspronkelijk hebben ingebouwd in veel wetten komt weer beschikbaar: niet 'computer says no' maar samen met de burger naar oplossingen zoeken.
Hoe willen ze de bestaande organisatie veranderen die hun visie in de weg staat? We lopen als overheid en samenleving tegen bestaande muren op, maar aangezien we die zelf hebben neergezet kunnen we ze ook zelf weer weghalen.
Een concrete toepassing van deze visie waar het discipl-team al ervaring mee heeft opgedaan is het opvragen van waardepapieren bij je gemeente, oftewel verifiable credentials. Hierbij hebben ze gelijk rekening gehouden met de W3C standaard en EIDAS, zodat het in de toekomst mogelijk moet zijn om een uittreksel uit het geboorteregister te krijgen dat overal geaccepteerd wordt.
Een andere opdracht is de waardewisselaar, waar compliance by design een belangrijke factor is. Lees meer over deze toepassingen op discipl.org.
De rol van de architect in rijksbrede samenwerking en tactisch beheer van architectuur[bewerken]
Sprekers: Martin Lemmen, Roland Drijver, Martin Lemmen, Roland Drijver
Doel sessie:
Roland Drijver trapte de sessie af met een verhaal over Rijkswaterstaat en hun manier van werken. In rap tempo kwamen een heleboel aspecten aan bod, van anekdotes over kennisdeling met leveranciers tot de manier waarop zij inzetten op het opbouwen van de 'capabilities' van hun medewerkers. Martin Lemmen vult Roland aan en tekent ter plekke het verantwoordingsmodel op een flipover. Een aantal onderwerpen dat aan bod kwam:
- We maken in de verschillende overheidsorganisaties gebruik van andere termen, modellen et cetera. Dat levert extra drempels op bij samenwerking: wie gewend is aan een Business Transformatie Plan en praat met iemand die normaal werkt met een Business Information Plan heeft last van een spraakverwarring, terwijl de inhoud behoorlijk overlapt.
- Samenwerken is ook herkennen dat er verschillende types mensen zijn, waarbij je eigen inborst effect heeft op de manier waarop je tegen iets aankijkt: Angstige mensen zien risico's, dappere mensen zien kansen, nauwkeurige mensen kijken naar de details enzovoorts.
- Het nadeel van de gedachte dat we als medewerkers zelf een hoop kunnen doen en regelen, is dat 9 van de 10 mensen die data verwerkt een 'toerist' is en geen professional als het gaat om informatiemanagement. 14 informatiemanagers zijn niet genoeg om te zorgen dat data vindbaar en herbruikbaar zijn en de business case is duidelijk voor wie er een beetje verstand van heeft. Maar is het ook duidelijk voor de mensen die er over gaan?
I Reveal My Attributes - if and when I choose to[bewerken]
Sprekers: Bob Kronenburg, IRMA / SIDN, Bob Kronenburg, IRMA / SIDN
Doel sessie: Deelnemers laten zien hoe IRMA de burger in de toekomst èn nu al in staat stelt zelf te bepalen met wie hij welke gegevens deelt.
Identificeren met attributen in plaats van met persoonlijke data
Wie een fles sterke drank koopt, moet kunnen bewijzen dat hij ouder is dan 18. Maar die persoon hoeft weer niet te vertellen hoe hij heet. De persoonlijke eigenschap, ‘ouder dan 18’ is genoeg. Dit is wat IRMA - I Reveal My Attributes- doet. Gebruikers kunnen met IRMA via hun smartphone bepaalde attributen van zichzelf (is ouder dan 18), laten zien en andere attributen (naam) juist niet. En dat biedt kansen om burgers de regie over hun eigen gegevens terug te geven.
Privacy-by-design
Bob Kronenburg is bij IRMA betrokken vanuit het SIDN (de beheerder van het .nl domein). SIDN biedt de technische infrastructuur achter IRMA aan en werkt samen met de stichting IRMA. Hij vertelt: “We vinden het belangrijk dat er een Self Sovereign Identity of SSI geïntroduceerd wordt. Steeds meer digitale diensten vereisen makkelijke en voordelige identificatie. Publiek én privaat. Identificatie die ook bij iOT ontwikkelingen zekerheden – want zelfregie en controle - biedt."
