Eigenschap:Toelichting rationale

De datacenters voldoen aan de meest actuele normen t.a.v. datacenters en volgen de marktontwikkelingen op de voet.  +

Het kabinet hecht er aan dat de burger vertrouwen kan hebben in de wijze waarop het Rijk omgaat met de opslag en het gebruik van digitale gegevensbestanden. De Rijksbrede beveiligingseisen zoals onder meer vastgelegd in de BIR en VIR-BI zijn dan ook kaderstellend voor de datacentervoorziening Rijk.  +

“Effectief” betekent dat zowel de variatie in vraagbehoefte van de deelnemende rijksorganisaties flexibel dient te worden opgevangen als ook de “state of the art”-ontwikkeling op het vlak de IT. Concreet betekent het dat de capaciteit van het datacenter op- en neerwaarts schaalbaar (modulair opgebouwd) moet zijn, variërend zowel met de behoefte aan vierkante meters, energie en dataopslag van bestaande en nieuwe deelnemende rijksorganisaties aan de realisatietrajecten als met de IT-ontwikkelingen. De minimale en maximale bovengrenzen van de schaalbaarheid zijn benoemd in de verwervingsdocumenten van betreffende realisatietrajecten.  +

Continuïteit is van belang wanneer afnemers afhankelijk zijn van de dienst en geen nadelige gevolgen van discontinuïteit mogen ondervinden.  +

Controles zijn onmisbaar om de juiste werking van systemen en de integriteit van de informatievoorziening als geheel te waarborgen. Geprogrammeerde, automatische controles bieden de beste waarborgen dat de integriteit van de informatievoorziening gehandhaafd kan worden: zij zijn efficiënter en effectiever dan handmatige controles. De in de systemen geautomatiseerde controles beperken zich tot bovenstaande aspecten juistheid, volledigheid en tijdigheid. Voor zaken zoals identificatie, authenticatie, autorisatie, onweerlegbaarheid en encryptie, wordt gebruik gemaakt van generieke voorzieningen.  +

Dit principe draagt ten volle bij aan het uitgangspunt van Compacte Rijksdienst, waarin wordt gesteld dat een rijksmedewerker in dienst is van één werkgever (het Rijk) en daarbij geïdentificeerd kan worden met één unieke digitale identiteit.  +

Onderhoud en beheer van personeelsdossiers is van oudsher een (uitvoerende) verantwoordelijkheid van het HRM-domein. Om die reden ligt het voor de hand om het onderhoud van personen met een werkrelatie bij het Rijk, te beleggen bij het HRM-domein. Dit domein heeft uitvoerende verantwoordelijk m.b.t. correcte registratie van personen en werkrelaties, in opdracht van het ter zake bevoegde lijnmanagement. Het HRM-domein geeft daarmee uitvoering aan het rijksbreed ontwikkelde bedrijfsproces “intake werkrelaties”.  +

De registratie van personen in RIdM, ondersteunt de functie middelenbeheer met de mogelijkheid tot het koppelen van voorzieningen aan unieke identiteiten. Voor de herleidbaarheid bij federatieve toegang, moeten organisaties van het Rijk er voor zorgen dat sluitende en naleefbare afspraken worden gemaakt met externe identity providers. Bij misbruik van voorzieningen door personen die via een externe identity provider zijn geïdentificeerd en krachtens die identiteit toegang hebben gekregen, moet de betreffende identity provider dat misbruik op verzoek van het Rijk kunnen herleiden tot een verantwoordelijke persoon.De externe identity provider is in principe aansprakelijk voor de acties van de betreffende identiteiten.  +

Inzagerecht is van belang om de kwaliteit van de informatie te kunnen toetsen aan de feitelijke bron (de persoon zelf), maar vooral ook om tegemoet te komen aan het vertrouwen in de relatie tussen de persoon en het Rijk (privacy aspect).  +

Om fraude en misbruik op basis van informatie/locaties tegen te gaan is o.a. noodzakelijk dat er een eenduidige authentieke bron van ID-gegevens ontstaat. RIdM is deze authentieke bron. Het is daarom noodzakelijk dat iedereen die toegang heeft tot de voorzieningen van het rijk in deze authentieke bron voorkomt.  +

Op basis van de Wet Identificatieplicht wordt altijd een toets uitgevoerd bij het aangaan van een werkrelatie (intakeproces). Hierbij worden naast algemene persoonsgegevens, zoals NAW, geboortedatum, etc. ook de uniek identificerende gegevens geregistreerd, bijv. paspoortnummer en BSN. Dit principe legt aan het (her)gebruik van de uniek identificerende gegevens (en dus niet aan de algemene persoonsgegevens) beperkingen op, teneinde tegemoet te komen aan wettelijke vereisten op gebied van privacy. Het (her)gebruik van de uniek identificerende gegevens wordt beperkt tot het toetsen of een persoon al in het register RIdM is opgenomen, teneinde de unieke identiteit van een persoon in de context van het Rijk te kunnen waarborgen. Dit principe laat onverlet het gebruik van uniek identificerende gegevens op grond van een wettelijke verplichting (zoals het gebruik van het BSN voor de gegevensuitwisseling met de Belastingdienst).  +

Een werkrelatie wordt altijd aangegaan (of gewijzigd) met een duidelijk bedrijfsdoel. De vanzelfsprekende eigenaar van dat bedrijfsdoel is het bevoegd gezag. De registratie van een werkrelatie gebeurt daarom altijd vanuit de verantwoordelijkheid van het betreffende bevoegd gezag.  +

De wet bescherming van persoonsgegevens (WBP) is bedoeld om de privacy van personen te waarborgen en is ook van toepassing op Toegang/RIdM.  +

De invulling van het toegangsbeleid dient het plaats-, tijd-, en apparatuuronafhankelijk werken maximaal te ondersteunen. Ongeacht de plaats waar wordt ingelogd, moet het mogelijk zijn dezelfde logische toegang te verkrijgen, tenzij bijzondere omstandigheden dit niet toestaan. Denk aan gecontroleerde ruimtes die als enige toegang bieden tot informatie die staatsgeheim is.  +

Rijksportaal en de DWR Samenwerkingsfunctionaliteit (SWF) overlappen daarmee functioneel en moeten worden geconsolideerd tot één functionele voorziening. Alternatief is de afweging maken om gebruikers te laten kiezen voor 'gratis' samenwerkingsplatfora uit de markt in plaats van deze zelf te ontwikkelen. Alleen voor het delen van vertrouwelijke informatie moet er dan (via Rijksportaal) een eigen specifieke beveiligde rijksomgeving komen voor delen van documenten. (tekst is niet letterlijk van de bron, maar afgeleid)  +

Alleen op die wijze kan werk worden gemaakt van hergebruik. Voor nieuwe applicaties moet gelden dat bij aanschaf, ontwerp en realisatie intensief gestuurd wordt op de eisen rondom servicegerichte architectuur. Voor bestaande applicaties geldt dat op basis van “life-cyclemanagement” overwogen moet worden of en zo ja hoe de applicatie aangepast wordt aan de eisen m.b.t. service gerichte architectuur.  +

De vraag die gesteld moet worden is echter wel of dat wel altijd op de meest effectieve wijze plaatsvindt. Bestuurlijke en inhoudelijke discussie is nodig om het IB-vraagstuk en de oplossing daarvan voor de werkplekken van het Rijk, in de context van doelen als TPAW en BYOD, te actualiseren.  +

Helderheid over scopedefinitie betekent dat helder is: - Welke organisaties worden geacht te voldoen aan de DWR-kaders? - Welke organisaties gastgebruik voor elkaar moeten regelen? - Voor welke organisaties de eisen rondom werkplekken en applicaties gaan gelden?  +

Voor het verdere verloop van de rijks ICT-projecten en vooral om er zeker van te zijn dat de projecten in de juiste samenhang worden uitgevoerd, is het belangrijk om helder vast te stellen: - Waar wordt geconsolideerd tot één (deel-)infrastructuur? - Waar en waarom wordt gekozen voor federeren? - Wat kan wel als wordt gefedereerd? En wat niet?  +

De generieke zoekdienst maakt het mogelijk informatie rijksbreed in samenhang te ontsluiten. De generieke zoekdienst dwingt uniformiteit af die leidt tot kostenefficiëntie. Dit levert een belangrijke bijdrage aan de I-strategie: één ICT-infrastructuur voor het Rijk.  +

