GEMMA 2.0
Tactisch Gegevensmanagement
Auteur
KING
Versie
1.0
Datum
donderdag 1 januari 2015
2
Versie historie Versie
Datum
Omschrijving
1.0
1 januari 2015
Initiële versie
3
Inhoud 1
2
3
4
5
6
7
Inleiding
5
1.1 1.2 1.3
6 6 7
Plaatsbepaling en reikwijdte Opzet beheer en onderhoud van de baseline Totstandkoming
Gegevensmanagement
8
2.1
8
Definitie
Principes
11
3.1 3.2
12 13
Basisprincipes Afgeleide principes
Gegevensmanagement producten
17
4.1 4.2 4.3 4.4 4.5 4.6
17 18 18 20 21 21
Gegevenslandschap Gegevenscatalogus Kwaliteit Afspraken Beschikbaar stellen Proces gegevensmanagement
Rollen en verantwoordelijkheden
22
5.1 5.2 5.3
22 24 28
Rollen uit het stelsel van basisregistraties Generieke gemeentelijke rollen Verantwoordelijkheden per rol
Betrouwbaarheid
29
6.1 6.2 6.3 6.4 6.5
30 33 34 34 35
Wet bescherming persoonsgegevens (Wbp) Suwi wetgeving Archiefwet en bewaartermijnen Baseline Informatiebeveiliging gemeenten (BIG) Meldingsplicht aan het College Bescherming Persoonsgegevens
Aan de slag!
37
7.1 7.2 7.3
37 38 39
Checklist Bewustwording Scorecard
Bijlage A: Gegevenssoorten en interoperabiliteit
42
Bijlage B: Typering van gegevens
44
Bijlage D: Voorbeeld Transparantiedocument
47
Bijlage E: Bronnen
49
Bijlage F: Deelnemers
50
4
1
Inleiding
De invoering van de digitale overheid en de decentralisatie van taken van het Rijk naar gemeenten heeft grote consequenties voor gemeenten. Het digitale kanaal voor de gemeentelijke dienstverlening wordt, mede vanuit de visiebrief ‘Digitale overheid 2017’ van Minister Plasterk, steeds belangrijker. Door de toenemende digitale dienstverlening stromen gegevens in toenemende mate door verschillende ketens, zowel binnen- als buitengemeentelijk. Denk hierbij aan de invoering van de digitale overheid, de decentralisaties in het sociaal domein, de modernisering van de GBA en de modernisering van de omgevingswet. Al deze ontwikkelingen hebben grote gevolgen voor as gemeentelijke processen en dienstverlening. Gemeenten worden geacht meer dan voorheen onderdeel te worden van de samenleving en daarbij vooral focus te leggen op regie en coördinatie van de uitvoering. Daarmee worden gemeenten integraal onderdeel van ketens en netwerken met als gevolg meer gegevensuitwisseling buiten de domeinen om zowel met andere publieke, semi-publieke als ook private organisaties. Dat betekent een ander inzicht op het organiseren van de gegevenshuishouding. De verknoping van de verschillende informatieketens heeft grote voordelen voor de kwaliteit van informatie en voor de efficiency en effectiviteit van de gemeentelijke werkprocessen maar het brengt ook risico’s met zich mee. Door deze verknoping wordt de kans op onbevoegd gebruik, en misbruik, van gegevens groter. Het vraagt bewuste keuzes en specifieke aandacht. Voor gemeenten wordt het inrichten van overkoepelend gegevensmanagement steeds belangrijker. Tot nu toe is dat bij de meeste organisaties nog een impliciet onderdeel van de I&A-functie of functioneel beheer. Bedrijfsprocessen lopen over de grenzen van afdelingen en sectoren heen en gegevens worden daarmee over applicaties, processen en organisatiegrenzen heen uitgewisseld. Beheer vanuit een applicatie, proces of afdeling is daarmee niet meer voldoende. De inrichting van gemeentelijk gegevensmanagement is een voorwaarde voor het kwalitatief en kwantitatief beheersbaar houden van de informatie en de effectieve en efficiënte invoering van de e-overheid. De dynamiek van door gemeenten uitgevoerde bedrijfsprocessen wordt steeds groter. Veranderende, en nieuwe, wet- en regelgeving leidt tot verschuiving van taken van de rijksoverheid naar de gemeente en ambities van gemeenten op het gebied van effectiviteit en efficiëntie leiden tot het herinrichten en optimaliseren van de inrichting van bedrijfsprocessen en zelfs het volledig outsourcen hiervan. Voor het efficiënt kunnen inrichten en uitvoeren van bedrijfsprocessen is een gemeentelijke informatievoorziening vereist die deze flexibiliteit ondersteund randvoorwaardelijk. Om de dynamiek van de bedrijfsprocessen te kunnen faciliteren moeten hoge eisen aan de inrichting van het gegevensmanagement van de gemeente gesteld worden. Gegevens moeten op een flexibele, veilige en transparante wijze beschikbaar worden gesteld conform een vooraf overeengekomen kwaliteit. Gemeenten stellen om bovenstaande redenen steeds hogere eisen aan zowel hun informatie- als hun gegevenshuishouding en hebben de behoefte aan een strategisch, tactisch en operationeel kader waaraan zij zich kunnen conformeren. De eerste stap op dit pad is het ontwikkelen van een Baseline Gegevensmanagement. Het tactisch deel van deze baseline ligt nu voor u.
5
1.1 Plaatsbepaling en reikwijdte Dit document is een uitwerking op tactisch niveau van de strategische baseline gegevensmanagement. Deze tactische baseline richt zich op de tactische aspecten van het inzamelen, beheren, beveiligen en ter beschikking stellen van gegevens. Deze baseline is gericht op alle gegevens die binnen de gemeente en met keten- en netwerkpartners gedeeld worden. Naast uitwisseling van basisgegevens behoren ook uitwisseling van gegevens van kernregistraties (belangrijke interne registraties die de organisatie als basisregistraties behandelt) en vakspecifieke gegevens tussen informatiedomeinen tot het werkgebied van gegevensmanagement. Het onderstaande schema maakt de positionering van gegevens in het NORA architectuurraamwerk duidelijk. Wat dit schema weergeeft is dat gegevens niet alleen aan de basis liggen van informatie en kennis maar ook centraal staan in de verschillende aspecten van de bedrijfs- informatie- en technische architectuur.
Beveiliging Beheer Wie
Wat
Hoe
Organisatie
Diensten en producten
Processen
Informatiearchitectuur
Medewerkers en applicaties
Berichten en gegevens
Informatieuitwisseling
Technische architectuur
Technische componenten
Gegevensopslag
Netwerk
Bedrijfsarchitectuur
Figuur 1 - Positionering van gegevens in het NORA architectuurraamwerk
Gegevensmanagement richt zich op het organiseren van wat nodig is om de inhoud van “de rode cirkel” te realiseren (in te richten). Het richt zich op het geheel van activiteiten om in de gemeente op het juiste moment over de benodigde gegevens te beschikken. Dit omvat de gegevensuitwisseling intern en met andere organisaties, de kwaliteitsbewaking, monitoring en verantwoording en de beveiliging. Dit document doet geen uitspraken over de wijze waarop gemeenten hun interne werkprocessen of informatiearchitectuur vormgeven; dit dienen de gemeenten individueel uit te werken in eigen, interne architecturen en blauwdrukken. De GEMMA proces- en informatiearchitectuur en de baseline documentaire informatievoorziening zijn handvatten die men hiervoor kan gebruiken.
1.2 Opzet beheer en onderhoud van de baseline Deze baseline maakt deel uit van de GEMMA 2.0 portfolio van KING en valt onder de reguliere beheercyclus van de GEMMA 2.0.
6
1.3 Totstandkoming Dit document is tot stand gekomen in afstemming met een werkgroep van gemeentelijke experts op het gebied van gegevens- en informatiemanagement en experts van KING. Dit document vervangt de ‘Handreiking gegevensmanagement’ welke in 2013 door het Programma NUP van KING is gepubliceerd.
7
2
Gegevensmanagement
Om de uitdagingen op de gebieden van uitwisseling van gegevens, kwaliteit van gegevens, informatiebeveiliging en het bieden van transparantie over de verwerking van gegevens het hoofd te kunnen bieden is het nodig om het gemeentelijk gegevensmanagement informatiekundig opnieuw vorm te geven. Het dient efficiënter, effectiever en beheersbaarder te worden om zodoende de vragen en eisen die aan gemeenten gesteld worden het hoofd te kunnen bieden.
2.1 Definitie Gegevensmanagement is een integrale en een integrerende activiteit binnen organisaties. De uitdaging is: te managen dat de gemeente te allen tijde, voorspelbaar, zal beschikken over alle gegevens die zij nodig heeft, van de juiste kwaliteit, tegen de verantwoorde kosten, en binnen weten regelgeving. Gegevensmanagement wordt als volgt gedefinieerd:
Gegevensmanagement is het geheel van activiteiten om in de gemeente op het juiste moment over de juiste gegevens van de juiste kwaliteit te beschikken.
Zoals de definitie aangeeft is gegevensmanagement het geheel van activiteiten om in de organisatie op het juiste moment over de benodigde gegevens te beschikken. Dit omvat de gegevensuitwisseling intern en met andere organisaties, de kwaliteitsbewaking, monitoring en verantwoording en de beveiliging. Gegevensmanagement is: 1.
overkoepelend (verbinding van gegevens van vakspecifieke afdelingen),
2.
verzamelt, en maakt gebruik van metadata (gegevens over gegevens),
3.
gericht op bedrijfsmatige sturing van gegevens (planning en control),
4.
transparant en veilig (beveiliging en verantwoording).
Gegevensmanagement is niet: de uitvoering van het beheer van gegevens in specifieke bedrijfsapplicaties of centrale gegevensmagazijnen Uit de definitie valt op te maken dat gegevensmanagement gaat om het beschikbaar stellen van gegevens volgens een bepaalde kwaliteit en op een bepaald tijdstip waarbij de volgende prikkelende vragen te stellen zijn: •
Wat wordt verstaan onder gegevens?
•
Wat is het gehanteerde gemeenschappelijke kader ten aanzien van gegevens?
•
Welke kwaliteitsaspecten en normen worden onderkend en gehanteerd?
•
Zijn de gestelde kwaliteitseisen altijd gelijk?
•
Wie is er verantwoordelijk voor de borging van de kwaliteit van gegevens?
•
Wie is er verantwoordelijk voor het op het juiste moment leveren van gegevens?
•
Wat zijn de beveiligings- en privacy eisen die gesteld moeten worden?
•
Op welke wijze kan voldaan worden aan vigerende eisen ten aanzien van transparantie op het gebied van de verwerking van gegevens?
8
Om deze vragen te kunnen beantwoorden is het van belang om een aantal zaken vast te stellen: •
De uitgangspunten (principes) die gemeenten hanteren ten aanzien van gegevens,
•
De gegevens die gemeenten onderscheiden,
•
De kwaliteitseisen die gemeenten stellen aan gegevens,
•
De organisatorische rollen waaraan gemeenten invulling geven om gegevensmanagement in te richten,
•
De producten op het gebied van gegevensmanagement die door de verschillende rollen geleverd worden,
•
De eisen die gemeenten stellen aan de beveiliging van de verschillende gegevens,
•
De gemeenschappelijke gehanteerde kaders,
•
De wijze van verantwoording van de verwerking van gegevens door gemeenten.
Richtinggevende principes Gemeenten bepalen ten aanzien van het gegevens management richtinggevende principes moeten bepalen die aansluiten bij de strategische doelen van de gemeente. Deze principes vormen de regulering van de activiteiten van de verschillende rollen ten aanzien van gegevensmanagement. Hoofdstuk 3 beschrijft de verschillende richtinggevende principes. Producten Om binnen de gemeente op het juiste moment over de juiste gegevens van de juiste kwaliteit te kunnen beschikken is een aantal producten vereist. Deze producten variëren van een overzicht van het gebruik van gegevens tot richtlijnen en kwaliteitseisen. De verschillende producten die deel uitmaken van het gegevensmanagement zijn beschreven in hoofdstuk 4. Organisatorische rollen Gegevensmanagement levert, zoals in de voorgaande paragraaf is beschreven, verschillende producten. Om deze te kunnen leveren is een goede taakverdeling nodig in de organisatie. Het gaat om een complex samenspel van verschillende rollen en functies in de organisatie. Om dat mogelijk te maken zijn goede afspraken nodig. Hoofdstuk 5 geeft de verschillende rollen en hun verantwoordelijkheden weer. Soorten gegevens Gemeenten gebruiken verschillende soorten gegevens. Denk bijvoorbeeld aan tekst, beeld, geluid, spreadsheets, databases, statistische gegevens, administratie gegevens en geografische gegevens. Deze gegevens zijn onder te verdelen in drie categorieën: gestructureerde gegevens, ongestructureerde gegevens en metagegevens. Bijlage A beschrijft deze verschillende categorieën van gegevens en hun karakteristieken beschreven. Gemeenschappelijke kaders Bij de uitwisseling van de verschillende categorieën van gegevens is het van belang om maximale interoperabiliteit te behalen. Met interoperabiliteit wordt hier bedoeld het met elkaar laten communiceren en interacteren van verschillende autonome systemen. Om dit te bewerkstelligen is standaardisatie nodig van semantiek, berichten, protocollen en procedures.
9
Kwaliteitseisen De kwaliteit van gegevens is van groot belang voor bedrijfsprocessen die gebruik maken van gegevens. Gebruik van incorrecte gegevens binnen een bedrijfsproces kan leiden tot onterechte toeslagen, heffingen en kwijtscheldingen, oninbare vorderingen en hierdoor imagoschade voor de gemeente. Het is dus van belang dat de kwaliteit van gegevens die binnen bedrijfsprocessen gebruikt worden aansluit bij de eisen die vanuit deze bedrijfsprocessen aan de gegevens gesteld worden.
