Heeft u vragen en/of opmerkingen over deze pagina, mailto:postbusear@rijksoverheid.nl


De EAR wordt opgevolgd door de RORA (RijksOverheid Referentie Architectuur), hier vindt u meer informatie over de RORA.

Eigenschap:Toelichting implicaties

Kennismodel
:
Type eigenschap
:
Tekst
Geldige waarden
:
Meerdere waarden toegestaan
:
Nee
Weergave op formulieren
:
Tekstvak
Initiële waarde
:
Verplicht veld
:
Toelichting op formulier
:
Subeigenschap van
:
Geïmporteerd uit
:
Formatteerfunctie externe URI
:

Klik op de button om een nieuwe eigenschap te maken:


Showing 100 pages using this property.
A
De organisatie is in staat om communicatie met de afnemer via meerdere kanalen af te wikkelen  +
* Tijdens verlening van de dienst wordt de verwerking en verstrekking van informatie als zodanig vastgelegd. * Daarbij wordt vastgelegd welke medewerkers de informatie hebben bewerkt en aan welke organisaties deze informatie is verstrekt. * Deze informatie wordt ontsloten via de contactvoorzieningen die voor het doel van inzage zijn ingericht. * Bij het verzamelen van persoonsgegevens worden betrokkenen op de hoogte gesteld van het doel of de doeleinden waarvoor de gegevens worden verzameld.   +
*Bij inzet van generieke functionaliteit is er zowel een collectieve als een individuele businesscase. Deze businesscases zijn zodanig opgezet dat onderlinge vergelijking mogelijk is.   +
Er is onderscheid in gestructureerde gegevens, verder aangeduid als data, en semi-gestructureerde gegevens, verder aangeduid als documenten. Data wordt gestructureerd opgeslagen in databases, terwijl documenten worden opgeslagen in een Document Management Systeem of directory-file-systeem. Voor data is een stabiele opslagstructuur, afgeleid van de semantiek van de gegevens, het uitgangspunt voor de informatiehuishouding van de Rijksdienst. Soms is echter een procesgerelateerde opslagstructuur noodzakelijk, bijvoorbeeld om redenen van performance bij de verwerking van administratieve bulkprocessen. De opslag van gegevens in de procesgerelateerde structuur is in dat geval van tijdelijke aard. Naderhand moeten de gegevens (in de achtergrond) worden overgezet naar een stabiele structuur.  +
*In het algemeen geldt de volgende voorkeursvolgorde voor de ontwikkeling en implementatie van functionaliteit: *#landelijke bouwstenen *#rijksbreed generieke bouwstenen *#bedrijfsproces generieke bouwstenen *#standaard software *#maatwerk *De pagina [[Rijksregister Generieke I-diensten]] beschrijft welke generieke bouwstenen voor het Rijk beschikbaar zijn. *Voor cloud softwarediensten, i.h.b. de zogenoemde apps, geldt de uitzondering dat snel kopen de voorkeur geniet (zie [[GRC: cloudoplossing kopen i.p.v. bouwen|principe GRC17]]).   +
*Er is een vastgesteld overzicht en inzicht in het aanbod van generieke diensten en voorzieningen. Het [[Totaal overzicht Generieke I-diensten Rijksdienst | Rijksregister Generieke I-diensten]] biedt dat overzicht. *De betreffende generieke dienst of voorziening kan de benodigde functionaliteit (eenvoudig) beschikbaar maken voor de vragende partijen. *De levenscyclus van de betreffende generieke dienst of voorziening is duidelijk, eenduidig en transparant georganiseerd naar verantwoordelijken voor financiering en uitvoering van onderhoud, doorontwikkeling en beheer (functioneel, technisch en operationeel). *Er zijn duidelijke transparante afspraken over de gebruiksvoorwaarden van de generieke dienst of voorziening in termen van rechten, plichten, kosten en opbrengsten voor alle betrokken partijen.   +
*Onderzoek is nodig naar mogelijkheden op vergaande samenwerking in clusters van organisaties met vergelijkbare processen of doelgroepen.   +
*Het [[Bedrijfsfunctiemodel Rijksdienst]] vormt als onderdeel van de Enterprise Architectuur Rijksdienst een belangrijke basis waarlangs rijksorganisaties hun organisatie inrichten. Door uit te gaan van deze uniforme basis, wordt invulling gegeven aan de concerngedachte van de Rijksdienst.   +
*Beschikbare capaciteit o.g.v. kennis, personeel en voorzieningen moet transparant zijn voor alle organisaties van het Rijk. *Duidelijke afspraken zijn nodig bij (tijdelijk) herziene aanwending van capaciteit, o.a. over **kosten **verantwoordelijkheden **personele consequenties **gebruik van voorzieningen **etc.   +
Het [[Bedrijfsfunctiemodel Rijksdienst]] vormt samen met de Enterprise Architectuur Rijksdienst een belangrijke basis waarlangs rijksdienstorganisaties hun organisatie inrichten. Door uit te gaan van deze uniforme basis, wordt invulling gegeven aan de concerngedachte van de Rijksdienst.  +
*De dienst is nauwkeurig beschreven. *Hierbij is bepaald wie de afnemers zijn, wat zij mogen verwachten en wat de voorwaarden voor levering zijn. *De dienst wordt verleend nadat de afnemer akkoord is gegaan met de voorwaarden. Wanneer het op praktische bezwaren stuit om met iedere afnemer afzonderlijk afspraken te maken, kan de dienstverlener deze afspraken maken met een vertegenwoordiger van de afnemers.*Bij bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter wordt het akkoord en de inhoud daarvan schriftelijk vastgelegd. *Bij bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter is het akkoord en de inhoud daarvan schriftelijk vastgelegd. Denk hierbij aan ''Service Level Agreements'' (SLA) en ''Gegevens Levering Overeenkomsten'' (GLO).   +
