Handreiking Gegevensmanagement Gemeenten. Opzet voor inrichting van gegevensmanagement in de gemeentelijke organisatie

Transcriptie

1 Handreiking Gegevensmanagement Gemeenten Opzet voor inrichting van gegevensmanagement in de gemeentelijke organisatie

2 Verantwoording Dit document is het resultaat van een aantal bijeenkomsten in 2012 rondom gegevensmanagement. Het doel was tweeërlei: het delen van kennis op het vakgebied van gegevensmanagement en het vastleggen van deze kennis, zodat dit ook toegevoegde waarde heeft voor andere gemeentes. Om deze laatste reden is aansluiting bij KING gezocht dat ook inhoudelijk een bijdrage geleverd heeft aan dit document. Deelnemende personen en gemeentes: Hans Jansen, Arnhem; Geert Wester; Deventer; Agnes Bolte, Ede; Henriette Barkhuis, Groningen; Wim Stolk, s-hertogenbosch; Patrick Koek, Rotterdam; Remco Rekoert, Edam-Volendam; Joost Wijnings, KING/Operatie NUP; Ko Mies, KING/Operatie NUP. Deze handreiking is gebaseerd op ervaringen in de praktijk en blijft in ontwikkeling.

3 Inhoudsopgave Samenvatting Inleiding Achtergrond Waarom Gegevensmanagement? Doelstelling handreiking Gegevensmanagement Definitie Positie in NORA-Architectuur Producten Gegevensmanagement Gegevenslandschap Gegevenscatalogus Kwaliteit Afspraken Beschikbaar stellen Proces Gegevensmanagement Rollen en verantwoordelijkheden RACI matrix Implementatie Checklist Bewustwording Bijlagen Bijlage A - Voorbeeld Gegevens Levering Overeenkomst Gemeente Rotterdam Bijlage B - Voorbeeld Transparantiedocument Gemeente Rotterdam Transparantiedocument Bijlage C - Informatiebeveiliging Bijlage D - Raakvlakken KING-documentatie Bijlage E - Scorecard gegevensmanagement... 26

4 Samenvatting Gegevensmanagement is een actueel onderwerp binnen gemeentelijke organisaties. De complexiteit van de huidige ontwikkelingen en de verschillende vakspecifieke processen binnen de organisatie, vereist een gezamenlijk referentiekader over definitie en gebruik van gegevens. Het doel van dit document is een handreiking te doen aan betrokkenen bij de inrichting van het gemeentelijke gegevensmanagement als basis voor de informatiehuishouding. Dit document is tot stand gekomen uit best practices van zeven gemeentes en KING. Deze best practices zijn vertaald naar algemeen toepasbare modellen en vormen op deze manier een handreiking voor gedachtevorming, bewustwording en realisatie van gegevensmanagement. Definitie Gegevensmanagement Gegevensmanagement is het geheel van activiteiten om in de organisatie op het juiste moment over de benodigde gegevens te beschikken. Gegevensmanagement is: 1. overkoepelend (verbinding van gegevens van vakspecifieke afdelingen), 2. gericht op metadata (gegevens over gegevens), 3. en gericht op bedrijfsmatige sturing van gegevens (planning en control) Producten Gegevensmanagement wordt ingedeeld in vier aandachtsgebieden: 1. Het gegevenslandschap. Deze kaarten zijn te koppelen aan bestaande informatiearchitecturen en applicatielandschappen. 2. Vervolgens is het de bedoeling dat gegevenscatalogi tot stand komen. Hierin worden specifieke aspecten van de uit te wisselen gegevens beschreven. 3. Het gemeentebreed verbeteren van kwaliteit van de gegevens is een duidelijk toegevoegde waarde van gegevensmanagement en tevens het derde aandachtsgebied. 4. De gemaakte afspraken over levering van gegevens en verbeteren van gegevens is ten slotte het vierde aandachtsgebied. Processen De volwassenheid van een gemeente op gegevensgebied bepaalt de behoefte aan specifieke processen rondom gegevensmanagement. Vanuit de praktijk is hier nog geen duidelijke lijn in te herkennen; bij een nieuwere versie van de handreiking verdient dit de aandacht. Rollen en Verantwoordelijkheden De organisatie van de informatiehuishouding is een complex samenspel van (IT) infrastructuur/hulpmiddelen, IT medewerkers/specialisten, processen, medewerkers, management en bestuur. De organisatie van het gegevensmanagement daarbinnen vraagt een goede taakverdeling. Om het samenspel van verschillende rollen en functies in de organisatie te regelen zijn goede afspraken nodig. We onderscheiden hierin een aantal functies en rollen: gegevensarchitect, regisseur gegevensmanagement/informatiemanagement, bronhouder, kwaliteitscontrole, portefeuillehouder gegevensmanagement, broneigenaar, afnemer, applicatiebeheerder, distributeur en gegevensmakelaar. De bijbehorende verantwoordelijkheden en de verschillende bijdragen (producten) zijn uitgewerkt in deze handreiking. Aandachtspunten implementatie Bewustwording medewerkers en organisatie De mate van bewustwording bepaalt de slagingskans en acceptatie van gegevensmanagement in de gemeentelijke organisatie. Veel aspecten worden al uitgevoerd, echter niet als zodanig (h)erkend en expliciet gemaakt. Door samenvoeging en bundeling van krachten, is het mogelijk om meer efficiency en kwaliteit te borgen binnen een gemeente. Dat is ook waar wij met deze handreiking een aanzet toe willen doen. 4

5 Stappenplan In deze handreiking maken we een duidelijk onderscheid tussen gegevensmanagement als geheel van organiserende activiteiten enerzijds en de operationele uitvoering van ingerichte processen anderzijds. De uitvoering van het beheer van gegevens in vakspecifieke applicaties en centrale gegevensmagazijnen en de distributie van gegevens is geen onderdeel van gegevensmanagement. Deze twee gebieden hebben wel duidelijke raakvlakken en afhankelijkheid. Het is van belang om deze twee aspecten goed in kaart te brengen. Beveiliging gegevens Gegevensmanagement geeft inzicht in de gegevensstromen en -afspraken in de gemeentelijke organisatie. Daarbij is van belang dat de betrouwbaarheid/integriteit is gewaarborgd en dat, waar beperkingen voor gegevensgebruik gelden, gegevens alleen toegankelijk zijn voor diegenen die hiertoe geautoriseerd zijn. Ook de beschikbaarheid/continuïteit wordt gecoördineerd vanuit gegevensmanagement. Gegevensmanagement betekent dus ook zorgen dat bij de gegevens en de omgang met gegevens aandacht is voor beveiligingsaspecten. Volledige informatie is te vinden in de Code voor informatiebeveiliging (ISO/IEC 17799:2000). De handreiking geeft hiervoor wat praktische handvatten. 5