Afnemers die zich houden aan de afspraak of norm, mogen niet de dupe worden van dienstverleners die zich daar niet aan houden. De dienstverlener is in dat geval verantwoordelijk voor aanvullende voorzieningen om aan de norm te kunnen voldoen. Wanneer dat niet lukt, is de dienstverlener verantwoordelijk voor additionele kosten bij de afnemer.  +

Indien de toegankelijkheid van records niet langer gegarandeerd is als gevolg van wijziging of in onbruik raken van formaten en applicaties, zorgt de zorgdrager voor conversie of migratie van de betrokken records of voor emulatie van de applicatie. Daarbij dient de authenticiteit van de records behouden te blijven.  +

Bedrijfsprocessen en informatiehuishouding zijn op elkaar afgestemd. Binnen de processen worden records verzameld, gecreëerd, gebruikt en bewaard. De afwegingen om records te bewaren en te gebruiken alsmede de manier waarop, worden daarom gemaakt vanuit het belang van het bedrijfsproces.  +

Veranderingen in de organisatie of het werkproces kunnen het noodzakelijk maken om de informatiehuishouding aan te passen. Daarom dient de informatiehuishouding flexibel te zijn ingericht  +

Duurzame toegankelijkheid van archiefbescheiden moet bij het ontstaan van informatie geregeld worden. Als dat niet gebeurt, zijn de gevolgen vaak onomkeerbaar en daarmee komt een betrouwbare digitale informatiehuishouding in gevaar.  +

Dit principe geeft invulling aan de wens om overheidsinformatie zo snel mogelijk openbaar te maken. De zorgdrager is verplicht om de archiefbescheiden die niet voor vernietiging in aanmerking komen en ouder zijn dan twintig jaar over te brengen naar een archiefbewaarplaats. Hij kan dit ook eerder doen.  +

Het betreft hier Rijksbrede generieke voorzieningen waarvan bestuurlijk is vastgesteld dat ze rijksbreed toepasbaar zijn en kwalitatief van voldoende niveau. De verplicht te gebruiken voorzieningen zijn opgenomen in de ‘Catalogus generieke I- en ICT-diensten’ en maken als zodanig deel uit van de rijksbrede I-infrastructuur.  +

Om technische redenen (zoals in relatie tot performance, beveiliging of mobiliteit) kunnen kopieën nodig zijn. Als door fouten in techniek of beheer een gekopieerd record afwijkt van de vastlegging in de bron, wordt het record in de bron als juist aangemerkt. Voor betrouwbare dienstverlening is het gebruik van de juiste informatie en documenten van cruciaal belang. Uitgangspunt is dat binnen de overheid voor ieder informatieobject een unieke bron bestaat: de bronregistratie.  +

Voor een efficiënte en effectieve taakuitvoering is het cruciaal dat informatie digitaal beschikbaar is. Iedere rijksambtenaar moet voor zijn of haar werkzaamheden bij alle binnen het Rijk beschikbare relevante informatie kunnen.  +

De Rijksdienst verplicht het gebruik van metagegevens. Deze zijn noodzakelijk voor duurzame toegankelijkheid, in het bijzonder voor zoeken, inzien, begrijpen, preserveren en vernietigen. De content wordt daardoor vindbaar, interpretabel en betrouwbaar voor gebruikers. Gebruik van standaard profielen voor metadata bevordert de uitwisselbaarheid van content. De Rijksdienst gebruikt daarvoor het 'Toepassingsprofiel Metagegevens Rijksoverheid'. Aanvullend op dat profiel kan het nodig om metadata te gebruiken die specifiek van toepassing is voor de context waarin de informatie moet worden gebruikt.  +

Traditioneel ordenen systemen archiefstukken op basis van een bedrijfsprocesgerelateerd classificatieschema in dossiers. Digitalisering biedt echter mogelijkheden meer dan één ordening tegelijkertijd toe te passen. Naast procesclassificatie zijn meer ordeningsstructuren mogelijk, niet perse gebaseerd op de procescontext, maar met andere doelen, zoals vindbaarheid door gebruikers. Door het invullen van metadatavelden kunnen in een digitale omgeving met behulp van sjablonen of queries tal van verschillende soorten overzichten worden geproduceerd, geordend of gegroepeerd volgens verschillende criteria.  +

De betrouwbaarheid van de informatiehuishouding komt in het gedrang als alle medewerkers onbeperkt deze activiteiten kunnen verrichten.  +

De zorgdrager moet conform de [http://wetten.overheid.nl/BWBR0027041/geldigheidsdatum_15-05-2015 wettelijke archiefregeling] ervoor zorgen dat het archiveringssysteem de toegankelijke staat van archiefbescheiden waarborgt, zodanig dat elk van de archiefbescheiden binnen een redelijke termijn kan worden gevonden aan de hand van de daaraan gekoppelde metagegevens.  +

Ingezetenen van Nederland zijn gerechtigd om informatie met openbaar karakter waarover de overheid beschikt, in te zien. In beginsel is dit alle overheidsinformatie, tenzij noodzakelijk (beveiliging)beleid en/of bestaande wet- en regelgeving zoals de privacy-regelgeving (WBP) en uitzonderingsbepalingen van de WOB dit weerspreken. De informatie moet digitaal raadpleegbaar zijn teneinde geïnteresseerden eenvoudig toegang tot de informatie te geven.  +

Het rijk werkt als één concern. Dat betekent samenwerken over de grenzen van organisaties en organisatieonderdelen. Records moeten Rijksbreed toegankelijk en (her)bruikbaar zijn, onafhankelijk van de organisatie waarvan een rijksambtenaar deel uitmaakt en onafhankelijk van tijd, plaats, applicatie en technisch platform.  +

Het Forum Standaardisatie publiceert een lijst met open standaarden waarvoor het “pas toe of leg uit”-principe geldt  +

De toegankelijkheid, ordening en beschikbaarheid van archiefbescheiden, is gegarandeerd zolang als dat nodig is. Deze verplichting geldt zowel voor permanent te bewaren als voor op termijn te vernietigen records, en zowel voor de ‘traditionele’ tekstdocumenten als voor nieuwere verschijningsvormen als e-mail, tweets, spreadsheets of websites.  +

Diensten moeten vanuit het perspectief van de afnemer meerwaarde hebben ten opzichte van andere diensten. Dit draagt bij aan de eenduidigheid en vindbaarheid van diensten en voorkomt verwarring. Daarnaast draagt het terugdringen van overlap bij aan efficiency binnen de overheid. Het stelt dienstverleners in staat om te excelleren in een beperkter pakket van diensten. Het is van groot belang dat individuele organisaties zélf verantwoordelijkheid nemen voor het aanbieden van 'unieke' diensten, omdat een organisatie overstijgende regie op diensten niet altijd bestaat. Wanneer blijkt dat elders een zelfde of overlappende dienst wordt aangeboden, dwingt dit de dienstverlener om afstemming te zoeken met de andere aanbieder en de dienst van opzet te veranderen.  +

De opzet van de dienst anticipeert op onvoorziene afnemers en gebruik. Toepassing van dit principe maakt de dienst interoperabel en bruikbaar voor een zo groot mogelijke groep afnemers. Dit draagt bij aan een hoger rendement van de dienst.  +

Afnemers verwachten dat dienstverleners hun gegevens niet misbruiken. Bij hergebruik van informatie beoordeelt de dienstverlener daarom steeds of het doel van het hergebruik, verenigbaar is met het doel waarvoor deze gegevens oorspronkelijk zijn verzameld. Hoe dichter die twee doelen bij elkaar liggen (of hoe meer ze verwant zijn), hoe groter de kans dat hergebruik mogelijk is. Vertrouwelijkheid van gegevens beperkt de ruimte voor hergebruik in sterke mate. De Wet bescherming persoonsgegevens bepaalt dat persoonsgegevens alleen verwerkt mogen worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Het doel waarvoor de gegevens zijn verzameld en vervolgens worden gebruikt, is bepalend voor de hoeveelheid en de soort informatie die mag worden gedeeld.  +

Optimale betrouwbaarheid van de informatiehuishouding is essentieel voor adequate dienstverlening. Door de vrijwel continue veranderingen die plaatsvinden binnen de informatiehuishouding, ten gevolge van gegevensregistratie, ontwikkeling van systemen, etc. Beheermaatregelen, zoals opgenomen in het beheerregime rond een informatiehuishouding, moeten zorgdragen voor minimale kans op misstanden ten gevolge van onbetrouwbare informatie, onrechtmatige toegang tot informatie en inadequate verkrijging van informatie.  +

