Eigenschap:Toelichting implicaties

Op Rijksdienst niveau moet worden vastgesteld welke type informatie en het daarmee annex zijnde berichtenverkeer in welk beheerregime vallen. De baseline informatiehuishouding benoemt de volgende risicoklassen: *Hoog risico: informatie is tijd- en plaatsonafhankelijk toegankelijk en betrouwbaar; *Middelmatig risico: informatie is tijd- en plaatsonafhankelijk toegankelijk. Er hoeven geen specifieke maatregelen getroffen te worden ten behoeve van de betrouwbaarheid van de informatie; *Licht risico: informatie is persoonsafhankelijk toegankelijk. Er hoeven geen specifieke maatregelen te worden getroffen voor de beheersing van de tijd- en plaatsonafhankelijke toegankelijkheid, noch voor de betrouwbaarheid van de informatie; *Geen risico: informatie hoeft niet formeel te worden beheerst. De mate van het risico op verminderde betrouwbaarheid (risicoklasse) is sterk bepalend voor de keuze van het beheerregime. Aannemelijk moet worden gemaakt dat de set van beheermaatregelen passend is voor de betreffende risicoklasse, zodat met enige zekerheid wordt geborgd dat de risico's beperkt blijven. De Baseline Informatiehuishouding benoemt daarvoor de volgende normen: *De verantwoordelijkheden die het lijnmanagement namens de minister draagt voor de duurzame toegankelijkheid en betrouwbaarheid van informatie zijn belegd en beschreven. *De inrichting van organisatie, processen, personeel en hulpmiddelen is kwantitatief en kwalitatief toereikend voor de borging van duurzame toegankelijkheid en betrouwbaarheid van informatie. *Voor verschillende aspecten van het informatiebeheer zijn binnen het ministerie of bestuursorgaan standaarden gedefinieerd en in gebruik. *Er is een - geprioriteerde - classificatie gemaakt van producten, processen, informatie en verantwoordelijkheden, waarbij rekening is gehouden met wet- en regelgeving. *Een - al of niet geautomatiseerd - systeem waarmee overheidsinformatie wordt beheerd, onder-steunt aantoonbaar de eisen van duurzame toegankelijkheid en betrouwbaarheid, op het niveau van het geldende beheerregime. *Bij het creëren en gebruiken van overheidsinformatie worden de kwaliteitseisen voor duurzame toegankelijkheid en betrouwbaarheid in acht genomen. *De duurzame toegankelijkheid en betrouwbaarheid van overheidsinformatie is tot het moment van verwijdering gewaarborgd, en de verwijdering verloopt conform vastgelegde procedures.  

*Bij ontwikkeling en invoering van voorzieningen door wordt altijd bezien of de functionaliteit via generieke infrastructuren beschikbaar is. *In dat geval dient daarvan gebruik te worden gemaakt, tenzij er aantoonbare noodzaak is om af te wijken. *Afwijken is altijd tijdelijk. In dat geval moet er ook een plan zijn dat voorziet in herstel van de situatie.   +

Eisen aan de beschikbaarheid van dienstverlening, vergen een daarop afgestemde inrichting van de organisatie. In het algemeen kan worden uitgegaan van de volgende minimale beschikbaarheid per kanaal: *Internet, e-mail, telefoon: Interactief gedurende reguliere kantoortijden en automatische beantwoording buiten reguliere kantoortijden. *Post en Persoonlijk contact (o.a. balie): Reguliere kantoortijden.  +

Het functiegebouw Rijksdienst levert de basis voor het definiëren van personele functies binnen RD-organisaties. Hiermee stimuleren RD-organisaties de flexibele inzetbaarheid van de eigen medewerkers, zowel binnen als buiten de eigen organisatie.  +

Er is onderscheid in gestructureerde gegevens, verder aangeduid als data, en semi-gestructureerde gegevens, verder aangeduid als documenten. Data wordt gestructureerd opgeslagen in databases, terwijl documenten worden opgeslagen in een Document Management Systeem of directory-file-systeem. Voor data is een stabiele opslagstructuur, afgeleid van de semantiek van de gegevens, het uitgangspunt voor de informatiehuishouding van de Rijksdienst. Soms is echter een procesgerelateerde opslagstructuur noodzakelijk, bijvoorbeeld om redenen van performance bij de verwerking van administratieve bulkprocessen. De opslag van gegevens in de procesgerelateerde structuur is in dat geval van tijdelijke aard. Naderhand moeten de gegevens (in de achtergrond) worden overgezet naar een stabiele structuur.  +

