PSA (Project Startarchitectuur)/Sjabloon principes

Uit NORA Online
< PSA (Project Startarchitectuur)
Naar navigatie springen Naar zoeken springen


Historie NORA
Historie NORA
NB: Deze pagina maakt deel uit van de Historie van de NORA en kan verouderde informatie bevatten!'

Er is een nieuw PSA format beschikbaar in pdf format (PDF, 380 kB), dat in de zomer van 2023 geplaatst wordt op noraonline.nl als webversie en .odt. De nieuwe versie gaat uit van de nieuwe NORA Bindende Architectuurafspraken die per 1-1-2023 zijn ingegaan en is ook op vele andere punten geactualiseerd. NB: NORA raadt het af om nog gebruik te maken van het oude sjabloon.

NORA-instrumenten
Contact
Bas Kaptijn
nora@ictu.nl
Status


Alle pagina's over PSA


Tabel met alle NORA Afgeleide principes, die overgenomen kan worden in een PSA en aangevuld met de projecttoepassing.

CSV-download van onderstaande tabel NB: csv-downloads werken het beste met een Open Office - variant, MS Excel houdt geen rekening met regeleinden waardoor verspringingen optreden bij langere beschrijvingen.

IDNaamStellingImplicatiesToepassing in project
AP01Diensten zijn herbruikbaarDe dienst is zodanig opgezet, dat andere organisaties deze in eigen diensten kunnen hergebruikenDe dienst:
  • is zó beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden
  • maakt maximaal gebruik gemaakt van (open) standaarden om zo min mogelijk drempels op te werpen voor gebruik
  • kent een minimum aan gebruiksvoorwaarden
  • is aangemeld bij een landelijk serviceregister
AP02Ontkoppelen met dienstenDe stappen uit het dienstverleningsproces zijn ontsloten als dienst.
  • De dienstverlener heeft afgewogen welke ondersteunende processtappen, handelingen en informatie-objecten uit het dienstverleningsproces meerwaarde hebben voor andere organisaties
  • Deze handelingen en objecten zijn beschreven en ontsloten als afzonderlijke en herbruikbare diensten
  • De resulterende diensten zijn zó beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden
  • De diensten zijn gepubliceerd in een landelijk serviceregister of dienstencatalogus.
    • AP03Diensten vullen elkaar aanDe dienst vult andere diensten aan en overlapt deze nietDe dienst:
    • is beschreven
    • de opzet is afgestemd met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen
    • sluit aan op de verwante diensten.
    AP04Positioneer de dienstDe dienst is helder gepositioneerd in het dienstenaanbod.De dienst wordt in de context van de bredere overheidsdienstverlening beschreven, gecommuniceerd en ontsloten:
  • de relevante groep diensten is bepaald (op basis van life event, doelgroep etc.)
  • er is onderzocht hoe deze diensten, voor welke doelgroepen ontsloten wordt: via welke organisaties, loketten, websites, formulieren etc.
  • de dienst is beschreven in relatie tot de andere diensten in dit domein
  • de dienst wordt aangeboden via de in dit domein gebruikelijke contactfuncties.
    • AP05Nauwkeurige dienstbeschrijvingDe dienst is nauwkeurig beschreven.Zorg voor een adequate beschrijving van de dienst. Deze beschrijft o.a.
  • begrippenkader of semantisch model
  • resultaat van de dienst voor afnemers
  • verantwoordelijke organisatie. Zie AP 26
  • wettelijke basis
  • prijs en leveringsvoorwaarden
  • wijze van ontsluiting
    • website, Klantcontactcentrum, formulieren
    • vereiste authenticatie
  • dialoog. De dienst kan alleen geleverd worden na afronding van een dialoog tussen afnemer en dienstverlener. Denk aan: de aanvraag van de dienst door de afnemer, de wedervraag van de dienstverlener om meer informatie en het antwoord daarop. Deze dialoog stelt voorwaarden aan de afnemer. De afnemer moet de beschrijving van deze dialoog begrijpen, wil hij aan de voorwaarden kunnen voldoen.
  • Kwaliteitsindicatoren voor aspecten als toegankelijkheid, vindbaarheid, beschikbaarheid, uitwisselbaarheid, betrouwbaarheid, authenticiteit en volledigheid. Deze indicatoren maken sturing op kwaliteit mogelijk. Op basis daarvan kan de dienstverlener verantwoording afleggen aan opdrachtgevers, afnemers en derde partijen (b.v. toezichthouders). Zie AP 29 en 30
  • De kwaliteit van de dienst is vastgelegd in algemene leveringsvoorwaarden. Afspraken met afnemers worden vastgelegd in bijvoorbeeld Service Level Agreements (SLA's). De leveringsvoorwaarden en SLA's leggen zowel eisen op aan de leverende partij als aan de afnemer (randvoorwaardelijk voor de levering).
    • AP06Gebruik standaard oplossingenDe dienst maakt gebruik van standaard oplossingen
  • De voor de dienst relevante standaardoplossingen zijn geïnventariseerd voor gebieden zoals:
    • identificatie
    • authenticatie
    • autorisatie
    • onweerlegbaarheid
    • encryptie
    • semantiek
    • toegankelijkheid
    • presentatie en vormgeving
  • Oplossingen zijn op geschiktheid beoordeeld. Bij geschiktheid zijn ze opgenomen in de opzet van de dienst
    • AP07Gebruik de landelijke bouwstenenDe dienst maakt gebruik van de landelijke bouwstenen e-overheid
    • De voor de dienst relevante bouwstenen zijn geïnventariseerd en op geschiktheid beoordeeld;
    • Bij geschiktheid zijn ze opgenomen in de opzet van de dienst.
    AP08Gebruik open standaardenDe dienst maakt gebruik van open standaarden
    • Met afnemers zijn afspraken gemaakt over de te gebruiken open standaarden. Hierbij wordt tijdig geanticipeerd op de ontwikkeling van de open standaarden
    • Volgens (open) standaarden zijn beschreven:
      • de interactieprocessen
      • het berichtenverkeer
      • Applicatieportfolio
    • Organisaties werken volgens een open standaard voor procesmodellering die door alle samenwerkende partijen op uniforme wijze wordt toegepast. De gekozen open standaard is bepalend voor de keuze van modelleersystemen die deze standaard ondersteunen.