IRMA is een privacy-by-design en open source oplossing voor identificatie: IRMA doet dat met identiteitsattributen en niet met data. Gebruikers krijgen bijvoorbeeld een eigen BRP-attribuut. IRMA ondersteunt daarnaast al attributen uit het BIG-register (bevoegdheden zorg) en de AGB code (identificatiecode zorg). Kronenburg: “We zijn bezig met de Kamer van Koophandel. Er kan meer. Bijvoorbeeld Ziggo kan een attribuut geven waardoor je altijd makkelijk kunt inloggen.”
Voorbeelden
- IRMA als machtigingsvoorziening
Verzekeraar VGZ had de vraag: hoe geeft een patiënt een bewindvoerder of mantelzorger toegang tot zijn/haar polis. Zonder dat hij zijn DigiD aan iemand anders hoeft te geven. DigiD machtigen is voor de verzekeraar een (te) dure oplossing. Machtigen kan ook door de mantelzorger of bewindvoerder een attribuut van IRMA te geven. De patiënt logt in met DigiD, stelt toestemming in. “Verifiëren via DigiD geeft vertrouwen”, aldus Kronenburg. De bewindvoerder of mantelzorger laadt die toestemming in zijn eigen IRMA-app en kan doen wat hij gemachtigd is om te doen.
- IRMA als multi-party solution
Bij het Utrechts werk -en inkomensloket duurde het proces van inchecken drie maanden. Het betrekken van de verschillende partijen is complex. In die tijd loopt de schuldenlast verder op; je wilt er zo snel mogelijk bij zijn. Kern van de aanpak met het huishoudboekje is dat de inkomsten van de deelnemers op een aparte rekening worden gestort waar de deelnemer zelf niet bij kan. Hij of zij geeft de gemeente Utrecht toestemming om de vaste lasten van die rekening te betalen. Klanten gaven toestemming via IRMA om alle betrokken partijen (schuldeisers) een stukje van de informatie te laten zien, zodat het rekeningnummer voor de betaling gewijzigd kon worden. De doorlooptijd is nu een kwartier. Dat betekent minder wettelijke trajecten, meer minnelijke trajecten en dus sneller uit de schulden.
Kansen met IRMA
Waar zien de deelnemers kansen?
- “IRMA overstijgt publiek en privaat domein.”
- “De klant moet wel een keuze hebben; naast IRMA zijn er andere stelsels voor SSI kansrijk.”
Daar is SIDN het mee eens. “Dat is afhankelijk van de governance”, stelt Kronenburg: “Als het een onafhankelijke stichting zonder belangen is, dus niet gelieerd aan KPN of Google.”
- “Is er nog wel toekomst voor DigiD Machtigen” vraagt een deelnemer zich af? Kronenburg antwoordt: “Dat mag blijven bestaan, maar wij kiezen voor iets anders. DigiD Machtigen is een mooi middel, maar erg duur in het gebruik.”
- Anderen zien het gebruik van DigiD zich verder ontwikkelen tot een federaal platform.
Meer informatie over IRMA en het gedachtengoed daarachter:
Self Sovereign Identity[bewerken]
Sprekers: Johann Schreurs, DUO, Johann Schreurs, DUO
Doel sessie:
Johann Schreurs begint met een filmpje op youtube dat aangeeft waar het voor hem om draait in de toekomst: geen dienstverlening maar dienstbeleving, waarbij je als burger op je wenken bediend wordt door een proactieve en behulpzame overheid.
Identificatie en authenticatie, maar ook het delen van gegevens, moet daarom zowel makkelijk zijn als veilig en flexibel aansluiten bij je persoonlijke voorkeuren en kennisniveau. Veel mensen hebben meerdere identiteiten, waarbij we in elke situatie kiezen wie we willen zijn: professional of klant, ouder of kind, Marokkaan of Nederlander. De praktijk online is dan ook dat we niet één 'digital me' hebben maar velen. Idealiter kies je zelf met welke identiteit je inlogt bij welke dienst en checkt de dienst alleen de attributen die het nodig heeft om te bepalen of je er gebruik van mag maken.
Een ander deel van de dienstbeleving van de toekomst is dat we steeds vaker gebruik maken van machines die iets voor ons regelen, van een slimme auto die de parkeergarage betaalt van jouw bankrekening tot de slimme koelkast die onze voorraad levensmiddelen op pijl houdt. En de overheid heeft zelf ook steeds meer slimme machines waar je als burger mee te maken krijgt, van chatbots tot API's.