Voor optimaal hergebruik van voorzieningen, wordt aangesloten op [http://www.digicommissaris.nl/thema/generieke-digitale-infrastructuur-gdi de landelijke E-overheidsvoorzieningen]. Dit is de zogenoemde [[Generieke Digitale Infrastructuur]], waartoe onder andere DigiD en de Basisregistraties behoren. Aanvullend op de landelijke voorzieningen, kent de Rijksdienst rijksbrede voorzieningen, die hier worden aangeduid als [[Rijksbrede generieke I(nformatie)-Infrastructuur]]. De voorzieningen hiervan zijn opgenomen in het [[Totaal overzicht Generieke I-diensten Rijksdienst| Rijksregister Generieke I-diensten]].  +

In het kader van een eenduidige, transparante dienstverlening aan burgers en bedrijven en een optimale beschikbaarheid van de ambtelijke dienst voor bewindspersonen en kritieke processen, zijn beschikbaarheidsnormen noodzakelijk, die zijn toegesneden op de vraag van de afnemer en de (on-)mogelijkheden van het kanaal.  +

Vernieuwing Rijksdienst vraagt een andere manier van werken van RD-organisaties en van individuele RD-medewerkers. Resultaatgericht, flexibel, mobiel en organisatie-overschrijdend. Deze manier van werken is gebaseerd op een compacte set functieprofielen die gaan over de inhoud van het werk, onafhankelijk van de organisatie waar dit wordt uitgevoerd. De hiermee ingezette harmonisering van functies stimuleert beweging binnen de Rijksdienst. Dit geldt voor medewerkers in alle voorkomende functies.  +

De kwaliteit van de dienstverlening door de Rijksdienst is gebaat bij flexibiliteit van de bedrijfsprocessen (eenvoudig aanpasbaar aan veranderende omstandigheden) en stabiele betrouwbare informatie (hergebruik van gegevens i.p.v. risicovol dupliceren). De ondersteunende informatiesystemen van de Rijksdienst moeten daarom de dynamiek van de bedrijfsprocessen enerzijds en de stabiliteit en betrouwbaarheid van gegevens anderzijds, kunnen waarborgen. De Rijksdienst ontkoppelt daarvoor de stabiele opslag van gegevens en de dynamiek van de bedrijfsprocessen die de gegevens registreren en/of gebruiken.  +

Dienstverlening vanuit het perspectief van de afnemer is een belangrijk principe voor de overheid in het algemeen. De Nederlandse Overheid Referentie Architectuur (NORA) omschrijft dit in [[Perspectief afnemer (NORA)|principe AP19]]. Een goed op (individuele) afnemers afgestemde dienstverlening kan echter conflicterend zijn met efficiencydoelstellingen. Om de maatschappelijke diensten maximaal op te zetten vanuit afnemersperspectief en tegelijkertijd de diensten zo efficiënt mogelijk te verlenen, gaan bij interne dienstverlening (tussen RD-medewerkers) efficiencymaatregelen voor de (individuele) wensen van de interne afnemer.  +

Het gebruik van erkende identificatiemiddelen in de bedrijfsvoering verlaagt de kans op frauduleuze handelingen. Daarnaast zorgt het voor harmonisering van Identity & Acces Management.  +

De Rijksdienst gebruikt evenals de andere bestuurslagen, een veelheid aan begrippen. Deze worden gebruikt binnen en gedeeld tussen bedrijfsprocesdomeinen en informatiseringsdomeinen (zie ook [[Inleiding Informatiseringsdomeinen Rijksdienst]]). Maar ook zijn veel begrippen binnen die domeinen nog tegenstrijdig of niet gedefinieerd. Om semantische spraakverwarring te voorkomen is een transparant gemeenschappelijk begrippenkader Rijksdienst essentieel. Een dergelijk kader voorkomt spraakverwarring en vormt daarmee een belangrijk fundament voor goede samenwerking binnen en buiten de Rijksdienst. De Rijksdienst sluit daarmee tevens aan op het Nationaal Semantisch Vlak in het kader van Europese ontwikkelingen (meer daarover op [[nora:Semantiek | NORA online, thema Semantiek]].  +

Het is niet efficiënt om het wiel steeds opnieuw uit te vinden. Door hergebruik verbetert de efficiency bij de ontwikkeling van bouwstenen en diensten. Daarnaast verbetert het de mogelijkheden op samenwerking tussen RD-organisaties. Voor de ontwikkeling van een dienst bij V&J kan wellicht een bouwsteen gebruikt worden die is ontwikkeld door VWS. Beide RD-organisaties gebruiken dan dezelfde bouwsteen en kunnen daarmee eenvoudig onderling informatie uitwisselen. Een concreet voorbeeld van het ontstaan van een rijksbrede bouwsteen is de ontwikkeling van een oplossing voor centrale ontsluiting van basisregisters voor alle dienstonderdelen van V&J. Deze oplossing wordt zodanig ontwikkeld, dat ze ook herbruikbaar is voor alle andere onderdelen van de Rijksdienst.  +

Met de concerngedachte streeft de Rijksdienst naar maximalisering van haar efficiency. Daarmee maakt ze capaciteit (geld, mensen en middelen) vrij die ingezet kan worden op verbetering van de kwaliteit en effectiviteit van haar primaire dienstverlening. Het Rijk als concern impliceert daarom een zo hoog mogelijke eenheid (uniformiteit) in de wijze waarop de taken (diensten) van de RD-organisaties worden bestuurd en georganiseerd naar mensen en middelen. Een RD-organisatie onderscheid zich alleen van collega-organisaties door de unieke expertise die ze heeft met betrekking tot een deel van het takenpakket van de Rijksdienst. Als het gaat om zaken als organisatiestructuur, gebruik van voorzieningen, ondersteuning van primaire bedrijfsfuncties, etc. hanteert de Rijksdienst een uniforme architectuur.  +

Authenticatie en autorisatie hebben ieder hun eigen uitgangspunten en toepassingen. Het voordeel van ontkoppeling is dat heruitgifte van van authenticatiemiddelen bij rolwisselingen overbodig wordt.  +

Grenzen tussen de RD-organisaties vervagen, evenals de grenzen tussen het privé domein en het zakelijk domein. RD-medewerkers worden in toenemende mate ingezet bij organisatie overstijgende activiteiten. De flexibele inzet van de RD-medewerker mag daarbij niet worden belemmerd door begrenzingen aan plaats, tijd of apparatuur. Het Rijk biedt daarvoor werkplek en middelen die aansluiten bij de noodzakelijke en gewenste persoonlijke werkruimte.  +

Met harmonisering van functies (zie principe [[EAR: Bevordering uitwisselbaarheid]]) wordt flexibilteit nagestreefd. De werkruimte van de flexibele RD-medewerker moet daarom eveneens flexibel worden. Een RD-medewerker mag in zijn flexibiliteit niet worden belemmerd door functionaliteit die gebonden is een specifieke plaats, tijd, apparaat en/of organisatie. De persoonlijke digitale werkruimte moet invulling geven aan de mate van flexibiliteit die passend is bij de moderne flexibele RD-medewerker, maar is daarbij wel gehouden aan de randvoorwaarden voor registratie en gebruik van onderhavige bedrijfsinformatie.  +

RD-organisaties willen elkaars medewerkers veilig toegang kunnen geven tot elkaars voorzieningen.  +

De beschikbaarheid van diensten voor afnemers, zowel voor burgers en bedrijven als voor ketenpartners, moet zijn geborgd. De continuïteit van de dienstverlening is afhankelijk van de betrokken RD-medewerkers en systemen. Omdat mensen en systemen niet onfeilbaar zijn, is het noodzakelijk dat mogelijke continuïteitsproblemen tijdig worden onderkend en bestreden.  +

De keuze van authenticatiemiddelen is afhankelijk van het afbreukrisico als niet wordt voldaan aan de eisen die gesteld worden aan de toegankelijkheid, vindbaarheid, uitwisselbaarheid, betrouwbaarheid, authenticiteit en volledigheid van de informatie. Dit zijn de kwaliteitscriteria uit de Baseline Informatiehuishouding. Er zijn verschillende authenticatiemiddelen waarbij er een directe relatie bestaat met de mate van zekerheid waarin bewezen wordt dat iemand is die hij claimt te zijn. Globaal zijn deze middelen: #Iets weten (zwak : ik kom voor de heer Jansen van de directie Personeelszaken) #Iets hebben (middel: Rijbewijs, paspoort) #Iemand zijn (hoog: IRIS scan, vingerafdruk)  +

