Eigenschap:Toelichting rationale

De verrekenwijze door GRC-aanbieders vindt plaats op grond van doorbelasting van gebruik en leidt tot minimale administratieve lasten. (bevinding KPMG-onderzoek i.o.v. BZK).  +

Dit principe leidt ertoe dat organisaties minder voorzieningen zelf hoeven te ontwikkelen en het rendement van landelijke bouwstenen toeneemt. Het leidt bovendien tot standaardisatie en uniformiteit in dienstverlening en ondersteunende processen en draagt er aan bij dat de afnemers de overheid in haar dienstverlening als één bedrijf ervaren.  +

Het gebruik van open standaarden bevordert de interoperabiliteit, bijvoorbeeld in het berichtenverkeer. Open standaarden kunnen door alle partijen vrijelijk worden gebruikt. Er zijn geen door private partijen afgedwongen beperking aan het gebruik.  +

Dit principe is er op gericht dat afnemers de overheid in haar dienstverlening zo veel mogelijk zullen ervaren als één organisatie. Dit vraagt om standaardisatie en uniformiteit in dienstverlening en ondersteunende processen. Organisaties hoeven minder zelf te ontwikkelen en het rendement van oplossingen neemt toe.  +

Het spaart de afnemer veel tijd als hij diensten die hij bij elkaar verwacht, op één plaats en in combinatie kan afnemen.  +

Afnemers verwachten een gelijkwaardig resultaat, dat niet negatief beïnvloed wordt door hun kanaalkeuze. Het mag dus voor het resultaat van de dienst geen verschil uitmaken of deze bijvoorbeeld per mail of per telefoon is aangevraagd. De geleverde informatie is in alle gevallen hetzelfde, ongeacht de plaats of medewerker die deze informatie levert. Diensten waarvoor dit principe niet op gaat, zijn diensten waarvan de geleverde prestatie in hoge mate bepaald wordt door het gekozen kanaal. Denk hierbij aan de interactiviteit die eigen is aan persoonlijk contact, of het vermogen om in real-time geoinformatie weer te geven in websites.  +

De klassieke informatiebeveiligingsaanpak waarbij inperking van mogelijkheden de boventoon voert maakt plaats voor '''''veilig faciliteren'''''. Klassieke informatiebeveiligingsmaatregelen kenmerken zich vaak door een beperking van mogelijkheden, hetgeen ervoor zorgt dat medewerkers zelf manieren zoeken om buiten de systemen om – onveilig – te werken. Er moet worden gestreefd naar maximaal faciliteren van gevraagde functionaliteit op een veilige manier. Dit zorgt voor de noodzakelijke beveiliging van gegevens, op een manier die uit te leggen is.  +

Het steeds meer koppelen van informatiesystemen van verschillende ketenpartners vraagt om een aanvulling van netwerkbeveiliging door gegevensbeveiliging. Doordat daardoor hogere eisen aan identificatie en autorisatie van gebruikers worden gesteld kunnen door middel van gegevensbeveiliging gegevens op maat beschikbaar gemaakt worden voor hen die toegang moeten hebben en afgeschermd blijven voor diegenen die geen toegang moeten hebben. Zo wordt ook plaats- en tijdonafhankelijk werken beter gefaciliteerd.  +

Informatiebeveiliging is één van de kwaliteitsaspecten van het functioneren van de Rijksdienst en moet in relatie worden gezien tot het doel van de gegevensverwerking en overige getroffen maatregelen ter borging van de kwaliteit. Verantwoordelijken voor de verwerking van de informatie dienen zich blijvend af te vragen of de getroffen maatregelen afdoende en op maat zijn.  +

Kennis en expertise op het gebied van informatiebeveiliging blijft zich ontwikkelen. Om hiervan te kunnen profiteren worden kennis en expertise centraal geborgd, waarbij interdepartementale samenwerking en kennisdeling niet uit het oog verloren wordt. Er is voortdurend afstemming met het primaire proces en er wordt in begrijpelijke taal samengewerkt.  +

De mate van beveiliging van informatie wordt bepaald door de waarde die eraan toegekend wordt. Dit is onder te verdelen in publieke informatie (open data), vertrouwelijke informatie en staatsgeheime informatie. Publieke informatie, open data, is niet vertrouwelijk en hoeft daarom niet afgeschermd te worden. Gedeeltelijk is deze informatie openbaar en dus publiek beschikbaar. Aandachtpunten hierbij zijn de integriteit van de informatie en de beschikbaarheid. Vertrouwelijke informatie en staatsgeheime informatie worden gerubriceerd. Voor deze typen informatie wordt een risicoafweging gemaakt om de mate van beveiliging te bepalen, waarbij beschikbaarheid, vertrouwelijkheid, integriteit en beheersbaarheid een rol spelen en het desbetreffende rubriceringsniveau leidend is.  +

Infrastructuren worden generiek ingericht met daarbij behorende generieke beveiligingskaders en beveiligingsmaatregelen, ondersteund door één rijksbrede operationele ICT-beveiligingsorganisatie. Het basisniveau is snel, goed, efficiënt en faciliteert de Rijksdienst. Voor sommige onderdelen van de Rijksdienst bestaan specifieke werksituaties die andere maatregelen vereisen. Deze maatregelen worden in overleg bepaald en ingezet.  +