Per dienst is bepaald : * of automatische verstrekking gewenst is * de invulling van de automatische verstrekking * welke signalen (ook van andere organisaties) de dienstverlening in gang zetten. De dienstverlener deelt daartoe klantcontactinformatie met andere dienstverleners. Juridische en praktische implicaties hiervan zijn onderzocht.  +
B
* De dienstverlener heeft voor zijn gehele pakket van diensten de algemeen geldende kwaliteitscriteria, standaarden en best practices geïdentificeerd. * De kwaliteitscriteria, standaarden en best practices zijn vertaald in een bij de organisatie passende baseline. * De dienst voldoet aan deze baseline. In aanvulling daarop is bepaald in hoeverre aanvullende kwaliteitsmaatregelen vereist zijn. * Deze aanvullende maatregelen zijn genomen.   +
Overheidsorganisaties onderzoeken welke kwaliteit voor de afnemers voldoende is. Deze wordt als norm vastgesteld en bekendgemaakt. Vervolgens worden er processen ingericht om de norm te handhaven en wordt er gerapporteerd over de behaalde resultaten. Waar de kwaliteit kan variëren, wordt bij de informatie vermeld wat het actuele kwaliteitsniveau is (bijvoorbeeld wanneer de informatie voor het laatst is gecontroleerd).  +
* Alle relevante informatie-objecten zijn geïnventariseerd * informatie-objecten worden beheerd. * Per informatie-object is de bron en daarmee de juridische aansprakelijkheid voor de juistheid van het object vastgesteld * ''Authentieke gegevens'', zoals beschreven in de wetgeving op basisregistraties, worden afgenomen van de basisregistraties * De juistheid van de gebruikte informatie-objecten wordt niet voor gebruik gecontroleerd   +
* De aanbod- en vraagzijde van de markt zijn in kaart gebracht: ** doelgroepen en hun perspectief ** aanverwante diensten en dienstverleners * Afstemming is gezocht met de andere relevante (overheids)dienstverleners * De dienst wordt (vanuit perspectief van de afnemer) gebundeld aangeboden met een of meer diensten van andere organisaties   +
C
*Aantoonbaar maken dat data niet buiten de Nederlandse beheersingsgrenzen treedt.   +
"De datacenters zijn onderling verbonden door een glasvezelnetwerk dat voldoet aan de beveiligings- en performance-eisen. Via beveiligde koppelvlakken wordt verbinding gelegd van de datacentervoorziening naar een (rijks)overheidsnetwerk – tot nader order de Haagse Ring - grote departementale netwerken en het internet. Partijen van buiten, zoals burgers en bedrijven, kunnen via deze beveiligde koppelvlakken toegang krijgen tot de dienstverlening vanuit de datacenters."  +
Bedrijfskritische processen én bedrijfskritische data worden volledig real-time in een geografisch ander datacenter gespiegeld, zodat dataverlies wordt voorkomen en de continuïteit van de bedrijfsvoering gewaarborgd wordt. De connectiviteit tussen de datacenters is gedimensioneerd op de vereiste continuïteitsvoorziening.  +
Datacenters werken middels zgn. plateaus (housing, hosting en diensten) geleidelijk toe naar gezamenlijk aanbieden van datacenter dienstverlening, waarbij housing het aanbieden van vloeroppervlak, basis bekabeling en facilitaire voorzieningen betreft.  +
"De datacenters van de datacentervoorziening Rijk voldoen aan de meest actuele normen: - de duurzaamheidsnorm EUE <1,5 (greengrid Methode) en techniekstandaarden minimaal tier level 3 (Tui en Tia 942). Datacenters volgen de marktontwikkelingen op de voet. "  +
Housing tot en met het niveau Staatsgeheim Confidentieel maakt standaard deel uit van de dienstverlening van de datacentervoorziening Rijk. Voor de niveaus Staatsgeheim Geheim en Staatsgeheim Zeer Geheim zijn de benodigde risicomaatregelen dusdanig dat deze zich minder lenen voor consolidatie. Bezien of binnen de datacentervoorziening Rijk een pluspakket op deze niveaus aangeboden kan worden. In ieder geval één van de datacenters moet het hoogste (informatie)beveiligingsniveau kunnen aanbieden.  +
Concreet betekent het dat de capaciteit van het datacenter op- en neerwaarts schaalbaar (modulair opgebouwd) moet zijn, variërend zowel met de behoefte aan vierkante meters, energie en dataopslag van bestaande en nieuwe deelnemende rijksorganisaties aan de realisatietrajecten als met de IT-ontwikkelingen. De minimale en maximale bovengrenzen van de schaalbaarheid zijn benoemd in de verwervingsdocumenten van betreffende realisatietrajecten.  +
* Het niveau van beschikbaarheid is in overleg met afnemers vastgesteld. * De ondersteunende ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. * De continuïteit van voorzieningen wordt bewaakt; bij bedreiging van die continuïteit wordt alarm geslagen. Er is voorzien in de aanpak van calamiteiten. * De toegankelijkheid van openbare informatie en van informatie die relevant is voor vertrouwelijke- en zaakgerelateerde diensten, is gewaarborgd. Wanneer informatie verplaatst is, of niet meer (online) beschikbaar, worden bezoekers doorverwezen naar de plaats waar deze wel te vinden is. * De afnemer merkt niets van wijzigingen in het beheer van de dienst. * Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is . * De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard.   +