10
3
Principes
De gegevensmanagementfunctie van gemeenten dient zodanig ingericht te zijn dat optimale kwaliteit van dienstverlening aan burger, bedrijf, instelling, andere overheden én afnemers wordt geboden. Dit wordt onder andere bereikt door: •
het principe van eenmalige uitvraag en meervoudig gebruik van gegevens in praktijk te brengen;
•
de uitwisseling tussen verschillende registraties te organiseren;
•
bedrijfsprocessen van gegevensbronnen los te koppelen via gegevensdiensten waardoor en hoge mate van flexibiliteit in het inrichten van bedrijfsprocessen mogelijk wordt;
•
kwaliteit van de gegevens te verhogen door het voeren van centraal gegevensbeheer te faciliteren;
•
terugmeldingen op alle registraties faciliteren, zowel basisregistraties als overige registraties;
•
het verhogen van het inzicht in, en controle op, de levering en het gebruik van gegevens;
•
het naleven van vigerende wetgeving op het gebied van beveiliging en bescherming van de privacy.
Om aan bovenstaande punten invulling te kunnen geven is het van belang om te bepalen wat de principes ten aanzien van gegevensmanagement zijn. Deze principes zijn richtinggevende uitspraken die zorgen voor een samenhangende inrichting van de organisatie. Ze zijn een vertaling van doelstellingen, behoeften en beleidsuitgangspunten en slaan daarmee een brug naar de uitvoering. Principes zijn richtinggevend en helpen gemeenten om bewust keuzes te maken. Ze verwoorden vooral best-practices waarvan gemeenten zelf kunnen bepalen of zij deze adopteren. Principes zijn ook nadrukkelijk geen doelstellingen; ze verwoorden een algemeen streven en zeggen niets over prioriteiten. Principes zouden echter niet vrijblijvend moeten zijn en er zou dan ook een proces moeten zijn waarin het maken van deze keuzes expliciet wordt gemaakt. Het is aan gemeenten echter zelf om te bepalen hoe ze hier in de praktijk mee omgaan. De principes voor gegevensmanagement bestaan uit drie basisprincipe en zeven principes die daarvan zijn afgeleid. De basisprincipes beschrijven de kwaliteit van overheidsdienstverlening vanuit het perspectief van de afnemer. Als zodanig zijn deze principes niet toetsbaar. De afgeleide principes geven een concretere invulling aan de basisprincipes. Zij zijn te beschouwen als een checklist van kwaliteitskenmerken.
11
3.1 Basisprincipes Ten aanzien van het gegevensmanagement zijn de volgende basisprincipes benoemd: •
GM-BP1 - Gegevens zijn een bedrijfsmiddel en hebben waarde;
•
GM-BP2 - Gegevens worden gedeeld;
•
GM-BP3 - Gegevens worden conform wet- en regelgeving verwerkt.
Deze bovenstaande principes worden in onderstaande paragrafen nader toegelicht. GM-BP1: Gegevens zijn een bedrijfsmiddel en hebben waarde Gegevens zijn de basis voor informatie en daarmee de basis van kennis waarop besluiten worden genomen. De gegevens zijn daarmee een belangrijk bedrijfsmiddel en worden ook zo behandeld. Rationale
Implicaties
•
•
Gegevens staan aan de basis van informatie, kennis en besluiten en zijn daarmee van cruciaal belang voor het correct en efficiënt
•
De kwaliteit van gegevens dient bewaakt te worden;
•
Gegevens dienen beveiligd te worden
functioneren van de gemeente;
tegen oneigenlijk gebruik, ontvreemding
Gegevens van de gemeente hebben ook
en ongeautoriseerde mutatie;
buiten de gemeente grote (commerciële)
•
Gegevens dienen vindbaar te zijn;
waarde.
•
Maatregelen die getroffen dienen te worden voor beveiliging en borging van de kwaliteit zijn enerzijds technisch en anderzijds organisatorisch en procedureel.
GM-BP2: Gegevens worden gedeeld De gemeente is eigenaar van gegevens en niet een afdeling of cluster. Gegevens dienen organisatiebreed gedeeld te worden. Het delen en gebruiken van gegevens wordt slechts beperkt door wetgeving en niet door ideeën over het gebruik van gegevens. Rationale
Implicaties
•
•
Ontwikkelingen op het gebied van nieuwe transparantie, veiligheid en kwaliteit ten aanzien van de gegevenshuishouding;
•
gegevens te leveren; •
Bij de verstrekking van gegevens is het
De taken en taakgebieden van de gemeente
vereist om de doelbinding van de afnemer
wijzigen in een hoog tempo door de
te kennen om te kunnen bepalen welke
overdracht van taken van het Rijk naar de
gegevens conform wet- en regelgeving
gemeente. Het is niet te voorspellen welke
verstrekt mogen worden;
gegevens in de toekomst voor welke taken •
Informatiesystemen zijn in staat om de wettelijk maximaal toegestane set van
wet- en regelgeving vereisen flexibiliteit,
•
Verstrekking van gegevens aan afnemers
nodig zijn;
enkel indien de afnemer doelbinding heeft
Door wetgeving als de basis te gebruiken
en voldaan is aan de beginselen van
voor het delen van gegevens wordt
subsidiariteit en proportionaliteit.
maximaal geanticipeerd op toekomstige ontwikkelingen.
12
GM-BP3: Gegevens worden conform wet- en regelgeving verwerkt Het doel waarvoor gegevens gebruikt mogen worden is vastgelegd in wet- en regelgeving. We verwerken gegevens conform deze wet en regelgeving. Rationale
Implicaties
•
Voldoen aan wet- en regelgeving;
•
•
Interne en externe verantwoording;
enkel indien de afnemer doelbinding heeft
•
Bescherming van de belangen van burger en
en voldaan is aan de beginselen van
bedrijven.
Verstrekking van gegevens aan afnemers
subsidiariteit en proportionaliteit; •
De verwerking van gegevens voldoet aan de eisen van informatiebeveiliging;
•
De bewaring van gegevens voldoet aan de eisen van de informatiehuishouding.
3.2 Afgeleide principes Van de basisprincipes is een aantal principes afgeleid. Deze afgeleide principes geven een nadere detaillering van de basisprincipes en leveren een bijdrage aan de implementatie van één of meer van de basisprincipes. De onderstaande afgeleide principes zijn benoemd: •
GM-AP1: We winnen gegevens eenmalig in en gebruiken ze meervoudig;
•
GM-AP2: We beheren de kwaliteit van gegevens actief;
•
GM-AP3: We borgen de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens;
•
GM-AP4: We melden gerede twijfel aan de bronhouder terug;
•
GM-AP5: We verantwoorden de verwerking van gegevens;
•
GM-AP6: We hanteren uniforme definities voor gegevens;
•
GM-AP7: We archiveren gegevens daar waar dat vereist is.
Deze bovenstaande principes worden in onderstaande paragrafen nader toegelicht. GM-AP1: We winnen gegevens eenmalig in en gebruiken ze meervoudig Onze gemeente voert de processen zodanig uit dat burgers en ondernemingen niet naar (basis)gegevens worden gevraagd die al bekend zijn binnen de vastgestelde basisregistraties. Rationale
Implicaties
•
•
Door gegevens eenmalig in te winnen en meervoudig te gebruiken wordt geborgd dat
authentieke gegevens gebruikt moeten
gegevens altijd op dezelfde wijze worden
worden;
verkregen en vastgelegd en geen onnodige
•
bevragingen worden gedaan •
Uitzoeken en vastleggen welke
Uitzoeken en vastleggen welke kerngegevens meervoudig gebruikt
Efficiëntie.
worden; •
Implementeren van uitwisselstandaarden;
•
Daar waar nodig gegevens op basis van semantische betekenis converteren.
Relatie met basisprincipe GM-BP2 Relatie met NORA principe AP12 13
GM-AP2: We beheren de kwaliteit van gegevens actief De kwaliteit van de gegevens die worden verwerkt binnen de gemeente wordt actief gemonitord en continu verbeterd en op een niveau gehouden wat in overeenstemming is met de eisen die daar vanuit de wetgeving en de afnemers aan gesteld worden. Rationale
Implicaties
•
•
Gegevens, en combinaties van gegevens, leiden tot informatie. Informatie leidt tot kennis en op basis van kennis worden
zijn ingericht; •
besluiten genomen. De kwaliteit van gegevens is voor het nemen van de juiste
Processen die het kwaliteitsbeheer borgen De vastgelegde gegevens zijn een weergave van de werkelijkheid;
•
besluiten van cruciaal belang.
Buiten de syntactische correctheid van gegevens bewaakt men ook de integriteit over gegevensverzamelingen heen;
•
Afnemers dienen aan te geven wat hun eisen zijn ten aanzien van de kwaliteit en actualiteit van gegevens.
Relatie met basisprincipe GM-BP1 Relatie met NORA principe AP32, AP33, AP39
GM-AP3: We borgen de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens Gegevens die binnen de gemeentelijke organisatie worden gegevens verwerkt worden, worden conform de overeengekomen kaders beschikbaar gesteld en beveiligd tegen ongeautoriseerde toegang, frauduleus gebruik of mutatie en gegevensverlies. De gemeente zorgt ervoor dat afnemers van vertrouwelijke gegevens enkel de gegevens verstrekt krijgen waar ze conform hun doelbinding recht op hebben. Rationale
Implicaties
•
Voldoen aan wet- en regelgeving;
•
•
Beschermen van een belangrijk bedrijfsmiddel van de gemeente: de
Implementatie van de Baseline Informatiebeveiliging Gemeenten (BIG);
•
gegevens.
Toegang tot gegevens wordt alleen geboden aan afnemers met doelbinding;
•
Samenspel van organisatorische, procedurele en technische maatregelen.
Relatie met basisprincipe GM-BP1 Relatie met NORA principe BP08, Beschikbaarheid, Onweerlegbaarheid, Controleerbaarheid, Integriteit
14
GM-AP4: We melden gerede twijfel aan de bronhouder terug De gemeente zorgt ervoor dat de vermeende onjuistheden in gegevens aan de bronhouder gemeld worden. De gemeente verplicht alle afnemers bij gerede twijfel aan de juistheid van gegevens dit terug te melden aan de bronhouder. Rationale
Implicaties
•
•
Vanuit het oogpunt van het continu werken aan het verbeteren van de kwaliteit van gegevens worden vermeende onjuistheden
terug te melden; •
terug gemeld op alle registraties; •
Implementeren van een voorziening om Treffen van procedurele en technische maatregelen.
Hoe hoger de kwaliteit van de gegevens hoe beter de besluiten die genomen worden.
Relatie met basisprincipe GM-BP1 Relatie met NORA principe AP14
GM-AP5: We verantwoorden de verwerking van gegevens De gemeente is transparant ten aanzien van de verwerking (verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken en verspreiden) van gegevens teneinde met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de wettelijk gestelde eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid. Rationale
Implicaties
•
•
Vanuit de informatiebeveiliging worden eisen gesteld aan de integriteit en vertrouwelijkheid van gegevens;
•
gegevens; •
Burgers hebben vanuit de Wbp het recht om op te vragen welke gegevens door de
Registratie van verwerkingen van Gegevens worden beveiligd afhankelijk van hun gevoeligheid
•
gemeente zijn verwerkt (inzagerecht);
Vastleggen wie, wanneer en waarom welke gegevens heeft verwerkt
•
Inrichting monitoring en controle op gebruik
•
Auditing op het gebruik van gegevens conform vastgestelde protocollen;
•
Auditing op gegevensbeveiliging.
Relatie met basisprincipe GM-BP3 Relatie met NORA principe AP25, AP34, AP30
15
GM-AP6: We hanteren uniforme definities voor gegevens Om het delen en hergebruiken van gegevens mogelijk te maken worden voor zowel gestructureerde- als ongestructureerde gegevens gedeelde definities gebruikt. Rationale
Implicaties
•
•
•
Voor maximale interoperabiliteit is het van
Informatiesystemen dienen gebruik te
belang dat structuur en syntax
maken van landelijk vastgestelde
gestandaardiseerd zijn;
informatiemodellen en standaarden;
Wie semantiek van gegevens probeert te
•
standaardiseren, probeert de werkelijkheid te standaardiseren. Bij de uitwisseling van
Gemeenten gebruiken gegevens volgens een eenduidige gemeentelijke taxonomie
•
Typering van gegevens
gegevens is het van belang de context van het gebruik van de gegevens te kennen. Relatie met basisprincipe GM-BP2 Relatie met NORA principe AP05, AP17 GM-AP7: We archiveren gegevens daar waar dat vereist is Gegevens worden conform de geldende bewaar- en vernietigingstermijnen uit de vigerende weten regelgeving behandeld. Zowel gestructureerde als ongestructureerde gegevens worden gearchiveerd. Rationale
Implicaties
•
Voldoen aan wet- en regelgeving;
•
•
Verantwoording kunnen afleggen over uitgevoerde acties;
•
zijn; •
Transparantie bieden zowel intern als extern.
Opslag van gegevens dient duurzaam te We bewaren gegevens niet langer dan nodig is;
•
Maatregelen nemen voor tijdige en volledige archivering van gegevens.
Relatie met basisprincipe GM-BP3 Relatie met NORA principe -
16
4
Gegevensmanagement producten
Onderstaand overzicht geeft een product breakdown van de verschillende producten van gegevensmanagement. Met de uitwerking van deze producten maakt gegevensmanagement mogelijk dat de organisatie over de juiste gegevens kan beschikken waar nodig.