    Een overzicht van vastgestelde open standaarden waarvoor het 'pas toe - of leg uit' - regime geldt, is te vinden op Lijst open standaarden

    AP09Voorkeurskanaal internetDe dienst kan via internet worden aangevraagdDe organisatie is in staat om communicatie met de afnemer via internet en de andere gekozen kanalen af te wikkelen.
    AP10Aanvullend kanaalDe dienst kan, behalve via internet, via minimaal één ander kanaal voor persoonlijk contact worden aangevraagd.De organisatie is in staat om communicatie met de afnemer via meerdere kanalen af te wikkelen
    AP11Gelijkwaardig resultaat ongeacht kanaalHet resultaat van de dienst is gelijkwaardig, ongeacht het kanaal waarlangs de dienst wordt aangevraagd of geleverd.
    • Alle relevante (klantcontact)informatie is beschikbaar voor de medewerkers aan het loket.
    • De dienstverlener kan altijd beschikken over het klantbeeld (zie definitie) en alle relevante contactinformatie met de klant, ongeacht het kanaal waarover de communicatie is en /of wordt gevoerd.
    • Op alle kanalen is dezelfde informatie beschikbaar, uit één bron.
    • Verwerking en intake zijn losgekoppeld: afhandeling van aanvragen kan onafhankelijk van het kanaal gebeuren waarlangs het verzoek binnen komt.
    • De mogelijke wisselingen tussen de kanalen zijn beschreven, zodat de afnemer op verschillende contactmomenten verschillende kanalen kan kiezen.
    • Informatie over de kanaalkeuze, per contactmoment is als meta-informatie vastgelegd.
    AP12Eenmalige uitvraagAfnemers wordt niet naar reeds bekende informatie gevraagd
    • Er is een overzicht van alle voor de levering van de dienst noodzakelijke gegevens
    • Van elk van deze gegevens is vastgesteld of het al bij de overheid geregistreerd staat of niet. Voor de gegevens die reeds geregistreerd staan, is vastgesteld wat de bronregistratie is. Ook is vastgesteld welke van deze gegevens authentieke gegevens zijn
    • Zijn er voor de dienst authentieke gegevens nodig, dan worden deze betrokken uit de basisregistraties.
    • Is er behoefte aan niet-authentieke gegevens, dan wordt nagegaan of deze deze informatie al in eigen huis of bij andere overheidsorganisaties beschikbaar is. Wanneer dat het geval is en de WBP het toestaat, wordt deze informatie hergebruikt. Ook wanneer een andere organisatie de bronhouder is, wordt de informatie daarvan afgenomen.
    • Is de informatie al beschikbaar en moet deze enkel gecontroleerd en aangevuld worden? Leg dan de reeds beschikbare informatie ter controle en aanvulling voor aan de afnemer.
    AP13Bronregistraties zijn leidendAlle gebruikte informatieobjecten zijn afkomstig uit een bronregistratie.
    • Alle relevante informatie-objecten zijn geïnventariseerd
    • informatie-objecten worden beheerd.
    • Per informatie-object is de bron en daarmee de juridische aansprakelijkheid voor de juistheid van het object vastgesteld
    • Authentieke gegevens, zoals beschreven in de wetgeving op basisregistraties, worden afgenomen van de basisregistraties
    • De juistheid van de gebruikte informatie-objecten wordt niet voor gebruik gecontroleerd
    AP14Terugmelden aan bronhouderBij gerede twijfel aan de juistheid van informatie, meldt de dienstverlener dit aan de verantwoordelijke bronhouder
    • Er zijn procedures en middelen om twijfel aan de juistheid te melden.
    • Met bronhouders zijn afspraken gemaakt voor de inname en verwerking van de meldingen.
    • Van alle in de dienst gebruikte gegevens is vastgelegd welke acties bij gerede twijfel aan deze gegevens moeten worden uitgevoerd.
    AP15Doelbinding (AP)Het doel waarvoor informatie wordt (her)gebruikt is verenigbaar met het doel waarvoor deze oorspronkelijk is verzameld.
    • Op basis van de meta-informatie kan worden vastgesteld wat de oorspronkelijke reden is van het verzamelen van de informatie.
    • Het doel waarvoor informatie wordt uitgevraagd, is vastgelegd en getoetst door bevoegde instanties.
    • In samenwerkingsrelaties is vooraf bepaald wat het gemeenschappelijke doel van de samenwerking is en of alle deelnemers in het kader hiervan informatie mogen delen, bijvoorbeeld over personen.
    AP17Informatie-objecten systematisch beschrevenDe aan de dienst gerelateerde informatieobjecten zijn, uniek geïdentificeerd, in een informatiemodel beschreven.
    1. Systematisch beschrijven en uniek identificeren van informatieobjecten volgens de relevante metadata-standaarden, waarbij gebruik wordt gemaakt van de FAIR principes (Findable, Accessible, Interoperable, Reusable), zie www.dtls.nl.
    2. Het visualiseren van de informatieobjecten in hun onderlinge samenhang (informatiemodel) zodat de structurele relaties tussen informatieobjecten duidelijk worden.
    3. Digitaal publiceren van het informatiemodel (beschrijving en de visualisatie).

    Voor het beschrijven van informatieobjecten in een informatiemodel is een stappenplan beschikbaar, samengevat:

    • Maak een overzicht van de (types) informatieobjecten die benodigd zijn voor de dienst.
    • Zorg ervoor dat al deze informatieobjecten systematisch zijn beschreven, inclusief hun metadata.
    • Relateer de informatieobjecten aan bestaande informatiemodellen.
    • Publiceer de informatieobjecten digitaal en benoem de vindplaats zodat ze uniek identificeerbaar zijn.
    AP18Ruimtelijke informatie via locatieDe dienst ontsluit ruimtelijke informatie locatiegewijs.
    • Er is vastgesteld of: **de dienst ruimtelijke informatie bevat die op een interactieve kaart kan worden ontsloten **welke kaartinformatie er in het relevante domein van diensten wordt gebruikt om ruimtelijke informatie in te ontsluiten *De geïdentificeerde ruimtelijke informatie is ontsloten via de relevante interactieve kaarten.
    AP19Perspectief gebruikerDe gebruiker staat aantoonbaar centraal gedurende het (door-)ontwikkelen van diensten en ondersteunende systemen.1. Bij het (door-)ontwikkelen van een product of dienst moet de context van de gebruiker meegewogen worden. Houd dus rekening met de omstandigheden, de combinatie van andere (private en overheids-)diensten en het doel. Het kan nodig zijn om verschillende diensten gezamenlijk door te ontwikkelen.

    2. Een ketendienst moet zowel rekening houden met de (eind)gebruiker als met de tussenliggende gebruikers. Hierbij is het bereiken van het doel van de dienstverlening leidend. Dit houdt in dat ook het gebruikersgedrag over de keten heen moet worden gemeten.

    3. Een dienst of product is nooit ‘af’ maar blijft zich ontwikkelen. Hiervoor wordt structureel rekening gehouden in de jaarlijkse budgetteringen. Eigenaren, beheerders èn ontwikkelaars zijn gespitst op ontwikkelingen in de omgeving die aanpassing noodzakelijk maken (zoals nieuwe bedieningsconcepten of technologieën). Men moet bedacht zijn op nieuwe diensten die bestaande producten en diensten sterk kunnen beïnvloeden of zelfs overbodig kunnen maken.

    4. Gebruikers moeten (gewijzigde) behoeften kunnen doorgeven aan de eigenaar van de dienst die ontvankelijk is voor deze feedback. Daarnaast is deze eigenaar actief op zoek naar informatie over de behoeften, verwachtingen en vaardigheden van de gebruikers.

