GEMMA 2.0. Tactisch Gegevensmanagement

Transcriptie

1 GEMMA 2.0 Tactisch Gegevensmanagement

2 Auteur KING Versie 1.0 Datum donderdag 1 januari

3 Versie historie Versie Datum Omschrijving januari 2015 Initiële versie 3

4 Inhoud 1 Inleiding Plaatsbepaling en reikwijdte Opzet beheer en onderhoud van de baseline Totstandkoming 7 2 Gegevensmanagement Definitie 8 3 Principes Basisprincipes Afgeleide principes 13 4 Gegevensmanagement producten Gegevenslandschap Gegevenscatalogus Kwaliteit Afspraken Beschikbaar stellen Proces gegevensmanagement 21 5 Rollen en verantwoordelijkheden Rollen uit het stelsel van basisregistraties Generieke gemeentelijke rollen Verantwoordelijkheden per rol 28 6 Betrouwbaarheid Wet bescherming persoonsgegevens (Wbp) Suwi wetgeving Archiefwet en bewaartermijnen Baseline Informatiebeveiliging gemeenten (BIG) Meldingsplicht aan het College Bescherming Persoonsgegevens 35 7 Aan de slag! Checklist Bewustwording Scorecard 39 Bijlage A: Gegevenssoorten en interoperabiliteit 42 Bijlage B: Typering van gegevens 44 Bijlage D: Voorbeeld Transparantiedocument 47 Bijlage E: Bronnen 49 Bijlage F: Deelnemers 50 4

5 1 Inleiding De invoering van de digitale overheid en de decentralisatie van taken van het Rijk naar gemeenten heeft grote consequenties voor gemeenten. Het digitale kanaal voor de gemeentelijke dienstverlening wordt, mede vanuit de visiebrief Digitale overheid 2017 van Minister Plasterk, steeds belangrijker. Door de toenemende digitale dienstverlening stromen gegevens in toenemende mate door verschillende ketens, zowel binnen- als buitengemeentelijk. Denk hierbij aan de invoering van de digitale overheid, de decentralisaties in het sociaal domein, de modernisering van de GBA en de modernisering van de omgevingswet. Al deze ontwikkelingen hebben grote gevolgen voor as gemeentelijke processen en dienstverlening. Gemeenten worden geacht meer dan voorheen onderdeel te worden van de samenleving en daarbij vooral focus te leggen op regie en coördinatie van de uitvoering. Daarmee worden gemeenten integraal onderdeel van ketens en netwerken met als gevolg meer gegevensuitwisseling buiten de domeinen om zowel met andere publieke, semi-publieke als ook private organisaties. Dat betekent een ander inzicht op het organiseren van de gegevenshuishouding. De verknoping van de verschillende informatieketens heeft grote voordelen voor de kwaliteit van informatie en voor de efficiency en effectiviteit van de gemeentelijke werkprocessen maar het brengt ook risico s met zich mee. Door deze verknoping wordt de kans op onbevoegd gebruik, en misbruik, van gegevens groter. Het vraagt bewuste keuzes en specifieke aandacht. Voor gemeenten wordt het inrichten van overkoepelend gegevensmanagement steeds belangrijker. Tot nu toe is dat bij de meeste organisaties nog een impliciet onderdeel van de I&A-functie of functioneel beheer. Bedrijfsprocessen lopen over de grenzen van afdelingen en sectoren heen en gegevens worden daarmee over applicaties, processen en organisatiegrenzen heen uitgewisseld. Beheer vanuit een applicatie, proces of afdeling is daarmee niet meer voldoende. De inrichting van gemeentelijk gegevensmanagement is een voorwaarde voor het kwalitatief en kwantitatief beheersbaar houden van de informatie en de effectieve en efficiënte invoering van de e-overheid. De dynamiek van door gemeenten uitgevoerde bedrijfsprocessen wordt steeds groter. Veranderende, en nieuwe, wet- en regelgeving leidt tot verschuiving van taken van de rijksoverheid naar de gemeente en ambities van gemeenten op het gebied van effectiviteit en efficiëntie leiden tot het herinrichten en optimaliseren van de inrichting van bedrijfsprocessen en zelfs het volledig outsourcen hiervan. Voor het efficiënt kunnen inrichten en uitvoeren van bedrijfsprocessen is een gemeentelijke informatievoorziening vereist die deze flexibiliteit ondersteund randvoorwaardelijk. Om de dynamiek van de bedrijfsprocessen te kunnen faciliteren moeten hoge eisen aan de inrichting van het gegevensmanagement van de gemeente gesteld worden. Gegevens moeten op een flexibele, veilige en transparante wijze beschikbaar worden gesteld conform een vooraf overeengekomen kwaliteit. Gemeenten stellen om bovenstaande redenen steeds hogere eisen aan zowel hun informatie- als hun gegevenshuishouding en hebben de behoefte aan een strategisch, tactisch en operationeel kader waaraan zij zich kunnen conformeren. De eerste stap op dit pad is het ontwikkelen van een Baseline Gegevensmanagement. Het tactisch deel van deze baseline ligt nu voor u. 5