4.1 Gegevenslandschap Met het gegevenslandschap heeft het gegevensmanagement overzicht over de beschikbare gegevens binnen de organisatie. Met dit overzicht is het mogelijk de juiste gegevens op het juiste moment met de juiste kwaliteit beschikbaar te kunnen stellen aan gebruikers in de organisatie. Het gegevenslandschap wordt beschreven en afgebeeld in een aantal kaarten: •
kaart gegevensverzamelingen (functionele beschrijvingen)
•
kaart van gegevensverzamelingen in relatie tot de (werkprocessen)
•
kaart van gegevensverzamelingen in relatie tot de gebruikte applicaties
•
overige relaties in kaart (bv. documentverzamelingen)
Afhankelijk van het proces of applicatie of wens naar bijvoorbeeld een project start architectuur zullen er deelproducten (kaarten) kunnen ontstaan. Afhankelijk van de context worden andere RACI1 indelingen gemaakt. Bij proceskaarten komen andere betrokkenen naar voren dan bij applicatiegerichte kaarten.
1 Het RACI-model is een matrix die gehanteerd wordt om de rollen en verantwoordelijkheden van de personen die bij een project of lijnwerkzaamheden betrokken zijn weer te geven.
17
4.2 Gegevenscatalogus Voor het organiseren van gegevensuitwisseling is meer gedetailleerde informatie over de gegevens noodzakelijk. Deze is vastgelegd in de gegevenscatalogus. Deze catalogus beschrijft of omvat: •
gegevenswoordenboek: de gegevensdefinities
•
objecten/entiteitmodellen: de onderlinge relatie tussen gegevens
•
relatie met landelijke gegevensverzamelingen en –definities
In het woordenboek wordt vastgelegd •
De betekenis van een gegeven
•
De classificatie van een gegeven
•
Eigenaar van het gegeven
•
Het formaat van het gegeven
•
Levenscyclus van het gegeven (ontstaan, mutatie, beëindiging, verwijdering)
•
Relatie tot andere gegevens
Een object / entiteit model (of datamodel) definieert welke gegevens in een informatiesysteem vastgelegd kunnen worden, hoe deze gegevens gestructureerd zijn en wat de verbanden zijn tussen deze gegevens2. De gemeente kan het RSGB (basisgegevens) en RBGZ (zaakgegevens) als standaard overnemen en de vertaling maken naar de eigen organisatie- en automatiseringskolom. Deze referentiemodellen beschrijven een deel van de (relaties tussen) basisregistraties en een beperkt aantal niet authentieke gegevens. Voor de overige gegevens die binnen gemeenten gebruikt worden, is geen standaard beschikbaar. Het is te adviseren om deze gegevens overeenkomstig de basisgegevens te definiëren indien deze tussen applicaties uitgewisseld worden. Het woordenboek is een resultaat van gegevensbeheer (voor een deel binnen applicaties), metadata-management en gegevensmanagement. Waar mogelijk is het woordenboek ontleend aan vastgestelde landelijke standaarden (zoals de landelijke gegevenscatalogi).
4.3 Kwaliteit De kwaliteit van gegevens is van groot belang voor bedrijfsprocessen die gebruik maken van gegevens. Gebruik van incorrecte gegevens binnen een bedrijfsproces kan leiden tot onterechte toeslagen, heffingen en kwijtscheldingen, oninbare vorderingen en hierdoor imagoschade voor de gemeente. Het is dus van belang dat de kwaliteit van gegevens die binnen bedrijfsprocessen gebruikt worden aansluit bij de eisen die vanuit deze bedrijfsprocessen aan de gegevens gesteld worden. Gegevens liggen aan de basis van informatie en kennis. De kwaliteit van de informatie en kennis is daarmee direct afhankelijk van de kwaliteit van de onderliggende gegevens. De kwaliteit van de gegevens is daarmee bepalend voor de kwaliteit van besluiten die op basis van deze informatie en kennis genomen worden. Het borgen van de kwaliteit van de gegevens is dus van groot belang voor de kwaliteit en effectiviteit van de dienstverlening van de gemeente. Het vaststellen van de gewenste gegevenskwaliteit en het inrichten van het beheer van gegevens is integraal onderdeel van het gegevensmanagement. Ten aanzien van de kwaliteit van gegevens wordt een onderscheid gemaakt tussen kwaliteitsaspecten, kwaliteitsnormen en kwaliteitsafspraken.
2
In bijlage B zijn de vigerende informatiemodellen beschreven 18
Een kwaliteitsaspect is een dimensie van kwaliteit. Voorbeelden van kwaliteitsaspecten zijn tijdigheid, volledigheid, accuraatheid en consistentie. Een voorbeeld van accuraatheid is de formele juistheid van een gegeven. Een gegeven kan geregistreerd zijn maar geen afspiegeling zijn van de werkelijkheid. Is het woonadres in de GBA bijvoorbeeld echt het fysieke woonadres van de betrokkene? Een kwaliteitsnorm is een referentiewaarde voor een kwaliteitsaspect. Kwaliteitsnormen leggen het kwaliteitsniveau vast waaraan kwaliteitsaspecten moeten voldoen. Een kwaliteitsnorm is bijvoorbeeld, dat de gemeente zorgt dat bij minimaal 95% van de situaties waar een administratief adres verschilt van een fysiek adres, vermeld staat dat dit adres “in onderzoek” is. Een kwaliteitsafspraak is een afspraak tussen partijen met betrekking tot een kwaliteitsaspect en normen die daarvoor gelden, inclusief de maatregelen. Een afspraak kan zijn, dat een gemeente die deze norm niet haalt binnen twee maanden alsnog de norm zal halen, of dat anders hun GBA wordt afgekoppeld van de landelijke voorziening. Per bronregistratie moeten kwaliteitsaspecten met bijbehorende kwaliteitsnormen benoemd worden. Bij uitwisseling van gegevens dienen afspraken gemaakt te worden ten aanzien van het voldoen aan de kwaliteitsaspecten en kwaliteitsnormen. Borging van de kwaliteit van gegevens in een bronregistratie is primair de verantwoordelijkheid van de bronhouder van de registratie. De bronhouder dient processen in te regelen die de kwaliteit van de geregistreerde gegevens borgen. De bronhouder heeft een onderzoeksplicht op het moment dat er door afnemers melding van gerede twijfel aan de juistheid van gegevens wordt gedaan. Afnemers hebben echter ook een rol ten aanzien van de kwaliteit van gegevens. Enerzijds hebben afnemers de plicht om bij gerede twijfel aan de juistheid van gegevens deze twijfel bij de bronhouder terug te melden en anderzijds hebben distributeurs de plicht richting afnemers om de kwaliteit van de aan de afnemers geleverde gegevens te borgen. Een voorbeeld van het bovenstaande is de bijhouding en distributie van persoonsgegevens. Deze gegevens worden bijgehouden in de gemeentelijke GBA administratie. Rondom de bijhouding zijn in het Logisch Ontwerp (LO) processen gedefinieerd die de bijhouding van de gegevens standaardiseren en kwaliteit van de persoonsgegevens borgen. Ter controle van de kwaliteit van de persoonsgegevens is de gemeente is als bronhouder verplicht om jaarlijks via steekproeven inzage te geven in de kwaliteit van de geregistreerde gegevens. Ten behoeve van het melden van gerede twijfel aan de juistheid van verstrekte persoonsgegevens wordt een voorziening geboden aan afnemers. De gemeente is als bronhouder verplicht om deze terugmeldingen te onderzoeken en is verplicht om het resultaat van dit onderzoek te melden aan de afnemers. Het voorgaande beschrijft de taken die de bronhouder uitvoert om de kwaliteit van de persoonsgegevens te borgen en constant te verbeteren. Bij eenmalige vastlegging van gegevens zou hier de vereiste kwaliteitsborging van de persoonsgegevens kunnen stoppen. Het is echter niet zo dat alle gegevens eenmalig worden vastgelegd. In het geval van de persoonsgegevens worden deze gedistribueerd naar vakafdelingen. Deze vakafdelingen gebruiken de gegevens bij de uitvoering van de bedrijfsprocessen en leggen de gegevens veelal redundant vast. Net zoals er eisen aan de kwaliteit van persoonsgegevens uit de GBA worden gesteld dienen ook kwaliteitseisen aan redundante persoonsgegevens gesteld worden. Ook deze redundante gegevens worden immers door vakafdelingen gebruikt binnen bedrijfsprocessen. De kwaliteit van 19
deze redundante gegevens moet gemanaged worden en aan vooraf gestelde kwaliteitseisen voldoen. Kwaliteit zoals hierboven is geïllustreerd omvat verschillende aspecten. Om die te beoordelen en te garanderen zijn de volgende producten noodzakelijk: •
Kwaliteitseisen: het vastleggen van afspraken over de gewenste kwaliteit;
•
Metingen: om de afwijkingen tussen gewenste en gerealiseerde kwaliteit (inhoudelijk, tijdigheid, beveiliging, etc.) te monitoren vinden metingen plaats (ook vergelijking van verschillende bronnen is mogelijk);
•
Regelmatige audits: om duidelijk te maken hoe in de organisatie de kwaliteit is vastgesteld en geborgd;
•
Metingen en audits kunnen leiden tot verbetervoorstellen.
4.4 Afspraken Het uitwisselen van gegevens vraagt om goede afspraken tussen leveranciers en afnemers. Deze worden vastgelegd in, en gemonitord door: •
GLO’s: Gegevens Leverings Overeenkomsten zijn beschrijvingen van de gegevensleveringen en de voorwaarden waaronder;
•
Bij buitengemeentelijke levering van persoonsgegevens in de meest brede zin van het woord een bewerkersovereenkomst
•
Om de betrouwbaarheid te waarborgen geeft gegevensmanagement richtlijnen aan de leverende en afnemende partijen;
•
Afspraken over bijvoorbeeld terugmeldingen van afwijkingen kan de kwaliteit van de
•
In de roadmap staan lange termijn activiteiten geprogrammeerd om het gemeentelijk
gegevens(leveringen) worden verbeterd, de zogenaamde terugmeldverplichting. gegevensgebruik te verbeteren; •
Onderzoeksverplichting: de bronhouder heeft ten aanzien van de terugmeldingen die door andere overheidsorganen (afnemers) worden ingediend de plicht om een onderzoek in te stellen naar de juiste gegevens van het terug-gemelde gegeven.
Afspraken/GLO: leverancier, afnemer en inhoud Om grip te houden op de gemeentelijke gegevenshuishouding is het belangrijk over levering en gebruik duidelijke afspraken te maken tussen (gegevens)leverancier en afnemer. De vastlegging van deze afspraken kan in de vorm van een Gegevens Levering Overeenkomst (GLO). In de praktijk zal het er op neerkomen, dat voor leveringen een set algemeen geldende kaders van toepassing is; deze kunnen de vorm van Algemene Voorwaarden aannemen (bijvoorbeeld nooit doorleveren zonder toestemming van leverancier). Specifieke afspraken worden dan apart vastgelegd in de gegevensleveringsovereenkomst (GLO): •
de te leveren gegevens
•
De classificatie van de gegevens
•
De beveiliging van de gegevens
•
gebruiksdoel van de levering
•
wijze van levering (evt. technische specificaties)
•
tijdstip(pen) van levering
•
evt. kosten
•
contactpersonen 20
•
indien van toepassing: eigenaarschap van de koppelvlakken
Van belang is ook dat leverancier en afnemer van elkaar weten welke kwaliteit van gegevens geleverd kan worden. Hoe actueel zijn de gegevens, wat is de vullingsgraad van het gegeven en wat spreken we af over geconstateerde afwijkingen (terugmelden).
4.5 Beschikbaar stellen Het leveren van gegevens kan op veel manieren. Van een eenvoudig Excel-bestand tot een geavanceerde synchronisatiekoppeling. Het is aan te raden om afhankelijk van het type levering de stappen om tot levering over te gaan, vast te leggen. Bij een Excel-bestand lijkt dat niet zo belangrijk, maar het is wel van belang dat het overnemen van gegevens uit dat bestand op een juiste manier gebeurt. Komen gegevensdefinities overeen, is er uitval bij het vergelijken van de bestanden, worden gegevens automatisch of handmatig overgenomen, etc. Naarmate een levering frequenter en geavanceerder is, zullen de spelregels steeds belangrijker worden. Voor de levering van gegevens uit basisregistraties is het gebruik verplicht en daarvoor zal actief door de organisatie op aansluiting door afnemers moeten worden gestuurd. Door te werken met een draaiboek of aansluitplan, vereenvoudig je het proces van aansluiten en gegevensgebruik. De organisatie weet aan de voorkant wat er gedaan moet worden en wie waarvoor verantwoordelijk is.
4.6 Proces gegevensmanagement De volwassenheid van een gemeentelijke organisatie op gegevensgebied bepaalt de behoefte aan specifieke processen rondom gegevensmanagement. Op dit moment is hier nog geen informatie over opgenomen in deze handreiking. Discussies zijn er wel geweest rondom het proces van implementatie van gegevensmanagement. Dat heeft geresulteerd in de “scorecard gegevensmanagement” (zie paragraaf 7.3). Deze scorecard is te gebruiken als kapstok voor een zelfanalyse.
21
5
Rollen en verantwoordelijkheden
Gegevensmanagement levert de verschillende producten die in het vorige hoofdstuk in een product breakdown zijn weergegeven. Om deze te leveren is een goede taakverdeling nodig in de organisatie. Het gaat om een samenspel van verschillende rollen en functies in de organisatie. Om dat mogelijk te maken zijn goede afspraken nodig. We geven hier een kort overzicht van de te onderscheiden functies, rollen en verantwoordelijkheden.