6 1. Inleiding 1.1. Achtergrond De invoering van de digitale overheid heeft grote consequenties voor alle overheidsorganisaties. Zo ook voor gemeentelijke organisaties. De gemeentelijke organisatie is een steeds belangrijker onderdeel van verschillende informatieketens van overheid en niet-overheidsorganisaties. Daarbij komt dat het digitale kanaal voor de gemeentelijke dienstverlening steeds belangrijker wordt. Door de toenemende digitale dienstverlening stromen gegevens in toenemende mate door de verschillende ketens, binnengemeentelijk en buitengemeentelijk. Dat heeft grote voordelen voor de kwaliteit van informatie en voor de efficiency en effectiviteit van de gemeentelijke werkprocessen. Maar dat brengt ook risico s met zich mee. De verknoping van informatieketens maakt foutgevoeligheid en fraudegevoeligheid groter. Dat vraagt bewuste keuzes en specifieke aandacht. Bij gemeenten wordt het inrichten van overkoepelend gegevensmanagement steeds belangrijker. Tot nu toe is dat bij de meeste organisaties nog een impliciet onderdeel van de I&Afunctie of applicatiebeheer. Dat biedt niet meer voldoende waarborg omdat gegevens steeds meer uitgewisseld worden tussen de systemen en organisaties en de binding tussen gegevens en applicaties verdwijnt. Gegevens zijn een constante, applicaties veranderen in de loop van de tijd. Om het gegevensmanagement expliciet vorm te geven zijn verschillende aspecten van belang die meer of minder onderling samenhangen. De omstandigheden bij gemeenten zijn verschillend in volwassenheid van gegevensmanagement. Elke gemeente moet haar eigen afwegingen en keuzes hierin maken. In overleg tussen vertegenwoordigers van verschillende gemeenten (Arnhem, Deventer, Ede, Groningen, s-hertogenbosch, Rotterdam, Edam-Volendam) en van KING/Operatie NUP is een handreiking ontwikkeld om een aantal aspecten te benoemen en om een handreiking te bieden om keuzes mogelijk te maken. Hiermee kan de gemeentelijk verantwoordelijke de inrichting van gegevensmanagement voor de eigen situatie vorm geven. De volgende aspecten zijn onderkend: beleidskaders, producten, rollen en verantwoordelijkheden, processen en aandachtspunten bij implementatie. De inrichting van gegevensmanagement is een voorwaarde voor het beheersbaar houden van de juiste informatie en de invoering van de e-overheid. Omdat het binnengemeentelijk gebruik van (basis)gegevens gaat toenemen en daarmee de uitwisseling van gegevens is een organisatorisch kader nodig. Gegevensmanagement is ook een deel van het antwoord op de bedreigingen van de ioverheid 1 (informatieoverheid) die de WRR heeft geschetst, doordat met gegevensmanagement inzicht ontstaat in de informatiestromen binnen de gemeentelijke organisatie. Deze handreiking biedt handvatten voor de organisatiebrede inrichting (over afdelingen en (basis)registraties heen) van gegevensmanagement. De kaders die wij hier beschrijven zijn uiteindelijk toepasbaar bij alle gemeenten. Maar gezien verschillen in omvang en volwassenheid, is nu nog niet alles bij alle gemeenten actueel Waarom Gegevensmanagement? Gegevensuitwisseling vraagt goede afstemming en borging. Zowel wat betreft de inhoud, de techniek, de beveiliging als wat betreft de organisatorische en bestuurlijke componenten. Dit wordt meer noodzakelijk naarmate de dienstverlening van organisaties verder gedigitaliseerd is. 1 Zie: 6

7 De onderstroom is dat gemeenten hun dienstverlening aan burgers met het digitale kanaal kunnen gaan verbeteren. Daarvoor zijn of komen NUP-bouwstenen beschikbaar. Deze NUP-bouwstenen zijn basisregistraties en generieke voorzieningen die ook de onderlinge gegevensuitwisseling tussen overheidsorganisaties ondersteunen. Daarmee komen de gegevens uit alle basisregistraties beschikbaar voor gebruik in alle gemeentelijke processen. Gegevensmanagement richt zich op alle gegevens, dus naast uitwisseling van basisgegevens behoren ook uitwisseling van gegevens van kernregistraties (belangrijke interne registraties die de organisatie als basisregistraties behandelt) en vakspecifieke gegevens tussen informatiedomeinen tot het werkgebied van gegevensmanagement. Gemeenten kunnen bijvoorbeeld hun frontoffice processen verbeteren, met gebruik van gegevens uit de basisregistraties, en zijn dat voor een belangrijk deel ook wettelijk verplicht. Ook andere bedrijfsprocessen maken gebruik van de gegevens uit de basis- en kernregistraties. Dit vraagt zowel binnengemeentelijke als buitengemeentelijke coördinatie. Er moeten veel vragen beantwoord worden om dit te waarborgen: Welke gegevens zijn voor welke processen relevant? Wie heeft het overzicht over waar welke gegevens zich bevinden? Wie helpt bij het organiseren en realiseren van gegevensuitwisseling? Welke afspraken moeten daarvoor worden gemaakt? En hoe moeten die worden vastgelegd? Wie zorgt ervoor dat de kwaliteit van de gegevens kan worden gegarandeerd? En hoe doe je dat? Wat moet er gebeuren bij calamiteiten? Wie zorgt ervoor dat daarover is nagedacht? 1.3. Doelstelling handreiking De handreiking biedt een basis die is te gebruiken voor de organisatorische inrichting van het gegevensmanagement bij gemeenten (en eventueel andere afnemers van basisregistraties). Dit omvat: bruikbare definitie van gegevensmanagement; gemeentebrede kaders voor gegevensmanagement (beleid); gemeentebrede oplossingen voor inrichting van gegevensbeheer (gebaseerd op GEMMA en RSGB); rolbeschrijvingen; handreikingen voor bv. aanpak, afspraken over levering, gegevenskwaliteit, aansluiting bedrijfsprocessen, bepalen status, etc. 7