Bij experts binnen het beveiligingsdomein bestaat de overtuiging dat niet alleen technische onvolkomenheden tot securityproblemen leiden. De factor mens levert op dat punt een gelijke, zo niet veel grotere bijdrage aan de securityproblemen. Gebruik van zwakke wachtwoorden zoals '12345678' is daarvan maar een klein voorbeeld. De menselijke factor is dus mede bepalend voor het veilig omgaan met informatie binnen organisaties.  +

Informatiebeveiliging levert een bijdrage aan de kwaliteit van de informatievoorziening en is daarmee geen doel op zich. Het blijft een verantwoordelijkheid van het lijnmanagement om ook met het gebruik van nieuwe technologie in control te zijn op het gebied van inrichting en beveiliging van informatie.  +

Afnemer en dienstverlener willen beide de zekerheid dat misbruik van gegevens en van diensten voorkomen wordt. Aan vertrouwelijke diensten of diensten met rechtsconsequenties, worden daarom strikte identificatie-eisen gesteld. In deze gevallen worden diensten alleen verleend aan geauthenticeerde afnemers. Ook medewerkers van de dienstverlener zijn geauthenticeerd en geautoriseerd om van de voorzieningen die de dienst ondersteunen, gebruik te kunnen maken. Er zijn natuurlijk ook diensten die geen vertrouwelijk karakter hebben en daarom aan veel minder strikte identificatie-eisen worden onderworpen. Een persoon is geauthenticeerd als de identiteit eenduidig is vastgesteld op basis van een geverifieerde unieke codering. Voor authenticatie van rechtspersonen wordt het RSIN (Rechtspersonen en Samenwerkingsverbanden Informatie Nummer) gebruikt, voor natuurlijke personen het Burgerservicenummer (BSN).  +

Voor diensten die het resultaat zijn van samenwerking tussen dienstverleners, is het een vereiste dat eenduidig naar informatie-objecten kan worden verwezen. Daartoe moeten zij uniek geïdentificeerd zijn. Zo is duidelijk om welk informatie-object het gaat. Met de identificatie moet het mogelijk zijn om het informatie-object, ook na verloop van tijd, terug te vinden of te reproduceren.  +

Samenwerking tussen en ook binnen organisaties is alleen goed mogelijk wanneer de betrokkenen de relevante informatieobjecten eenduidig begrijpen en kunnen toepassen. Daarvoor is een systematische beschrijving vereist. Vastleggen van standaard metagegevens over de context, inhoud, structuur, vorm en gedrag evenals het beheer en gebruik van informatieobjecten heeft als doel: *het mogelijk maken van hergebruik van informatieobjecten binnen wet- en regelgeving *ondersteunen van de uitwisselbaarheid van informatie tussen publieke organisaties en hun voorzieningen daarvoor *waarborgen van de kwaliteit in termen van authenticiteit, betrouwbaarheid, volledigheid, integriteit, bruikbaarheid en duurzaamheid *waarborgen van vindbaarheid, identificatie en toegankelijkheid *het mogelijk maken van beheer en reproductie *herleiden van het doel en de context van de inwinning  +

Het zoneren met behulp van filters, is noodzakelijk om bedreigingen, zoals aanvallen, indringers, ongewenste inhoud en virussen, buiten te sluiten en verspreiding van bedreigingen binnen de organisatie en technische infrastructuur tegen te gaan. De bij de dienst betrokken faciliteiten, zoals gebouwen en technische infrastructuur zijn opgedeeld in met filters afgebakende zones. Binnen die zones kan informatie vrijelijk worden uitgewisseld. Tussen de zones controleren filters het communicatiegedrag van mensen en systemen en de vorm en inhoud van informatieobjecten.  +

Deze uitspraak vloeit voort uit maatregel M03 van het ICCIO* jaarplan 2013. Zie de gerelateerde bron, pagina 18 van 65. De maatregel moet resulteren in: *de EAR in de vorm van de “Atlas voor de informatisering van de rijksdienst documenten en een kennisbank *een ingerichte organisatorische architectuurfunctie van de rijksdienst, in 2013 ingevuld door en onder aansturing van de ICCIO *subcommissie Architectuur en Standaarden, inhoudend: **een team voor het opstellen, aanvullen en actueel houden van de EAR **een team voor het actueel houden van de rijksstandaarden **een team voor professionalisering van de architectuurfunctie **een team voor het gevraagd en ongevraagd adviseren over informatisering uitgaande van de *EAR, zowel aan ICCIO, onderdelen van de rijksdienst als aan (inter)departementale programma’s en projecten. *bestuurlijk inbedden van de EAR om de informatisering van de rijksdienst qua inrichting te convergeren tot één eenduidige, gestructureerde en samenhangende informatie-infrastructuur. <p> (*: ICCIO is de voorganger van het CIO-Beraad)  +

Een efficiënte overheid is om verschillende redenen nodig: #De economische crisis heeft de financiële situatie van de overheid sterk verslechterd. Maatregelen zijn nodig om de overheidsuitgaven te beperken. #Op langere termijn zal de omvang van de beroepsbevolking afnemen. De overheid moet daarom minder beslag op beschikbare arbeidscapaciteit gaan leggen. #De overheid moet ruimte scheppen voor maatschappelijke dynamiek die ondersteuning biedt aan verantwoordelijkheid en zelfoplossend vermogen. De overheid moet daarbij het vermogen hebben om flexibel en wendbaar te voldoen aan wisselende eisen en veranderende omstandigheden. Bij dit alles staat voorop dat de kwaliteit van de dienstverlening overeind blijft.  +