* De criteria voor juistheid, volledigheid en tijdigheid zijn vastgesteld * De bij levering van de dienst betrokken systemen: ** controleren vanuit een systeemvreemde omgeving ingevoerde gegevens op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt. ** controleren te versturen gegevens op juistheid, volledigheid en tijdigheid ** controleren ter verwerking aangeboden gegevens op juiste, volledig en tijdige verwerking ** vergelijken periodiek kritieke gegevens die in verschillende gegevensverzamelingen voorkomen met elkaar op consistentie. Dit geldt alleen zolang als de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens. ** analyseren periodieke logbestanden teneinde beveiliginsincidenten of de juiste werking van het systeem vast te stellen.   +
D
Bij de afspraken rondom het beheer van identiteiten in RIdM moet de verantwoordelijkheid van het HRM-domein voor deze correcte registratie worden geborgd.  +
Het inzagerecht moet worden ingericht.  +
Centralisatie van het identitymanagement op rijksdienst en het accessmanagement (zowel centraal als decentraal) baseren op de centrale authentieke bron van id-gevens (RIdM).  +
Ten behoeve van de identificatie wordt aan de persoon bij de start van de werkrelatie een uniek persoonsnummer toegekend. Dit Rijks Identificerend Nummer (RIN) fungeert als betekenisloos koppelnummer en is onafhankelijk van een specifieke werkrelatie: personen met meerdere (volg tijdelijke) werkrelaties hebben slechts één RIN.  +
Het vastleggen, wijzigen en beheren van werkrelaties kan alleen maar in opdracht van het bevoegd gezag plaatsvinden en dus NIET anderen. Dit moet geborgd in het beheerproces van werkrelaties.  +
Bij vraagstukken m.b.t toegang tot overheidsinformatie en/of -systemen wordt een Privacy Impact Assessment (PIA) uitgevoerd. De maatregelen die uit dit assessment naar voren komen moeten rondom RIdM worden doorgevoerd.  +
Voor effectieve en efficiënte toepassing van het toegangsbeleid, maakt een RD-organisatie gebruik van een Identity & Access Management -systeem. Met een dergelijk systeem worden gegevens van RD-medewerkers en de van toepassing zijnde criteria, gekoppeld aan autorisatierollen. Een autorisatierol geeft recht op bepaald gebruik van bepaalde faciliteiten. Het IAM-systeem maakt in principe gebruik van gegevens afkomstig uit de zogenoemde Rijksdirectory.  +
- Rijksorganisaties gebruiken de generieke zoekdienst in applicaties voor het zoeken en vinden van relevante informatie. - Rijksorganisaties sluiten hun informatiebronnen aan op de generieke zoekdienst. - Informatiebronnen voldoen aantoonbaar aan de kwalitatieve voorwaarden voor aansluiten op DWR zoeken  +
* Voor de dienst is vastgesteld aan welke normen en standaarden deze moet voldoen. * De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van de norm zijn geïdentificeerd. * Voor alle afwijkingen zijn voorzieningen getroffen.   +
*Bedrijfsprocessen van de organisatie zijn duidelijk beschreven. *Van ieder proces is een risico-analyse beschikbaar.   +
*Organisatie en processen zijn beschreven. *De informatiehuishouding conformeert aan geaccepteerde (open) standaarden.   +
*Bij de creatie of ontvangst van een document moet bekend zijn of een document een record wordt en welke regimes er gelden ten aanzien van openbaarheid, beveiliging, bewaring en vernietiging. *Er is een beschrijving van de bedrijfsprocessen, waarin is aangegeven welke documenten in dat proces worden ontvangen en gecreëerd. *Elk record wordt voorzien van een bewaartermijn zodat het na het verlopen van deze termijn kan worden vernietigd (archiefwet).   +
*De criteria voor permanente bewaring zijn duidelijk en kunnen worden toegepast. *Na overbrenging zijn de archiefbescheiden in principe openbaar. *Het zorgdragerschap gaat over op het de beheerder van de archiefbewaarplaats.   +
Voor de overheid zijn de bronregistraties leidend. De eigenaar van de bronregistratie is verantwoordelijk voor de kwaliteit van de informatieobjecten in deze registratie. Wanneer informatieobjecten in meerdere gelijksoortige registraties vookomen, gelden alleen de informatieobjecten in de bronregistratie als betrouwbaar. Om technische redenen (zoals in relatie tot performance, beveiliging of mobiliteit) kunnen kopieën nodig zijn. Als door fouten in techniek of beheer een gekopieerd record afwijkt van de vastlegging in de bron, wordt het record in de bron als juist aangemerkt.  +
*Er is generieke functionaliteit voor zoeken (DWR Zoeken), documentmanagement (DWR Docs), duurzame archivering (DWR Archief), werkstroomondersteuning (DWR Stukkenstroom), huisstijl *Als papieren documenten worden ontvangen, worden die gedigitaliseerd ten behoeve van de digitale behandeling in het bedrijfsproces. *Het zorgdragerschap over (en het beheer van) de informatie is geregeld.   +
*Vastleggen metagegevens conform standaard profielen voor metagegevens, i.c. toepassingsprofiel metagegevens rijksoverheid en metagegevensschema’s van de ministeries. *Vaststellen eventuele noodzaak tot aanvulling op standaard profielen en zo nodig de metagegevens aanvullen. *Waar mogelijk metagegevens automatisch genereerbaar maken.   +