8 2. Gegevensmanagement Binnen gemeenten worden informatiesystemen meer en meer gekoppeld en gegevens gedeeld over afdelingen heen en met ketenpartners. Dat maakt dat gegevensmanagement expliciet organisatiebreed georganiseerd moet zijn om: Het principe van eenmalige uitvraag en meervoudig gebruik van gegevens in praktijk te brengen; de meerwaarde van de verschillende basisregistratiegegevens te kunnen benutten; de uitwisseling tussen verschillende registraties te organiseren; de uitwisseling met buitengemeentelijke partijen te organiseren; de kwaliteit te waarborgen van de basisregistraties (auditeerbaar); de kwaliteit van de kernregistraties te waarborgen (auditeerbaar); de continuïteit te waarborgen (auditeerbaar); verschillende soorten gegevens te duiden Definitie Gegevensmanagement is het organisatiebrede geheel van activiteiten om in de organisatie op het juiste moment over de benodigde gegevens te beschikken. Dit omvat daarom ook bijvoorbeeld de gegevensuitwisseling met andere organisaties, de kwaliteitsbewaking en de beveiliging. Gegevensmanagement is: 1. overkoepelend (verbinding van gegevens van vakspecifieke afdelingen), 2. verzamelt en maakt gebruik van metadata (gegevens over gegevens), 3. en gericht op bedrijfsmatige sturing van gegevens (planning en control). Gegevensmanagement is niet: de uitvoering van het beheer van gegevens in specifieke bedrijfsapplicaties of centrale gegevensmagazijnen Hier worden een aantal stellingen gegeven waarin keuzes per gemeente moeten worden gemaakt: in welk uitvoeringsveld horen de genoemde werkzaamheden thuis. Dit is geen limitatieve opsomming: het is van belang dat hierop eerst bewustwording ontstaat, voordat vervolgstappen ondernomen kunnen worden. Het is van belang een scheiding te maken tussen gegevensbeheer en gegevensmanagement. Gegevensbeheer is gericht op het operationele beheer van een gegevensverzameling binnen een applicatie of specifieke context. Gegevensmanagement is gericht op het organisatiebrede gebruik van gegevens, richtlijnen hiervoor opstellen en het maken van afspraken met gegevenseigenaren. Binnen gemeentelijke organisaties bestaat de synchronisatiefunctie en distributiefunctie van gegevens. Dit is een uitvloeisel van eenmalig inwinnen en meervoudig gebruiken. Dit regelt de uitwisseling van gegevens tussen informatiedomeinen/vakspecifieke afdelingen. Deze rol is vaak een eerste stap in de richting van gegevensmanagement (welke organisatiebreed is en meer tactisch en strategisch gepositioneerd). Het beheer van koppelingen is te beleggen bij Gegevensmanagement, echter kan ook gesteld worden dat bijvoorbeeld de leverende partij verantwoordelijk is voor het leveren van juiste gegevens en de ontvangende partij verantwoordelijk is voor signalering van tijdigheid en ontvangst. De informatiestromen en afspraken op dit gebied moeten wel in beeld zijn bij Gegevensmanagement. 8

9 2.2. Positie in NORA-Architectuur Het onderstaande schema maakt de positionering van Gegevensmanagement in het NORA v2.0 architectuurraamwerk duidelijk. Met dit schema wordt duidelijk dat gegevensmanagement alle lagen raakt en het belang groot is voor de gehele organisatie. Verdere detaillering is opgenomen in de bijlagen. Service Gerichte Architectuur Beveiliging & Privacy Beheer Wie? Wat? Hoe? Bedrijfs architectuur Organisatie Diensten Producten Processen Informatie architectuur Medewerkers Gegevens (functioneel) Informatie uitwisseling (functioneel) Applicaties Services Berichten Gegevens (technisch) Gegevens uitwisseling (technisch) Technische architectuur Technische componenten Gegevens opslag Netwerk Figuur 2-1 Positionering van Gegevensmanagement in het NORA v2.0 architectuurraamwerk Gegevensmanagement richt zich op het organiseren van dat wat nodig is om de inhoud van de rode cirkel te realiseren (in te richten) en te beheren inclusief de relaties van gegevens met de andere aspecten van de organisatie (weergegeven met groene pijlen). 9

10 2.3. Producten Gegevensmanagement Onderstaand geven wij in een product breakdown een overzicht van de verschillende producten van gegevensmanagement. Met de uitwerking van deze producten maakt gegevensmanagement mogelijk dat de organisatie op over de juiste gegevens kan beschikken waar nodig. Gegevensmanagement Gegevenslandschap Gegevenscatalogus Kwaliteit Afspraken Kaart gegevensverzamelingen Gegevenswoordenboek Kwaliteitseisen Gegevens Levering Overeenkomsten Kaart relatie met processen Kaart relatie met applicaties Object/entiteiten modellen Gegevenscatalogi (landelijk) Meting Auditrapport Verbeteringsvoorstel Richtlijnen Kwaliteitsverbetering Roadmap Kaarten overig LEGENDA Product Deelproduct Figuur 2-2 Producten van Gegevensmanagement Gegevenslandschap Met het gegevenslandschap heeft het gegevensmanagement overzicht over de beschikbare gegevens binnen de organisatie. Met dit overzicht is het mogelijk de juiste gegevens op het juiste moment met de juiste kwaliteit beschikbaar te kunnen stellen aan gebruikers in de organisatie. Het gegevenslandschap wordt beschreven en afgebeeld in een aantal kaarten: kaart gegevensverzamelingen (functionele beschrijvingen) kaart van gegevensverzamelingen in relatie tot de (werkprocessen) kaart van gegevensverzamelingen in relatie tot de gebruikte applicaties overige relaties in kaart (bv. documentverzamelingen) Afhankelijk van het proces of applicatie of wens naar bijvoorbeeld een project start architectuur zullen er deelproducten (kaarten) kunnen ontstaan. Afhankelijk van de context zullen daar andere raci indelingen voor moeten worden gemaakt. We hebben in de hierna beschreven verantwoordelijkheden matrix (raci) een generieke verdeling van verantwoordelijkheden opgenomen die situatieafhankelijk ingevuld moet worden. Bij proceskaarten komen andere betrokkenen naar voren dan bij applicatiegerichte kaarten. 10