De invulling van het toegangsbeleid dient het plaats-, tijd-, en apparatuuronafhankelijk werken maximaal te ondersteunen. Ongeacht de plaats waar wordt ingelogd, moet het mogelijk zijn dezelfde logische toegang te verkrijgen, tenzij bijzondere omstandigheden dit niet toestaan. Denk aan gecontroleerde ruimtes die als enige toegang bieden tot informatie die staatsgeheim is.  +

Ingezetenen van Nederland zijn gerechtigd om informatie met een openbaar karakter waarover de overheid beschikt, in te zien. De overheid moet deze informatie zonder beperkende voorwaarden beschikbaar maken voor elke geïnteresseerde.  +

De Rijksdienst verplicht het gebruik van metagegevens. Deze zijn nodig om aan content betekenis te geven. De content wordt daardoor vindbaar, interpretabel en betrouwbaar voor gebruikers. Gebruik van standaard metadata bevordert de uitwisselbaarheid van content. Binnen de Rijksdienst is daarvoor het 'Toepassingsprofiel Metagegevens Rijksoverheid' ontwikkeld. Aanvullend op het standaard profiel is het nodig om organisatiespecifieke betekenissen van content bekend te kunnen maken. Het standaard toepassingsprofiel moet daarom nader worden gespecificeerd tot een toepassingsprofiel voor een organisatorische eenheid, een werkgebied, een functie of een keten.  +

De rijksorganisaties verkrijgen financiële bestedingsruimte op basis van een (jaarlijkse) begroting van prestaties en/of uit vergoedingen (o.a. leges) naar aanleiding van directe dienstverlening aan afnemers. De besteding van deze gelden en de daarmee bereikte resultaten moeten rijksorganisaties kunnen verantwoorden, zowel naar individuele afnemers (bijv. een uitkeringsgerechtigde) als naar de politiek en de maatschappij als geheel. Rijksorganisaties moeten daarvoor hun interne (administratieve) organisatie zodanig inrichten, dat het altijd duidelijk is welke resultaten zijn/worden behaald en welke medewerkers daarvoor direct en indirect verantwoordelijk zijn. Met een goede verantwoording maakt de Rijksdienst prestaties inzichtelijk en toont daarmee haar maatschappelijk toegevoegde waarde.  +

Een webservice is een application-to-application interface (A2A) die communiceert met behulp van elektronische berichten. De webservice ondersteunt de uitwisseling van informatie(diensten) tussen twee systemen. Met het gebruik van webservices standaardiseert de Rijksdienst de technische uitwisseling van digitale informatiediensten. Naast het hanteren van gezamenlijke, zo mogelijk rijksbrede, afspraken over inhoud en structuur van webservices, draagt het gebruik van deze technologie in belangrijke mate bij aan de interoperabiliteit van de Rijksdienst.  +

Er kan maar één organisatie verantwoordelijk zijn voor de dienst, zodat burgers, bedrijven en medeoverheden er altijd iemand op kunnen aanspreken. Afnemers willen weten of de dienstaanbieder een bekende, betrouwbare partij is. Vervolgens wil men die partij kunnen aanspreken op de kwaliteit. Deze vraag geldt ook in hoge mate voor overheidsorganisaties die hun eigen dienstverlening baseren op diensten van anderen en van deze leveranciers afhankelijk zijn. Daarom is het noodzakelijk dat helder is voor welke prestatie de dienstverlener verantwoordelijk is.  +

Het meerdere keren moeten aanleveren van dezelfde informatie is één van de grootste ergernissen voor burgers en bedrijven. Onnodige uitvraag van informatie moet dus voorkomen worden. Voor de dienstverlener betekent het hergebruiken van reeds bij de overheid geregistreerde informatie een beperking van de kosten voor registratie en beheer van gegevens.  +

Momenteel zijn er nog geen vastgestelde cloud standaarden. Het is zaak tijdig in te spelen op ontwikkelingen op dit terrein. Zo is de selectie en vaststelling van cloud standaarden op Europees niveau in volle gang, mogelijk heeft dit al tot resultaten geleid.. ETSI (European Telecommunications Standards Institute) heeft van de Europese Commissie (EC) de opdracht gekregen om cloud standaarden te selecteren die we in Europa adopteren.  +

De hoeveelheid technieken en technologie die wordt gebruikt om de GRC te bouwen leidt tot een evolutie van benodigde kennis, kunde en vaardigheden van het IT beheer en de bijhorende rollen en functies. De traditionele beheerder heeft deze kennis meestal niet en niet iedereen zal in staat blijken dit hoge kennisniveau te bereiken. Een uitdaging voor het ontwikkelen van de GRC en het exploiteren ervan is het cloud kennisniveau binnen de overheid omhoog te krijgen. Voldoende tijd is nodig om medewerkers die dit aankunnen naar het gewenste kennisniveau te begeleiden dan wel deze kennis in voldoende mate binnen te halen.  +

Het moet voor gebruikers (consumers) duidelijk zijn hoe ze cloud diensten kunnen afnemen. Men moet weten op welke manier het gebruik van cloud diensten wordt doorbelast. Bijna alle cloud diensten kunnen geautomatiseerd worden afgenomen, zonder menselijke tussenkomst. Echter het moet duidelijk zijn, bij wie of welke organisatie men terecht kan voor customer support en hoe customer support werkt.  +

Dit is randvoorwaardelijk voor veel I-strategie maatregelen, inclusief de GRC.  +

Voor diensten als tekstverwerking, rekenbladen, presentaties en mail zijn producten in de GRC beschikbaar waarbij any place, any time en any device het uitgangspunt is; De GRC biedt een dropbox-achtige voorziening voor dataopslag; Ook voor diensten rondom DWR-docs, DWR-archief en DWR-zoeken geldt dat vanuit de GRC functionaliteit beschikbaar komt, zowel voor desktop, laptops als mobiele devices. Deze diensten worden zowel als “app” aangeboden als via een webpagina (webbased).  +

Er wordt naast traditionele desktop pc’s en laptops steeds meer gebruik gemaakt van andere devices zoals android of iOS tablets en smartphones.  +

Iedereen in de beveiligingswereld is overtuigd van het feit dat de factor mens een veel belangrijker plaats moet krijgen. Awareness, taakvolwassenheid  +

Als bij de ontwikkeling van applicaties en functionaliteit tijdigheid en korte “time-to-market” worden gefaciliteerd door moderne agile-achtige ontwikkelprocessen, is het van belang dat er ook goed wordt gekeken naar de wijze waarop de beheerprocessen van applicaties op dit moment zijn ingericht. Het standaardiseren van beheerprocessen op basis van ITIL en BISL heeft in de praktijk ervoor gezorgd dat er nogal lange doorlooptijden zijn ontstaan bij het beheer en door-ontwikkelen van applicaties.  +

Kopen van een cloud oplossing is uitgangspunt voor de GRC, omdat deze wijze sneller tot resultaten leidt, een belangrijk kenmerk van de flexibiliteit en aanpassingsvermogen van cloud en zogenoemde apps. Hierbij kan gekeken worden naar huidige cloud initiatieven binnen de Rijksoverheid. Veel infrastructuur dat in gebruik is heeft al cloud kenmerken (is in feite cloud ready) en is daarmee inzetbaar voor de GRC. Specifiek voor software in de vorm van apps sluit oplossingen kopen aan bij het uiteindelijke scenario zoals Gartner dat in haar advies aan BZK presenteerde: de ICT dienstverleners van de GRC definiëren de API’s op basis waarvan andere partijen apps kunnen bouwen.  +

[[Continuïteit van de dienst (NORA)|NORA principe AP35]] stelt dat beschikbaarheid van diensten is afgestemd op het gebruik. Omdat clouddiensten via internet verlopen, is 7*24 uur beschikbaarheid een uitgangspunt. Bij het ontwerp en realisatie van de clouddiensten is continuiteit/beschikbaarheid daarom een essentieel ontwerp en ontwikkelaspect. Ook al omdat clouddiensten vaker bloot kunnen staan aan cyberaanvallen, met verminderde beschikbaarheid tot gevolg. Het negatieve effect daarvan is groot.  +

Door continuiteit van verbinding centraal te stellen kunnen in het RIjksoverheidsnetwerk, RON, cloud diensten uit de GRC worden gebruikt. Daarnaast is het Rijksoverheidsnetwerk voorbereidt op uitbreiding van de GRC in gebruik en in aanbod.  +

Perimeterbeveiliging (het bouwen van grote muren rond digitale netwerken) en apparaat beveiliging zijn weliswaar nog steeds populaire maatregelen, maar hun retour.  +