6 1.1 Plaatsbepaling en reikwijdte Dit document is een uitwerking op tactisch niveau van de strategische baseline gegevensmanagement. Deze tactische baseline richt zich op de tactische aspecten van het inzamelen, beheren, beveiligen en ter beschikking stellen van gegevens. Deze baseline is gericht op alle gegevens die binnen de gemeente en met keten- en netwerkpartners gedeeld worden. Naast uitwisseling van basisgegevens behoren ook uitwisseling van gegevens van kernregistraties (belangrijke interne registraties die de organisatie als basisregistraties behandelt) en vakspecifieke gegevens tussen informatiedomeinen tot het werkgebied van gegevensmanagement. Het onderstaande schema maakt de positionering van gegevens in het NORA architectuurraamwerk duidelijk. Wat dit schema weergeeft is dat gegevens niet alleen aan de basis liggen van informatie en kennis maar ook centraal staan in de verschillende aspecten van de bedrijfs- informatie- en technische architectuur. Beveiliging Beheer Wie Wat Hoe Bedrijfsarchitectuur Organisatie Diensten en producten Processen Informatiearchitectuur Medewerkers en applicaties Berichten en gegevens Informatieuitwisseling Technische architectuur Technische componenten Gegevensopslag Netwerk Figuur 1 - Positionering van gegevens in het NORA architectuurraamwerk Gegevensmanagement richt zich op het organiseren van wat nodig is om de inhoud van de rode cirkel te realiseren (in te richten). Het richt zich op het geheel van activiteiten om in de gemeente op het juiste moment over de benodigde gegevens te beschikken. Dit omvat de gegevensuitwisseling intern en met andere organisaties, de kwaliteitsbewaking, monitoring en verantwoording en de beveiliging. Dit document doet geen uitspraken over de wijze waarop gemeenten hun interne werkprocessen of informatiearchitectuur vormgeven; dit dienen de gemeenten individueel uit te werken in eigen, interne architecturen en blauwdrukken. De GEMMA proces- en informatiearchitectuur en de baseline documentaire informatievoorziening zijn handvatten die men hiervoor kan gebruiken. 1.2 Opzet beheer en onderhoud van de baseline Deze baseline maakt deel uit van de GEMMA 2.0 portfolio van KING en valt onder de reguliere beheercyclus van de GEMMA

7 1.3 Totstandkoming Dit document is tot stand gekomen in afstemming met een werkgroep van gemeentelijke experts op het gebied van gegevens- en informatiemanagement en experts van KING. Dit document vervangt de Handreiking gegevensmanagement welke in 2013 door het Programma NUP van KING is gepubliceerd. 7

8 2 Gegevensmanagement Om de uitdagingen op de gebieden van uitwisseling van gegevens, kwaliteit van gegevens, informatiebeveiliging en het bieden van transparantie over de verwerking van gegevens het hoofd te kunnen bieden is het nodig om het gemeentelijk gegevensmanagement informatiekundig opnieuw vorm te geven. Het dient efficiënter, effectiever en beheersbaarder te worden om zodoende de vragen en eisen die aan gemeenten gesteld worden het hoofd te kunnen bieden. 2.1 Definitie Gegevensmanagement is een integrale en een integrerende activiteit binnen organisaties. De uitdaging is: te managen dat de gemeente te allen tijde, voorspelbaar, zal beschikken over alle gegevens die zij nodig heeft, van de juiste kwaliteit, tegen de verantwoorde kosten, en binnen weten regelgeving. Gegevensmanagement wordt als volgt gedefinieerd: Gegevensmanagement is het geheel van activiteiten om in de gemeente op het juiste moment over de juiste gegevens van de juiste kwaliteit te beschikken. Zoals de definitie aangeeft is gegevensmanagement het geheel van activiteiten om in de organisatie op het juiste moment over de benodigde gegevens te beschikken. Dit omvat de gegevensuitwisseling intern en met andere organisaties, de kwaliteitsbewaking, monitoring en verantwoording en de beveiliging. Gegevensmanagement is: 1. overkoepelend (verbinding van gegevens van vakspecifieke afdelingen), 2. verzamelt, en maakt gebruik van metadata (gegevens over gegevens), 3. gericht op bedrijfsmatige sturing van gegevens (planning en control), 4. transparant en veilig (beveiliging en verantwoording). Gegevensmanagement is niet: de uitvoering van het beheer van gegevens in specifieke bedrijfsapplicaties of centrale gegevensmagazijnen Uit de definitie valt op te maken dat gegevensmanagement gaat om het beschikbaar stellen van gegevens volgens een bepaalde kwaliteit en op een bepaald tijdstip waarbij de volgende prikkelende vragen te stellen zijn: Wat wordt verstaan onder gegevens? Wat is het gehanteerde gemeenschappelijke kader ten aanzien van gegevens? Welke kwaliteitsaspecten en normen worden onderkend en gehanteerd? Zijn de gestelde kwaliteitseisen altijd gelijk? Wie is er verantwoordelijk voor de borging van de kwaliteit van gegevens? Wie is er verantwoordelijk voor het op het juiste moment leveren van gegevens? Wat zijn de beveiligings- en privacy eisen die gesteld moeten worden? Op welke wijze kan voldaan worden aan vigerende eisen ten aanzien van transparantie op het gebied van de verwerking van gegevens? 8