    5. Vanaf het ontwikkeltraject tot en met de beheerfase is op basis van daadwerkelijk gemeten gebruikergegevens (geanonimiseerd monitoren van de dienst zelf) en de ervaring van de gebruikers van de voorziening (marktonderzoek en analytics) verwerkt naar een volgende versie of aanpassing. Hierbij moeten privacy regels en informatiebeveiliging regels in acht worden genomen.
    AP20Persoonlijke benaderingDe dienst benadert geïdentificeerde afnemers op persoonlijke wijze.
    • De dienstverlener slaat klantcontactinformatie op (contactmomenten-, personen, afgenomen diensten en voorkeuren) en bouwt op basis hiervan klantbeelden (zie definitie) op.
    • De dienst wordt aangevraagd en geleverd op basis van deze klantbeelden.
    • Dit klantbeeld is beschikbaar in alle contactfuncties (zie definitie) wanneer er contact is met de afnemer
    • Bij de verzameling van klantcontactinformatie informeert de dienstverlener de betrokkenen over alle verwerkingen.
    • De dienstverlener deelt klantcontactinformatie met andere dienstverleners in het kader van persoonsgerichte dienstverlening. Juridische en praktische implicaties hiervan zijn onderzocht.
    AP21Bundeling van dienstenDe dienst wordt gebundeld met verwante diensten zodat deze samen met één aanvraag afgenomen kunnen worden.
    • De aanbod- en vraagzijde van de markt zijn in kaart gebracht:
      • doelgroepen en hun perspectief
      • aanverwante diensten en dienstverleners
    • Afstemming is gezocht met de andere relevante (overheids)dienstverleners
    • De dienst wordt (vanuit perspectief van de afnemer) gebundeld aangeboden met een of meer diensten van andere organisaties
    AP22No wrong doorOverheidsloketten verwijzen gericht door naar de dienst
    • De dienstverlener zorgt voor informatie over de dienst en een passende ontsluiting.
    • Er is onderzocht welke contactfuncties het meest gebruikt worden door de doelgroep van de dienst (die dus de meeste afnemers zouden kunnen doorverwijzen). Afspraken met de betreffende organisaties borgen de doorverwijzing.
    • Deze contactfuncties en hun medewerkers beschikken over de informatie die nodig is om de vraag van de afnemer zodanig te verhelderen, dat gericht naar de dienst kan worden doorverwezen. Deze medewerkers zijn in staat om te werken met alle relevante zoekinstrumenten.
    • De dienst is vindbaar en toegankelijk via alle contactfuncties
    • De dienst maakt deel uit van overzichten van overheidsdienstverlening (zoals Samenwerkend Catalogi, thematische webportals)
    AP23Automatische dienstverleningDe dienst wordt na bepaalde signalen automatisch geleverd.Per dienst is bepaald:
    • of automatische verstrekking gewenst is
    • de invulling van de automatische verstrekking
    • welke signalen (ook van andere organisaties) de dienstverlening in gang zetten. De dienstverlener deelt daartoe klantcontactinformatie met andere dienstverleners. Juridische en praktische implicaties hiervan zijn onderzocht.
    AP24Proactief aanbiedenDe dienst ondersteunt proactiviteit van dienstverleners binnen en buiten de organisatiePer dienst is bepaald:
  • voor welke doelgroepen en in welke situaties een proactief aanbod van de dienst gewenst is
  • welke signalen de dienstverlening in gang zetten
  • welke andere verwante diensten in dit domein worden aangeboden
  • welke dienstverleners in dit domein contact hebben met de doelgroep. Deze dienstverleners krijgen de informatie die nodig is om de relevantie van de dienst voor de doelgroep te kunnen beoordelen.