GRC is opgezet als een groeimodel. In de eerste fase van de GRC zoals gedefinieerd in de brief van Donner, zal de GRC in eigen beheer wordt ingericht als een voorziening die generieke diensten levert binnen de Rijksdienst. Deze voorziening wordt ingericht binnen een eigen beveiligd netwerk en beheerd door een eigen, Rijksbrede organisatie. Op termijn, wanneer de markt meer volwassen is en bijvoorbeeld vraagstukken rondom privacy en security zijn opgelost, zullen ook externe publieke cloud leveranciers cloud diensten gaan leveren. Er ontstaat dan een mix van interne private cloud diensten en externe public cloud diensten.  +

Je wilt met verregaande virtualisatie) technologie binnen een rekencentrum maar ook tussen rekencentra aan loadbalancing doen. De 4 (5?)geconsolideerde rekencentra vormen het hart van de GRC.  +

Het basis beveiligingsniveau (BIR) is afgestemd op het niveau departementaal vertrouwelijk en WBP II. De eisen die dit met zich meebrengt gelden dus voor de gehele rijksdienst, alle medewerkers, alle organisaties, alle processen, alle documenten en voor alle apparatuur. Hoe vaak komt het echter voor dat een gemiddelde Rijksmedewerker in aanraking komt met deze informatie?  +

De gebruiker van de dienst dient in staat te zijn om zonder directe tussenkomst van een ICT-medewerker/afdeling direct te kunnen beschikken over de verschillende diensten die voor hem/haar beschikbaar zijn. .  +

Consumers en leveranciers van cloud diensten vinden snelheid van ontwikkeling, van levering en uiteindelijk de time to market belangrijker. Snelheid zal in een aantal gevallen wel en in een aantal gevallen niet boven 100% dekkende functionaliteit uitgaan. Software wordt ook meer als iets tijdelijks gezien en wordt een soort van wegwerpartikel. Het wordt tijdelijk gebruikt. Opzeggen kan vaak per maand. Vaak wordt software ontwikkelt op een agile manier.  +

De verrekenwijze door GRC-aanbieders vindt plaats op grond van doorbelasting van gebruik en leidt tot minimale administratieve lasten. (bevinding KPMG-onderzoek i.o.v. BZK).  +

Dit principe leidt ertoe dat organisaties minder voorzieningen zelf hoeven te ontwikkelen en het rendement van landelijke bouwstenen toeneemt. Het leidt bovendien tot standaardisatie en uniformiteit in dienstverlening en ondersteunende processen en draagt er aan bij dat de afnemers de overheid in haar dienstverlening als één bedrijf ervaren.  +

Het gebruik van open standaarden bevordert de interoperabiliteit, bijvoorbeeld in het berichtenverkeer. Open standaarden kunnen door alle partijen vrijelijk worden gebruikt. Er zijn geen door private partijen afgedwongen beperking aan het gebruik.  +

Dit principe is er op gericht dat afnemers de overheid in haar dienstverlening zo veel mogelijk zullen ervaren als één organisatie. Dit vraagt om standaardisatie en uniformiteit in dienstverlening en ondersteunende processen. Organisaties hoeven minder zelf te ontwikkelen en het rendement van oplossingen neemt toe.  +

Het spaart de afnemer veel tijd als hij diensten die hij bij elkaar verwacht, op één plaats en in combinatie kan afnemen.  +

Afnemers verwachten een gelijkwaardig resultaat, dat niet negatief beïnvloed wordt door hun kanaalkeuze. Het mag dus voor het resultaat van de dienst geen verschil uitmaken of deze bijvoorbeeld per mail of per telefoon is aangevraagd. De geleverde informatie is in alle gevallen hetzelfde, ongeacht de plaats of medewerker die deze informatie levert. Diensten waarvoor dit principe niet op gaat, zijn diensten waarvan de geleverde prestatie in hoge mate bepaald wordt door het gekozen kanaal. Denk hierbij aan de interactiviteit die eigen is aan persoonlijk contact, of het vermogen om in real-time geoinformatie weer te geven in websites.  +

De klassieke informatiebeveiligingsaanpak waarbij inperking van mogelijkheden de boventoon voert maakt plaats voor '''''veilig faciliteren'''''. Klassieke informatiebeveiligingsmaatregelen kenmerken zich vaak door een beperking van mogelijkheden, hetgeen ervoor zorgt dat medewerkers zelf manieren zoeken om buiten de systemen om – onveilig – te werken. Er moet worden gestreefd naar maximaal faciliteren van gevraagde functionaliteit op een veilige manier. Dit zorgt voor de noodzakelijke beveiliging van gegevens, op een manier die uit te leggen is.  +

Het steeds meer koppelen van informatiesystemen van verschillende ketenpartners vraagt om een aanvulling van netwerkbeveiliging door gegevensbeveiliging. Doordat daardoor hogere eisen aan identificatie en autorisatie van gebruikers worden gesteld kunnen door middel van gegevensbeveiliging gegevens op maat beschikbaar gemaakt worden voor hen die toegang moeten hebben en afgeschermd blijven voor diegenen die geen toegang moeten hebben. Zo wordt ook plaats- en tijdonafhankelijk werken beter gefaciliteerd.  +

Informatiebeveiliging is één van de kwaliteitsaspecten van het functioneren van de Rijksdienst en moet in relatie worden gezien tot het doel van de gegevensverwerking en overige getroffen maatregelen ter borging van de kwaliteit. Verantwoordelijken voor de verwerking van de informatie dienen zich blijvend af te vragen of de getroffen maatregelen afdoende en op maat zijn.  +

Kennis en expertise op het gebied van informatiebeveiliging blijft zich ontwikkelen. Om hiervan te kunnen profiteren worden kennis en expertise centraal geborgd, waarbij interdepartementale samenwerking en kennisdeling niet uit het oog verloren wordt. Er is voortdurend afstemming met het primaire proces en er wordt in begrijpelijke taal samengewerkt.  +

De mate van beveiliging van informatie wordt bepaald door de waarde die eraan toegekend wordt. Dit is onder te verdelen in publieke informatie (open data), vertrouwelijke informatie en staatsgeheime informatie. Publieke informatie, open data, is niet vertrouwelijk en hoeft daarom niet afgeschermd te worden. Gedeeltelijk is deze informatie openbaar en dus publiek beschikbaar. Aandachtpunten hierbij zijn de integriteit van de informatie en de beschikbaarheid. Vertrouwelijke informatie en staatsgeheime informatie worden gerubriceerd. Voor deze typen informatie wordt een risicoafweging gemaakt om de mate van beveiliging te bepalen, waarbij beschikbaarheid, vertrouwelijkheid, integriteit en beheersbaarheid een rol spelen en het desbetreffende rubriceringsniveau leidend is.  +

Infrastructuren worden generiek ingericht met daarbij behorende generieke beveiligingskaders en beveiligingsmaatregelen, ondersteund door één rijksbrede operationele ICT-beveiligingsorganisatie. Het basisniveau is snel, goed, efficiënt en faciliteert de Rijksdienst. Voor sommige onderdelen van de Rijksdienst bestaan specifieke werksituaties die andere maatregelen vereisen. Deze maatregelen worden in overleg bepaald en ingezet.  +

Bij experts binnen het beveiligingsdomein bestaat de overtuiging dat niet alleen technische onvolkomenheden tot securityproblemen leiden. De factor mens levert op dat punt een gelijke, zo niet veel grotere bijdrage aan de securityproblemen. Gebruik van zwakke wachtwoorden zoals '12345678' is daarvan maar een klein voorbeeld. De menselijke factor is dus mede bepalend voor het veilig omgaan met informatie binnen organisaties.  +

Informatiebeveiliging levert een bijdrage aan de kwaliteit van de informatievoorziening en is daarmee geen doel op zich. Het blijft een verantwoordelijkheid van het lijnmanagement om ook met het gebruik van nieuwe technologie in control te zijn op het gebied van inrichting en beveiliging van informatie.  +

Afnemer en dienstverlener willen beide de zekerheid dat misbruik van gegevens en van diensten voorkomen wordt. Aan vertrouwelijke diensten of diensten met rechtsconsequenties, worden daarom strikte identificatie-eisen gesteld. In deze gevallen worden diensten alleen verleend aan geauthenticeerde afnemers. Ook medewerkers van de dienstverlener zijn geauthenticeerd en geautoriseerd om van de voorzieningen die de dienst ondersteunen, gebruik te kunnen maken. Er zijn natuurlijk ook diensten die geen vertrouwelijk karakter hebben en daarom aan veel minder strikte identificatie-eisen worden onderworpen. Een persoon is geauthenticeerd als de identiteit eenduidig is vastgesteld op basis van een geverifieerde unieke codering. Voor authenticatie van rechtspersonen wordt het RSIN (Rechtspersonen en Samenwerkingsverbanden Informatie Nummer) gebruikt, voor natuurlijke personen het Burgerservicenummer (BSN).  +