9 Om deze vragen te kunnen beantwoorden is het van belang om een aantal zaken vast te stellen: De uitgangspunten (principes) die gemeenten hanteren ten aanzien van gegevens, De gegevens die gemeenten onderscheiden, De kwaliteitseisen die gemeenten stellen aan gegevens, De organisatorische rollen waaraan gemeenten invulling geven om gegevensmanagement in te richten, De producten op het gebied van gegevensmanagement die door de verschillende rollen geleverd worden, De eisen die gemeenten stellen aan de beveiliging van de verschillende gegevens, De gemeenschappelijke gehanteerde kaders, De wijze van verantwoording van de verwerking van gegevens door gemeenten. Richtinggevende principes Gemeenten bepalen ten aanzien van het gegevens management richtinggevende principes moeten bepalen die aansluiten bij de strategische doelen van de gemeente. Deze principes vormen de regulering van de activiteiten van de verschillende rollen ten aanzien van gegevensmanagement. Hoofdstuk 3 beschrijft de verschillende richtinggevende principes. Producten Om binnen de gemeente op het juiste moment over de juiste gegevens van de juiste kwaliteit te kunnen beschikken is een aantal producten vereist. Deze producten variëren van een overzicht van het gebruik van gegevens tot richtlijnen en kwaliteitseisen. De verschillende producten die deel uitmaken van het gegevensmanagement zijn beschreven in hoofdstuk 4. Organisatorische rollen Gegevensmanagement levert, zoals in de voorgaande paragraaf is beschreven, verschillende producten. Om deze te kunnen leveren is een goede taakverdeling nodig in de organisatie. Het gaat om een complex samenspel van verschillende rollen en functies in de organisatie. Om dat mogelijk te maken zijn goede afspraken nodig. Hoofdstuk 5 geeft de verschillende rollen en hun verantwoordelijkheden weer. Soorten gegevens Gemeenten gebruiken verschillende soorten gegevens. Denk bijvoorbeeld aan tekst, beeld, geluid, spreadsheets, databases, statistische gegevens, administratie gegevens en geografische gegevens. Deze gegevens zijn onder te verdelen in drie categorieën: gestructureerde gegevens, ongestructureerde gegevens en metagegevens. Bijlage A beschrijft deze verschillende categorieën van gegevens en hun karakteristieken beschreven. Gemeenschappelijke kaders Bij de uitwisseling van de verschillende categorieën van gegevens is het van belang om maximale interoperabiliteit te behalen. Met interoperabiliteit wordt hier bedoeld het met elkaar laten communiceren en interacteren van verschillende autonome systemen. Om dit te bewerkstelligen is standaardisatie nodig van semantiek, berichten, protocollen en procedures. 9

10 Kwaliteitseisen De kwaliteit van gegevens is van groot belang voor bedrijfsprocessen die gebruik maken van gegevens. Gebruik van incorrecte gegevens binnen een bedrijfsproces kan leiden tot onterechte toeslagen, heffingen en kwijtscheldingen, oninbare vorderingen en hierdoor imagoschade voor de gemeente. Het is dus van belang dat de kwaliteit van gegevens die binnen bedrijfsprocessen gebruikt worden aansluit bij de eisen die vanuit deze bedrijfsprocessen aan de gegevens gesteld worden. 10