11 2.3.2.Gegevenscatalogus Voor het organiseren van uitwisseling is meer gedetailleerde informatie over de gegevens noodzakelijk. Deze is vastgelegd in de gegevenscatalogus. Hiermee is een beschrijving beschikbaar van gegevens in: gegevenswoordenboek: de gegevensdefinities objecten/entiteitmodellen: de onderlinge relatie tussen gegevens relatie met landelijke gegevensverzamelingen en definities In het woordenboek wordt vastgelegd De betekenis van een gegeven Eigenaar van het gegeven Het formaat van het gegeven Levenscyclus van het gegeven (ontstaan, mutatie, beëindiging, verwijdering) Relatie tot andere gegevens Een object / entiteit model (of datamodel) definieert welke gegevens in een informatiesysteem vastgelegd kunnen worden, hoe deze gegevens gestructureerd zijn en wat de verbanden zijn tussen deze gegevens. De gemeente kan het RSGB (basisgegevens) en RBGZ (zaakgegevens) als standaard overnemen en de vertaling maken naar de eigen organisatie. Deze referentiemodellen beschrijven een deel van de (relaties tussen) basisregistraties en een beperkt aantal niet authentieke gegevens. Voor de overige gegevens die binnen gemeenten gebruikt worden 2, is geen standaard ontwikkeld door KING. Het is te adviseren om deze gegevens overeenkomstig de basisgegevens te definiëren indien deze tussen applicaties uitgewisseld worden. Het woordenboek is een resultaat van gegevensbeheer (voor een deel binnen applicaties), metadatamanagement en gegevensmanagement. Waar mogelijk is het woordenboek ontleend aan vastgestelde landelijke standaarden (zoals de landelijke gegevenscatalogi) Kwaliteit Voor adequaat gebruik van gegevens is de kwaliteit van groot belang. Kwaliteit omvat verschillende aspecten. Om die te beoordelen, te garanderen en continu te verbeteren zijn verschillende producten noodzakelijk: Kwaliteitseisen: afspraken over de gewenste kwaliteit moeten worden vastgelegd; Metingen: om de afwijkingen tussen gewenste en gerealiseerde kwaliteit (inhoudelijk, tijdigheid, beveiliging, etc.) te monitoren vinden metingen plaats (ook vergelijking van verschillende bronnen is mogelijk); Regelmatige audits maken duidelijk hoe in de organisatie de kwaliteit is vastgesteld en geborgd; Metingen en audits kunnen leiden tot verbetervoorstellen. Op dit moment is informatiebeveiliging een onderwerp dat aandacht heeft binnen gemeentes. In bijlage C - Informatiebeveiliging is aangegeven wat het raakvlak is met gegevensmanagement. 2 Bijvoorbeeld RSGB++ en de, nog niet landelijk aangenomen, GEO-specificaties van Geonovum 11

12 2.3.4.Afspraken Het uitwisselen van gegevens vraagt om goede afspraken tussen leveranciers en afnemers. Deze worden vastgelegd en gemonitord in: GLO s: gegevensleveringsovereenkomsten zijn beschrijvingen van de gegevensleveringen en de voorwaarden waaronder; Om de betrouwbaarheid te waarborgen geeft gegevensmanagement richtlijnen aan de leverende en afnemende partijen; Door afspraken over bijvoorbeeld terugmeldingen van afwijkingen kan de kwaliteit van de gegevens(leveringen) worden verbeterd, de zogenaamde terugmeldverplichting. In de roadmap staan lange termijn activiteiten geprogrammeerd om het gemeentelijk gegevensgebruik te verbeteren. Afspraken/GLO: leverancier, afnemer en inhoud Om grip te houden op de gemeentelijke gegevenshuishouding is het belangrijk over levering en gebruik duidelijke afspraken te maken tussen (gegevens)leverancier en afnemer. De vastlegging van deze afspraken kan in de vorm van een Gegevens Levering Overeenkomst (GLO). In de praktijk zal het er op neerkomen, dat voor leveringen een set algemeen geldende kaders van toepassing is; deze kunnen de vorm van Algemene Voorwaarden aannemen (bijvoorbeeld nooit doorleveren zonder toestemming van leverancier). Specifieke afspraken worden dan apart vastgelegd in de gegevensleveringsovereenkomst (GLO): de te leveren gegevens gebruiksdoel van de levering wijze van levering (evt. technische specificaties) tijdstip(pen) van levering evt. kosten contactpersonen indien van toepassing: eigenaarschap van de koppelvlakken Van belang is ook dat leverancier en afnemer van elkaar weten welke kwaliteit van gegevens geleverd kan worden. Hoe actueel zijn de gegevens, wat is de vullingsgraad van het gegeven en wat spreken we af over geconstateerde afwijkingen (terugmelden). In de bijlagen A en B zijn voorbeelden van gemeente Rotterdam opgenomen (Gegevensleveringsovereenkomst en Transparantiedocument) Beschikbaar stellen Het leveren van gegevens kan op veel manieren. Van een eenvoudig Excel bestand tot een geavanceerde synchronisatiekoppeling. Afhankelijk van het type levering is het raadzaam vast te leggen welke stappen moeten worden ondernomen om tot levering over te kunnen gaan. Bij een excelbestand lijkt dat niet zo belangrijk, maar het is wel van belang dat het overnemen van gegevens uit dat bestand op een juiste manier gebeurt. Komen gegevensdefinities overeen, is er uitval bij het vergelijken van de bestanden, worden gegevens automatisch of handmatig overgenomen, etc. Naarmate een levering frequenter en geavanceerder is, zullen de spelregels steeds belangrijker worden. Voor de levering van gegevens uit basisregistraties is het gebruik verplicht en daarvoor zal actief door de organisatie op aansluiting door afnemers moeten worden gestuurd. Door te werken met een draaiboek of aansluitplan, vereenvoudig je het proces van aansluiten en gegevensgebruik. De organisatie weet aan de voorkant wat er gedaan moet worden en wie waarvoor verantwoordelijk is. 12