5.1 Rollen uit het stelsel van basisregistraties Vanuit het stelsel van basisregistraties zijn de rollen beschreven die ten aanzien van basisregistraties gelden. Deze rollen zijn: •
Registratiehouder - De registratiehouder van de brongegevens is politiek aanspreekbaar op kwaliteit en beheer van de gegevens van een bronregistratie. Die registratiehouder is per (basis)registratie verschillend. Indien persoonsgegevens in de registratie voorkomen, is de eigenaar ‘verantwoordelijke’ zoals omschreven in artikel 1d van de Wet Bescherming Persoonsgegevens (WBP);
•
Bronhouder - De bronhouder is niet automatisch de eigenaar van de brongegevens. Hij zorgt, in opdracht van de formele eigenaar, voor het dagelijkse, inhoudelijke beheer van de brongegevens. Daarbij gaat het om kwaliteitscontroles, toegangsbeheer voor het muteren van de registratie etc. Daarnaast heeft de bronhouder de plicht om terugmeldingen van afnemers over gerede twijfel aan de juistheid van de actuele gegevens te onderzoeken;
•
Toezichthouder - De toezichthouder is de partij die er voor verantwoordelijk is dat wordt toegezien of de basisregistratie conform eisen, afspraken en wetgeving opereert;
•
Afnemer - Afnemers zijn de organisaties (overheid en privaat), die gegevens uit de basisregistraties betrekken voor gebruik in bepaalde processen. Een organisatie kan zowel de rol van verstrekker, bronhouder als afnemer vervullen. Een voorbeeld hiervan is de RDW die het kentekenregister bijhoudt (bronhouder), verstrekt aan andere afnemers en tegelijkertijd afnemer is van GBA-gegevens; De afnemer gebruikt gegevens uit de registraties in zijn proces(sen) bij het uitvoeren van zijn (publieke) taken. Bij gerede twijfel aan de juistheid van gegevens, meldt de afnemer dit via een terugmeldvoorziening terug aan de bronhouder;
•
Verstrekker - De verstrekker is de uitvoeringsorganisatie, die de landelijke voorziening technisch beheert voor het verstrekken van de gegevens uit de basisregistratie.
Deze rollen uit het stelsel van basisregistraties worden in deze handreiking daar waar mogelijk hergebruikt voor binnengemeentelijk rollen.
22
Onderstaand figuur geeft de rollen weer die directe betrekking hebben op een basisregistratie.
Figuur 2 - Generieke gegevensmanagement rollen
In onderstaand schema staat per departement de basisregistratie benoemd waar het ministerie voor verantwoordelijk is inclusief vermelding van de verstrekker van de landelijke voorziening en de bronhouder. Registratie BRP
Registratiehouder Minister van BZK
NHR BAG BRT BRK BGT
Minister van EL&I Minister van I&M Minister van I&M Minister van I&M Minister van I&M
BRO
Minister van I&M
BRV BLAU BRI WOZ
Minister van I&M Minister van SZW Minister van Financiën Minister van Financiën
Bronhouder Gemeenten, Ministerie van BZK KvK Gemeenten Kadaster Kadaster Gemeenten, Provincies, Waterschappen, Pro Rail, Ministerie van Defensie, Ministerie EL&I, Ministerie I&M (Rijkswaterstaat) Gemeenten, Provincies, Waterschappen, Ministerie EL&I, Ministerie I&M RDW UWV Belastingdienst Gemeenten
Verstrekker BPR KvK Kadaster Kadaster Kadaster Kadaster
TNO (beoogd verstrekker)
RDW UWV Belastingdienst Waarderingskamer
23
5.2 Generieke gemeentelijke rollen In de voorgaande paragraaf zijn de rollen benoemd die vanuit het stelsel van basisregistraties ten aanzien van basisregistraties gelden. De meeste van deze rollen zijn breder toepasbaar dan enkel op de basisregistraties, ze zijn ook toepasbaar op kern- en sectorale registraties. Deze rollen worden overgenomen naar de gemeentelijke rollen en aangevuld met rollen die specifiek zijn voor gemeenten. De gemeente kan invulling geven aan één of meerdere van deze rollen. De gemeente kan bijvoorbeeld zowel afnemer, bronhouder als registratiehouder zijn. Naast de bovengenoemde rollen worden ook een aantal generieke gemeentelijke rollen onderkend. De generieke gemeentelijke rollen zijn: •
Afnemer – De binnengemeentelijke of buitengemeentelijke persoon of entiteit die gegevens afneemt. Levering van de gegevens kan plaatsvinden direct uit de bronregistratie of via de distributeur.
•
Gegevensmakelaar – De gegevensmakelaar is verantwoordelijk voor het maken, vastleggen en onderhouden van afspraken met gegevensleveranciers en –afnemers (gegevensleverings-overeenkomsten, GLO’s).De gegevensmakelaar is intermediair tussen afnemers en in- en externe leveranciers en zorgt voor een optimaal gebruik van aanwezige gegevens, in overeenstemming met wet- en regelgeving. Werkt nauw samen met de gegevensarchitect.
•
Gegevensarchitect - De gegevensarchitect is verantwoordelijk voor het over de domeinen heen inrichten van gegevensverzameling(en) (gegevensmodel) om de GLO’s te kunnen uitvoeren die de gegevensmakelaar gesloten heeft. De verkregen gegevens uit de registraties moeten in samenhang (onder andere uitgaand van het RSGB/RGBZ) vastgelegd worden om de levering aan de interne afnemers op een goede manier te kunnen regelen. De gegevensarchitect werkt nauw samen met domeinarchitecten, gegevensmakelaar en de beheerder generieke voorzieningen.
•
Beheerder generieke voorzieningen - Implementeren van de (gewijzigde) gegevensmodellen en oplossingen, die de gegevensarchitect ontworpen heeft. In bedrijf nemen en houden van deze modellen en oplossingen met bijzondere aandacht voor onderhoudbaarheid en versiebeheer. Monitoren van de continue werking van de generieke voorzieningen, consistentiecontroles uitvoeren en actie ondernemen bij afwijkingen of verstoringen. Werkt nauw samen met de distributeur. De beheerder generieke voorzieningen ontvangt, conform overeengekomen GLO’s, gegevens van bronregistraties en verzorgt (namens de bronhouder) de verstrekking van brongegevens aan afnemers. De beheerder generieke voorzieningen is zelf geen bronhouder van gegevens. De verantwoordelijkheid voor het definiëren van de autorisaties van afnemers van gegevens die door de gegevensmakelaar geleverd worden ligt bij de bronhouders. De beheerder generieke voorzieningen implementeert deze autorisaties en levert op basis hiervan gegevens op aan afnemers. Bronhouders hebben dus grip op welke gegevens aan wie geleverd worden. De beheerder generieke voorzieningen is verantwoordelijk voor de vastlegging van de verwerking van gegevens, bijvoorbeeld ten behoeve van het werk van de auditor. Een voorbeeld van een mogelijk ondersteunend informatiesysteem voor de rol van gegevensmakelaar is een gegevensdistributiesysteem.
•
Distributeur: De distributeur ontvangt gegevens van bronhouders en stuurt deze, direct of via generieke voorzieningen zoals gegevensknooppunten, door naar afnemers. De 24
distributeur is verantwoordelijk voor de vastlegging van de feitelijke distributie van een gegeven, bijvoorbeeld ten behoeve van het werk van de auditor. Een voorbeeld van een mogelijk ondersteunend informatiesysteem voor de rol van distributeur is een servicebus. •
Domeinarchitect – De domeinarchitect heeft een primaire focus op een business domein en is verantwoordelijk voor het inrichten van het gegevensmodel en de gegevensverzamelingen voor dat domein. De domeinarchitect is aanspreekpunt voor de gegevensmakelaar ten aanzien van de levering van gegevens uit bronsystemen die behoren tot het domein van de domeinarchitect.
•
Portefeuillehouder gegevensmanagement: De eigenaar en sponsor van het gegevensmanagement binnen de gemeente met handelingsbevoegdheid. De portefeuillehouder binnen de gemeente zal veelal gevonden worden in het college van burgemeester en wethouders.
•
Regisseur gegevensmanagement/informatiemanagement: Het geweten van de gemeente ten aanzien van op het gebied van gegevensmanagement. In de praktijk belegd bij verschillende gemandateerde functies zoals hoofd informatiemanagement, demand manager, regisseur. De regisseur gegevensmanagement geeft uitvoering aan de door de portefeuillehouder gegevensmanagement uitgezette lijnen.
•
Auditor/Kwaliteitscontrole: De auditor controleert de naleving van procedures, regels en richtlijnen. De rol van auditor kan worden verdeeld in domein specifieke auditor en een auditor gemeentebreed. Een domein specifieke auditor is verantwoordelijk voor het (laten) uitvoeren van audits die specifiek voor een domein zijn. Denk hierbij aan de GBA-audit en een audit op het gebruik van Suwinet. De auditor gemeentebreed is verantwoordelijk voor het (laten) uitvoeren van audits die over de verschillende domeinen heen lopen. Denk hierbij aan audits op het gebied van het gebruik van gegevens door processen en toetsing van proportionaliteit en subsidiariteit. Een speciale auditorrol is de
•
functionaris voor de gegevensbescherming.
Functionaris voor de gegevensbescherming (FG) - Gemeenten hebben, net als andere publieke- en private organisaties, de mogelijkheid zelf een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen. Deze toezichthouder wordt functionaris voor de gegevensbescherming (FG) genoemd. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). De wettelijke taken en bevoegdheden van de FG geven deze functionaris een onafhankelijke positie in de organisatie. De functionarissen voor de gegevensbescherming (aangesteld volgens artikel 62-64 van de Wet bescherming persoonsgegevens) moeten worden aangemeld bij het CBP.
Of een gemeente aan al de generieke gemeentelijke rollen via losse functionarissen invulling geeft is mede afhankelijk van de omvang van de gemeente. Het bundelen van rollen is uiteraard mogelijk.
25
In onderstaande figuur zijn de rollen, samenwerkingen en (een aantal) producten en hun onderlinge samenhang gevisualiseerd.
Figuur 3 - Samenhang van gegevensmanagement rollen
In bovenstaand figuur worden de rollen en verschillende gegevensmanagement samenwerkingen op hoofdlijnen geschetst. De belangrijkste samenwerkingen zijn: •
Afspraken maken over gegevensleveringen - Bronhouder, afnemer, domeinarchitect, gegevensmakelaar en functionaris voor de gegevensbescherming maken afspraken over gegevensleveringen. Deze afspraken leiden tot één of meer GLO’s. Deze GLO’s zijn input voor de gegevensarchitect. Onderdeel van de afspraken over gegevensleveringen zijn de afspraken over gegevensuitwisselingen. Deze afspraken worden vastgelegd in privacy convenanten en beschrijven de afspraken die tussen partijen gemaakt worden ten aanzien van gegevensuitwisseling en doel of de noodzaak van de gegevensuitwisseling. Als het gaat om een samenwerking tussen partijen, zoals in een sociaal wijkteam, dan kan de gemeente bijvoorbeeld de werkwijze vastleggen in een privacyconvenant. Het is dringend aan te bevelen dat de gemeente dergelijke privacyconvenanten opstelt. Een convenant kan er zijn voor een sociaal wijkteam, maar ook voor een doelgroepgerichte aanpak – zoals overlastgevende jongeren, zorgmijders of voor het Veiligheidshuis. Een privacyconvenant maakt voor alle betrokkenen – inclusief de burgers – duidelijk hoe partijen omgaan met persoonsgegevens en hoe de privacybescherming is geborgd. Convenanten kunnen nooit een wet opzij zetten. Een convenant kan nooit méér bevoegdheden scheppen dan een wet 26
aan de gemeente toekent. Om vast te stellen of een convenant privacy-proof is en past binnen de wettelijke kaders, kan een onafhankelijk partij een PIA (Privacy Impact Assessment) laten uitvoeren. Op landelijk niveau is bij nieuwe wetgeving een PIA’s verplicht. De Tweede Kamer vraagt er altijd om. Op gemeentelijk niveau is er geen verplichting, maar het is wel verstandig om een PIA te laten doen. •
Ontwerpen gegevenscatalogus - De gegevensarchitect stelt samen met de gegevensmakelaar en de functionaris voor de gegevensbescherming het ontwerp op voor de gegevenscatalogus. Dit ontwerp is input voor de implementatie van de gegevenscatalogus binnen generieke voorzieningen.
•
Implementeren van de gegevenscatalogus - De implementatie hiervan wordt uitgevoerd door de beheerder generieke voorzieningen en de gegevensarchitect. Het resultaat zijn ingerichte generieke voorzieningen zoals een gegevensmagazijn, datawarehouse en servicebus met adapters. De generieke voorzieningen worden gebruikt door de beheerder generieke voorzieningen en de distributeur.