11 3 Principes De gegevensmanagementfunctie van gemeenten dient zodanig ingericht te zijn dat optimale kwaliteit van dienstverlening aan burger, bedrijf, instelling, andere overheden én afnemers wordt geboden. Dit wordt onder andere bereikt door: het principe van eenmalige uitvraag en meervoudig gebruik van gegevens in praktijk te brengen; de uitwisseling tussen verschillende registraties te organiseren; bedrijfsprocessen van gegevensbronnen los te koppelen via gegevensdiensten waardoor en hoge mate van flexibiliteit in het inrichten van bedrijfsprocessen mogelijk wordt; kwaliteit van de gegevens te verhogen door het voeren van centraal gegevensbeheer te faciliteren; terugmeldingen op alle registraties faciliteren, zowel basisregistraties als overige registraties; het verhogen van het inzicht in, en controle op, de levering en het gebruik van gegevens; het naleven van vigerende wetgeving op het gebied van beveiliging en bescherming van de privacy. Om aan bovenstaande punten invulling te kunnen geven is het van belang om te bepalen wat de principes ten aanzien van gegevensmanagement zijn. Deze principes zijn richtinggevende uitspraken die zorgen voor een samenhangende inrichting van de organisatie. Ze zijn een vertaling van doelstellingen, behoeften en beleidsuitgangspunten en slaan daarmee een brug naar de uitvoering. Principes zijn richtinggevend en helpen gemeenten om bewust keuzes te maken. Ze verwoorden vooral best-practices waarvan gemeenten zelf kunnen bepalen of zij deze adopteren. Principes zijn ook nadrukkelijk geen doelstellingen; ze verwoorden een algemeen streven en zeggen niets over prioriteiten. Principes zouden echter niet vrijblijvend moeten zijn en er zou dan ook een proces moeten zijn waarin het maken van deze keuzes expliciet wordt gemaakt. Het is aan gemeenten echter zelf om te bepalen hoe ze hier in de praktijk mee omgaan. De principes voor gegevensmanagement bestaan uit drie basisprincipe en zeven principes die daarvan zijn afgeleid. De basisprincipes beschrijven de kwaliteit van overheidsdienstverlening vanuit het perspectief van de afnemer. Als zodanig zijn deze principes niet toetsbaar. De afgeleide principes geven een concretere invulling aan de basisprincipes. Zij zijn te beschouwen als een checklist van kwaliteitskenmerken. 11

12 3.1 Basisprincipes Ten aanzien van het gegevensmanagement zijn de volgende basisprincipes benoemd: GM-BP1 - Gegevens zijn een bedrijfsmiddel en hebben waarde; GM-BP2 - Gegevens worden gedeeld; GM-BP3 - Gegevens worden conform wet- en regelgeving verwerkt. Deze bovenstaande principes worden in onderstaande paragrafen nader toegelicht. GM-BP1: Gegevens zijn een bedrijfsmiddel en hebben waarde Gegevens zijn de basis voor informatie en daarmee de basis van kennis waarop besluiten worden genomen. De gegevens zijn daarmee een belangrijk bedrijfsmiddel en worden ook zo behandeld. Rationale Gegevens staan aan de basis van informatie, kennis en besluiten en zijn daarmee van cruciaal belang voor het correct en efficiënt functioneren van de gemeente; Gegevens van de gemeente hebben ook buiten de gemeente grote (commerciële) waarde. Implicaties De kwaliteit van gegevens dient bewaakt te worden; Gegevens dienen beveiligd te worden tegen oneigenlijk gebruik, ontvreemding en ongeautoriseerde mutatie; Gegevens dienen vindbaar te zijn; Maatregelen die getroffen dienen te worden voor beveiliging en borging van de kwaliteit zijn enerzijds technisch en anderzijds organisatorisch en procedureel. GM-BP2: Gegevens worden gedeeld De gemeente is eigenaar van gegevens en niet een afdeling of cluster. Gegevens dienen organisatiebreed gedeeld te worden. Het delen en gebruiken van gegevens wordt slechts beperkt door wetgeving en niet door ideeën over het gebruik van gegevens. Rationale Ontwikkelingen op het gebied van nieuwe wet- en regelgeving vereisen flexibiliteit, transparantie, veiligheid en kwaliteit ten aanzien van de gegevenshuishouding; De taken en taakgebieden van de gemeente wijzigen in een hoog tempo door de overdracht van taken van het Rijk naar de gemeente. Het is niet te voorspellen welke gegevens in de toekomst voor welke taken nodig zijn; Door wetgeving als de basis te gebruiken voor het delen van gegevens wordt maximaal geanticipeerd op toekomstige ontwikkelingen. Implicaties Informatiesystemen zijn in staat om de wettelijk maximaal toegestane set van gegevens te leveren; Bij de verstrekking van gegevens is het vereist om de doelbinding van de afnemer te kennen om te kunnen bepalen welke gegevens conform wet- en regelgeving verstrekt mogen worden; Verstrekking van gegevens aan afnemers enkel indien de afnemer doelbinding heeft en voldaan is aan de beginselen van subsidiariteit en proportionaliteit. 12