13 2.4. Proces Gegevensmanagement De volwassenheid van een gemeentelijke organisatie op gegevensgebied bepaalt de behoefte aan specifieke processen rondom gegevensmanagement. Op dit moment is hier nog geen informatie over opgenomen in deze handreiking. Discussies zijn er wel geweest rondom het proces van implementatie van gegevensmanagement. Dat heeft geresulteerd in de scorecard gegevensmanagement (zie bijlage E). Deze is te gebruiken als kapstok voor een zelfanalyse. Aan de hand van deze scorecard is het te overwegen om gegevensmanagement als onderdeel binnen applicatiebeheer, changemanagement, projectmanagement en informatievoorziening te noemen, of als vakspecifiek onderwerp in te regelen. 13

14 3. Rollen en verantwoordelijkheden Gegevensmanagement levert de verschillende producten die in het vorige hoofdstuk in een product breakdown zijn weergegeven. Om deze te leveren is een goede taakverdeling nodig in de organisatie. Het gaat om een complex samenspel van verschillende rollen en functies in de organisatie. Om dat mogelijk te maken zijn goede afspraken nodig. We geven hier een kort overzicht van de te onderscheiden functies, rollen en verantwoordelijkheden. Na een diepgaande discussie zijn wij tot deze keuze gekomen. Dit is uiteindelijk een compromis waarin we de scope hebben willen beperken tot de gegevensmanagementrollen. Enkele andere rollen (Applicatiebeheerder, Distributeur, Gegevensmakelaar) hebben wij daarmee voor deze handreiking buiten beschouwing gelaten. In een vervolg versie van de handreiking zullen voorstellen en best practices worden opgenomen van verschillende uitwerkmogelijkheden van het beleggen van deze rollen bij functies en/of in een organisatie RACI matrix In een RACI matrix zijn de rollen en verantwoordelijkheden weergegeven die wij onderscheiden. Daarbij is ook aangegeven welke verantwoordelijkheden we onderscheiden voor de verschillende producten. In kleinere gemeentes kunnen niet alle rollen door verschillende functionarissen worden uitgevoerd. We kunnen niet genoeg benadrukken dat dit groeimodel in rollen verschillend is per gemeente en daarnaast afhankelijk van de mate van volwassenheid van inrichting van gegevensmanagement. R = Responsible / Verantwoordelijk A = Accountable / Eindverantwoordelijk C = Consulted / Raadplegen I = Informed / Informeren 14

15 Toelichting rollen 1. Gegevensarchitect: De architect is verantwoordelijk voor het goed inrichten van gegevensverzameling(en) (gegevensmodel) om de GLO s te kunnen uitvoeren die de gegevensmakelaar gesloten heeft. De verkregen gegevens uit de basisregistraties moeten in samenhang (uitgaand van het RSGB/RGBZ) vastgelegd worden om de levering aan de interne afnemers op een goede manier te kunnen regelen. 2. Regisseur gegevensmanagement/informatiemanagement: Het geweten van de gemeente op het gebied van gegevensmanagement, vaak een architectenrol die zorgt draagt voor het op de kaart zetten en houden van gegevensmanagement. In de praktijk belegd bij verschillende gemandateerde functies zoals hoofd informatiemanagement, demandmanager, regisseur. 3. Bronhouder: De bronhouder is meestal niet de broneigenaar van de brongegevens. Hij zorgt, in opdracht van de formele eigenaar, voor het dagelijkse, inhoudelijke beheer van de brongegevens. Daarbij gaat het om kwaliteitscontroles, toegangsbeheer voor het muteren van de registratie etc. 4. Auditor/Kwaliteitscontrole: De auditor controleert de naleving van procedures, regels en richtlijnen. 15

16 5. Portefeuillehouder gegevensmanagement: De eigenaar en sponsor van het gegevensmanagement binnen de gemeente met handelingsbevoegdheid. 6. Broneigenaar: De broneigenaar van de brongegevens is aan te spreken op kwaliteit en beheer van die gegevens. Die eigenaar is per (basis)registratie verschillend. Indien persoonsgegevens in de registratie voorkomen, is de eigenaar verantwoordelijke zoals omschreven in artikel 1d van de Wet Bescherming Persoonsgegevens (WBP). 7. Afnemer: De afnemer gebruikt gegevens uit de (basis)registratie(s) in zijn proces(sen) bij het uitvoeren van zijn (publieke) taken. Als hij gerede twijfel heeft aan de juistheid van gegevens, meldt hij dit via een terugmeldvoorziening terug aan de registratiehouder. Naast deze (basis)rollen zijn er ook meerdere rollen te identificeren, dit is afhankelijk van de uitvoering binnen een gemeente. In een (vervolg) uitwerking van deze handreiking zullen verschillende voorbeelden worden opgenomen. Daarnaast zal ook de link tussen rollen en functies later met voorbeelden worden uitgewerkt. In dit kader zijn nog 3 andere rollen in onze discussies aan de orde geweest: 1. Applicatiebeheerder; 2. Distributeur; 3. Gegevensmakelaar. Wij hebben deze vooralsnog in onze RACI niet opgenomen. Daarmee zijn ze niet onbelangrijk, maar voor deze versie van de handreiking hebben we ervoor gekozen ze (nog) buiten scope te houden. 16