  • welke klantcontactinformatie voor andere dienstverleners als signaal bruikbaar is en wat de juridische en praktische implicaties van dit hergebruik zijn
    • AP25Transparante dienstverleningAfnemers worden geïnformeerd over de stand van zaken bij de gevraagde dienst.
  • De dienstverleningsprocessen zijn geautomatiseerd.
  • De afnemer kan online 24/7 per week, of op elk ander afgesproken moment, de status raadplegen.
  • Statusovergangen zijn inzichtelijk gemaakt.
  • De voor de afnemer relevante voortgangsinformatie in de totstandkoming van diensten is beschreven (zowel als kwaliteitsattribuut in het metamodel van de dienst, als in de leveringsvoorwaarden (SLA)).
  • Voor het bepalen van relevante voortgangsinformatie is de behoefte van de afnemer of doelgroep geïnventariseerd.
  • De bijbehorende stadia in het uitvoeringsproces zijn eenduidig vastgelegd en gekoppeld aan het klant- en zaaknummer.
  • Aan de voortbrenging van de dienst is een casus of zaak gekoppeld die uniek identificeerbaar is en via alle kanalen beschikbaar en toegankelijk (transparant) blijft gedurende de geldigheidstermijn.
  • Voortgangsinformatie wordt ontsloten via alle kanalen waarlangs de dienst wordt verleend én via de persoonlijke contactvoorzieningen van voorkeur van de afnemer (ViaMijnBank, MijnOverheid.nl, MijnBerichten, e-mail).
  • De afnemer wordt geïnformeerd over statuswijzigingen.
    • AP26Afnemer heeft inzageDe afnemer heeft inzage in de eigen informatie en het gebruik er van
    • Tijdens verlening van de dienst wordt de verwerking en verstrekking van informatie als zodanig vastgelegd.
    • Daarbij wordt vastgelegd welke medewerkers de informatie hebben bewerkt en aan welke organisaties deze informatie is verstrekt.
    • Deze informatie wordt ontsloten via de contactvoorzieningen die voor het doel van inzage zijn ingericht.
    • Bij het verzamelen van persoonsgegevens worden betrokkenen op de hoogte gesteld van het doel of de doeleinden waarvoor de gegevens worden verzameld.
    AP27Een verantwoordelijke organisatieEén organisatie is verantwoordelijk en aanspreekbaar voor de dienst
    • In de dienstbeschrijving is duidelijk op welke prestatie de dienst betrekking heeft en welke organisatie hiervoor verantwoordelijk is *In de vormgeving en communicatie van de dienst wordt de verantwoordelijke organisatie duidelijk gepresenteerd*Wanneer de dienst in een bundel wordt aangeboden die in één keer kan worden afgenomen, wordt helder gecommuniceerd dat het hier een bundel betreft, met per dienst de verantwoordelijke organisatie.
    AP28Afspraken vastgelegdDienstverlener en afnemer hebben afspraken vastgelegd over de levering van de dienst
    • De dienst is nauwkeurig beschreven, zie AP 5 Nauwkeurige dienstbeschrijving.
    • Hierbij is bepaald wie de afnemers zijn, wat zij mogen verwachten en wat de voorwaarden voor levering zijn.
    • De dienst wordt verleend nadat de afnemer akkoord is gegaan met de voorwaarden. Wanneer het op praktische bezwaren stuit om met iedere afnemer afzonderlijk afspraken te maken, kan de dienstverlener deze afspraken maken met een vertegenwoordiger van de afnemers
    • Bij bedrijfskritische diensten of diensten met een zeer vertrouwelijk karakter is het akkoord en de inhoud daarvan schriftelijk vastgelegd. Denk hierbij aan Service Level Agreements (SLA) en Gegevens Levering Overeenkomsten (GLO).
    • De dienstverlener geeft hierbij ook aan welk betrouwbaarheidsniveau geldt voor de identificatie van de afnemer.