13 GM-BP3: Gegevens worden conform wet- en regelgeving verwerkt Het doel waarvoor gegevens gebruikt mogen worden is vastgelegd in wet- en regelgeving. We verwerken gegevens conform deze wet en regelgeving. Rationale Voldoen aan wet- en regelgeving; Interne en externe verantwoording; Bescherming van de belangen van burger en bedrijven. Implicaties Verstrekking van gegevens aan afnemers enkel indien de afnemer doelbinding heeft en voldaan is aan de beginselen van subsidiariteit en proportionaliteit; De verwerking van gegevens voldoet aan de eisen van informatiebeveiliging; De bewaring van gegevens voldoet aan de eisen van de informatiehuishouding. 3.2 Afgeleide principes Van de basisprincipes is een aantal principes afgeleid. Deze afgeleide principes geven een nadere detaillering van de basisprincipes en leveren een bijdrage aan de implementatie van één of meer van de basisprincipes. De onderstaande afgeleide principes zijn benoemd: GM-AP1: We winnen gegevens eenmalig in en gebruiken ze meervoudig; GM-AP2: We beheren de kwaliteit van gegevens actief; GM-AP3: We borgen de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens; GM-AP4: We melden gerede twijfel aan de bronhouder terug; GM-AP5: We verantwoorden de verwerking van gegevens; GM-AP6: We hanteren uniforme definities voor gegevens; GM-AP7: We archiveren gegevens daar waar dat vereist is. Deze bovenstaande principes worden in onderstaande paragrafen nader toegelicht. GM-AP1: We winnen gegevens eenmalig in en gebruiken ze meervoudig Onze gemeente voert de processen zodanig uit dat burgers en ondernemingen niet naar (basis)gegevens worden gevraagd die al bekend zijn binnen de vastgestelde basisregistraties. Rationale Door gegevens eenmalig in te winnen en meervoudig te gebruiken wordt geborgd dat gegevens altijd op dezelfde wijze worden verkregen en vastgelegd en geen onnodige bevragingen worden gedaan Efficiëntie. Relatie met basisprincipe GM-BP2 Relatie met NORA principe AP12 Implicaties Uitzoeken en vastleggen welke authentieke gegevens gebruikt moeten worden; Uitzoeken en vastleggen welke kerngegevens meervoudig gebruikt worden; Implementeren van uitwisselstandaarden; Daar waar nodig gegevens op basis van semantische betekenis converteren. 13

14 GM-AP2: We beheren de kwaliteit van gegevens actief De kwaliteit van de gegevens die worden verwerkt binnen de gemeente wordt actief gemonitord en continu verbeterd en op een niveau gehouden wat in overeenstemming is met de eisen die daar vanuit de wetgeving en de afnemers aan gesteld worden. Rationale Gegevens, en combinaties van gegevens, leiden tot informatie. Informatie leidt tot kennis en op basis van kennis worden besluiten genomen. De kwaliteit van gegevens is voor het nemen van de juiste besluiten van cruciaal belang. Relatie met basisprincipe GM-BP1 Relatie met NORA principe AP32, AP33, AP39 Implicaties Processen die het kwaliteitsbeheer borgen zijn ingericht; De vastgelegde gegevens zijn een weergave van de werkelijkheid; Buiten de syntactische correctheid van gegevens bewaakt men ook de integriteit over gegevensverzamelingen heen; Afnemers dienen aan te geven wat hun eisen zijn ten aanzien van de kwaliteit en actualiteit van gegevens. GM-AP3: We borgen de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens Gegevens die binnen de gemeentelijke organisatie worden gegevens verwerkt worden, worden conform de overeengekomen kaders beschikbaar gesteld en beveiligd tegen ongeautoriseerde toegang, frauduleus gebruik of mutatie en gegevensverlies. De gemeente zorgt ervoor dat afnemers van vertrouwelijke gegevens enkel de gegevens verstrekt krijgen waar ze conform hun doelbinding recht op hebben. Rationale Implicaties Voldoen aan wet- en regelgeving; Implementatie van de Baseline Beschermen van een belangrijk Informatiebeveiliging Gemeenten (BIG); bedrijfsmiddel van de gemeente: de gegevens. Toegang tot gegevens wordt alleen geboden aan afnemers met doelbinding; Samenspel van organisatorische, procedurele en technische maatregelen. Relatie met basisprincipe GM-BP1 Relatie met NORA principe BP08, Beschikbaarheid, Onweerlegbaarheid, Controleerbaarheid, Integriteit 14