Naast interactie tussen mens en mens en tussen mens en machine is het dus belangrijk om goed na te denken over de identificatie en authenticatie van machines onderling: als jij studiefinanciering aan mag vragen, mag je slimme koelkast dat ook? Johan schetst een toekomst met self sovereign identities, waarbij het niet uitmaakt of er een mens of een machine achter zit. Als dienstaanbieder definieer je namelijk de eisen waaraan je moet voldoen om de dienst af te nemen en die check je bij de identiteit: verlengt je digitale assistent je paspoort, dan moet deze gekoppeld zijn aan een identiteit met het attribuut Nederlander. En voor sommige dingen moet je misschien een extra check-moment inbouwen waarin je contact opneemt met de mens achter de machine: probeert je smart koelkast alcohol te bestellen, is het dan de meerderjarige gebruiker die het bestelt of de minderjarige?
Een aantal vragen en opmerkingen uit de sessie:
- Wat is het verschil tussen Self Sovereign Identity en Digital Me? SSI is vooral gericht op consent, dus als individu toestemming geven voor een bepaald gegeven dat aan je identiteit gelinkt is gedeeld kan worden. Digital Me is een uitwerking hoe je dat mogelijk kunt maken.
- Wat is de relatie tussen Digital Me en MedMij, dat op het Solid-framework is gebaseerd? Komen de use cases van dit soort vernieuwingen genoeg overeen om te voorkomen dat je allebei een andere kant uit gaat? De belangrijkste overeenkomst zit hem in de manier van denken, de innovatieve Mode 2-aanpak. In de praktijk komen de use cases voor de eerste uitvoering van dit soort innovaties echter uit Mode 1, met als gevolg dat je ook naar de lokale context kijkt. Zolang je met elkaar in gesprek bent en je houdt aan 'afspraken boven standaarden boven voorzieningen' kom je behoorlijk dicht bij elkaar.
Toekomstbestendige privacyprincipes in NORA[bewerken]
Sprekers: Maya Doerga, Maya Doerga
Doel sessie: Aanwezigen meenemen in het afstudeeronderzoek van Maya en hun feedback horen op de wijzigingsvoorstellen die hieruit voortkomen.
Maya Doerga doet haar afstudeeronderzoek bij ICTU. “De AVG is breed, privacy-principes maken de AVG praktisch toepasbaar en ze geven richting.”
Hoewel het thema Privacy veel raakvlakken heeft met de NORA, focust Maya in haar onderzoek op de drie Afgeleide principes Doelbinding (AP 15) , Transparante dienstverlening (AP 25) en Afnemer heeft inzage (AP 26).
Het plan is om deze drie principes te verbeteren om handvatten te geven bij ontwerpen van overheidsdienstverlening, in het kader van privacy by design. Daarnaast wil ze de principes actualiseren en explicieter maken zodat ze beter praktisch toepasbaar worden.
Moderne privacy-by-design-principes kunnen huidige principes helpen verbeteren. Denk aan:
- Preventief in plaats van correctief
- Privacy by default; geen extra actie door het individu vereist
In drie interactieve sessies kreeg zij waardevolle input voor haar onderzoek. Haar conclusies zullen waarschijnlijk verwerkt worden in het thema Privacy en bij de workshops om de principes te verbeteren (zie Workshop verbetering NORA principes, de volgende workshop is waarschijnlijk in december).
- → Mail nora@ictu.nl als je bij het vervolg betrokken wilt worden
- → presentatie (PDF, 136 kB)
Verdiepingsronde[bewerken]
Discipl - a global Society Architecture[bewerken]
Sprekers: Bas Kaptijn, Discipl, Innovatie Architect Digicampus (ICTU) & Steven Gort, Discipl, Datafluisteraar (ICTU), Bas Kaptijn, Discipl, Innovatie Architect Digicampus (ICTU) & Steven Gort, Discipl, Datafluisteraar (ICTU)
Doel sessie: Deelnemers kennis laten maken met het Discipl programma als concreet voorbeeld van toepassen Society Architecture.
Privacy-by-design, Self Sovereign Identity, Conformity-by-design, gerichtheid op de eindgebruiker én een betere maatschappij: Discipl wil het in de praktijk brengen. De eerste demo is gereed.