    AP29De dienstverlener voldoet aan de normDe dienstverlener draagt zelf de consequenties wanneer de dienst afwijkt van afspraken en standaarden.
    • Voor de dienst is vastgesteld aan welke normen en standaarden deze moet voldoen.
    • De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van de norm zijn geïdentificeerd.
    • Voor alle afwijkingen zijn voorzieningen getroffen.
    AP30Verantwoording dienstlevering mogelijkDe wijze waarop een dienst geleverd is, kan worden verantwoordPer dienst is bepaald:
    • de informatie-objecten die van belang zijn voor hergebruik, controle en verantwoording van de dienst
    • de eisen die aan deze informatie-objecten worden gesteld, (bv. t.a.v. inhoud, structuur, verschijningsvorm (en in bepaalde gevallen ook het gedrag)
    • het moment, de wijze van archiveren en de termijn waarop deze informatieobjecten moeten worden bewaard.
    • de vragen die de audittrail moet beantwoorden.
    • de beheeractiviteiten op de informatie-objecten zijn uitgevoerd
    • met welke besturings- of toepassingsprogrammatuur zij worden beheerd
    AP31PDCA-cyclus in besturing kwaliteitDe kwaliteit van de dienst wordt bestuurd op basis van cyclische terugkoppeling.
  • Voor de start van de ontwikkeling van een nieuwe dienst zijn de vereisten waaraan de dienst moet voldoen schriftelijk vastgelegd.
  • monitoring vindt plaats van:
    • naleving prestatie normen
    • gebruiksstatistieken
    • Klanttevredenheid
  • feedback door afnemers wordt actief ondersteund met behulp van:
    • focusgroepen
    • klachtenprocedures
    • cliëntenraden
  • Een gestructureerd proces voor methodische verwerking van issues en voorstellen voor verandering is ingericht
    • AP32Sturing kwaliteit op het hoogste niveauSturing op de kwaliteit van de dienst is verankerd op het hoogste niveau van de organisatieDe hoogst verantwoordelijke binnen de organisatie is verantwoordelijk voor en legt verantwoording af over:
    • het voor de dienst relevante kwaliteitsbeleid en de wijze van monitoring van de kwaliteit
    • de geleverde prestaties
    • naleving van afspraken met afnemers.
    AP33Baseline kwaliteit dienstenDe dienst voldoet aan de baseline kwaliteit.
  • De dienstverlener heeft voor zijn gehele pakket van diensten de algemeen geldende kwaliteitscriteria, standaarden en best practices geïdentificeerd.
  • De kwaliteitscriteria, standaarden en best practices zijn vertaald in een bij de organisatie passende baseline.
  • De dienst voldoet aan deze baseline. In aanvulling daarop is bepaald in hoeverre aanvullende kwaliteitsmaatregelen vereist zijn.
  • Deze aanvullende maatregelen zijn genomen.
    • AP34Verantwoording besturing kwaliteitDe dienstverlener legt verantwoording af over de mate van control, in overleg met de afnemer.
    • In overleg met afnemers is de wijze van verantwoording en vorm van toetsing vastgesteld.
    • PDCA-cycli op strategisch en tactisch niveau zijn ingericht.
    • De baseline kwaliteit is vastgesteld.
    • De naleving van de baseline en aanvullende kwaliteitsmaatregelen zijn gecontroleerd.
    • De directie legt verantwoording af.
    • De verantwoording en bijbehorende toetsingsrapportages zijn toegankelijk voor afnemers (voor zover dit geen risico's oplevert voor de informatiebeveiliging).
    AP40Onweerlegbaarheid (principe)De onweerlegbaarheid van berichtenuitwisseling wordt gegarandeerd door wederzijdse authenticatie en door versleuteling van elektronische handtekeningen.De onweerlegbaarheid van transacties wordt gegarandeerd door wederzijdse authenticatie en versleuteling van elektronische handtekeningen.