*Standaardisatie van de interne dienst en de aanverwante voorzieningen dragen in belangrijke mate bij aan de gewenste mate van efficiency. *Interne dienstverlening gebeurt zoveel mogelijk digitaal.   +

PM  +

*De Rijksdienst streeft naar ontwikkeling en gebruik van een gemeenschappelijk begrippenkader, dat recht doet aan de concerngedachte. Door het conformeren aan (de implicaties van) dit principe, wordt invulling gegeven aan opzet en onderhoud van het begrippenkader.   +

In het algemeen geldt de volgende voorkeursvolgorde voor de ontwikkeling en implementatie van functionaliteit: #landelijke bouwstenen #rijksbreed generieke bouwstenen #bedrijfsproces generieke bouwstenen #standaard software #maatwerk Om functionaliteit te kunnen hergebruiken, moeten herbruikbare functies (bouwstenen) uiteraard wel bekend zijn voor ontwikkel- en implementatieprojecten. Een werkend mechanisme voor onderhoud, beheer en publicatie van herbruikbare functionaliteit is in ontwikkeling (maart 2012). Hiervoor is een hergebruiktoets ontwikkeld die ook gebruikt zal worden bij de verdere inrichting van een generieke I-infrastructuur en een Rijksmarktplaats voor herbruikbare voorzieningen. Architecten van RD-organisaties hebben sowieso ook zelf een verantwoordelijkheid bij het vinden van relevante herbruikbare functionaliteit voor het oplossen van vraagstukken.  +

Het Bedrijfsfunctiemodel Rijksdienst vormt samen met de Modelarchitectuur Rijksdienst een belangrijke basis waarlangs RD-organisaties hun organisatie inrichten. Door uit te gaan van deze uniforme basis, wordt invulling gegeven aan de concerngedachte van de Rijksdienst.  +

Bij het wijzigen van autorisaties van een gebruiker dient vermeden te worden dat het authenticatiemiddel voor die gebruiker moet worden vervangen. Voorbeeld: een medewerker personeelszaken krijgt een functie als projectleider. Bij deze rolwisseling passen andere autorisaties maar de authenticatiemiddelen blijven dezelfde als in zijn vorige functie.  +

De implicaties voor de persoonlijke werkplek (PW) en de persoonlijke digitale werkruimte (PDW) komen deels overeen. Belangrijk verschil is dat de PW de fysieke drager of facilitator is van de PDW. De PW betreft in principe de hardware zoals bijv. een laptop, terwijl het bij de PDW om functionaliteit (software) gaat.  +

Flexibel inzetbare RD-medewerkers moet de mogelijkheid worden geboden om een eigen "persoonlijke digitale werkruimte" samen te stellen, die ‘any place, any time on any device’ oproepbaar is. Het toekomstbeeld is dat de RD-medewerker een vergoeding ontvangt en daarmee digitale services kan inkopen. De RD-organisaties bieden via een webomgeving, (beveiligde) toegang tot relevante functionaliteit (cloud).  +

*gebruik uniforme authenticatiemiddelen (bijvoorbeeld Rijkspas); *maak rijksbrede afspraken over de inrichting van de authenticatievoorziening; *minimaliseer aantal benodigde authenticatiemiddelen per medewerker (beperk digitale sleutelbos) *maak gedeelde inschatting van risico's en neem daar maatregelen tegen; *maak afspraken over single sign on (standaarden, aansluitvoorwaarden).   +

Allereerst moet een RD-organisatie maatregelen treffen om discontinuïteit in de dienstverlening te voorkomen dan wel zo vroeg mogelijk te signaleren. Eventuele discontinuïteit moet de RD-organisatie zo snel mogelijk kunnen herstellen.  +

Weldoordacht gebruik, eenduidig en liefst ook meervoudig, van een authenticatiemiddel is belangrijk bij het voorkomen van frauduleus gedrag. Combinaties van authenticatiemiddelen blijft mogelijk maar hergebruik van authenticatiemiddelen moet worden bevorderd.  +