*Er is een bedrijfsprocesgerelateerd classificatieschema *Eventueel aanvullende ordeningsstructuren zijn beschreven. *Schema's voor classificatie van de records opstellen n.a.v. de ordeningsdoelen. *Zorg dragen dat records volgens deze schema's worden geordend.   +
*Voor ieder record is een veiligheidsregime vastgesteld. *Autorisaties worden toegekend op basis van een rijksbrede identificatie en een rijksbreed gebruikersprofiel. *De RD-organisatie hanteert het normenkader van de BIR   +
*Ieder record is voorzien van metagegevens die context, inhoud, structuur en eventueel gedrag van het record vastleggen, evenals het beheer ervan door de tijd heen. *Het Toepassingsprofiel Metagegevens Rijksoverheid is geïmplementeerd. *Er is duidelijkheid over de redelijkheid van zoektermijnen *Er is toegankelijke zoekfunctionaliteit, bij voorkeur rijksbreed beschikbaar (bijvoorbeeld [[DWR Zoeken]])   +
*Van elk record is het openbaarheidsregime bekend. *De organisatie gaat uit van actieve openbaarmaking. *De organisatie stelt de openbare informatie zonder beperkende voorwaarden beschikbaar.   +
*De rijksdienst beschikt over een platform dat tijd-, plaats- en apparaat onafhankelijk werken alsmede interdepartementale samenwerking, op een veilige en vertrouwde manier mogelijk maakt. *De specificaties van processen, applicaties, systemen en de informatie die zij uitwisselen, zijn gebaseerd op landelijk en/of rijksbreed afgesproken open standaarden.   +
*De zorgdrager heeft een kwaliteitssysteem met toetsbare eisen voor beheer van records. *Het beheer van records voldoet aan de eisen van het kwaliteitssysteem. *Als toegankelijkheid van records wordt beperkt door wijziging of in onbruik raken van formaten en applicaties, zorgt de zorgdrager voor conversie of migratie van de records of voor aanpassen van de applicatie, met behoud van authenticiteit van de records.   +
De dienst: * is beschreven * de opzet is afgestemd met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen * sluit aan op de verwante diensten.  +
De dienst: * is zó beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden * maakt maximaal gebruik gemaakt van (open) standaarden om zo min mogelijk drempels op te werpen voor gebruik * kent een minimum aan gebruiksvoorwaarden * is aangemeld bij een landelijk serviceregister  +
* Op basis van de meta-informatie kan worden vastgesteld wat de oorspronkelijke reden is van het verzamelen van de informatie. * Het doel waarvoor informatie wordt uitgevraagd, is vastgelegd en getoetst door bevoegde instanties. * In samenwerkingsrelaties is vooraf bepaald wat het gemeenschappelijke doel van de samenwerking is en of alle deelnemers in het kader hiervan informatie mogen delen, bijvoorbeeld over personen.   +
E
Op Rijksdienst niveau moet worden vastgesteld welke type informatie en het daarmee annex zijnde berichtenverkeer in welk beheerregime vallen. De baseline informatiehuishouding benoemt de volgende risicoklassen: *Hoog risico: informatie is tijd- en plaatsonafhankelijk toegankelijk en betrouwbaar; *Middelmatig risico: informatie is tijd- en plaatsonafhankelijk toegankelijk. Er hoeven geen specifieke maatregelen getroffen te worden ten behoeve van de betrouwbaarheid van de informatie; *Licht risico: informatie is persoonsafhankelijk toegankelijk. Er hoeven geen specifieke maatregelen te worden getroffen voor de beheersing van de tijd- en plaatsonafhankelijke toegankelijkheid, noch voor de betrouwbaarheid van de informatie; *Geen risico: informatie hoeft niet formeel te worden beheerst. De mate van het risico op verminderde betrouwbaarheid (risicoklasse) is sterk bepalend voor de keuze van het beheerregime. Aannemelijk moet worden gemaakt dat de set van beheermaatregelen passend is voor de betreffende risicoklasse, zodat met enige zekerheid wordt geborgd dat de risico's beperkt blijven. De Baseline Informatiehuishouding benoemt daarvoor de volgende normen: *De verantwoordelijkheden die het lijnmanagement namens de minister draagt voor de duurzame toegankelijkheid en betrouwbaarheid van informatie zijn belegd en beschreven. *De inrichting van organisatie, processen, personeel en hulpmiddelen is kwantitatief en kwalitatief toereikend voor de borging van duurzame toegankelijkheid en betrouwbaarheid van informatie. *Voor verschillende aspecten van het informatiebeheer zijn binnen het ministerie of bestuursorgaan standaarden gedefinieerd en in gebruik. *Er is een - geprioriteerde - classificatie gemaakt van producten, processen, informatie en verantwoordelijkheden, waarbij rekening is gehouden met wet- en regelgeving. *Een - al of niet geautomatiseerd - systeem waarmee overheidsinformatie wordt beheerd, onder-steunt aantoonbaar de eisen van duurzame toegankelijkheid en betrouwbaarheid, op het niveau van het geldende beheerregime. *Bij het creëren en gebruiken van overheidsinformatie worden de kwaliteitseisen voor duurzame toegankelijkheid en betrouwbaarheid in acht genomen. *De duurzame toegankelijkheid en betrouwbaarheid van overheidsinformatie is tot het moment van verwijdering gewaarborgd, en de verwijdering verloopt conform vastgelegde procedures.  