17 4. Implementatie 4.1. Checklist In deze paragraaf wordt een checklist gegeven met te ondernemen acties bij het inrichten van gegevensmanagement. Een aantal acties hebben meer betrekking op gegevensbeheer, welke raakvlakken heeft met gegevensmanagement. De kern is om organisatiebreed consensus te hebben over begrippen en gebruik van gegevens. Per onderdeel is het noodzakelijk vast te stellen welke doelen bereikt moeten worden. Vervolgens kan met de invoering van onderdelen de ontwikkeling van gegevensmanagement worden gestuurd. a. Algemeen Medewerkers, management, informatiemanagers betrekken en op gewenst kennisniveau brengen (bv door bezoeken seminars, geven van presentaties en workshops, uitnodigen externe sprekers, etc.) b. Organisatie Inrichten beheerorganisatie conform BiSL: Functioneel beheerders benoemen, Functioneel beheer overleg instellen Privacyfunctionaris benoemen Eigenaren van systemen en gegevens benoemen Rollen en verantwoordelijkheden gegevensmanagement beleggen c. Beleid Soorten gegevens vaststellen (basisregistratie, kernregistratie, overig) Streven naar eenmalige inwinning en meervoudig gebruik, Distributie van gegevens Inzichtelijk maken toegevoegde waarde van gegevensmanagement (naast gegevensbeheer); geef aan welke producten/componenten (deels) reeds beschikbaar staan en wat nog ingevuld moet worden d. Producten gegevensmanagement Bepaal in te vullen producten en samenhang met bestaande informatievoorzieningproducten weergegeven in een roadmap Bepaal eigenaar en beheerder van product Geef inhoud aan producten e. Processen Ketens in kaart brengen en eigenaar bepalen Kwaliteit in de bronapplicatie borgen (procedures) Bestandsvergelijkingen tussen bron en distributiemechanisme Bestandsvergelijkingen tussen bron/distributiemechanisme en afnemende applicaties Gegevenscontracten opstellen en jaarlijks evalueren f. Operationeel Herstel gegevens in de bron Herhalen van bestandsvergelijkingen 17

18 Kwaliteitstools gebruiken (bijv. i-spiegel, eigen queries) GLO s jaarlijks updaten Publiceren gemeentebreed gegevenslandschapskaarten Toegankelijk maken gegevenscatalogi vertalen gegevenscatalogi voor eindgebruikers van gegevens 4.2. Bewustwording Gegevensmanagement is een proces van bewustwording. Door op een andere manier naar koppeling, definities en uitwisseling te kijken, komen vaak meer zaken naar voren die afgestemd dienen te worden. Het is een continue proces van inzichtelijk maken, toetsen en verbeterpunten definiëren. Als de bewustwording niet aanwezig is op elk niveau binnen de gemeente, blijft dit een moeizaam en traag proces. Om dit te ondersteunen heeft Operatie NUP hiervoor een instrument ontwikkeld: de I-spiegel. De I-spiegel is een instrument van KING/Operatie NUP om gemeentebreed meer inzicht en bewustzijn te krijgen. Naast de i-spiegel zijn het geven van presentaties binnen de gemeentelijke organisatie en het aansluiting krijgen bij beheerorganisatie, changemanagement en projectorganisatie versnellers in het management van gegevens. Andere prikkels voor gestructureerd gegevensmanagement zijn het implementeren van een enterprise servicebus, tooling voor ETL en/of fouten die ontstaan door het niet (juist) afstemmen van gegevens, projecten met als doel het verbeteren van de kwaliteit van informatie. i-spiegel i-spiegel is software voor bestandsvergelijking om het binnengemeentelijk gebruik van basisregistraties te analyseren. Dit laat zien wat het gebruik van basisregistraties oplevert en nog meer kan opleveren. i-spiegel geeft inzicht in mogelijke financiële besparingen en maakt mogelijke verbeteringen van gemeentelijke dienstverlening concreet en helder. Gemeenten kunnen het ook inzetten om de baten te helpen effectueren. Gemeenten investeren veel tijd en geld in de implementatie van NUP-bouwstenen. Door slimme inzet en strategische verbinding van verschillende basisregistraties kan een gemeente baten gaan oogsten. i-spiegel geeft inzicht in drie soorten baten: Kwantitatieve baten voor de gemeente door meer inningen of minder onterechte uitgaven Kwalitatieve baten door betere kwaliteit van dienstverlening, handhaving en/of bedrijfsvoering Daling van de administratieve lasten voor burgers en/of ondernemers i-spiegel is een softwareprogramma dat verschillende bestanden met elkaar vergelijkt. Door de metingen van i-spiegel te analyseren wordt inzichtelijk in welke mate er onterecht gebruik wordt gemaakt van gemeentelijke voorzieningen. Bovendien kan een gemeente met de analyse inzetten op effectievere handhaving. Inzet van i-spiegel is voor meerdere functionarissen interessant: Wethouders kunnen hiermee op hun bestuurlijk gebied beter sturen op uitgaven en handhaving. Gemeentesecretarissen hebben met i-spiegel goed zicht op de totale bedrijfsvoering van hun gemeente. Maar ook directeuren KCC/Bedrijfsvoering, informatiemanagers en applicatiebeheerders kunnen letterlijk en figuurlijk baat hebben bij de inzet van i-spiegel. I-Spiegel geeft aan waar de gegevenskwaliteit verbeterd kan worden en daardoor ook argumenten om gegevensmanagement structureel vorm te geven. 18

19 Bijlagen Bijlage A - Voorbeeld Gegevens Levering Overeenkomst Gemeente Rotterdam Onderstaand laten we zien hoe in de gemeente Rotterdam de GLO is beschreven. Dit is een voorbeeld waarmee een gemeente in zijn eigen praktijk aan de slag kan. Ook in Rotterdam wordt dit document nog regelmatig aangepast aan het voortschrijdend inzicht en de veranderende praktijk. Algemene voorwaarden Gegevensleveringsovereenkomst Op binnengemeentelijke leveringen van gegevens uit basis-of kernregistraties zijn de volgende voorwaarden van toepassing: Uitvoeringskader 1. Verplicht gebruik De gemeentelijke clusters, deelgemeenten en andere organisatieonderdelen, hierna: de gemeentelijke afnemer, zijn bij het gebruik van basis-of kerngegevens verplicht deze te betrekken van de gemeentelijke bronhouder. 2. Leveringsafspraken De gemeentelijke bronhouder en afnemer maken schriftelijk nadere afspraken over: - de uit het gegevensmagazijn te leveren gegevens - gebruiksdoel van de levering - wijze van levering (evt. technische specificaties) - tijdstip(pen) van levering - evt. kosten - contactpersonen Het hoofd van de gemeentelijke afnemer kan een medewerker hiertoe mandaat verlenen. 3. Betaling/verrekeningssystematiek Ingevolge de gemeentelijke verrekeningssystematiek worden gestandaardiseerde binnengemeentelijke gegevensleveringen in het kader van verplicht gebruik niet in rekening gebracht. Extra opties of maatwerk bij de wijze van levering worden op basis van kostprijs doorberekend. 4. Beëindiging gegevenslevering De gegevenslevering wordt beëindigd zodra: - de gemeentelijke afnemer de gegevens niet meer nodig heeft voor de vervulling van zijn publiekrechtelijke taak, dan wel om andere reden niet langer gerechtigd is tot het gebruik van de gegevens; - het de gemeentelijk bronhouder niet langer is toegestaan de gegevens te leveren Terugmeldplicht Partijen geven invulling aan de terugmeldplicht volgens de gemeentelijk vastgestelde procedure. 6. Doorlevering 19