    Specifiek:

    • Er is vastgesteld welke berichten onweerlegbaar moeten zijn.
    • Bij deze berichten is geborgd dat het ontvangen bericht afkomstig is van de afzender en dat de inhoud niet door derden is beïnvloed.
    AP41BeschikbaarheidDe beschikbaarheid van de dienst voldoet aan de met de afnemer gemaakte continuïteitsafspraken.De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door vermeervoudiging van systeemfuncties, door herstelbaarheid en beheersing van verwerkingen, door voorspelling van discontinuïteit en handhaving van functionaliteit.

    Specifiek:

    • Het niveau van beschikbaarheid is in overleg met de afnemers vastgesteld
    • ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid
    • De continuïteit van voorzieningen wordt bewaakt, bij bedreiging van de continuïteit wordt alarm geslagen en er is voorzien in een calamiteitenplan.
    • De toegankelijkheid van openbare informatie en informatie die die relevant is voor vertrouwelijke- en zaakgerelateerde diensten, is gewaarborgd. Wanneer informatie verplaatst is, of niet meer (online) beschikbaar, worden bezoekers doorverwezen naar de plaats waar deze wel te vinden is.
    • De afnemer merkt niets van wijzigingen in het beheer van de dienst.
    • Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is.
    • De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard.
    AP42IntegriteitDe dienstverlener waarborgt de integriteit van gegevens en systeemfuncties.De integriteit van gegevens en systeemfuncties wordt gegarandeerd door validatie en beheersing van gegevensverwerking en geautoriseerde toegang tot gegevens en systeemfuncties, door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling en door beperking van functionaliteit.

    Controle van gegevensverwerking:

    • De criteria voor juistheid, en tijdigheid zijn vastgesteld
    • controleren vanuit een systeemvreemde omgeving ingevoerde gegevens op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt.
    • controleren te versturen gegevens op juistheid, volledigheid en tijdigheid
    • controleren ter verwerking aangeboden gegevens op juiste, volledig en tijdige verwerking
    • vergelijken periodiek kritieke gegevens die in verschillende gegevensverzamelingen voorkomen met elkaar op consistentie. Dit geldt alleen zolang als de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens.
    AP43Vertrouwelijkheid (principe)De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens.De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens.

    Fysieke en logische toegang:

    • Per dienst zijn de mate van vertrouwelijkheid en de bijbehorende identificatie-eisen vastgesteld
    • Voor een intern systeem, besloten gebouw of ruimte, geldt: “niets mag, tenzij toegestaan”. Daarom wordt de gebruiker voor toegangsverlening geauthenticeerd. Voor afnemers van vertrouwelijke diensten geldt hetzelfde. Daardoor zijn deze gebruikers en afnemers uniek herleidbaar tot één natuurlijk persoon, organisatie of ICT-voorziening.
    • Bij authenticatie dwingt het systeem toepassing van sterke wachtwoordconventies af.
    • De instellingen van het aanmeldproces voorkomen dat een gebruiker werkt onder een andere dan de eigen identiteit.
    • Om de mogelijkheden van misbruik te beperken, hebben gebruikers van systemen niet méér rechten dan zij voor hun werk nodig hebben (autorisatie). Daarbij zijn maatregelen getroffen om een onbedoeld gebruik van autorisaties te voorkomen.
    • Verleende toegangsrechten zijn inzichtelijk en beheersbaar.
    • De identificatie.-eis voor een samengestelde dienst wordt bepaald door de dienst met de hoogste identificatie -eis.