*Bij ontwikkeling en invoering van voorzieningen door wordt altijd bezien of de functionaliteit via generieke infrastructuren beschikbaar is. *In dat geval dient daarvan gebruik te worden gemaakt, tenzij er aantoonbare noodzaak is om af te wijken. *Afwijken is altijd tijdelijk. In dat geval moet er ook een plan zijn dat voorziet in herstel van de situatie.   +
Eisen aan de beschikbaarheid van dienstverlening, vergen een daarop afgestemde inrichting van de organisatie. In het algemeen kan worden uitgegaan van de volgende minimale beschikbaarheid per kanaal: *Internet, e-mail, telefoon: Interactief gedurende reguliere kantoortijden en automatische beantwoording buiten reguliere kantoortijden. *Post en Persoonlijk contact (o.a. balie): Reguliere kantoortijden.  +
Het functiegebouw Rijksdienst levert de basis voor het definiëren van personele functies binnen RD-organisaties. Hiermee stimuleren RD-organisaties de flexibele inzetbaarheid van de eigen medewerkers, zowel binnen als buiten de eigen organisatie.  +
Er is onderscheid in gestructureerde gegevens, verder aangeduid als data, en semi-gestructureerde gegevens, verder aangeduid als documenten. Data wordt gestructureerd opgeslagen in databases, terwijl documenten worden opgeslagen in een Document Management Systeem of directory-file-systeem. Voor data is een stabiele opslagstructuur, afgeleid van de semantiek van de gegevens, het uitgangspunt voor de informatiehuishouding van de Rijksdienst. Soms is echter een procesgerelateerde opslagstructuur noodzakelijk, bijvoorbeeld om redenen van performance bij de verwerking van administratieve bulkprocessen. De opslag van gegevens in de procesgerelateerde structuur is in dat geval van tijdelijke aard. Naderhand moeten de gegevens (in de achtergrond) worden overgezet naar een stabiele structuur.  +
*Standaardisatie van de interne dienst en de aanverwante voorzieningen dragen in belangrijke mate bij aan de gewenste mate van efficiency. *Interne dienstverlening gebeurt zoveel mogelijk digitaal.   +
*De Rijksdienst streeft naar ontwikkeling en gebruik van een gemeenschappelijk begrippenkader, dat recht doet aan de concerngedachte. Door het conformeren aan (de implicaties van) dit principe, wordt invulling gegeven aan opzet en onderhoud van het begrippenkader.   +
In het algemeen geldt de volgende voorkeursvolgorde voor de ontwikkeling en implementatie van functionaliteit: #landelijke bouwstenen #rijksbreed generieke bouwstenen #bedrijfsproces generieke bouwstenen #standaard software #maatwerk Om functionaliteit te kunnen hergebruiken, moeten herbruikbare functies (bouwstenen) uiteraard wel bekend zijn voor ontwikkel- en implementatieprojecten. Een werkend mechanisme voor onderhoud, beheer en publicatie van herbruikbare functionaliteit is in ontwikkeling (maart 2012). Hiervoor is een hergebruiktoets ontwikkeld die ook gebruikt zal worden bij de verdere inrichting van een generieke I-infrastructuur en een Rijksmarktplaats voor herbruikbare voorzieningen. Architecten van RD-organisaties hebben sowieso ook zelf een verantwoordelijkheid bij het vinden van relevante herbruikbare functionaliteit voor het oplossen van vraagstukken.  +
Het Bedrijfsfunctiemodel Rijksdienst vormt samen met de Modelarchitectuur Rijksdienst een belangrijke basis waarlangs RD-organisaties hun organisatie inrichten. Door uit te gaan van deze uniforme basis, wordt invulling gegeven aan de concerngedachte van de Rijksdienst.  +
Bij het wijzigen van autorisaties van een gebruiker dient vermeden te worden dat het authenticatiemiddel voor die gebruiker moet worden vervangen. Voorbeeld: een medewerker personeelszaken krijgt een functie als projectleider. Bij deze rolwisseling passen andere autorisaties maar de authenticatiemiddelen blijven dezelfde als in zijn vorige functie.  +
De implicaties voor de persoonlijke werkplek (PW) en de persoonlijke digitale werkruimte (PDW) komen deels overeen. Belangrijk verschil is dat de PW de fysieke drager of facilitator is van de PDW. De PW betreft in principe de hardware zoals bijv. een laptop, terwijl het bij de PDW om functionaliteit (software) gaat.  +
Flexibel inzetbare RD-medewerkers moet de mogelijkheid worden geboden om een eigen "persoonlijke digitale werkruimte" samen te stellen, die ‘any place, any time on any device’ oproepbaar is. Het toekomstbeeld is dat de RD-medewerker een vergoeding ontvangt en daarmee digitale services kan inkopen. De RD-organisaties bieden via een webomgeving, (beveiligde) toegang tot relevante functionaliteit (cloud).  +
*gebruik uniforme authenticatiemiddelen (bijvoorbeeld Rijkspas); *maak rijksbrede afspraken over de inrichting van de authenticatievoorziening; *minimaliseer aantal benodigde authenticatiemiddelen per medewerker (beperk digitale sleutelbos) *maak gedeelde inschatting van risico's en neem daar maatregelen tegen; *maak afspraken over single sign on (standaarden, aansluitvoorwaarden).   +
Allereerst moet een RD-organisatie maatregelen treffen om discontinuïteit in de dienstverlening te voorkomen dan wel zo vroeg mogelijk te signaleren. Eventuele discontinuïteit moet de RD-organisatie zo snel mogelijk kunnen herstellen.  +