Naast de belangrijkste samenwerkingen wordt ook het proces van verwerking van gegevens geschetst. Dit proces betreft de inzameling, het beheer, de verstrekking en het gebruik van gegevens. In dit gegevensverwerkingsproces leveren bronhouders conform overeengekomen GLO gegevens aan de beheerder van de generieke voorzieningen door tussenkomst van de distributeur. Deze beheerder verwerkt de gegevens conform de opgestelde ontwerpen van de gegevensverzamelingen en zorgt ervoor dat de, eventueel gecombineerde, gegevens door de distributeur verzonden kunnen worden aan de afnemers. De distributeur is verantwoordelijk voor het ontvangen van berichten en het routeren van deze berichten naar afnemers. Zowel de distributeur als beheerder generieke voorzieningen hebben de verantwoordelijkheid voor het adequaat loggen van de verwerking van gegevens ten behoeve van auditing doeleinden, toetsing door de functionaris voor de gegevensbescherming en verantwoording van de verwerking van gegevens. De gemeente is zowel ontvanger van leveringen als bron van terugmeldingen. De daadwerkelijke uitvoering van deze taken wordt uitgevoerd door de verschillende gegevensverwerkende rollen. Alle deze gegevensverwerkende rollen hebben een terugmeldingsplicht. Bij gegevensverwerkende rollen die door externe partijen worden ingevuld is het mogelijk om de terugmeldingen via de gemeente naar de bronhouder te laten verlopen of direct van de externe partij naar de bronhouder. Hoe een gemeente dit in wenst te richten is afhankelijk van de voorkeur van de gemeente en de mogelijkheden van de externe partij.
27
5.3 Verantwoordelijkheden per rol In een RACI matrix zijn de rollen en verantwoordelijkheden weergegeven die onderscheiden worden. Daarbij is ook aangegeven welke verantwoordelijkheden onderscheiden worden voor de verschillende producten. In kleinere gemeentes kunnen niet alle rollen door verschillende functionarissen worden uitgevoerd. We kunnen niet genoeg benadrukken dat dit groeimodel in rollen verschillend is per gemeente en daarnaast afhankelijk van de mate van volwassenheid van inrichting van gegevensmanagement. R = Responsible / Verantwoordelijk A = Accountable / Eindverantwoordelijk C = Consulted / Raadplegen
Functionaris voor de gegevensbescherming (FG)
Auditor / Kwaliteitscontrole
Beheerder generieke voorzieningen
Distributeur
Gegevensmakelaar
Domeinarchitect
Gegevensarchitect
Afnemer
Bronhouder*
Registratiehouder**
Portefeuillehouder gegevensmanagement
Regisseur gegevensmanagement
I = Informed / Informeren
Gegevenslandschap Gegevenslandschap C A I C R C I C Gegevenscatalogus Gegevenscatalogus*** C A I C R C C I I C Gegevenswoordenboek C A C I R C C I I C C Object/entiteiten model I A R C C I I I C Kwaliteit Kwaliteitseisen A R I C C R I I C I Meting en rapportage I A R R R C A Auditrapport A C R A Kwaliteitsverbetervoorstel C A R C C C Afspraken Gegevensleveringovereenkomst (GLO) I C C C C A I I Richtlijnen C A C I R C C I I Terugmeldverplichting A R C Roadmap C A C Onderzoeksplicht A I C * De proces- en systeemeigenaar zijn vaak één en dezelfde persoon. Het wordt aangeraden om de verschillende rollen op te delen bij de verschillende functionarissen ** Dit generieke RACI model is van toepassing op zowel de basis- als kern- en vakapplicaties. Bij een basisregistratie is het eigenaarschap bij de landelijke overheid belegd *** Gegevenslandschap is zowel gemeentelijk als landelijk in te richten. Het voorbeeld in deze matrix is alleen voor het gemeentelijke product van toepassing.
28
6
Betrouwbaarheid
Een centraal begrip uit het vakgebied informatiebeveiliging is ‘betrouwbaarheid’. Betrouwbaarheid is de mate waarin een organisatie voor de informatievoorziening kan rekenen op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is de verzamelterm voor vier aspecten van beveiliging die binnen het vakgebied informatiebeveiliging algemeen zijn geaccepteerd: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid. De betrouwbaarheidseisen geven aan welke eisen het informatiesysteem moet voldoen met betrekking tot deze aspecten. De hierboven genoemde aspecten worden binnen het vakgebied informatiebeveiliging als volgt gedefinieerd: Beschikbaarheid Beschikbaarheid betreft het waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen (informatiesystemen). Het begrip ‘beschikbaarheid’ uit het vakgebied informatiebeveiliging valt uiteen in twee aspecten: Het waarborgen dat informatiesystemen op de juiste momenten beschikbaar zijn voor de gebruiker, bijvoorbeeld door extra machinecapaciteit in te zetten, zodat bedrijfskritische informatiesystemen 7 dagen per week, 24 uur per dag gebruikt kunnen worden. Dit aspect valt buiten de reikwijdte van artikel 13 Wbp. Het beveiligen van gegevens tegen verlies, waarbij onder ‘verlies’ het definitief verloren gaan van de gegevens wordt verstaan. Bedrijfscontinuïteitsbeheer is mede gericht op dit aspect. Dit aspect komt overeen met het “beveiligen tegen verlies” uit artikel 13 van de Wet bescherming persoonsgegevens. Integriteit Integriteit betreft het waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking ervan. Het begrip ‘integriteit’ komt binnen de context van de beveiliging van persoonsgegevens overeen met de beveiliging tegen “aantasting van de gegevens [of onbevoegde wijziging]” uit de Wbp. Vertrouwelijkheid Met vertrouwelijkheid wordt gedoeld op het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. Het begrip ‘vertrouwelijkheid’ komt overeen met de beveiliging tegen “onbevoegde kennisneming […] of verstrekking” uit de Wbp. Naast de drie bovengenoemde aspecten, die betrekking hebben op de informatie en de verwerking ervan, wordt nog een vierde aspect onderkend: Controleerbaarheid Controleerbaarheid betreft de mogelijkheid om met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid. Op een aantal punten worden maatregelen getroffen om te borgen dat de betrouwbaarheid van de gegevens die verwerkt worden geborgd is. In de onderstaande paragrafen wordt de relevante weten regelgeving en algemeen geaccepteerde technieken op het gebied van de inrichting- en beveiliging van de informatiehuishouding beschreven. Bij de inrichting van het gegevensmanagement wordt met deze elementen rekening gehouden.
29
6.1 Wet bescherming persoonsgegevens (Wbp) Binnen een gemeente worden diverse soorten gegevens geautomatiseerd verwerkt. Deze verwerkingen betreffen handelingen zoals het verzamelen, vastleggen, bewaren, muteren, verstrekken en vernietigen van gegevens. Eén van de gegevenssoorten die verwerkt wordt betreft gegevens die betrekking hebben op personen of herleidbaar zijn tot personen. Ten aanzien van de verwerking van deze soort van gegevens gelden specifieke privacyregels welke zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Deze wet geeft uitvoering aan richtlijn nr. 95/46/EG3 van het Europees Parlement en de Raad van de Europese Unie van 23 november 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en aan artikel 10, tweede en derde lid, van de Grondwet. In de wet zijn regels gesteld die erop gericht zijn om de persoonlijke levenssfeer te beschermen van de burgers over wie gegevens worden vastgelegd en daaruit worden verstrekt aan overheidsorganen en derden. De regels hebben onder andere betrekking op het recht van de ingeschrevene op inzage, afschrift en correctie van de over hem in vastgelegde gegevens. Ook heeft de ingeschrevene het recht om te vernemen welk gebruik van de over hem vastgelegde gegevens wordt gemaakt (protocollering zie Wet BRP). Op zijn verzoek dient hem mededeling te worden gedaan of en aan wie hem betreffende gegevens zijn verstrekt. In de Wbp wordt beschreven onder welke voorwaarden de verwerking van persoonsgegevens onder het regime van de wet valt. Onder het verwerken van persoonsgegevens verstaat de Wbp elke handeling of elk geheel van handelingen met betrekking tot die persoonsgegevens. Het is dus een zeer ruim begrip. De Wbp noemt een aantal handelingen die als verwerking worden aangeduid: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. De door het gegevensmanagement geboden verwerkingsdiensten op het gebied van persoonsgegevens vallen conform de definitie van de Wbp onder de werkingssfeer van de Wbp. In de Wbp wordt een aantal privacy beginselen gedefinieerd. De relevante beginselen zijn in de onderstaande tabel beschreven. Beginsel
Beschrijving
Transparantie
De betrokkene moet voorafgaand aan de (eerste) registratie op de hoogte worden gesteld van de identiteit van de organisatie en het doel waarvoor de gegevens worden verwerkt.
Doelbinding
De verzamelde persoonsgegevens worden alleen verder verwerkt
Rechtmatige grondslag
De Wbp geeft limitatief aan in welke gevallen persoonsgegevens
als dit verenigbaar is met het doel waarvoor ze zijn verkregen. mogen worden verwerkt. Voor gevoelige gegevens - de bijzondere gegevens als bedoeld in de Wbp – geldt dat verwerking onrechtmatig is tenzij aan specifieke voorwaarden is voldaan. Kwaliteit
Voor het doel behoren de persoonsgegevens toereikend, terzake dienend en niet bovenmatig te zijn.
Rechten betrokkenen
De betrokkene heeft recht op inzage, verbetering, aanvulling, verwijdering of afscherming van diens persoonsgegevens.
Beveiliging
De verantwoordelijke treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of
3
http://www.cbpweb.nl/Pages/ind_wetten_int_richt.aspx 30
tegen enige vorm van onrechtmatige verwerking. Proportionaliteit en
De beginselen van proportionaliteit en subsidiariteit beschrijven dat
subsidiariteit
de inbreuk op belangen van betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel, en dit doel moet in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kunnen worden verwerkelijkt.
Tabel 1- Beschrijving van essentiële privacybeginselen
De in bovenstaande tabel genoemde privacy beginselen bepalen de benodigde waarborgen voor de bescherming van persoonsgegevens. Iedere verwerker van persoonsgegevens moet rekening houden met deze beginselen en dus voldoen aan de Wbp. Dit is echter niet de enige reden om de informationele privacy van burgers te respecteren. Het is ook een maatschappelijke verwachting dat de persoonsgegevens van burgers worden beschermd. Daarbij heeft de overheid een voorbeeldfunctie met het naleven van wetten die zij zelf heeft opgesteld. Ten aanzien van de beveiliging van persoonsgegevens beschrijft de Wbp dat de voor de gegevens verantwoordelijke treffende beveiligingsmaatregelen dient te nemen: “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”4 Het beveiligingsvoorschrift richt zich tegen 'verlies of enige vorm van onrechtmatige verwerking van gegevens'. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.5 In het begrip ‘passend’ ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Het begrip ‘passend’ duidt mede op een proportionaliteit tussen de beveiligingsmaatregelen en de te beschermen gegevens. Naarmate bijvoorbeeld de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is geen verplichting om steeds de zwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging6. Er zijn geen algemene uitspraken mogelijk over ‘passende beveiligingsmaatregelen’. De invulling van dit criterium is voor een deel dynamisch en afhankelijk van concrete omstandigheden. Het vereiste niveau van bescherming is hoger naar mate er meer mogelijkheden voorhanden zijn om dat niveau te waarborgen. Indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd worden de genomen maatregelen als ‘passend’ beschouwd. Kosten die disproportioneel zijn aan de extra beveiliging die daardoor zou worden verkregen zijn niet vereist. Met zich ontwikkelende techniek zal periodiek een nieuwe afweging moeten worden gemaakt.7 Voor technische en organisatorische maatregelen geldt verder dat deze cumulatief dienen te
4 5 6 7
Artikel 13 Wbp. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 98. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99 Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99. 31
worden getroffen. Software is een belangrijk instrument tot beveiliging. De Wbp geeft de normen die mede met behulp van software dienen te worden gehandhaafd.8 Naast de beveiliging van persoonsgegevens ziet artikel 13 Wbp ook op de toepassing van privacy enhancing technologies (PET). PET is de verzamelnaam voor een aantal technieken die de verantwoordelijke kan toepassen om bij het verwerken van persoonsgegevens de risico’s voor de betrokkenen te beperken. Een centraal principe van PET is het verminderen van de herleidbaarheid: de mate waarin persoonsgegevens kunnen worden herleid tot de betrokkenen. “De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”9 De beveiligingsverplichting die in dit artikel is opgenomen strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. Juridische normen zullen moeten worden vertaald in de feitelijke inrichting en verdere ontwikkeling van informatiesystemen. Steeds meer zullen ‘privacy enhancing technologies’ (PET) daarvoor onmisbaar zijn. Door te eisen dat de inrichting van systemen mede gericht moet zijn op het voorkomen van onnodige verzameling en verdere verwerking van persoonsgegevens, wordt bewerkstelligd dat in plaats van een voortdurende controle op individuele gevallen van onrechtmatig gegevensgebruik het accent meer gelegd kan worden op de structuur van informatiesystemen.10 De zwaarste vorm van PET is anonimisering van de verwerkte persoonsgegevens. Van anonimisering is sprake als de gegevens op geen enkele manier meer tot de betrokkene te herleiden zijn. Er is dan geen sprake meer van persoonsgegevens en de Wbp is niet meer van toepassing op de gegevens. Een lichtere vorm van PET is het scheiden van de verwerkte persoonsgegevens in (zeer goed beveiligde) identificerende gegevens en niet-identificerende gegevens. Alleen met behulp van de identificerende gegevens kan de identiteit van de betrokkenen worden achterhaald.11
Praktijkvoorbeeld: Privacy raamwerk VISD Om als gemeente integrale dienstverlening te kunnen bieden aan burgers is het kunnen delen van gegevens binnen en over domeinen een randvoorwaarde. Burgers moeten erop kunnen vertrouwen dat er zorgvuldig wordt omgegaan met persoonsgegevens wanneer zij bepaalde zorg of dienstverlening ontvangen. Gemeenten moeten nadenken over het minimaliseren van privacyrisico’s voor burgers bij het inrichten van de dienstverlening. Implementatie van de maatregelen die de eisen vanuit de Wbp implementeren en het kweken van bewustwording op het gebied van de privacy zijn hierbij belangrijke aandachtspunten. Om gemeenten hierin te ondersteunen is het privacy raamwerk ontwikkeld12. Dit raamwerk richt zich op vijf gebieden die in de praktijk of in zijn producten afhankelijk van elkaar zijn. Dit zijn Governance, Beleid, Werkprocessen en Triage, Communicatie en training en Beheer en opslag van gegevens. Het privacy raamwerk is ontwikkeld specifiek voor het sociaal domein maar het toepassingsgebied is breder dan alleen het sociaal domein.