20 Binnengemeentelijke doorlevering van gegevens is niet toegestaan, tenzij hiervoor toestemming is verleend door de gemeentelijk bronhouder. Hierbij worden de voorwaarden van de gemeentelijk bronhouder in acht genomen. Uitvoering van de afspraken 7. Overleg Indien een contactpersoon aangeeft een nader overleg over de uitvoering van de leveringsafspraken te wensen is de andere contactpersoon verplicht hieraan mee te werken. Algemene voorwaarden Gegevensleveringsovereenkomst 8. Incidenten Onder incident wordt verstaan: het incidenteel niet, niet tijdig, of niet volledig leveren van de gegevens, dan wel het leveren van onjuiste gegevens. Partijen zijn verplicht bij een incident het daartoe ingerichte incidentproces te volgen. 9. Nakoming Partijen zijn verplicht, met inachtneming van de geldende kwaliteitseisen en procedures, zich tot het uiterste in te spannen om de verplichtingen conform de afspraken na te komen. Indien een partij tekort schiet in de nakoming van zijn verplichtingen, kan de andere partij hem hierover in gebreke stellen, waarna de nalatige partij zijn verplichtingen alsnog dient na te komen. Juridische voorwaarden 10. Rechtmatigheid De gemeentelijk bronhouder toetst de rechtmatigheid van de levering van persoonsgegevens volgens de aanwijzing binnengemeentelijke gegevensverstrekking van persoonsgegevens. De gemeentelijke afnemer gebruikt de gegevens uitsluitend voor het door hem aangegeven doel. 11. Intellectuele eigendom De intellectuele eigendomsrechten op de gegevens berusten bij de gemeentelijk bronhouder of diens toeleverende derde. De gemeentelijke afnemer ontvangt het niet exclusieve gebruiksrecht op de geleverde gegevens. De gemeentelijke afnemer is verplicht tot bronvermelding en voorbehoud van auteursrechten op alle verveelvoudigingen of openbaarmaking van de gegevensbestanden. 12. Geheimhouding en beveiliging Partijen leggen passende technische en organisatorische maatregelen ten uitvoer om de gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen 13. Privacy Ingeval van verstrekking van persoonsgegevens of anderszins vertrouwelijke informatie, verplicht de gemeentelijke afnemer zich: - de gegevens niet verder te verstrekken dan noodzakelijk voor het doel waarvoor zij zijn verstrekt; - de toegang tot de gegevens te beperken tot diegenen die daartoe zijn geautoriseerd; 20

21 - de gegevens te vernietigen zodra zij niet meer noodzakelijk zijn voor het doel waarvoor zij zijn verstrekt. 21

22 Bijlage B - Voorbeeld Transparantiedocument Gemeente Rotterdam Uit de praktijk van Rotterdam hebben wij onderstaand voorbeeld van een transparantiedocument opgenomen. Dit is een voorbeeld. Ook in Rotterdam wordt dit document regelmatig aangepast aan het voortschrijdend inzicht en de veranderende praktijk Transparantiedocument 1.1 Definitie Transparantiedocument Document met de beschrijving van de publieke taak van de Gegevensafnemer, het doel van de verwerking en de gegevens- en personenset per verwerking. 1.2 Organisatie Naam van de betrokken binnengemeentelijke Gegevensafnemer vermelden. 1.3 Betrokken organisaties en/of organisatieonderdelen Indien de gegevensverstrekking betrekking heeft op organisatieonderdelen, deze organisatieonderdelen vermelden Als er onderdelen van andere organisaties en/of derden betrokken zijn, deze vermelden. Het gaat in casu om het organisatieonderdeel of organisatieonderdelen waar de verwerking daadwerkelijk zal plaatsvinden. 1.4 Publieke taken van de Gegevensafnemer Er zal duidelijk aangegeven dienen te worden welke wetsartikelen opdracht aan de Gegevensafnemer toekennen ter uitvoering van zijn/haar publieke taken. De publieke taken kunnen ook voortvloeien uit een samenstel van wetten. Om een zo goed mogelijk beeld te krijgen van de grondslag voor de gegevensverstrekking moeten de verschillende wettelijke kaders en de daaruit voortvloeiende lagere wetgeving worden beschreven Daarnaast moet duidelijk blijken dat de Gegevensafnemer geadresseerde is van de genoemde wetgeving. 1.5 Wijze van levering van de gegevens De wijze van aanlevering van de gegevens vermelden. 1.6 Doelgroep en gegevensset Doelgroep benoemen en de gewenste gegevenselementen van de betreffende groep opsommen. 1.7 Bewerking en opslag en filterinstellingen De applicatie vermelden waarin de basis- en/of kerngegevens verwerkt en opgeslagen zullen worden. Tevens zal aangegeven moeten worden hoe het filter is opgebouwd. 1.8 Melding CBP Indien de levering GBA-gegevens betreft, vermelden of de registratie(s) (gegevensverwerking) bij het College Bescherming Persoonsgegevens (CBP) is/zijn gemeld Bij melding aan het CBP, de meldingsnummers noteren Bij niet-melding aan het CBP, de reden hiervoor aangeven. 22