Weldoordacht gebruik, eenduidig en liefst ook meervoudig, van een authenticatiemiddel is belangrijk bij het voorkomen van frauduleus gedrag. Combinaties van authenticatiemiddelen blijft mogelijk maar hergebruik van authenticatiemiddelen moet worden bevorderd.  +
Voor effectieve en efficiënte toepassing van het toegangsbeleid, maakt een RD-organisatie gebruik van een Identity & Access Management -systeem. Met een dergelijk systeem worden gegevens van RD-medewerkers en de van toepassing zijnde criteria, gekoppeld aan autorisatierollen. Een autorisatierol geeft recht op bepaald gebruik van bepaalde faciliteiten. Het IAM-systeem maakt in principe gebruik van gegevens afkomstig uit de zogenoemde Rijksdirectory.  +
Beschikbaarstelling kan gericht gebeuren, bijvoorbeeld naar aanleiding van speciale verzoeken door geïnteresseerden, of als onderdeel van specifieke dienstverlening, zoals het verstrekken van een vergunning. Ook kan het nodig zijn om informatie door middel van algemene publicatie via publieke media zoals internet of televisie beschikbaar te stellen.  +
De Rijksdienst streeft naar ontwikkeling en gebruik van een gemeenschappelijk toepassingsprofiel metadata, dat recht doet aan de concerngedachte. Er ontstaat daardoor een hiërarchie van toepassingsprofielen, van rijksbreed naar organisatie- en zelfs systeemspecifiek. Door toenemend (her)gebruik van (standaard) bouwstenen en informatie (o.a. basisregisters) zal de hiërarchie van profielen minder stijl worden, waardoor de uitwisselbaarheid van informatie binnen en door de Rijksdienst zal verbeteren.  +
*Gestructureerd (methodisch) organiseren en werken staan aan de basis van een effectieve taakuitvoering en verantwoording daarover. *Aanbestedingen voor inkoop en sourcing van diensten, altijd verantwoorden op basis van een businesscase.   +
*Informatiesystemen van RD-organisaties moeten voor uitwisseling van informatiediensten met andere systemen, gebruik kunnen maken van webservices en aan kunnen sluiten op TCP/IP gebaseerde netwerken zoals Internet. *Gebruik wordt gemaakt van vigerende standaarden m.b.t. webservices. Voor de Nederlandse overheid is dit momenteel [[DigiKoppeling Standaard|Digikoppeling]].   +
*In de dienstbeschrijving is duidelijk op welke prestatie de dienst betrekking heeft en welke organisatie hiervoor verantwoordelijk is *In de vormgeving en communicatie van de dienst wordt de verantwoordelijke organisatie duidelijk gepresenteerd*Wanneer de dienst in een bundel wordt aangeboden die in één keer kan worden afgenomen, wordt helder gecommuniceerd dat het hier een bundel betreft, met per dienst de verantwoordelijke organisatie.   +
* Er is een overzicht van alle voor de levering van de dienst noodzakelijke gegevens * Van elk van deze gegevens is vastgesteld of het al bij de overheid geregistreerd staat of niet. Voor de gegevens die reeds geregistreerd staan, is vastgesteld wat de bronregistratie is. Ook is vastgesteld welke van deze gegevens authentieke gegevens zijn * Zijn er voor de dienst authentieke gegevens nodig, dan worden deze betrokken uit de basisregistraties. * Is er behoefte aan niet-authentieke gegevens, dan wordt nagegaan of deze deze informatie al in eigen huis of bij andere overheidsorganisaties beschikbaar is. Wanneer dat het geval is en de WBP het toestaat, wordt deze informatie hergebruikt. Ook wanneer een andere organisatie de bronhouder is, wordt de informatie daarvan afgenomen. * Is de informatie al beschikbaar en moet deze enkel gecontroleerd en aangevuld worden? Leg dan de reeds beschikbare informatie ter controle en aanvulling voor aan de afnemer.   +
G
Vanuit BZK wordt de Nederlandse inbreng in ETSI verband georganiseerd. Op dit moment zijn er nog geen vastgestelde cloud standaarden. De planning is dat er aan het einde van 2013 een set aan afgesproken cloud standaarden is.  +
Cloud maakt het ICT-landschap voor het Rijk eenvoudiger en goedkoper omdat gemakkelijker toegang tot meer ICT diensten kan worden verkregen door meer departementen en er tegelijkertijd veel minder mensen nodig zijn voor het beheren van de infrastructuur. Dit leidt tot een aanzienlijke reductie van het aantal benodigde beheerders bij het inzetten van Cloud technologie door de noodzaak van veel hoger (en dus duurder) gekwalificeerd personeel dan op dit moment het geval is. Tijdig actie hierop nemen is van groot belang.  +
De organisatie moet helder maken #Wie de cloud providers van de GRC zijn #Wie verantwoordelijk is voor de 4 rekencentra #Hoe de indeling en verdeling eruit ziet van verzorgingsgebieden #Wie welke cloud diensten levert #Of onderlinge concurrentie gestimuleerd wordt doordat bijvoorbeeld rekenkracht vanuit verschillende ICT dienstverleners geleverd kan worden. #Wie de rol van Auditor op zich neemt, en welke taken tot die rol gaan behoren. #Wie de rol van Cloud broker vervult. Dit is een organisatorische maar ook technische rol. Organisatorisch in de zin dat de cloud broker feite de organisatie is met wie een GRC contract wordt afgesloten. De cloud broker is de intermediair. De cloud broker verstuurd namens de providers ook de facturen op basis van gebruik. De cloud broker kan zelf nieuwe diensten creëren door slim bestaande diensten te combineren. #Wie de rol van Cloud carrier vervult. De Cloud carrier is verantwoordelijk voor de connectiviteit en het daadwerkelijke transport van de cloud dienst naar de consumer.  +