8
Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99. Artikel 13 Wbp. 10 Kamerstukken II 1999-2000, 25 892, nr. 22. 11 Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft een publicatie uitgebracht waarin de toepassing van PET uitvoerig wordt toegelicht: Drs. ing. Ronald Koorn RE e.a., Privacy enhancing technologies, Witboek voor beslissers, ministerie van Binnenlandse Zaken en Koninkrijksrelaties, december 2004 (http://www.cbpweb.nl/downloads_technologie/witboek_pet.pdf). 12 https://www.visd.nl/secties/gegevensuitwisseling-en-privacy/producten/producten-actielijn-privacy-april2014 9
32
eit va Figuur 4 - Privacy raamwerk VISD
Met de Privacy Scan VISD voor gemeenten13 krijgen gemeenten inzicht in de verschillende processtappen die nodig zijn om goede en zorgvuldige gegevensuitwisseling te borgen. Dat vraagt om een bredere aanpak dan alleen een informatiekundige. De onderdelen van de scan hebben dan ook betrekking op zowel de uitgangspunten en kaders (Beleid), de inrichting en verantwoordelijkheid (Governance), de inrichting en organisatie van de processen, het beheer en opslaan van gegevens en het trainen van betrokkenen en communicatie met de burger (Bewustwording en communicatie). Al deze onderdelen vormen samen het Raamwerk Privacy waarbinnen gegevensdeling plaatsvindt.
6.2 Suwi wetgeving In de Wet SUWI, de Wet Werk en Bijstand (WWB) en aanverwante wet- en regelgeving zijn de verantwoordelijkheden opgenomen van de partijen die onderdeel uitmaken van de Suwi-keten. In deze wetten is geregeld welke gegevens volgens welke doelbinding onderling uitgewisseld mogen worden. Op de gebieden waar deze wetten niet in voorzien is de Wbp van toepassing. De wettelijke gronden voor de gegevensuitwisseling zijn beschreven in de Wet structuur uitvoeringsorganisatie werk en inkomen14, de Wet werk en bijstand15, en de regelgeving die daarop is gebaseerd16 Via Suwinet (Suwinet-Inkijk en Suwinet-Inlezen) vragen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar op. Binnen een paar seconden een digitaal klantdossier op maat. Dat is erg handig voor de dienstverlening, maar brengt ook de verantwoordelijkheid met zich mee om hier zorgvuldig mee om te gaan. Want burgers vertrouwen er op dat hun privacy beschermd wordt en dat er alles aan gedaan wordt om misbruik te voorkomen. In het Normenkader Gezamenlijke elektronische Voorzieningen SUWI (GeVS) zijn een zevental essentiële beveiligingsnormen17 opgenomen waar bij gebruik van Suwinet minimaal invulling aan gegeven moet worden. Deze normen gelden niet alleen voor Suwinet maar komen ook terug bij
13 14 15 16 17
https://www.visd.nl/secties/gegevensuitwisseling-en-privacy/producten/toelichting-privacy-scan-gemeenten Hoofdstuk 9: Informatiebepalingen Paragraaf 6.6: Gegevensuitwisseling Met name hoofdstuk 5, gegevensverwerkingen en gegevensverstrekking, van het Besluit SUWI http://www.bkwi.nl/veiligheid/normen/ 33
andere Normenkaders voorkomen, zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
6.3 Archiefwet en bewaartermijnen Overheidsorganen hebben zowel met de Wbp als de Archiefwet 1995 te maken. Als algemene privacywet stelt de Wbp regels aan de zogenaamde verwerking van persoonsgegevens. Daarmee bedoelt de wet niet alleen het verzamelen, beheren en ter beschikken stellen van persoonsgegevens, maar ook het vernietigen van persoonsgegevens. De Wbp regelt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Als bepaalde persoonsgegevens niet meer nodig zijn en er is voor die gegevens geen wettelijke bewaartermijn, dan mogen ze verwijderd worden. Bij het verwijderen van persoonsgegevens is het van belang om na te gaan of deze gegevens onderdeel uitmaken van documenten, dossiers of bestanden. In bijvoorbeeld de Archiefwet, het Burgerlijk Wetboek of de onderwijs- en belastingwetgeving zijn namelijk wel concrete bewaartermijnen voor documenten, dossiers en bestanden vastgelegd. Bij het bewaren van persoonsgegevens moet daarom rekening gehouden te worden met al deze wetgeving. Een wettelijke bewaarplicht hoeft niet voor alle gegevens van een persoon te gelden. Volgens de belastingwetgeving bijvoorbeeld dient bijvoorbeeld een werkgever alleen de fiscaal relevante gegevens van werknemers gedurende zeven jaar na beëindiging van het dienstverband bewaard te worden. Voor andere persoonsgegevens uit het personeelsdossier van de werknemers geldt geen specifieke wettelijke bewaarplicht, en daarmee is de algemene regel van de Wbp van toepassing en moeten die gegevens zo spoedig mogelijk uit het dossier verwijderd worden. De Archiefwet stelt regels aan het beheer van archiefbescheiden bij de overheid. Persoonsgegevens maken vaak deel uit van archiefbescheiden zoals documenten, dossiers of bestanden. De Archiefwet en de Wbp moeten daarom in onderlinge samenhang bekeken worden. Dit geldt vooral op het punt van de vernietiging van persoonsgegevens en het langer bewaren van persoonsgegevens. Voor de verhouding met de Archiefwet is vooral het Vrijstellingsbesluit Wbp van belang. Hierin worden de persoonsgegevens met een zogenaamde archiefbestemming uitgezonderd van de meldingsplicht. De Archiefwet kent geen algemene bewaartermijn, maar schrijft voor dat elk overheidsorgaan over een selectielijst moet beschikken. Hierin staat welke stukken op termijn vernietigd moeten worden en welke voor altijd bewaard moeten blijven.
6.4 Baseline Informatiebeveiliging gemeenten (BIG) De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete (incident)ondersteuning aangaande informatiebeveiliging. Alle gemeenten kunnen gebruik maken van de producten en de generieke dienstverlening van de IBD. Om de gehele dienstverlening van de IBD af te kunnen nemen en elke gemeente gericht te kunnen helpen, heeft de IBD specifieke informatie nodig van elke gemeente. Hiervoor dient iedere gemeente zich ‘officieel’ aan te sluiten bij de IBD. Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een strategische- én een tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben 34
met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau. BIG – Strategische Baseline - De Strategische Baseline is de ’kapstok’ waaraan de elementen van informatiebeveiliging opgehangen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. BIG – Tactische Baseline - De Tactische Baseline beschrijft de normen en maatregelen ten behoeve van controle en risicomanagement. De Tactische Baseline beschrijft aan de hand van dezelfde indeling als de internationale beveiligingsnorm ISO/IEC 27002:2007, de controls/maatregelen die als baseline gelden voor de gemeenten. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau. Deze producten zijn samen met een groot aantal betrokken gemeenten vervaardigd, vertegenwoordigers van deze gemeenten hebben de producten gereviewd. Een dertigtal producten18 heeft de IBD door financiering van de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) kunnen verwezenlijken.
6.5 Meldingsplicht aan het College Bescherming Persoonsgegevens De Wet bescherming persoonsgegevens (Wbp) geeft regels voor de verwerking van persoonsgegevens. Op basis van de Wbp moet een verwerking, tenzij de verwerking is vrijgesteld van melden, worden gemeld bij de gemeentelijke functionaris voor de gegevensbescherming. Indien de gemeente deze functionaris niet heeft aangesteld dan dienen verwerkingen bij het College bescherming persoonsgegevens (CBP)19 gemeld worden. Onder het verwerken van persoonsgegevens verstaat de Wbp elke handeling of elk geheel van handelingen met betrekking tot die persoonsgegevens. Het is dus een zeer ruim begrip. De Wbp noemt een aantal handelingen die als verwerking worden aangeduid: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Een verwerking kan uit een of meer van deze handelingen bestaan. Verwerkingshandelingen die in het maatschappelijk verkeer als een eenheid worden beschouwd, worden gezien als één gegevensverwerking. Zo wordt bijvoorbeeld een cliëntenadministratie of een klachtenregistratie als één gegevensverwerking beschouwd. Meldingen van gegevensverwerkingen zorgen voor openheid en daarmee controleerbaarheid voor de burgers. De meldingen stellen burgers in staat om zo nodig gebruik te maken van hun rechten. Ook maken meldingen een effectiever toezicht door het CBP mogelijk, omdat het CBP via een melding bijvoorbeeld kan controleren of een verantwoordelijke gegevens verwerkt overeenkomstig de doeleinden die vóór de verwerking zijn geformuleerd. Gehele of gedeeltelijk geautomatiseerde gegevensverwerking moet gemeld worden bij het CBP. Een handmatige gegevensverwerking hoeft in beginsel niet te gemeld te worden. Dit is alleen anders als de handmatige gegevensverwerking is onderworpen aan een voorafgaand onderzoek (VO). Het gaat daarbij om verwerkingen die naar het 18 19
https://beheer.ibdgemeenten.nl/downloads/?cat=25 http://www.cbpweb.nl/Pages/inf_va_melden_vrijstellen.aspx 35
oordeel van de wetgever een bijzonder risico inhouden voor de persoonlijke levenssfeer van betrokkenen. De verplichting een gegevensverwerking te melden is niet van toepassing de verstrekking van persoonsgegevens aan een bestuursorgaan vanwege een wettelijke verplichting. Van de meldingsplicht zijn ook vrijgesteld de verwerkingen die in het Vrijstellingsbesluit staan beschreven.
36
7
Aan de slag!
7.1 Checklist In deze paragraaf wordt een checklist gegeven met te ondernemen acties bij het inrichten van gegevensmanagement. Een aantal acties hebben meer betrekking op gegevensbeheer, welke een onderdeel is van gegevensmanagement. Bij het beheer gaat het om de kwaliteit van de gegevens en bij het management om het gebruik van de gegevens. De kern is om organisatiebreed consensus te hebben over begrippen en gebruik van gegevens. Per onderdeel is het noodzakelijk vast te stellen welke doelen bereikt moeten worden. Vervolgens kan met de invoering van onderdelen de ontwikkeling van gegevensmanagement worden gestuurd. •
Algemeen o
Medewerkers, functioneel beheerders, management, informatiemanagers, leidinggevenden etc. betrekken en op gewenst kennisniveau brengen. Dit is bijvoorbeeld te bereiken door het organiseren van informatiesessies, het bezoeken van seminars en het bijhouden van vakliteratuur.
•
Organisatie o
Het omschrijven van de taken en verantwoordelijkheden omtrent gegevensbeheer en gegevensmanagement geeft duidelijkheid binnen de organisatie. Dit katern biedt hiervoor handvatten.
o
Het inrichten van de informatievoorziening conform BiSL is hiervoor een in te zetten instrument.
o
Het borgen van de taken op het gebied van (ICT) beveiliging en privacy, bijvoorbeeld door het aanstellen van een beveiligingsfunctionaris en/of privacyfunctionaris.
o
Door ‘eigenaren’ van procesondersteunende systemen te benoemen ontstaat helderheid over wie bevoegd is hierover beslissingen te nemen.
•
Beleid rondom gegevens (management) o
Soorten gegevensregistraties benoemen, vaststellen, ‘eigenaar’ aanwijzen. Denk hierbij aan de diverse basisregistraties waar de organisatie bronhouder van is en aan eventuele kernregistraties;
o
Streef naar ‘eenmalige inwinning en meervoudig gebruik’ van gegevens en pas hier procedures en zet hiervoor ICT hulpmiddelen in;
o
Distributie van gegevens inregelen, inclusief het vastleggen van bijbehorende procedures, afspraken en technische maatregelen zoals logging;
o
Maak inzichtelijk wat de toegevoegde waarde is van de actieve inzet van gegevensmanagement (naast gegevensbeheer). De informatie in dit document kan hiervoor als leidraad dienen. Geef hierbij bijvoorbeeld aan welke producten/componenten (deels) reeds beschikbaar staan en wat nog ingevuld moet worden
o •
Gebruikers beheer, autorisatie authenticatie
Producten gegevensmanagement
37
o
Bepaal de in te vullen producten en samenhang met bestaande
o
Bepaal de eigenaar en beheerder van de diverse producten;
o
Geef inhoud aan de producten;
o
Beschrijf de processen om tot de producten te komen
informatievoorzieningproducten en geef deze weer in een roadmap;
•
Operationeel o
Er zijn diverse kwaliteitstools die ingezet kunnen worden om een analyse te maken van de kwaliteit van gegevens. Te denken valt aan het inzetten van eigen queries en de i-Spiegel. Deze analyse zal dan de basis zijn voor het definiëren van vervolgstappen;
o
Door het verrichten van bestandsvergelijkingen, zoals de i-Spiegel, ontstaat inzicht in de kwaliteit van de diverse gegevensverzamelingen. Mochten er verschillen bestaan, dan is het zaak om de gegevens vanuit de bron aan te houden en ervoor zorg te dragen dat deze brongegevens in de hele keten worden gebruikt. Het kan ook zo zijn dat er aanpassingen in het proces gedaan moeten worden om zo de kwaliteit van de gegevensstroom beter te kunnen borgen;
o
Wanneer deze bestandsvergelijkingen periodiek worden herhaald, is het mogelijk een trend te ontdekken en inzichtelijk te maken dat de inspanningen lonend zijn geweest;
o
Basisregistraties winnen aan kwaliteit door gebruik te maken van terugmeldingen. Richt dus een proces in om dit te borgen in de organisatie. Door instructie en voorlichting aan de terugmelders zorg je voor kwalitatief goede terugmeldingen;
o
Bekijk jaarlijks of de afspraken, die zijn gemaakt met de verschillende betrokken partijen (ketenpartners, bronbeheerders) nog actueel zijn. Pas ze zo nodig aan;
o
Gemeentebrede gegevenslandschapskaarten zijn nuttig om het totaalplaatje snel te overzien. Zeker in het geval van verstoringen kan zo de keten ingelicht worden en zijn de plekken die wellicht geraakt worden snel in beeld;
o
Toegankelijk maken van gegevenscatalogi;
o
Het ‘vertalen’ gegevenscatalogi voor eindgebruikers van gegevens.
