Voor wie zijn de NORA Architectuurafspraken bindend en wat betekent dat

Al in 2008 heeft het toenmalige Kabinet de NORA als norm gesteld voor de hele overheid. Meer recent, op 21 september 2023, zijn de actuele uitwerkingen nog eens extra bekrachtigd in het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO).

Dat betekent dat elke overheidsorganisatie die een verandering doorvoert, en elke professional die in een veranderproject betrokken is, moet kijken of zij zich houden aan de bindende architectuurafspraken.

Vaak gaat het dan om diensten aan burgers en bedrijven met een digitale component. Maar ook bij diensten aan andere overheden, of als gegevens gedeeld worden voor een dienst die niet digitaal is, geven de afspraken nuttige handvatten.

In sommige gevallen zijn ook private partijen gehouden aan de NORA, als zij werken aan publieke dienstverlening. Denk daarbij aan bijvoorbeeld ziekenhuizen, overheidsleveranciers en stichtingen met een publieke taak.

Best practice: Pas toe en leg uit[bewerken]

De best practice voor het omgaan met deze norm is Pas-Toe-En-Leg-Uit, een aanscherping van de Pas-Toe-OF-Leg-Uit zoals die gebruikelijk is bij standaarden en voor de NORA vastgelegd is voor de Rijksdienst.

In gewone taal: je past alle afspraken toe, tenzij er goede redenen zijn om van een specifieke afspraak af te wijken. En je documenteert hoe je de afspraken precies toepast, zodat dat ook bij doorontwikkeling nog duidelijk is. Wijk je af van een afspraak, dan leg je vast waarom en met welke reden je dat doet. Je geeft bij zo'n afwijking ook aan wanneer je de afweging opnieuw zult maken, bijvoorbeeld wanneer een bepaald systeem vervangen wordt of de dienst geëvalueerd. Zo voorkom je dat tijdelijke uitzonderingen onnodig lang blijven bestaan.

Afwijken is meestal niet wenselijk, omdat je daarmee beleid, kennis en ervaring die zijn opgebouwd aan de kant schuift. Soms is het echter nodig, bijvoorbeeld wanneer de aard of de omgeving van de dienst unieke eisen stelt. Denk bijvoorbeeld eens aan de zorg, waar private partijen heel gevoelige informatie over burgers uitwisselen. Een dienst in zo'n omgeving vraagt wellicht andere afspraken rond gegevensbescherming en een andere vorm van authenticatie dan de gemiddelde overheidsdienst. Voor de zorg is daarom een eigen set met architectuurafspraken vastgesteld, de DIZRA, die de NORA aanvult waar dat nodig is. Zie de NORA Familie voor meer van dit soort aanvullende overheidsarchitecturen.

Een andere veelvoorkomende reden om af te wijken, maar dan tijdelijk, is dat de omgeving nog niet toe is aan de gewenste oplossing en dat op korte termijn ook niet kan realiseren. Denk bijvoorbeeld aan legacy-systemen die niet volgens de nieuwste inzichten zijn ontworpen, maar waarvoor nog geen alternatief beschikbaar is. Een dienst die afhankelijk is van zo'n systeem kan niet voldoen aan alle nieuwe bindende afspraken van de NORA, terwijl dat eigenlijk wel zou moeten. Daarmee is de kous echter niet af: een deel van de uitleg is in dat geval een roadmap of plan om in de toekomst wel te voldoen.

Meer lezen over positie en governance[bewerken]

• Invulling en naleving van de architectuurkaders van het Kabinet
• Positionering NORA
• Kamerbrief kaderstelling architectuur, standaardisatie & interoperabiliteit
• Inrichting beheer en doorontwikkeling van NORA