Betrouwbare “identitities” (identity-store) beschikbaar hebben waarop andere projecten hun identificatie en autorisatiemechanisme kunnen baseren. Randvoorwaardelijk voor de vorming en goede werking van de GRC waarbij IT diensten worden afgenomen door gebruikers. Hiervoor is het essentieel dat de identity-managementprocessen bij de departementen op orde worden gebracht en binnen de rijksdienst op elkaar afgestemd worden. Helder moet zijn of en, zo ja, op welke wijze invulling gegeven wordt aan “access-management”.  +
Regelmatig afstemmen wat DWR biedt aan functionaliteiten en wat GRC biedt.  +
Het gebruik van cloud diensten sluit hier perfect op aan. Cloud diensten uit de GRC zullen zoveel mogelijk platform en apparaat onafhankelijk worden aangeboden.  +
Veel minder vaak de technici de schuld geven als iets mis gaat. Zeekr niet altijd techniek inzetten bij het afdichten van beveiligingsrisico's en om te voorkomen dat medewerkers verkeerde dingen doen.  +
Actie nemen om ook in de beheerfase van applicaties flexibiliteit, tijdigheid en korte “time-to-market” te kunnen garanderen moet gezocht worden naar naar nieuwe methodes en aanpakken.  +
*De keuze een cloudoplossing te kopen staat haaks op de top10 [[Afspraak - Gebruik beschikbare bouwstenen]]. Voor dit type flexibele apps is deze implicatie daarom de 'Leg Uit' bij de voornoemde afspraak. *Bepaal of de functionaliteit inderdaad deel uitmaakt van de specifieke groep van cloud softwarevoorzieningen (apps) en gebruik dit ter onderbouwing.   +
*Wapen de cloud dienstverlening tegen aanvallen door inrichten van incidentreactie en continuïteitsmanagement. *Maak gebruik van technieken zoals virtualisatie en loadbalancing binnen een rekencentrum en ook tussen rekencentra.   +
Voor de realisatie van de GRC is het van belang dat bij het ontwerp en de verdere ontwikkeling van het Rijksoverheidsnetwerk beschikbaarheid van verbinding centraal staat. Wanneer er geen connectivity is kunnen de cloud diensten niet benaderd worden en kan er dus maar beperkt gewerkt worden. Daarnaast is het van belang dat in het ontwerp van RON rekening wordt gehouden met het uitbreiden van de GRC in gebruik en in aanbod van cloud diensten.  +
De Rijksdienst moet zich orienteren op de markt en op zoek gaan naar produkten die het bijvoorbeeld onmogelijk of moeilijk maken voor ongeautoriseerden om informatie lezen die niet voor hen bestemd is.  +
*Het ontwerp van de GRC moet rekening houden met toekomstige ontwikkelingen *Het ontwerp van de GRC moet rekening houdern met schaalbaarheid van vraag en aanbod.   +
Pc’s en laptops op de werkplek van de ambtenaar zijn via het Rijksoverheidsnetwerk - dat er nog wel moet komen - gekoppeld aan de GRC. Via een browser of een “dunne” lokale applicatie op de pc, wordt functionaliteit (software) vanuit de GRC aangeroepen. De software draait in de GRC. Ook opslag van gegevens gebeurt in de rekencentra van de GRC. Op deze manier zijn de pc’s op de werkplekken “thin clients”, want de bewerkingen en rekenkracht vindt plaats op de servers in de GRC. Deze opzet vergt ook een continue verbinding met de GRC. Door gebruik van virtualisatie technologie kunnen resources optimaal worden benut.  +
Oplossingen moeten worden bedacht die het mogelijk maken dat er onderscheid wordt gemaakt tussen organisaties, processen, medewerkers die wel vaak met gerubriceerde informatie in aanraking komen en organisaties, processen, medewerkers die nagenoeg nooit in aanraking komen met gerubriceerde informatie. Voor de Gesloten Rijkscloud geldt dat rekening gehouden moet worden met het feit dat er zowel ongerubriceerde als gerubriceerde informatie (t/m departementaal vertrouwelijk) om zal gaan in de rijkscloud. Dit mag niet betekenen dat alle maatregelen rondom de GRC zich richten op het departementaal vertrouwelijk niveau, want in het kader van gebruikersvriendelijkheid is dat niet wenselijk en in het kader van beveiliging is dat niet nodig.  +
Helder moet zijn welke rol iemand vervult , want de rol die wordt vervuld bepaalt welke diensten beschikbaar zijn voor afname.Op deze manier komt software beschikbaar via een enterprise appstore  +
*Zeker bij softwarediensten in de vorm van Apps geldt dat snelheid gaat boven functionaliteit. Publieke applicatiestores moeten daarop zijn ingericht. *Binnen de software is het beperkt mogelijk om het systeem of de app naar eigen smaak in te richten. *Oplossingen die functioneel de volledige behoefte afdekken komen bij cloud softwarediensten zelden voor. *Beheerafspraken zodanig opzetten dat ze (qua doorlooptijden en middeleninzet) “flexibiliteit”, “tijdigheid” en korte “time-to-market” faciliteren.   +
Transparantie in de opbouw van de kostprijs en een direct financieel inzicht in de eigen afname dient onderdeel te zijn van het verrekenproces van de GRC diensten. Meerdere GRC-aanbieders vraagt om kostprijsharmonisatie en dus de afstemming van de verschillende kostprijsmodellen, of idealiter de consolidatie van de kostprijsmodellen.  +