15 GM-AP4: We melden gerede twijfel aan de bronhouder terug De gemeente zorgt ervoor dat de vermeende onjuistheden in gegevens aan de bronhouder gemeld worden. De gemeente verplicht alle afnemers bij gerede twijfel aan de juistheid van gegevens dit terug te melden aan de bronhouder. Rationale Vanuit het oogpunt van het continu werken aan het verbeteren van de kwaliteit van gegevens worden vermeende onjuistheden terug gemeld op alle registraties; Hoe hoger de kwaliteit van de gegevens hoe beter de besluiten die genomen worden. Relatie met basisprincipe GM-BP1 Relatie met NORA principe AP14 Implicaties Implementeren van een voorziening om terug te melden; Treffen van procedurele en technische maatregelen. GM-AP5: We verantwoorden de verwerking van gegevens De gemeente is transparant ten aanzien van de verwerking (verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken en verspreiden) van gegevens teneinde met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de wettelijk gestelde eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid. Rationale Vanuit de informatiebeveiliging worden eisen gesteld aan de integriteit en vertrouwelijkheid van gegevens; Burgers hebben vanuit de Wbp het recht om op te vragen welke gegevens door de gemeente zijn verwerkt (inzagerecht); Relatie met basisprincipe GM-BP3 Relatie met NORA principe AP25, AP34, AP30 Implicaties Registratie van verwerkingen van gegevens; Gegevens worden beveiligd afhankelijk van hun gevoeligheid Vastleggen wie, wanneer en waarom welke gegevens heeft verwerkt Inrichting monitoring en controle op gebruik Auditing op het gebruik van gegevens conform vastgestelde protocollen; Auditing op gegevensbeveiliging. 15

16 GM-AP6: We hanteren uniforme definities voor gegevens Om het delen en hergebruiken van gegevens mogelijk te maken worden voor zowel gestructureerde- als ongestructureerde gegevens gedeelde definities gebruikt. Rationale Voor maximale interoperabiliteit is het van belang dat structuur en syntax gestandaardiseerd zijn; Wie semantiek van gegevens probeert te standaardiseren, probeert de werkelijkheid te standaardiseren. Bij de uitwisseling van gegevens is het van belang de context van het gebruik van de gegevens te kennen. Relatie met basisprincipe GM-BP2 Relatie met NORA principe AP05, AP17 Implicaties Informatiesystemen dienen gebruik te maken van landelijk vastgestelde informatiemodellen en standaarden; Gemeenten gebruiken gegevens volgens een eenduidige gemeentelijke taxonomie Typering van gegevens GM-AP7: We archiveren gegevens daar waar dat vereist is Gegevens worden conform de geldende bewaar- en vernietigingstermijnen uit de vigerende weten regelgeving behandeld. Zowel gestructureerde als ongestructureerde gegevens worden gearchiveerd. Rationale Voldoen aan wet- en regelgeving; Verantwoording kunnen afleggen over uitgevoerde acties; Transparantie bieden zowel intern als extern. Implicaties Opslag van gegevens dient duurzaam te zijn; We bewaren gegevens niet langer dan nodig is; Maatregelen nemen voor tijdige en volledige archivering van gegevens. Relatie met basisprincipe GM-BP3 Relatie met NORA principe - 16

17 4 Gegevensmanagement producten Onderstaand overzicht geeft een product breakdown van de verschillende producten van gegevensmanagement. Met de uitwerking van deze producten maakt gegevensmanagement mogelijk dat de organisatie over de juiste gegevens kan beschikken waar nodig. 4.1 Gegevenslandschap Met het gegevenslandschap heeft het gegevensmanagement overzicht over de beschikbare gegevens binnen de organisatie. Met dit overzicht is het mogelijk de juiste gegevens op het juiste moment met de juiste kwaliteit beschikbaar te kunnen stellen aan gebruikers in de organisatie. Het gegevenslandschap wordt beschreven en afgebeeld in een aantal kaarten: kaart gegevensverzamelingen (functionele beschrijvingen) kaart van gegevensverzamelingen in relatie tot de (werkprocessen) kaart van gegevensverzamelingen in relatie tot de gebruikte applicaties overige relaties in kaart (bv. documentverzamelingen) Afhankelijk van het proces of applicatie of wens naar bijvoorbeeld een project start architectuur zullen er deelproducten (kaarten) kunnen ontstaan. Afhankelijk van de context worden andere RACI 1 indelingen gemaakt. Bij proceskaarten komen andere betrokkenen naar voren dan bij applicatiegerichte kaarten. 1 Het RACI-model is een matrix die gehanteerd wordt om de rollen en verantwoordelijkheden van de personen die bij een project of lijnwerkzaamheden betrokken zijn weer te geven. 17