o
Beoordelen toegangsrechten, gebruikersregistraties
7.2 Bewustwording Gegevensmanagement is een proces van bewustwording. Door op een andere manier naar koppeling, definities en uitwisseling te kijken, komen vaak meer zaken naar voren die afgestemd dienen te worden. Het is een continu proces van inzichtelijk maken, toetsen en verbeterpunten definiëren. Als de bewustwording niet aanwezig is op elk niveau binnen de gemeente, dan blijft dit een moeizaam en traag proces. De I-spiegel is een instrument van KING om gemeentebreed meer inzicht en bewustzijn te krijgen. Naast de i-Spiegel zijn het geven van presentaties binnen de gemeentelijke organisatie en het aansluiting krijgen bij beheerorganisatie, changemanagement en projectorganisatie versnellers in het management van gegevens. Andere prikkels voor gestructureerd gegevensmanagement zijn het implementeren van een enterprise servicebus, tooling voor ETL en/of fouten die ontstaan door het niet (juist) afstemmen van gegevens, projecten met als doel het verbeteren van de kwaliteit van informatie. i-Spiegel 38
i-Spiegel is software voor bestandsvergelijking om het binnengemeentelijk gebruik van basisregistraties te analyseren. Dit laat zien wat het gebruik van basisregistraties oplevert en nog meer kan opleveren. i-Spiegel geeft inzicht in mogelijke financiële besparingen en maakt mogelijke verbeteringen van gemeentelijke dienstverlening concreet en helder. Gemeenten kunnen het ook inzetten om de baten te helpen effectueren. Gemeenten investeren veel tijd en geld in de implementatie van NUP-bouwstenen. Door slimme inzet en strategische verbinding van verschillende basisregistraties kan een gemeente baten gaan oogsten. i-Spiegel geeft inzicht in drie soorten baten: •
Kwantitatieve baten voor de gemeente door meer inningen of minder onterechte uitgaven
•
Kwalitatieve baten door betere kwaliteit van dienstverlening, handhaving en/of bedrijfsvoering
•
Daling van de administratieve lasten voor burgers en/of ondernemers
i-Spiegel is een softwareprogramma dat verschillende bestanden met elkaar vergelijkt. Door de metingen van i-Spiegel te analyseren wordt inzichtelijk in welke mate er onterecht gebruik wordt gemaakt van gemeentelijke voorzieningen. Bovendien kan een gemeente met de analyse inzetten op effectievere handhaving. Inzet van i-Spiegel is voor meerdere functionarissen interessant: •
Wethouders kunnen hiermee op hun bestuurlijk gebied beter sturen op uitgaven en handhaving.
•
Gemeentesecretarissen hebben met i-Spiegel goed zicht op de totale bedrijfsvoering van hun gemeente.
•
Maar ook directeuren KCC/Bedrijfsvoering, informatiemanagers en applicatiebeheerders kunnen letterlijk en figuurlijk baat hebben bij de inzet van i-Spiegel.
I-Spiegel geeft aan waar de gegevenskwaliteit verbeterd kan worden en daardoor ook argumenten om gegevensmanagement structureel vorm te geven.
7.3 Scorecard In deze paragraaf is een voorbeeld van een scorecard opgenomen, die gebruikt kan worden bij het inventariseren wat er op dit moment gebeurd op het gebied van gegevensmanagement. Laat betrokken medewerkers invullen welke score elk onderdeel op dit moment heeft (1 = lage score, 5 = hoge score). Bijkomend voordeel van het invullen van deze scorecard is dat men zich meer bewust wordt van verschillende aspecten binnen gegevensmanagement. TIP: Voor maximaal inzicht voeg je de onderdelen toe die je mist en verwijder je de onderdelen die niet relevant zijn voor je organisatie. Zo ontstaat er een goed beeld van de voor jouw organisatie relevante aspecten! Aandachtspunten – aanpak – afwegingen
Randvoo rwaarde
•
Bewustzijn van het belang
1 2 3 4 5
Als uitdijende kringen van een in de vijver geworpen steen: Eerst bij vakgenoten, daarna in betrokken kringen, zo steeds verder uitbreiden.
39
•
•
Visie vorming en doelen bepalen
Aanpak bepalen
Is de gewenste situatie duidelijk? NB: Beelden moeten gedeeld worden door meerdere mensen; verifieer dus eigen beelden bij anderen. De veranderkundige aanpak moet bij je organisatie passen (Blauwdruk? Organisch groeimodel?)
Inhoud Gegevenslandschap
Zijn alle landschapskaarten gemaakt, beschikbaar en volledig?
Producten
Gegevenscatalogus: •
Gegevenswoordenboek
•
Objecten/entiteiten modellen
•
Gegevenscatalogi (landelijk)
Kwaliteit
Zijn ze bekend in de organisatie? Kunnen mensen ermee werken? Zijn kwaliteitseisen gedefinieerd? Worden deze gemeten? Volgt uit de resultaten een verbetervoorstel? Wordt er verbeterd op basis van de uitkomsten?
Afspraken •
GLO’s
•
Richtlijnen
•
Kwaliteitsverbetering
•
Roadmap
•
Onderzoeksverplichting
Zijn de richtlijnen opgesteld en bij iedereen bekend? Worden ze nageleefd?
Beveiliging
Organisatie
In welke mate zijn de diverse rollen generiek dan wel voor elke (basis)registratie specifiek vastgelegd en uiteindelijk belegd bij medewerkers? Weten de betreffende medewerkers wat ze op basis van die rollen moeten doen en zijn ze toegerust met voldoende mogelijkheden om deze taken uit te voeren?
Ge ne rie ke
Registratiehouders
40
Bronhouders
Gegevens architect Auditor Distributeur Afnemers Overige rollen
41
Bijlage A: Gegevenssoorten en interoperabiliteit Informatie wordt vaak verward met de begrippen ‘gegevens’ en ‘kennis’. Deze begrippen hebben veel met elkaar te maken maar zijn geen synoniemen van elkaar. Gegevens zijn feiten en begrippen en kunnen door interpretatie en verwerking leiden tot informatie. Gegevens worden pas informatie als ze voor de ontvanger een betekenis hebben. Een bekend voorbeeld van het onderscheid tussen informatie en gegevens is uit te leggen aan de hand van een telefoonboek. De telefoonnummers uit het telefoonboek zijn gegevens. Ze kunnen worden verwerkt. Men kan de telefoonnummers oplopend sorteren op abonneenummer, maar men kan de gegevens ook sorteren op achternaam. Men kan een selectie maken van alle nummers met een bepaald netnummer. Als iemand het telefoonnummer van zijn moeder zoekt in het telefoonboek, om dat nummer vervolgens te bellen, dan is dat ene nummer in combinatie met de wetenschap dat dat nummer van je moeder is de informatie. Het interpreteren en integreren van informatie resulteert in kennis. Door gegevens te combineren kan informatie worden verkregen en door deze informatie te integreren en combineren wordt kennis verkregen. Door deze kennis te gebruiken wordt het mogelijk beter te organiseren en te presteren. Het niveau en de kwaliteit van de kennis wordt mede bepaald door de kwaliteit van de onderliggende gegevens. Door organisaties worden diverse soorten gegevens gebruikt. Denk bijvoorbeeld aan tekst, beeld, geluid, spreadsheets, databases, statistische gegevens, administratie gegevens, geografische gegevens, etc. Deze soorten gegevens zijn onder te verdelen in gestructureerde gegevens, ongestructureerde gegevens en metagegevens. Gegevensmanagement moet borgen dat al deze gegevens op het juiste moment met de juiste kwaliteit op een veilige en transparante wijze beschikbaar kunnen worden gesteld. Gestructureerde gegevens zijn gegevens welke op een abstract niveau beschreven worden in de vorm van informatiemodellen en op fysiek niveau door logische datamodellen met entiteit typen en attributen. De gegevens zelf vormen instanties van deze typen. Voorbeelden van gestructureerde gegevens zijn de naam van een persoon en de straatnaam van het adres van de persoon. Ongestructureerde gegevens zijn gegevens die niet via logische datamodellen geordend zijn. Voorbeelden van ongestructureerde gegevens zijn tekstverwerker documenten, e-mails, foto's, videobestanden, geluidsbestanden, e-mails en webdocumenten. Metagegevens zijn gegevens die karakteristieken van andere gegevens beschrijven. Het zijn gegevens over gegevens. De metagegevens bij een ongestructureerd gegeven kunnen bijvoorbeeld zijn: de auteur, de datum van schrijven en de uitgever. Eén van de redenen om metagegevens op te slaan is het vereenvoudigen van het zoeken naar ongestructureerde gegevens of het relateren van ongestructureerde gegevens aan gestructureerde gegevens. Bij de uitwisseling van gegevens is het van belang om maximale interoperabiliteit te behalen. Met interoperabiliteit wordt hier bedoeld het met elkaar laten communiceren en interacteren van verschillende autonome systemen. Om dit te bewerkstelligen zijn standaarden, protocollen en 42
procedures nodig. Informatiemodellen standaardiseren gegevensuitwisseling op het vlak van structuur en syntax. Deze standaardisatie wordt vaak gezien als dé oplossing voor interoperabiliteit. Op technisch niveau klopt dat ook. Als organisaties op dat niveau afspraken maken over programmatuur, uitwisselingsformaten en codes, dan kunnen zij informatie uitwisselen. Door het gebruik van standaarden wordt gegevens uitwisselen efficiënter, transparanter en worden fouten en verlies van gegevens in de uitwisseling voorkomen. Maar wie semantiek van gegevens probeert te standaardiseren, probeert de werkelijkheid te standaardiseren. Het is van belang te erkennen dat verschillen in betekenis relevant kunnen zijn. Of die verschillen nu voortkomen uit wetgeving of alleen herkenbaar zijn in de uitvoeringsprocessen. Als betekenissen samenvallen, kunnen ze gestandaardiseerd worden. Als verschillen in betekenis echter relevant zijn, moeten de variaties naast elkaar kunnen bestaan en is het niet effectief, en zelfs niet wenselijk, om te proberen ze weg te standaardiseren. Bij het vaststellen van de semantiek is het dus van belang om de context te kennen waarin de gegevens gebruikt worden.
43
Bijlage B: Typering van gegevens In de voorgaande hoofdstukken is gegevensmanagement beschreven als “het geheel van activiteiten om in de organisatie op het juiste moment over de juiste gegevens van de juiste kwaliteit te beschikken”. Vervolgens is onderscheid aangebracht in gestructureerde-, ongestructureerde- en metagegevens. Dit hoofdstuk beschrijft ‘gestructureerde gegevens’ meer in detail door te categoriseren, de onderlinge verbanden te bespreken en de wijze van uitwisseling van gegevens te verduidelijken. Informatiemodellen, datamodellen en berichtstandaarden Gestructureerde gegevens zijn gegevens beschreven op een abstract niveau in de vorm van informatiemodellen en daarvan afgeleide logische datamodellen met entiteit typen en attribuuttypen. De gegevens zelf vormen instanties van deze types en zijn opgeslagen in een (relationele) database ingericht conform afgeleide datamodellen. Een voorbeeld verduidelijkt het bovenstaande. Voor gemeenten is door KING het informatiemodel ‘Referentiemodel Stelsel van Gemeentelijke Basisgegevens (RSGB)’ samengesteld. Dit referentiemodel brengt samenhang aan tussen basisregistraties, beschrijft welke elementen uit de basisregistraties voor gemeenten van belang zijn en definieert de structuur van deze elementen. Leveranciers gebruiken het informatiemodel als basis voor logische datamodellen. Realisatie van deze logische datamodellen vindt plaats binnen (relationele) databases en worden gebruikt voor de opslag van de gegevens. Leveranciers hebben bij de vertaling van het informatiemodel naar een datamodel, een Entity Relationship Diagram (ERD), verregaande vrijheden ten aanzien van de modellering van het datamodel. De enige verplichting die een leverancier heeft is dat de onderlinge relaties tussen objecten uit het informatiemodel blijven bestaan en dat men alle elementen van het informatiemodel vertaald naar het datamodel. Naast het feit dat informatiemodellen de basis zijn voor datamodellen zijn ze ook de basis voor berichtenstandaarden die gebruikt worden voor de uitwisseling van gegevens. Voor gemeenten geldt dat door KING een aantal informatiemodellen en bijbehorende berichtformaten zijn gestandaardiseerd. Het gaat hierbij om: •
het RSGB-informatiemodel en de StUF-BG berichtstandaard voor de basisinformatie,
•
het RGBZ-informatiemodel en de StUF-ZKN berichtstandaard voor zaakgegevens, en
•
het ZTC-informatiemodel en de StUF-ZTC berichtstandaard voor zaaktypen.