Voor diensten die het resultaat zijn van samenwerking tussen dienstverleners, is het een vereiste dat eenduidig naar informatie-objecten kan worden verwezen. Daartoe moeten zij uniek geïdentificeerd zijn. Zo is duidelijk om welk informatie-object het gaat. Met de identificatie moet het mogelijk zijn om het informatie-object, ook na verloop van tijd, terug te vinden of te reproduceren.  +

Samenwerking tussen en ook binnen organisaties is alleen goed mogelijk wanneer de betrokkenen de relevante informatieobjecten eenduidig begrijpen en kunnen toepassen. Daarvoor is een systematische beschrijving vereist. Vastleggen van standaard metagegevens over de context, inhoud, structuur, vorm en gedrag evenals het beheer en gebruik van informatieobjecten heeft als doel: *het mogelijk maken van hergebruik van informatieobjecten binnen wet- en regelgeving *ondersteunen van de uitwisselbaarheid van informatie tussen publieke organisaties en hun voorzieningen daarvoor *waarborgen van de kwaliteit in termen van authenticiteit, betrouwbaarheid, volledigheid, integriteit, bruikbaarheid en duurzaamheid *waarborgen van vindbaarheid, identificatie en toegankelijkheid *het mogelijk maken van beheer en reproductie *herleiden van het doel en de context van de inwinning  +

Het zoneren met behulp van filters, is noodzakelijk om bedreigingen, zoals aanvallen, indringers, ongewenste inhoud en virussen, buiten te sluiten en verspreiding van bedreigingen binnen de organisatie en technische infrastructuur tegen te gaan. De bij de dienst betrokken faciliteiten, zoals gebouwen en technische infrastructuur zijn opgedeeld in met filters afgebakende zones. Binnen die zones kan informatie vrijelijk worden uitgewisseld. Tussen de zones controleren filters het communicatiegedrag van mensen en systemen en de vorm en inhoud van informatieobjecten.  +

Deze uitspraak vloeit voort uit maatregel M03 van het ICCIO* jaarplan 2013. Zie de gerelateerde bron, pagina 18 van 65. De maatregel moet resulteren in: *de EAR in de vorm van de “Atlas voor de informatisering van de rijksdienst documenten en een kennisbank *een ingerichte organisatorische architectuurfunctie van de rijksdienst, in 2013 ingevuld door en onder aansturing van de ICCIO *subcommissie Architectuur en Standaarden, inhoudend: **een team voor het opstellen, aanvullen en actueel houden van de EAR **een team voor het actueel houden van de rijksstandaarden **een team voor professionalisering van de architectuurfunctie **een team voor het gevraagd en ongevraagd adviseren over informatisering uitgaande van de *EAR, zowel aan ICCIO, onderdelen van de rijksdienst als aan (inter)departementale programma’s en projecten. *bestuurlijk inbedden van de EAR om de informatisering van de rijksdienst qua inrichting te convergeren tot één eenduidige, gestructureerde en samenhangende informatie-infrastructuur. <p> (*: ICCIO is de voorganger van het CIO-Beraad)  +

Een efficiënte overheid is om verschillende redenen nodig: #De economische crisis heeft de financiële situatie van de overheid sterk verslechterd. Maatregelen zijn nodig om de overheidsuitgaven te beperken. #Op langere termijn zal de omvang van de beroepsbevolking afnemen. De overheid moet daarom minder beslag op beschikbare arbeidscapaciteit gaan leggen. #De overheid moet ruimte scheppen voor maatschappelijke dynamiek die ondersteuning biedt aan verantwoordelijkheid en zelfoplossend vermogen. De overheid moet daarbij het vermogen hebben om flexibel en wendbaar te voldoen aan wisselende eisen en veranderende omstandigheden. Bij dit alles staat voorop dat de kwaliteit van de dienstverlening overeind blijft.  +

Door een nauwkeurige beschrijving van de dienst weten alle afnemers waar zij aan toe zijn en worden misverstanden voorkomen.  +

Afnemers willen snel geholpen worden en niet van het kastje naar de muur gestuurd. Dit ongeacht het overheidsloket waar zij zich melden. De dienstverlener van de gezochte dienst is verantwoordelijk voor de gerichte doorverwijzing naar de eigen dienst door alle relevante loketten en contactvoorzieningen. De dienstverlener borgt zo dat afnemers gericht worden doorverwezen naar de dienst die zij zoeken of waar zij behoefte aan hebben. Voor de duidelijkheid: ‘Gericht verwijzen' betekent hier verwijzen naar de precieze plek (webpagina, loket, formulier) waar de dienst wordt aangeboden. Een globale verwijzing naar een organisatie of website volstaat niet. Het is zaak om een balans te vinden tussen de inspanningen om 'no wrong door' te borgen en het verwachte rendement. Het borgen van doorverwijzing is met name relevant voor loketten, die naar verwachting veel door de doelgroep van de dienst bezocht worden.  +

Beperking van de vraag naar informatie verlaagt de administratieve lastendruk. Het onnodig opvragen van informatie kost de afnemer tijd, wekt irritatie op en verhoogt de kans op fouten in de verstrekte informatie.  +

Interne processtappen in het dienstverleningsproces kunnen ook voor afnemers grote meerwaarde hebben. Het 'open stellen' van deze processtappen voor gebruik door afnemers, of juist de uitbesteding aan andere dienstverleners, is van groot belang voor het vermogen om samen te werken en de interoperabiliteit. De dienstverlener kan daartoe de processtappen als diensten ontkoppelen en positioneren. Toepassing van dit principe draagt bij aan het rendement van de dienstverlening door méér diensten aan afnemers aan te kunnen bieden. Ook bevordert het uitbesteding en daarmee een concentratie op kerntaken. Dit alles maakt de organisatie doelmatiger en doeltreffender. Het aanbieden van voorheen op eigen processen toegesneden diensten aan externe afnemers, is een logische keuze wanneer de dienst goed aansluit bij de wettelijke taak en expertise van de organisatie. Het herbruikbaar maken van het werk van overheidsorganisaties buiten de oorspronkelijke context, is echter een grote uitdaging. Het vraagt van organisaties dat zij de door hen geleverde meerwaarde beschouwen binnen het grotere geheel van de overheid en de interne- en procesgerichtheid loslaten.  +

Afnemers verwachten van een overheid dat deze luistert, openstaat voor kritiek en op basis hiervan handelt. Ontvankelijkheid voor feedback is noodzakelijk om het onderlinge vertrouwen te versterken. Bovendien worden zo participatie en zelfredzaamheid versterkt.  +

Afnemers vragen om een merkbare borging van de kwaliteit en ruimte voor feedback. De organisatie kan alleen duurzaam haar doelstellingen realiseren wanneer zij haar diensten continu aanpast aan de omstandigheden, zoals de wijzigende vraag van afnemers, wijzigingen in de eigen middelen en wetgeving of tekortkomingen in geleverde diensten. Dit betekent dat de dienstverlener op methodische wijze werkt aan de kwaliteit en vraaggerichtheid van de dienst. Dit veronderstelt een cyclische terugkoppeling of Plan-Do-Check-Act-cyclus (Deming-cirkel) op de kwaliteit van de dienst. NORA stelt met dit principe alleen een globale eis aan de kwaliteitsborging. NORA doet geen uitspraak over specifieke methodes of de precieze organisatie. Dit is voor de interoperabiliteit van de dienst van wezenlijk belang.  +

Afnemers verwachten dat de dienstverlener hun voorkeuren en specifieke wensen onthoudt en daarmee rekening houdt. Wanneer de afnemer geïdentificeerd is, zijn diens gegevens en mogelijke voorkeuren ook bekend. De dienst moet het mogelijk maken om op basis van deze informatie het verdere contact vorm te geven. Dit principe is met name relevant voor diensten waarbij de afnemer bekend is, zoals vertrouwelijke of zaakgerelateerde diensten.  +

Afnemers zullen meer en gemakkelijker gebruik maken van diensten, wanneer de opzet en vorm rekening houden met hun vaardigheden, voorkeuren en gedragingen. Dit is met name van belang bij de vormgeving van de contactfuncties van de overheid zoals formulieren, buitendiensten, websites en klantcontactcentra. Het perspectief van met name burgers en bedrijven wordt sterk bepaald door hun ervaringen met particuliere dienstverlening. Men neemt immers over het algemeen veel particuliere- en weinig overheidsdiensten af. Effectieve overheidsdienstverlening neemt daarom goede voorbeelden van dienstverlening binnen én buiten de overheid als benchmark.  +