    Zonering en Filtering:

    • De zonering en de daarbij geldende uitgangspunten en eisen per zone zijn vastgesteld.
    • De fysieke en technische infrastructuur is opgedeeld in zones.
    • Deze zones zijn voorzien van de benodigde vormen van beveiliging (de 'filters').
    • Informatie-betekenisvolle gegevens.-uitwisseling en bewegingen van mensen tussen zones wordt naar vorm en inhoud gecontroleerd en zo nodig geblokkeerd
    AP44ControleerbaarheidDe dienstverlener zorgt ervoor dat de beoogde toegang tot gegevens en de juiste werking van zijn systemen continu alsook achteraf te controleren is.De controleerbaarheid van gebruikers- en systeemgedrag wordt gerealiseerd door registratie en bewaking van gebeurtenissen en door alarmering op het overschrijden van toelaatbare drempels. Specifiek voor logging: analyseer periodieke logbestanden om de juiste werking van het systeem vast te stellen en beveiligingsincidenten te detecteren.

    Nederlandse Overheid Referentie Architectuur.

    De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

    De op schrift gestelde voorwaarden op basis waarvan standaard de levering van diensten plaatsvindt.

    De persoon of organisatie die een dienst in ontvangst neemt. Dit kan een burger, een (medewerker van een) bedrijf of instelling dan wel een collega binnen de eigen of een andere organisatie zijn.

    Houdt in dat informatie vindbaar, interpreteerbaar en uitwisselbaar is.

    Houdt in dat informatie binnen redelijke termijn kan worden gevonden.

    De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

    De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid.

    Een kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.

    Betekent dat alle procesgebonden informatie is vastgelegd en wordt beheerd die aanwezig zou moeten zijn conform het beheerregime dat voor dat proces is vastgesteld.

    Het bekend maken van de identiteit van personen, organisaties of IT-voorzieningen.

    Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen

    Begrip dat gebruikt wordt bij elektronische berichtuitwisseling en dat inhoudt dat de zender van een bericht niet kan ontkennen een bepaald bericht te hebben verstuurd en dat de ontvanger van een bericht niet kan ontkennen het bericht van de zender in de oorspronkelijke staat te hebben ontvangen.

    Communicatiekanaal dat bij de dienstverlening wordt gebruikt. Elk kanaal kent verschillende vormen waarin informatie kan worden gedeeld.

    Een overzicht van de voorkeuren en behoeften van de klant op basis van geagregeerde klancontactinformatie

    Betekenisvolle gegevens.

    Betekenisvolle gegevens.

    De plaats waar een gegeven of document voor de eerste keer is vastgelegd

    Een op zichzelf staand geheel van gegevens met een eigen identiteit. Bijvoorbeeld: document, databasegegeven, emailbericht (met bijlagen), (zaak) dossier, internetsite (of een deel ervan),foto/afbeelding, geluidopname, wiki, blog enz.

    Er is sprake van gerede twijfel bij een afnemer over de juistheid van een gegeven als voldaan wordt aan de volgende criteria: er is een sterk vermoeden dat een (authentiek) gegeven onjuist is, dat vermoeden is gebaseerd op kennis en kunde van de eigen processen en doelgroep van de afnemer (een combinatie van kennis, kunde en gezond verstand) en de afnemer kent de definitie van dit (authentiek) gegeven.

    Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

    Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

    Een samenhangende hoeveelheid werk met een welgedefinieerde aanleiding en een welgedefinieerd eindresultaat, waarvan kwaliteit, voortgang en doorlooptijd inzichtelijk zijn en bewaakt worden.

    Overgenomen van "https://www.noraonline.nl/index.php?title=PSA_(Project_Startarchitectuur)/Sjabloon_principes&oldid=69415"