Wat als we gewoon opnieuw konden beginnen? Met de Grondwet, de Algemene Wet Bestuursrecht én de ‘needs’ (behoeften) van burgers en bedrijven als uitgangspunt. En dan kijken: hoe zouden we digitalisering met de huidige technische mogelijkheden kunnen invullen? Discipl beschrijft een visie op de toekomstige samenleving en de manier waarop we die digitaal kunnen ondersteunen. Discipl staat voor "geDIStribueerd Collaboratief Informatie PLatform", het is een innovatieproject binnen ICTU. Disicpl werkt toe naar een set van bouwblokken. “Blokken die in andere projecten niet lukken. Wij kijken niet per domein, maar naar maatschappij als geheel.” Discipl is zowel open source als open knowledge; alles wordt gedeeld.
Demo
De eerste concrete resultaten zijn er. Op deze gebruikersdag zien we alvast een demo van hoe SSI er in de Disicpl praktijk uit zou kunnen zien. Februari 2020 moet de oplossing in gebruik worden genomen door vier gemeenten, waaronder de gemeente Haarlemmermeer. Gort licht toe: “Ik kom aan het gemeente loket en laat mijn paspoort zien. De ambtenaar identificeert mij en typt mijn BSN-nummer over. Dan krijg ik een papiertje met een QR-code, waarmee de woningbouwcorporatie mijn gegevens kan scannen. Ik kan dat record ook in IRMA downloaden.”
Needs centraal
Centraal in Discipl staan de needs (behoeften) van burgers en bedrijven, vertelt Kaptijn. Die kunnen ze onderling invullen, en wellicht hebben ze volgens wetten recht op ondersteuning van de overheid. “Aan de ene kant automatiseren we transacties als gevolg van wetten, en tegelijkertijd faciliteren we de dialoog om de wet aan te passen op basis van de needs.” Dat betekent een fundamenteel andere manier van denken uitgangspunt dan in het huidige systeem. Kaptijn licht toe: “We bewegen weg van de GDI - waar het technische aanbod centraal staat - naar een systeem waar je vanuit jouw eigen unieke ‘attributen’ je behoeften conform wet- en regelgeving kunt invullen.” Dat geeft veel meer ruimte voor mensen om hun eigen leven zo vorm te geven als ze willen, dan de huidige vorm, waar mensen soms niet in een hokje blijken te passen. Technisch gezien wordt het mogelijk te linken naar specifieke stukjes informatie voor een bepaald doel op een bepaald moment, vult Kaptijn aan. “Eigenlijk is het een heel specifieke link naar persoonlijke informatie of een stukje wetgeving; een vorm van linked data.” Dit gedachtengoed sluit goed aan op de API-strategie van de overheid.
Pionieren
Nederland is vol op aan het pionieren op dit gebied. We zij niet het enige land dat bezig is met dit type architectuur. Canada en de Scandinavische landen zijn ook ver. Er is internationaal veel interesse in deze ontwikkelingen. Ook uit Singapore waar Discipl gepresenteerd is op een fintech conferentie tijdens het Nederlandse werkbezoek onder leiding van minister Knops (#digimissie).
In de NORA wordt het gedachtegoed van Discipl uitgewerkt in een themapagina: Discipl.
Regie op gegevens; het delen van gegevens onder regie van burger en ondernemer[bewerken]
Sprekers: Said El Aoufi en Sanne Giesen (programma Regie op Gegevens), Said El Aoufi en Sanne Giesen (programma Regie op Gegevens)
Doel sessie: Deelnemers meenemen in de kansen en mogelijkheden van regie op gegevens, hoe dat op dit moment vorm krijgt en hoe het de toekomst mede zal bepalen
Sanne vertelt ons het een en ander over het Programma Regie op Gegevens en de Beleidsbrief van 11 juli 2019 (zie rijksoverheid.nl/beleidsbrief regie op gegevens). Het programma heeft alleen betrekking op het derde spoor dat in de brief genoemd is: het delen en uitwisselen van gegevens.