Een heldere positionering draagt bij aan het gebruik van de dienst. Het maakt diensten gemakkelijker vindbaar voor afnemers. Het draagt ook bij aan het begrip bij afnemers van wat de dienst wel en niet te bieden heeft, ten opzichte van andere verwante diensten. De dienstverlener zelf krijgt ook greep op de toegevoegde waarde van de eigen dienstverlening. Veranderingen in het bredere dienstenaanbod kunnen aanleiding zijn om de eigen dienst aan te passen, uit te breiden of juist in te krimpen. Dit leidt tot een effectievere en efficiëntere invulling van de eigen taak. De dienstverlener is zelf verantwoordelijk om met andere dienstverleners contact te leggen en afspraken te maken op het gebied van de positionering van diensten.  +

Het gemak van een dienst wordt verhoogd als de afnemer niet zelf in de gaten hoeft te houden wanneer hij moet handelen. Bovendien worden zo ongewenste situaties door het te laat reageren van afnemers voorkomen.  +

Het gebruik en gemak van diensten neemt toe wanneer dienstverleners creatief inspelen op signalen die duiden op (latente) behoeften bij de afnemer. Op basis hiervan nemen zij het initiatief om aanvullende diensten, ook van andere organisaties, aan te bieden of er naar door te wijzen. Afnemers hoeven daardoor niet eerst zelf de vraag te stellen, of te weten welke diensten beschikbaar zijn. Proactiviteit is een belangrijk aspect van de vraag- en klantgerichtheid die de overheid nastreeft. Proactieve dienstverlening vraagt om een afweging tussen de behoeften enerzijds en de eigen verantwoordelijkheid van de afnemer en mogelijke weerzin tegen betutteling anderzijds. Deze afweging is afhankelijk van de aard van de dienst, de doelgroep en de situatie van de afnemer waarin de dienst relevant is.  +

Centraal bij de RAS staat het selfservice concept, waarbij de medewerker zelf kiest voor het installeren en/of de-installeren van de aangeboden functionaliteit vanuit de RAS. Er is sprake van een gecontroleerde toegang waarbij gebruik wordt gemaakt van het centrale authenticatie- en autorisatieproces binnen de GRC. De RAS is geschikt voor alle apparaten (met bijhorende besturingssystemen) die als onderdeel van een werkplekdienst binnen de GRC beschikbaar zijn.  +

De RAS kan gebruik maken van al bestaande bouwstenen binnen de generieke werkomgeving  +

Typisch voor de RAS is dat deze op elk willekeurig tijdstip te gebruiken moet zijn door een gebruiker, ongeacht de locatie van de gebruiker of het tijdstip van gebruik.  +

De dienst van RAS voorziet in een servicegericht toelatings- en verwijderingsproces voor software. De dienst richt zich dus zowel op de eindgebruiker als de aanbieder van software.  +

De schaalbaarheid van het model waarop de RAS is gebaseerd is afgestemd op de geplande omvang van het CRD programma, in het bijzonder project 7. Bij een veranderende scope dient de schaalbaarheid opnieuw te worden beoordeeld op de consequenties. De schaalbaarheid wordt ook bepaald door de scope van de onderliggende architecturen, te weten DWR en GRC.  +

Toegang door personen op basis van autorisaties is alleen mogelijk op basis van digitale identiteiten die vanuit centrale geautoriseerde identity management systemen afkomstig zijn  +

De technische beveiliging ondersteunt de integriteit en betrouwbaarheid van de toegang tot de RAS en de daarin aanwezige bronbestanden van de aangeboden software. De beveiliging van de aangeboden software zelf is de verantwoordelijkheid van de eigenaar van de software  +

De toegang tot de RAS voor niet beheerde werkplekken wordt echter vooralsnog niet uitgesloten.  +

Locatiegewijze ontsluiting maakt ruimtelijke informatie voor afnemers begrijpelijk en toegankelijk. Ruimtelijke samenhang is bovendien een belangrijke basis voor bundeling en het proactief aanbieden van diensten. De transparantie van de overheid wordt er door bevorderd. Ook zijn informatie-objecten op basis van de locatie eenvoudig buiten de beoogde toepassing te hergebruiken.Informatie over een locatie kan zowel betrekking hebben op de geografische positie, de vorm (geometrie) als op een verwijzing waar elders deze positie en vorm te vinden zijn (bv. postcode, woonplaats). Het ontsluiten kan zowel geschieden door het tonen van de geometrie, als op basis van de verwijzing.  +

De ervaring wereldwijd leert dat zonder meer outsourcen van taken doorgaans niet leidt tot besparingen maar juist tot kostenverhoging. Kostenbesparingen bereiken we eerder met een goede [[sourcingmix | mix van oplossingen voor sourcing]].  +

Vanuit één geconcentreerd punt verlenen van generieke diensten en het meervoudig afnemen ervan, verbetert de efficiency en draagt bij aan de vorming van een compacte Rijksdienst.  +

Het Kabinet heeft de behoefte alle sourcingstrajecten binnen de Rijksoverheid transparant en beargumenteerd, op basis van solide overwegingen, te laten verlopen. Belangrijke uitgangspunten daarvan zijn de koppeling van sourcing aan businessdoelen, het streven naar lagere kosten, concentratie van de bedrijfsvoering en een eenduidig en transparant keuzeproces, waardoor hergebruik wordt gestimuleerd op basis van een aantal principes. Met deze aanpak worden ook het leereffect, vergelijkbaarheid van sourcingstrajecten, de reproduceerbaarheid en het bijstellen van de strategische uitgangspunten geborgd.  +

Bij kritische taken en processen, met directe invloed op de kwaliteit van de dienstverlening, moet het Rijk zelf aan het roer staan en mag daarvoor niet afhankelijk zijn van derde partijen.  +

Om de strategische doelen van het Kabinet te kunnen bereiken is het belangrijk dat de totale sourcing van generieke I-diensten goed centraal bestuurd wordt. De rijksdienst streeft daarom de komende jaren naar verhoging van haar volwassenheidsniveau t.a.v. het management van de sourcing. Daartoe moeten afzonderlijke sourcingtrajecten qua proces transparant, vergelijkbaar en voorspelbaar worden, zodat geleerd kan worden van de ervaringen en kennis hergebruikt kan worden. Maar ook over sourcingtrajecten heen moet een besturingsstructuur groeien, leidend tot het gaandeweg realiseren van deze strategie. Het Besturingsmodel Regie & Sourcing Generieke I-diensten Rijk vormt hiervoor een goede basis.  +

De rijksdienst verkeert in een stadium waarin zij steeds minder zelf taken uitvoert en deze in toenemende mate uitbesteedt aan het bedrijfsleven. Dat geldt ook op I- gebied. De markt op dit gebied is sterk in ontwikkeling. Waar leveranciers vroeger veelal technische (deel)producten aanboden die door klanten zelf moesten worden geassembleerd, worden tegenwoordig steeds vaker meeromvattende integrale functionele diensten aangeboden. In het licht van die trend wordt het minder zinvol om bestaande I-taken en -processen van de rijksdienst als zodanig uit te besteden en ligt de toekomst in het afnemen van functionele diensten. Dat heeft het voordeel dat de rijksdienst zich minder hoeft te bekommeren om het 'hoe' van de ontwikkeling en het beheer van techniek, maar zich kan richten op strategische doelen en functionele eisen aan de dienstverlening. De dienstverlening wordt daarmee een 'black box', die resultaatgericht kan worden aangestuurd. Op die wijze kan de rijksdienst zich ontwikkelen van een uitvoerende naar een regisserende organisatie. Dit veranderproces kan een wezenlijke bijdrage leveren aan het efficiënter en compacter worden van de rijksdienst.  +

Standaardisatie en de daaruit voortvloeiende uniformering maken afnemers vertrouwd met een uniforme manier van werken. De dienstverlening wordt voor hen daardoor gemakkelijker (en dus goedkoper). Daarnaast levert hergebruik van standaardoplossingen vaak ook kostenvoordeel op voor de dienstverlener.  +

De verankering van de kwaliteitssturing op het hoogste niveau, is voor afnemers een voorwaarde voor vertrouwen in de dienst. De kwaliteit van de dienst wordt namelijk mede bepaald door de kwaliteit en samenhang van het gehele dienstenportfolio, de bedrijfsvoering van de organisatie en het toezicht op de kwaliteit van de tactische sturing. Deze zaken overstijgen de span of control van een individuele lijn- of programmamanager en zijn alleen op het strategische niveau van de organisatie aan te sturen.  +