18 4.2 Gegevenscatalogus Voor het organiseren van gegevensuitwisseling is meer gedetailleerde informatie over de gegevens noodzakelijk. Deze is vastgelegd in de gegevenscatalogus. Deze catalogus beschrijft of omvat: gegevenswoordenboek: de gegevensdefinities objecten/entiteitmodellen: de onderlinge relatie tussen gegevens relatie met landelijke gegevensverzamelingen en definities In het woordenboek wordt vastgelegd De betekenis van een gegeven De classificatie van een gegeven Eigenaar van het gegeven Het formaat van het gegeven Levenscyclus van het gegeven (ontstaan, mutatie, beëindiging, verwijdering) Relatie tot andere gegevens Een object / entiteit model (of datamodel) definieert welke gegevens in een informatiesysteem vastgelegd kunnen worden, hoe deze gegevens gestructureerd zijn en wat de verbanden zijn tussen deze gegevens 2. De gemeente kan het RSGB (basisgegevens) en RBGZ (zaakgegevens) als standaard overnemen en de vertaling maken naar de eigen organisatie- en automatiseringskolom. Deze referentiemodellen beschrijven een deel van de (relaties tussen) basisregistraties en een beperkt aantal niet authentieke gegevens. Voor de overige gegevens die binnen gemeenten gebruikt worden, is geen standaard beschikbaar. Het is te adviseren om deze gegevens overeenkomstig de basisgegevens te definiëren indien deze tussen applicaties uitgewisseld worden. Het woordenboek is een resultaat van gegevensbeheer (voor een deel binnen applicaties), metadata-management en gegevensmanagement. Waar mogelijk is het woordenboek ontleend aan vastgestelde landelijke standaarden (zoals de landelijke gegevenscatalogi). 4.3 Kwaliteit De kwaliteit van gegevens is van groot belang voor bedrijfsprocessen die gebruik maken van gegevens. Gebruik van incorrecte gegevens binnen een bedrijfsproces kan leiden tot onterechte toeslagen, heffingen en kwijtscheldingen, oninbare vorderingen en hierdoor imagoschade voor de gemeente. Het is dus van belang dat de kwaliteit van gegevens die binnen bedrijfsprocessen gebruikt worden aansluit bij de eisen die vanuit deze bedrijfsprocessen aan de gegevens gesteld worden. Gegevens liggen aan de basis van informatie en kennis. De kwaliteit van de informatie en kennis is daarmee direct afhankelijk van de kwaliteit van de onderliggende gegevens. De kwaliteit van de gegevens is daarmee bepalend voor de kwaliteit van besluiten die op basis van deze informatie en kennis genomen worden. Het borgen van de kwaliteit van de gegevens is dus van groot belang voor de kwaliteit en effectiviteit van de dienstverlening van de gemeente. Het vaststellen van de gewenste gegevenskwaliteit en het inrichten van het beheer van gegevens is integraal onderdeel van het gegevensmanagement. Ten aanzien van de kwaliteit van gegevens wordt een onderscheid gemaakt tussen kwaliteitsaspecten, kwaliteitsnormen en kwaliteitsafspraken. 2 In bijlage B zijn de vigerende informatiemodellen beschreven 18

19 Een kwaliteitsaspect is een dimensie van kwaliteit. Voorbeelden van kwaliteitsaspecten zijn tijdigheid, volledigheid, accuraatheid en consistentie. Een voorbeeld van accuraatheid is de formele juistheid van een gegeven. Een gegeven kan geregistreerd zijn maar geen afspiegeling zijn van de werkelijkheid. Is het woonadres in de GBA bijvoorbeeld echt het fysieke woonadres van de betrokkene? Een kwaliteitsnorm is een referentiewaarde voor een kwaliteitsaspect. Kwaliteitsnormen leggen het kwaliteitsniveau vast waaraan kwaliteitsaspecten moeten voldoen. Een kwaliteitsnorm is bijvoorbeeld, dat de gemeente zorgt dat bij minimaal 95% van de situaties waar een administratief adres verschilt van een fysiek adres, vermeld staat dat dit adres in onderzoek is. Een kwaliteitsafspraak is een afspraak tussen partijen met betrekking tot een kwaliteitsaspect en normen die daarvoor gelden, inclusief de maatregelen. Een afspraak kan zijn, dat een gemeente die deze norm niet haalt binnen twee maanden alsnog de norm zal halen, of dat anders hun GBA wordt afgekoppeld van de landelijke voorziening. Per bronregistratie moeten kwaliteitsaspecten met bijbehorende kwaliteitsnormen benoemd worden. Bij uitwisseling van gegevens dienen afspraken gemaakt te worden ten aanzien van het voldoen aan de kwaliteitsaspecten en kwaliteitsnormen. Borging van de kwaliteit van gegevens in een bronregistratie is primair de verantwoordelijkheid van de bronhouder van de registratie. De bronhouder dient processen in te regelen die de kwaliteit van de geregistreerde gegevens borgen. De bronhouder heeft een onderzoeksplicht op het moment dat er door afnemers melding van gerede twijfel aan de juistheid van gegevens wordt gedaan. Afnemers hebben echter ook een rol ten aanzien van de kwaliteit van gegevens. Enerzijds hebben afnemers de plicht om bij gerede twijfel aan de juistheid van gegevens deze twijfel bij de bronhouder terug te melden en anderzijds hebben distributeurs de plicht richting afnemers om de kwaliteit van de aan de afnemers geleverde gegevens te borgen. Een voorbeeld van het bovenstaande is de bijhouding en distributie van persoonsgegevens. Deze gegevens worden bijgehouden in de gemeentelijke GBA administratie. Rondom de bijhouding zijn in het Logisch Ontwerp (LO) processen gedefinieerd die de bijhouding van de gegevens standaardiseren en kwaliteit van de persoonsgegevens borgen. Ter controle van de kwaliteit van de persoonsgegevens is de gemeente is als bronhouder verplicht om jaarlijks via steekproeven inzage te geven in de kwaliteit van de geregistreerde gegevens. Ten behoeve van het melden van gerede twijfel aan de juistheid van verstrekte persoonsgegevens wordt een voorziening geboden aan afnemers. De gemeente is als bronhouder verplicht om deze terugmeldingen te onderzoeken en is verplicht om het resultaat van dit onderzoek te melden aan de afnemers. Het voorgaande beschrijft de taken die de bronhouder uitvoert om de kwaliteit van de persoonsgegevens te borgen en constant te verbeteren. Bij eenmalige vastlegging van gegevens zou hier de vereiste kwaliteitsborging van de persoonsgegevens kunnen stoppen. Het is echter niet zo dat alle gegevens eenmalig worden vastgelegd. In het geval van de persoonsgegevens worden deze gedistribueerd naar vakafdelingen. Deze vakafdelingen gebruiken de gegevens bij de uitvoering van de bedrijfsprocessen en leggen de gegevens veelal redundant vast. Net zoals er eisen aan de kwaliteit van persoonsgegevens uit de GBA worden gesteld dienen ook kwaliteitseisen aan redundante persoonsgegevens gesteld worden. Ook deze redundante gegevens worden immers door vakafdelingen gebruikt binnen bedrijfsprocessen. De kwaliteit van 19