* De voor de dienst relevante bouwstenen zijn geïnventariseerd en op geschiktheid beoordeeld; * Bij geschiktheid zijn ze opgenomen in de opzet van de dienst.   +
* De voor de dienst relevante standaardoplossingen zijn geïnventariseerd voor gebieden zoals: ** identificatie ** authenticatie ** autorisatie ** onweerlegbaarheid ** encryptie ** semantiek ** toegankelijkheid ** presentatie en vormgeving *Oplossingen zijn op geschiktheid beoordeeld. Bij geschiktheid zijn ze opgenomen in de opzet van de dienst   +
Allereerst moet worden onderzocht hoe afnemers gebruikmaken van een dienst en hoe zij deze associëren met andere diensten. Op basis daarvan kunnen dienstverleners gaan samenwerken. Gezamenlijk moeten zij bepalen hoe zij hun diensten willen bundelen. In het geval van verlening van gecombineerde vergunningen moeten bijvoorbeeld dossiervorming en handhaving worden geregeld. Doet de vergunningverlener dit centraal of doen alle achterliggende organisaties dit decentraal? Welke oplossing er ook wordt gekozen: dit vraagt om intensieve samenwerking en afstemming tussen de betrokken organisaties. Bundeling kan op verschillende manieren worden vormgegeven. Bijvoorbeeld door het inrichten van portals (webpagina, callcenter, balie, etc. met doorverwijsfunctie) rond belangrijke gebeurtenissen (zogenoemde 'life events', zoals verhuizen, geboorte of een verbouwing), thema's (zoals de status van alle lopende processen bij elkaar), doelgroepen (studenten, 65+) of individuen (persoonlijke webpagina). Op portals worden afnemers nog steeds doorverwezen naar afzonderlijke diensten. Dit kan worden voorkomen door diensten (gedeeltelijk) te integreren. Bij deze verdergaande vorm van bundeling worden bijvoorbeeld websites en formulieren, maar ook gehele procedures, samengevoegd.  +
* Alle relevante (klantcontact)informatie is beschikbaar voor de medewerkers aan het loket. * De dienstverlener kan altijd beschikken over het klantbeeld (zie definitie) en alle relevante contactinformatie met de klant, ongeacht het kanaal waarover de communicatie is en /of wordt gevoerd. * Op alle kanalen is dezelfde informatie beschikbaar, uit één bron. * Verwerking en intake zijn losgekoppeld: afhandeling van aanvragen kan onafhankelijk van het kanaal gebeuren waarlangs het verzoek binnen komt. * De mogelijke wisselingen tussen de kanalen zijn beschreven, zodat de afnemer op verschillende contactmomenten verschillende kanalen kan kiezen. * Informatie over de kanaalkeuze, per contactmoment is als meta-informatie vastgelegd.   +
I
*Bij veilig faciliteren is variatie de standaard. Technologische ontwikkelingen vereisen een focus op standaardisatie van beveiliging, niet van middelen. *Het management moet haar verantwoordelijkheid nemen en de mogelijke middelen beschikbaar stellen zodat dit veilig faciliteren mogelijk wordt. *IB en gebruikersgerichtheid kunnen contrair zijn. De context beïnvloedt de prioritering van maatregelen t.o.v. gemak. De toegepaste architectuur moet dit duidelijk beschrijven. Dit betekent inzichtelijk maken welk effect beveiligingsmaatregelen hebben op gebruikersgemak met onderbouwing van gemaakte keuzes.   +
Perimeterbeveiliging (het bouwen van grote muren rond digitale netwerken) en apparaat beveiliging zijn weliswaar nog steeds populaire maatregelen, maar op hun retour. De Rijksdienst moet zich daarom orienteren op de markt en op zoek gaan naar produkten die het bijvoorbeeld onmogelijk of moeilijk maken voor ongeautoriseerden om informatie lezen die niet voor hen bestemd is.  +
Voortdurende veranderingen in de wijze waarop gecommuniceerd wordt en informatie verwerkt wordt bevinden zich niet alleen op technologisch, maar ook op sociaal-maatschappelijk gebied. Rijksbreed komen onderzoeksmiddelen beschikbaar, wordt kennis van onderzoeksinstanties en bedrijfsleven ingeschakeld en worden resultaten van (inter)nationaal onderzoek gebruikt.  +
Overrubricering zorgt voor inflatie van het waardebegrip en hierdoor onbegrip bij de gebruiker van de informatie. Dit kan leiden tot eigen interpretatie van de waarde van de informatie en de waarde van de toegekende rubricering. Een te laag niveau zorgt op voorhand al voor onvoldoende beveiliging. Uitgangspunt is een zo laag mogelijke rubricering, wat zorgt voor een afdoende bescherming en een minimale impact op de bedrijfsvoering. Dit vraagt om hanteerbare methoden voor rubricering. De potentiële schade van compromittering van informatie kan in de tijd erg verschillen; informatie die vandaag vertrouwelijk is, kan morgen openbaar zijn. Bij het vaststellen van het rubriceringniveau moet een termijn worden vastgesteld waarbinnen deze valide is. Rubriceringsniveaus moeten daarom regelmatig geëvalueerd worden.  +
*Awarenessmaatregelen leren gebruikers bewust om te gaan met beveiligingsrisico's. *Regels en veiligheidsmaatregelen zijn helder, eenvoudig uit te leggen en eenvoudig na te volgen. *Regels en veiligheidsmaatregelen roepen verantwoordelijk gedrag op bij medewerkers.   +

Deze pagina is voor het laatst bewerkt op 24 jun 2019 om 14:17.