Door terugmelden van vermeende onjuistheden aan bronregistraties, dragen de afnemende overheidsorganisaties bij aan de goede kwaliteit van de informatie. Hierbij kan het ook gaan om ontbrekende informatie, zoals een persoon die onbekend is bij de bronhouder. Als de bron een basisregistratie betreft, zijn overheidsorganisaties wettelijk verplicht om terug te melden. In de toekomst zal het mogelijk worden om onjuistheden in de basisregistraties via één centraal punt – Digimelding- terug te melden. Als het een ander soort bronregistratie betreft, verloopt terugmelding via onderling afgesproken procedures. Elke overheidsorganisatie bepaalt zelf of de twijfel aanleiding is om de dienstverlening op te schorten. De bedoeling van het terugmelden is dat de bronhouder de juistheid van de melding verifieert. Bij gebleken juistheid voert hij dit direct door in zijn registratie en informeert de terugmelder. Als het een ander soort bronregistratie betreft, verloopt terugmelding via onderling afgesproken procedures. Elke overheidsorganisatie bepaalt zelf of het geconstateerde verschil een opschortende werking heeft in de dienstverlening. De bedoeling van het terugmelden is dat de bronhouder de juistheid van de melding verifieert. Bij gebleken juistheid voert hij dit direct door in zijn registratie en informeert de terugmelder. Een verandering in de 'administratieve werkelijkheid' moet ook geometrisch teruggemeld kunnen worden: een handhaver die ter plekke constateert dat de pandgeometrie zoals opgenomen in de BAG in werkelijkheid is gewijzigd doordat er een uitbouw heeft plaatsgevonden.  +

Het gebruik van erkende identificatie- en authenticatiemiddelen in de bedrijfsvoering verlaagt de kans op frauduleuze handelingen. Daarnaast zorgt het voor harmonisering van Identity & Acces Management.  +

Authenticatie en autorisatie hebben ieder hun eigen uitgangspunten en toepassingen. Het voordeel van ontkoppeling is dat heruitgifte van authenticatiemiddelen bij rolwisselingen overbodig wordt.  +

De keuze van authenticatiemiddelen is afhankelijk van het afbreukrisico. Het risico op misbruik van informatie/locatie-faciliteiten is bepalend voor het benodigde authenticatieniveau.  +

Een toegankelijke dienst wordt beter benut en sluit geen afnemers uit.  +

Afnemers willen weten waar ze aan toe zijn. Daarvoor is het onontbeerlijk om inzage te hebben in het dienstverleningsproces. Transparantie maakt het bovendien gemakkelijker om zaken te doen met overheidsorganisaties en om de dienstverlening tussen overheidsorganisaties af te stemmen.  +

Afnemers willen graag inzicht hebben in de voortgang van de dienstverlening. Dit is met name van belang wanneer de afnemer het resultaat nodig heeft voor vervolg- activiteiten. De dienstverlener neemt onzekerheid weg door deze transparantie te bieden: “is mijn verzoek überhaupt aangekomen, krijg ik de uitslag op tijd?”  +

Afnemers verwachten niet benadeeld te worden wanneer een dienstverleningsproces door menselijke- of systeemfouten niet voltooid kan worden. De dienstverlener treft voorzieningen om een verstoorde dienstverlening te herstellen en te continueren. Wanneer de levering van een dienst geheel mislukt, wordt de uitgangssituatie hersteld. De al uitgevoerde stappen in de verlening van de dienst worden dan teruggedraaid. Voor alle duidelijkheid: dit principe heeft géén betrekking op situaties waarin de dienstverlener rechtmatig besluit om de dienst niet te leveren of een aanvraag buiten behandeling te stellen.  +

Bij diensten met rechtsconsequenties is onweerlegbaarheid van groot belang. Onweerlegbaarheid houdt in dat de afzender of ontvanger van een bericht niet kunnen ontkennen het bericht respectievelijk verstuurd, dan wel ontvangen te hebben. Hiervoor is wederzijdse authenticatie en controle op de integriteit van het bericht nodig.  +

Afnemers vragen overheidsorganisaties om transparantie ten aanzien van de geleverde kwaliteit en de sturing daarop. De directie legt over deze sturing verantwoording af en geeft aan of zij 'in control' is. Daarmee geeft de directie aan greep te hebben op de sturing van de kwaliteitsborging van de dienstverlening. In overleg met afnemers bepaalt de dienstverlener de wijze van toetsing van de verantwoording van de directie. In het geval van bedrijfskritische diensten kan gekozen worden voor een onafhankelijke toetsing.  +

Dienstverleners moeten individuele leveringen van diensten kunnen verantwoorden, naar aanleiding van bijvoorbeeld klachten van afnemers, accountantscontroles en gerechtelijke procedures. Met het oog op informatiebeveiliging moet het mogelijk zijn om vast te stellen wie welke handelingen heeft verricht op een ICT-voorziening, of welke fouten zijn opgetreden. Om dit mogelijk te maken, moeten de voor verantwoording relevante informatieobjecten worden vastgelegd. De waarde (en definitie van die waarde) van deze informatie-objecten moeten op een bepaald moment in de tijd gereconstrueerd kunnen worden.  +

Vertrouwelijkheid is een essentieel kenmerk van de relatie tussen afnemer en dienstverlener. Alleen wanneer afnemers daarop kunnen vertrouwen, zullen ze bereid zijn de dienst te gebruiken en informatie te verstrekken.  +

Veel afnemers weten niet waar ze terechtkunnen voor een dienst. Vaak weten ze niet eens dat deze bestaat. Het niet kunnen vinden veroorzaakt ergernis. Diensten die niet vindbaar zijn, worden niet gebruikt. Daarom moeten dienstverleners helpen om de gezochte diensten te vinden.  +

Afnemers verwachten 24 uur per dag, 7 dagen per week zaken te kunnen afhandelen. Internet maakt het mogelijk om 7/24 diensten te verlenen en informatie te verstrekken. Daarbij vergemakkelijkt internet allerlei vormen van samenwerking; bijvoorbeeld een gebundeld aanbod van diensten van verschillende organisaties. De ontsluiting van diensten via internet draagt bij aan hun toegankelijkheid voor afnemers en vergroot het aantal mogelijkheden voor dienstverlening aanzienlijk. Internet is daarom het voorkeurskanaal voor de overheid. Dit principe betekent overigens niet dat telefoon, balie en post geen rol meer zouden spelen; deze kanalen blijven onmisbaar voor veel vormen van dienstverlening, of voor bepaalde stappen in de dienstverlening.  +

Effectief werken en plezier in het werk gaan vaak samen. Dat begint met de werkplek van de medewerker. Een medewerker mag moet zich niet belemmerd voelen door beperking van functionaliteit of door gebondenheid aan een specifieke plaats, tijd, apparaat en/of organisatie. De werkplek moet passen bij de moderne flexibele medewerker, maar is daarbij wel gehouden aan de voorwaarden voor gebruik van bedrijfsinformatie.  +

Goede samenwerking versterkt de rijksdienst. Grenzen tussen de Rijksdienstorganisaties vervagen daardoor. Ook de grenzen tussen het privé domein en het zakelijk domein vervagen. Medewerkers worden in toenemende mate ingezet bij organisatie overstijgende activiteiten en maken vaker gebruik van eigen apparatuur. De flexibele inzet van de medewerker mag daarbij niet worden belemmerd door begrenzingen aan plaats, tijd, organisatie of apparatuur.  +

Wisselende eisen en veranderende maatschappelijke en politieke omstandigheden, trekken geregeld een zware wissel op de organisatie van de Rijksdienst. Oorspronkelijke organisatiestructuren, werkwijzen en personeelsbeleid passen niet meer bij de onder invloed van onder andere digitalisering en globalisering, steeds sneller veranderende maatschappij. Adequaat aanpassingsvermogen vergt flexibiliteit en wendbaarheid. Om slagvaardig te zijn moet de rijksdienst daarom meer als concern gaan functioneren, i.p.v. langs de parallelle lijnen van zelfstandige departementen. Dat betekent bijvoorbeeld dat: *we vergelijkbaar werk niet meervoudig per departement uitvoeren, maar inrichten als dienst die elk departement kan afnemen van een aanbieder; *we beter interdepartementaal samenwerken; *we dienstverlening aan burgers niet versnipperd organiseren.  +