Door andere organisaties zijn ook een aantal informatiemodellen vastgesteld die betrekking hebben op gegevens uit het gemeentelijk domein. Deze informatiemodellen zijn: •
Informatiemodel Geografie (IMGeo; Geonovum),
•
Informatiemodel BRK (IMKAD; Kadaster),
•
Informatiemodel BRT (IMTOP; Kadaster),
•
Informatiemodel BRO (BasisRegistratie Ondergrond; TNO),
•
IMK&L (Kabels & Leidingen), en
•
IMRO (Ruimtelijke Ordening). 44
Via informatiemodellen wordt structuur van de gegevens en onderlinge verbanden tussen gegevens beschreven. Via de berichtstandaard wordt de syntax beschreven die gebruikt wordt voor de uitwisseling van gegevens. De syntax van berichten wordt zo specifiek mogelijk, en met zo min mogelijk vrijheidsgraden, gedefinieerd om maximale interoperabiliteit te garanderen. Informatiemodellen liggen aan de basis van de standaardisatie van structuur en syntax van gegevens en berichten en zijn een belangrijke enabler van interoperabiliteit. Informatiemodellen nemen daarmee een belangrijke positie in het gemeentelijk gegevensmanagement in. Categorieën van gestructureerde gegevens Door gemeenten worden veel gestructureerde gegevens uit verschillende bronnen gebruikt bij de uitvoering van de bedrijfsprocessen. Deze gegevens variëren van gegevens uit landelijke basisregistraties tot gegevens die specifiek zijn voor een bepaald informatiesysteem. Het gegevensmanagement ten aanzien van gestructureerde gegevens richt zich op de gegevens die (potentieel) voor andere afnemers dan de bronhouder, eventueel gecombineerd met gegevens uit andere bronnen, interessant zijn. De onderstaande categorieën van gestructureerde gegevens worden onderkend: •
Basisregistratie gegevens,
•
Kernregistratiegegevens,
•
Sectorale gegevens, en
•
Taak-specifieke gegevens.
Geo-gegevens (locatie en locatie gebonden gegevens) zijn vaak als een aparte categorie van gegevens gepositioneerd. In deze baseline worden, conform de handreiking ‘GEO in GEMMA’ geogegevens echter niet behandeld als een aparte categorie. De omgang met en toepassing van geogegevens kent wel een aantal bijzondere aspecten die om een specifieke aanpak vragen. Het uitgangspunt is dat geo-gegevens een aspect zijn van alle categorieën van gestructureerde gegevens. Geo-gegevens verbinden gegevens per locatie door middel van coördinaten (direct) of de aanduiding van een object waarvan de coördinaten bekend zijn (indirect), zoals een adres, kadastrale perceelsaanduiding, postcode of naam van de openbare ruimte. De onderstaande paragrafen geven nadere uitleg over deze verschillende categorieën. Gegevens uit basisregistraties Een basisregistratie is een door de overheid via wetgeving aangewezen registratie met daarin gegevens van hoogwaardige kwaliteit, die door alle overheidsinstellingen en bestuursorganen verplicht en zonder nader onderzoek, worden gebruikt bij de uitvoering van publiekrechtelijke taken. Het huidige Stelsel van Basisregistraties wordt gevormd door 13 registraties. Deze verschillende basisregistraties staan niet op zichzelf, maar zijn onderdeel van een samenhangend stelsel van basisregistraties. Basisregistraties bevatten zowel authentieke als niet-authentieke gegevens. Ten aanzien van de authentieke gegevens in een basisregistratie geldt een gebruiksplicht bij de uitvoering van publiekrechtelijke taken. Per basisregistratie ligt in de onderliggende wetgeving van de basisregistratie vast welke gegevens authentiek zijn en welke niet. Indien tijdens het gebruik van gegevens uit een basisregistratie gerede twijfel is ontstaan over de juistheid van de authentieke gegevens dan zijn bestuursorganen verplicht dit terug te melden aan de betreffende bronhouder.
45
Gemeenten houden naast de gegevens uit basisregistraties veelal meer gegevens bij dan in het kader van het stelsel van basisregistraties wordt voorgeschreven. Deze gegevens zijn de zogenaamde ‘plusgegevens’. Voorbeelden van deze gegevens zijn het telefoonnummer en het email adres van een persoon. Plusgegevens die op meerdere plaatsen in de gemeentelijke organisatie worden gebruikt noemt men ook wel ‘kerngegevens’ (niet te verwarren met kernregistratiegegevens, zie onderstaande paragraaf). De combinatie van basisregistratie- en kerngegevens wordt in dit document ‘basisinformatie’ genoemd. Plusgegevens die niet op meerdere plaatsen worden gebruikt zijn onderdeel van de sectorale gegevens. Door KING is het Referentiemodel Stelsel van Gemeentelijke Basisgegevens (RSGB) gedefinieerd. Dit referentiemodel voor de gemeentelijke basisgegevens presenteert de samenhang tussen basisregistraties en de ‘plusgegevens’ op een logische wijze. Het RSGB is gebaseerd op de Basisregistraties Adressen (BRA), Gebouwen (BGR), Personen (GBA), Bedrijven (NHR), Kadaster (BRK) en WOZ (BRWOZ) en op de grootschalige topografie die in het Informatiemodel Geografie (IMGeo) is gedefinieerd. Het referentiemodel is een vertaling en een uitbreiding van het landelijk stelsel van basisregistraties met het oog op de gemeentelijke informatiebehoefte. Kernregistratiegegevens In het streven naar een efficiënte bedrijfsvoering en vanuit het vertrekpunt ‘eenmalig inwinnen, meervoudig gebruiken’ kan er binnen de gemeente voor worden gekozen om met kernregistraties te werken. Kernregistraties zijn gegevensverzamelingen die binnen de gemeentelijke organisatie (of binnen een keten) op meerdere plaatsen worden gebruikt en die door het management als zodanig zijn aangemerkt. Voorbeelden van kernregistraties zijn zaken, medewerkers en producten en diensten. Het hergebruik maken van gegevens uit kernregistraties is niet wettelijk verplicht. Het verdient wel de aanbeveling om binnengemeentelijk de kernregistraties net zo te behandelen als een basisregistratie. Kernregistraties bevatten gegevens die binnengemeentelijk feitelijk de functie van een basisregistratie vervullen. Het gebruik van gegevens uit kernregistraties zou binnen de gemeente verplicht moeten zijn. Dezelfde verplichting moet ook gelden ten aanzien van het terugmelden. Bij gerede twijfel aan de juistheid van kerngegevens dient dit aan de betreffende bronhouder teruggemeld te worden. Sectorale gegevens Sectorale gegevens zijn domein specifieke gegevens welke, al daar niet gecombineerd met andere gegevens, door meerdere afnemers gebruikt worden. Per sector/domein wordt bepaald wat de inhoud van de sectorale set van gegevens is. Voorbeelden van sectorale gegevens zijn de gemeentelijke sociale dienst gegevens die door gemeenten worden aangeleverd aan het SUWI domein. Taak-specifieke gegevens Taak-specifieke gegevens zijn gegevens die van belang zijn voor binnen de afhandeling van een bepaalde taak of proces. Deze gegevens worden niet meervoudig gebruikt en zijn niet relevant voor afnemers. Voorbeelden van taak-specifieke gegevens zijn gegevens die binnen een taakspecifieke applicatie gebruikt worden om processen mee te parameteriseren.
46
Bijlage D: Voorbeeld Transparantiedocument Uit de praktijk van de gemeente Rotterdam hebben wij onderstaand voorbeeld van een transparantiedocument opgenomen. Dit is een voorbeeld. Ook in Rotterdam wordt dit document regelmatig aangepast aan het voortschrijdend inzicht en de veranderende praktijk. Transparantiedocument 1.1 Definitie Transparantiedocument Document met de beschrijving van de publieke taak van de Gegevensafnemer, het doel van de verwerking en de gegevens- en personenset per verwerking. 1.2 Organisatie Naam van de betrokken binnengemeentelijke Gegevensafnemer vermelden. 1.3 Betrokken organisaties en/of organisatieonderdelen 1.3.1 Indien de gegevensverstrekking betrekking heeft op organisatieonderdelen, deze organisatieonderdelen vermelden. 1.3.2 Als er onderdelen van andere organisaties en/of derden betrokken zijn, deze vermelden. Het gaat in casu om het organisatieonderdeel of organisatieonderdelen waar de verwerking daadwerkelijk zal plaatsvinden. 1.4 Publieke taken van de Gegevensafnemer 1.4.1 Er zal duidelijk aangegeven dienen te worden welke wetsartikelen opdracht aan de Gegevensafnemer toekennen ter uitvoering van zijn/haar publieke taken. De publieke taken kunnen ook voortvloeien uit een samenstel van wetten. Om een zo goed mogelijk beeld te krijgen van de grondslag voor de gegevensverstrekking moeten de verschillende wettelijke kaders en de daaruit voortvloeiende lagere wetgeving worden beschreven. 1.4.2 Daarnaast moet duidelijk blijken dat de Gegevensafnemer geadresseerde is van de genoemde wetgeving. 1.5 Wijze van levering van de gegevens De wijze van aanlevering van de gegevens vermelden. 1.6 Doelgroep en gegevensset Doelgroep benoemen en de gewenste gegevenselementen van de betreffende groep opsommen. 1.7 Bewerking en opslag en filterinstellingen De applicatie vermelden waarin de basis- en/of kerngegevens verwerkt en opgeslagen zullen worden. Tevens zal aangegeven moeten worden hoe het filter is opgebouwd. 1.8 Melding CBP 1.8.1 Indien de levering GBA-gegevens betreft, vermelden of de registratie(s) (gegevensverwerking) bij het College Bescherming Persoonsgegevens (CBP) is/zijn gemeld.
47
1.8.2 Bij melding aan het CBP, de meldingsnummers noteren. 1.8.3 Bij niet-melding aan het CBP, de reden hiervoor aangeven. 1.9 Distributie en doorlevering 1.9.1 Gegevens uit de basis- en/of kernregistratie worden door Gegevensafnemer alleen gebruikt in het kader van de uitvoering van zijn/haar publieke taken. Distributie naar en gebruik van deze gegevens door andere partijen mag niet onverenigbaar zijn met het oorspronkelijke doel van de verstrekking. 1.9.2 Aangeven of de gegevens voor verdere verwerking aan andere partijen zullen worden doorgeleverd. 1.9.3 In geval van doorlevering, de partijen aan wie zal worden doorgeleverd vermelden. 1.10 Informatiebeveiliging 1.10.1 Beveiliging vindt plaats in overeenstemming met het op moment van levering geldende Informatiebeveiligingsbeleid Gemeente Rotterdam. 1.10.2 Aangeven of de opslag en distributie, en overige vormen van persoonsverwerking, aan de geldende eisen voor informatiebeveiliging, waaronder het gemeentelijke informatiebeveiligingsbeleid voldoen. 1.11 Autorisatiebeheer Vermelden wie bij de Gegevensafnemer is geautoriseerd.
48
Bijlage E: Bronnen iOverheid, Wetenschappelijke Raad voor het Regeringsbeleid (WRR), maart 2011 http://www.wrr.nl/fileadmin/nl/publicaties/PDF-Rapporten/I_Overheid.pdf Beveiliging van persoonsgegevens, College bescherming persoonsgegevens (CBP), februari 2013. http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiliging-persoonsgegevens.pdf Privacy enhancing technologies, Witboek voor beslissers, ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), december 2004. http://www.cbpweb.nl/downloads_technologie/witboek_pet.pdf G.W. van Blarkom en drs. J.J. Borking, ‘Beveiliging van persoonsgegevens’, Achtergrondstudies en Verkenningen nr. 23, Registratiekamer, april 2001 http://www.cbpweb.nl/downloads_av/av23.pdf Handreiking gegevensmanagement, Kwaliteitsinstituut Nederlandse Gemeenten (KING), april 2012 http://new.kinggemeenten.nl/sites/default/files/document/gr_/20130409_Handreiking_Gegevensm anagement.pdf Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten, Informatiebeveiligingsdienst (KING), mei 2013 https://new.kinggemeenten.nl/sites/default/files/document/gr_2010/Strategische-BaselineInformatiebeveiliging-Nederlandse-Gemeenten-mei-2013-versie-1.0-IBD_0.pdf Over semantische interoperabiliteit, Samenwerken en elkaar begrijpen, Forum Standaardisatie, maart 2011 http://www.forumstandaardisatie.nl/fileadmin/os/publicaties/Folder_Samenwerken_en_elkaar_beg rijpen_website.pdf
49
Bijlage F: Deelnemers De volgende personen hebben bijgedragen aan de totstandkoming van dit document. •
Wim Stolk (gemeente ’s Hertogenbosch)
•
Arris Oliemans (gemeente Amsterdam)
•
Marielle Nuijs (gemeente Amsterdam)
•
Hans Jansen (gemeente Arnhem)
•
Geert Wester (gemeente Deventer)
•
Remco Rekoert (gemeente Edam-Volendam)
•
Agnes Bolte (gemeente Ede)
•
Andrea Krush (Equalit)
•
Henriëtte Barkhuis (gemeente Groningen)
•
Rik Duursma (gemeente Haarlemmermeer)
•
Michael Bakker (gemeente Hoorn)
•
Peter van der Linde (gemeente Houten)
•
Patrick Koek (gemeente Rotterdam)
•
Ko Mies (PBLQ)
•
Arnoud Quanjer (KING)
50
KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG T 070 373 80 08 F 070 363 56 82
[email protected] WWW.KINGGEMEENTEN.NL
51