Hoewel de grote lijnen voor de toekomst steeds duidelijker worden, zeker als je de presentaties eerder deze dag hebt gevolgd over SSI, IRMA en API's. Maar om daar te komen moeten er nog behoorlijk wat vraagstukken worden bekeken en opgelost - waarbij het creëren van draagvlak en het aansluiten bij de bestaande wet- en regelgeving niet de minste zijn. Het programma geeft geen kant-en-klare antwoorden, maar werkt samen met bestaande initiatieven en in hun eigen community om uit te zoeken waar ze tegen aan lopen en wat mogelijke oplossingsrichtingen zijn. Architecten kunnen daarbij zeker een belangrijke input geven, vooral als het gaat om het Kader van Regie op Gegevens: richtinggevende principes en onderwerpen waar rekening mee gehouden moet worden.
Said vertelt ons over het kader en vraagt ons mee te denken waar aanvullingen of wijzigingen noodzakelijk zijn. Een aantal principes en bijbehorende vraagstukken:
- Mens centraal, waaronder digitale autonomie en inclusie
- Vertrouwen, waaronder veiligheid, privacy et cetera
- Transparantie, inclusief governance
- Interoperabiliteit, tussen apps maar ook tussen stelsels, domeinen en ecosystemen
- Balans in belangen, waaronder de gelijkwaardige positie van gebruikers en het recht niet onder druk gezet te worden om gegevens te delen (bijvoorbeeld door boete of korting te geven)
Je kunt je verschillende scenario's voorstellen van regie op gegevens, van de burger die consent geeft tot meer actief zelf beheren van gegevens. Omdat mensen eigen voorkeuren hebben zullen die wellicht ook deels naast elkaar bestaan.
Zomaar wat juridische en ethische vraagstukken die aan bod komen:
- Dataminimalisatie - als je naast doelbinding ook inzet op zero knowledge proof (bewijs in de vorm van een ja- of nee- antwoord op je vraag in plaats van de onderliggende gegevens, zoals een leeftijds- of inkomenscheck waarbij je alleen een 'ja' of 'nee' terug krijgt), hoe zit het dan met de aansprakelijkheid als er bij nader inzien een fout is gemaakt? Daarvoor maakt het ook uit waar die check gebeurt - bij de bron, bij een intermediair of bij de burger.
- Lang niet alle partijen mogen een BSN verwerken. Tegelijk staat het nu nog op veel documenten die in digitale dossiers opgenomen worden. Hoe maak je de omslag naar gegevens in plaats van documenten?
- De overheid heeft een zorgplicht tegenover haar burgers, met name bij kwetsbare groepen. Aan de ene kant weet je dat burgers de risico's van het delen van hun gegevens met (private) partijen niet altijd goed inschatten. Aan de andere kant kun je ook te betuttelend optreden - dus waar begint en eindigt de zorgplicht? En is dat voor iedereen hetzelfde?
We gaan uiteen in kleine groepjes om feedback te geven op het Kader vanuit onze eigen praktijk en expertise: Wat ontbreekt er nog, of zou anders moeten en wat zouden deze principes voor ons in de eigen praktijk betekenen?
Enkele centraal teruggekoppelde aanvullingen / opmerkingen:
- Als je de mens centraal zet moet je ook denken vanuit de Leefwereld van mensen
- Een belangrijke voorwaarde voor Regie op Gegevens is gegevensmanagement en dat is moeilijk: zo is het meegeven van metadata al moeilijk in de dagelijkse praktijk van medewerkers te verankeren
- Publiek-private samenwerking is logisch, maar hoe voorkom je dat je als overheid het misbruik van kwetsbare mensen faciliteert, als je de ervaring met informatiemakelaars, oplichters en het gebruik van gedragsprofielen door grote techbedrijven?
- Komt er ook een plicht voor private bedrijven om gegevens te delen (met toestemming van de burger)? Dat gaan ze niet zomaar doen.
- Een andere afweging is die van individuele belangen tegenover die van de maatschappij. Die discussie moet niet alleen in de overheid, maar juist in de maatschappij gevoerd worden.
Paneldiscussie met drankje[bewerken]
Net als vorige keer komen we daarna weer als groep bij elkaar om in een paneldiscussie te reflecteren op de dag. Pak alvast een drankje en praat mee: Waar hebben we elkaar gevonden in een gedeelde visie? Waar liggen nog discussiepunten en waar zou die discussie gevoerd moeten worden? En hoe voelen wij ons eigenlijk bij de geschetste toekomst en willen we daar aan bij dragen?