Voor effectieve en efficiënte toepassing van het toegangsbeleid, maakt een RD-organisatie gebruik van een Identity & Access Management -systeem. Met een dergelijk systeem worden gegevens van RD-medewerkers en de van toepassing zijnde criteria, gekoppeld aan autorisatierollen. Een autorisatierol geeft recht op bepaald gebruik van bepaalde faciliteiten. Het IAM-systeem maakt in principe gebruik van gegevens afkomstig uit de zogenoemde Rijksdirectory.  +

Beschikbaarstelling kan gericht gebeuren, bijvoorbeeld naar aanleiding van speciale verzoeken door geïnteresseerden, of als onderdeel van specifieke dienstverlening, zoals het verstrekken van een vergunning. Ook kan het nodig zijn om informatie door middel van algemene publicatie via publieke media zoals internet of televisie beschikbaar te stellen.  +

De Rijksdienst streeft naar ontwikkeling en gebruik van een gemeenschappelijk toepassingsprofiel metadata, dat recht doet aan de concerngedachte. Er ontstaat daardoor een hiërarchie van toepassingsprofielen, van rijksbreed naar organisatie- en zelfs systeemspecifiek. Door toenemend (her)gebruik van (standaard) bouwstenen en informatie (o.a. basisregisters) zal de hiërarchie van profielen minder stijl worden, waardoor de uitwisselbaarheid van informatie binnen en door de Rijksdienst zal verbeteren.  +

*Gestructureerd (methodisch) organiseren en werken staan aan de basis van een effectieve taakuitvoering en verantwoording daarover. *Aanbestedingen voor inkoop en sourcing van diensten, altijd verantwoorden op basis van een businesscase.   +

*Informatiesystemen van RD-organisaties moeten voor uitwisseling van informatiediensten met andere systemen, gebruik kunnen maken van webservices en aan kunnen sluiten op TCP/IP gebaseerde netwerken zoals Internet. *Gebruik wordt gemaakt van vigerende standaarden m.b.t. webservices. Voor de Nederlandse overheid is dit momenteel [[DigiKoppeling Standaard|Digikoppeling]].   +

*In de dienstbeschrijving is duidelijk op welke prestatie de dienst betrekking heeft en welke organisatie hiervoor verantwoordelijk is *In de vormgeving en communicatie van de dienst wordt de verantwoordelijke organisatie duidelijk gepresenteerd*Wanneer de dienst in een bundel wordt aangeboden die in één keer kan worden afgenomen, wordt helder gecommuniceerd dat het hier een bundel betreft, met per dienst de verantwoordelijke organisatie.   +

* Er is een overzicht van alle voor de levering van de dienst noodzakelijke gegevens * Van elk van deze gegevens is vastgesteld of het al bij de overheid geregistreerd staat of niet. Voor de gegevens die reeds geregistreerd staan, is vastgesteld wat de bronregistratie is. Ook is vastgesteld welke van deze gegevens authentieke gegevens zijn * Zijn er voor de dienst authentieke gegevens nodig, dan worden deze betrokken uit de basisregistraties. * Is er behoefte aan niet-authentieke gegevens, dan wordt nagegaan of deze deze informatie al in eigen huis of bij andere overheidsorganisaties beschikbaar is. Wanneer dat het geval is en de WBP het toestaat, wordt deze informatie hergebruikt. Ook wanneer een andere organisatie de bronhouder is, wordt de informatie daarvan afgenomen. * Is de informatie al beschikbaar en moet deze enkel gecontroleerd en aangevuld worden? Leg dan de reeds beschikbare informatie ter controle en aanvulling voor aan de afnemer.   +

Vanuit BZK wordt de Nederlandse inbreng in ETSI verband georganiseerd. Op dit moment zijn er nog geen vastgestelde cloud standaarden. De planning is dat er aan het einde van 2013 een set aan afgesproken cloud standaarden is.  +

Cloud maakt het ICT-landschap voor het Rijk eenvoudiger en goedkoper omdat gemakkelijker toegang tot meer ICT diensten kan worden verkregen door meer departementen en er tegelijkertijd veel minder mensen nodig zijn voor het beheren van de infrastructuur. Dit leidt tot een aanzienlijke reductie van het aantal benodigde beheerders bij het inzetten van Cloud technologie door de noodzaak van veel hoger (en dus duurder) gekwalificeerd personeel dan op dit moment het geval is. Tijdig actie hierop nemen is van groot belang.  +