20 deze redundante gegevens moet gemanaged worden en aan vooraf gestelde kwaliteitseisen voldoen. Kwaliteit zoals hierboven is geïllustreerd omvat verschillende aspecten. Om die te beoordelen en te garanderen zijn de volgende producten noodzakelijk: Kwaliteitseisen: het vastleggen van afspraken over de gewenste kwaliteit; Metingen: om de afwijkingen tussen gewenste en gerealiseerde kwaliteit (inhoudelijk, tijdigheid, beveiliging, etc.) te monitoren vinden metingen plaats (ook vergelijking van verschillende bronnen is mogelijk); Regelmatige audits: om duidelijk te maken hoe in de organisatie de kwaliteit is vastgesteld en geborgd; Metingen en audits kunnen leiden tot verbetervoorstellen. 4.4 Afspraken Het uitwisselen van gegevens vraagt om goede afspraken tussen leveranciers en afnemers. Deze worden vastgelegd in, en gemonitord door: GLO s: Gegevens Leverings Overeenkomsten zijn beschrijvingen van de gegevensleveringen en de voorwaarden waaronder; Bij buitengemeentelijke levering van persoonsgegevens in de meest brede zin van het woord een bewerkersovereenkomst Om de betrouwbaarheid te waarborgen geeft gegevensmanagement richtlijnen aan de leverende en afnemende partijen; Afspraken over bijvoorbeeld terugmeldingen van afwijkingen kan de kwaliteit van de gegevens(leveringen) worden verbeterd, de zogenaamde terugmeldverplichting. In de roadmap staan lange termijn activiteiten geprogrammeerd om het gemeentelijk gegevensgebruik te verbeteren; Onderzoeksverplichting: de bronhouder heeft ten aanzien van de terugmeldingen die door andere overheidsorganen (afnemers) worden ingediend de plicht om een onderzoek in te stellen naar de juiste gegevens van het terug-gemelde gegeven. Afspraken/GLO: leverancier, afnemer en inhoud Om grip te houden op de gemeentelijke gegevenshuishouding is het belangrijk over levering en gebruik duidelijke afspraken te maken tussen (gegevens)leverancier en afnemer. De vastlegging van deze afspraken kan in de vorm van een Gegevens Levering Overeenkomst (GLO). In de praktijk zal het er op neerkomen, dat voor leveringen een set algemeen geldende kaders van toepassing is; deze kunnen de vorm van Algemene Voorwaarden aannemen (bijvoorbeeld nooit doorleveren zonder toestemming van leverancier). Specifieke afspraken worden dan apart vastgelegd in de gegevensleveringsovereenkomst (GLO): de te leveren gegevens De classificatie van de gegevens De beveiliging van de gegevens gebruiksdoel van de levering wijze van levering (evt. technische specificaties) tijdstip(pen) van levering evt. kosten contactpersonen 20