23 1.9 Distributie en doorlevering Gegevens uit de basis- en/of kernregistratie worden door Gegevensafnemer alleen gebruikt in het kader van de uitvoering van zijn/haar publieke taken. Distributie naar en gebruik van deze gegevens door andere partijen mag niet onverenigbaar zijn met het oorspronkelijke doel van de verstrekking Aangeven of de gegevens voor verdere verwerking aan andere partijen zullen worden doorgeleverd In geval van doorlevering, de partijen aan wie zal worden doorgeleverd vermelden Informatiebeveiliging Beveiliging vindt plaats in overeenstemming met het op moment van levering geldende Informatiebeveiligingsbeleid Gemeente Rotterdam Aangeven of de opslag en distributie, en overige vormen van persoonsverwerking, aan de geldende eisen voor informatiebeveiliging, waaronder de gemeentelijke informatiebeveiligingsbeleid voldoen Autorisatiebeheer Vermelden wie bij de Gegevensafnemer is geautoriseerd. 23

24 Bijlage C - Informatiebeveiliging Over informatiebeveiliging is veel meer te zeggen en te regelen dan onderstaand beschreven. Beschouw dit als een begin, een aanzet voor verdere uitwerking in de eigen praktijk. Hoofdaspecten van informatiebeveiliging zijn: Vertrouwelijkheid/exclusiviteit: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor diegenen die hiertoe geautoriseerd zijn. Betrouwbaarheid/integriteit: het waarborgen van de correctheid, volledigheid, tijdigheid, en controleerbaarheid van informatie en informatieverwerking. Beschikbaarheid/continuïteit: het zorgdragen voor het beschikbaar zijn van informatie en informatieverwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers. Het tweede en derde aspect overlapt met de aandachtspunten voor kwaliteit van gegevens, daarom blijven ze hier verder achterwege. Het eerste punt kent twee onderdelen die van belang zijn: Hoe zorgen we ervoor dat onbevoegden geen gegevens kunnen invoeren, wijzigen of verwijderen. Hoe zorgen we ervoor dat onbevoegden geen gegevens kunnen inzien. Het eerste onderdeel is het meest nauw omschreven: gegevens moeten alleen gewijzigd kunnen worden via de daarvoor bestemde applicatie, en de applicatie moet alleen bediend kunnen worden door de daarvoor geautoriseerde medewerkers. Het tweede onderdeel is veel ruimer: indien gegevens afgeschermd moeten worden (b.v. privacygevoelig), dan moeten we ervoor zorgen dat ook alleen daarvoor bevoegde personen ze kunnen inzien. Bijvoorbeeld afschermen van GBA-gegevens zodat een burger alleen de eigen gegevens kan inzien, maar ook dat andere afdelingen niet zomaar toegang hebben tot alle GBAgegevens. Hierbij is trouwens niet van belang of de gegevens digitaal zijn: het gaat ook om papieren dossiers die goed moeten worden opgeborgen voordat iemand s avonds naar huis gaat. Gegevensmanagement betekent dus ook zorgen dat bij de gegevens en de omgang met gegevens aandacht is voor beveiligingsaspecten. Volledige informatie hierover kun je vinden in de Code voor informatiebeveiliging (ISO/IEC 17799:2000). 24

25 Bijlage D - Raakvlakken KING-documentatie King heeft diverse documenten opgeleverd, welke kaders vormen voor de uiteindelijk, wenselijke situatie voor elke gemeente. Het is vooral zaak om de afwijkingen binnen elke gemeente aan te geven. King Wat is het Specifiek per gemeente Het fundament Een weg naar het indelen van bedrijf- en informatiedomeinen Informatiedomeinen Procesarchitectuur Basis voor processen binnen de afdelingen Informatiearchitectuur Basis voor samenhang tussen de informatiedomeinen en verdieping daarin Koppelen applicaties aan verschillende functies binnen de informatiedomeinen en gegevensstromen tussen informatiedomeinen RSGB en RGBZ Referentiemodel voor basisgegevens en samenhang tussen gegevens in de gemeentelijke context. Koppelen van eigenaren van gegevens/objecten en applicaties Binnengemeentelijke leveringen 3 Onder andere onderbouwing noodzaak inrichting gegevensmanagement RSGB en RGBZ Basis voor gegevens en samenhang tussen gegevens Koppelen van Eigenaren van gegevens/objecten en applicaties De gegevensmanager brengt in beeld hoe binnen de eigen gemeente de informatiedomeinen, eigenaren, applicaties en informatiestromen tussen applicaties verlopen, gerelateerd aan de King Richtlijnen. Naast gegevens in het operationele (RSGB), is het ook van belang om zicht te hebben in: Werkstroombesturing (en RGBZ-gegevens) Bedrijfsvoeringgegevens

26 Producten Randvoorwaarden Bijlage E - Scorecard gegevensmanagement In deze bijlage is een voorbeeld van een scorecard opgenomen, die gebruikt kan worden bij het inventariseren wat er op dit moment gebeurt op het gebied van gegevensmanagement. Laat betrokken medewerkers invullen welke score elk onderdeel op dit moment heeft (1 = lage score, 5 = hoge score). Bijkomende voordeel van het invullen van deze scorecard is dat men zich meer bewust wordt van verschillende aspecten binnen gegevensmanagement. TIP: Voor maximaal inzicht voeg je de onderdelen toe die je mist en verwijder je de onderdelen die niet relevant zijn voor je organisatie. Zo ontstaat er een goed beeld van de voor jouw organisatie relevante aspecten! Aandachtspunten aanpak afwegingen Bewustzijn van het belang Als uitdijende kringen van een in de vijver geworpen steen: Eerst bij vakgenoten, daarna in betrokken kringen, zo steeds verder uitbreiden. Visie vorming en doelen bepalen Is de gewenste situatie duidelijk? NB: Beelden moeten gedeeld worden door meerdere mensen; verifieer dus eigen beelden bij anderen. Aanpak bepalen De veranderkundige aanpak moet bij je organisatie passen (Blauwdruk? Organisch groeimodel?) Inhoud Gegevenslandschap Zijn alle landschapskaarten gemaakt, beschikbaar en volledig? Gegevenscatalogus: Gegevenswoordenboek Objecten/entiteiten modellen Gegevenscatalogi (landelijk) Zijn ze bekend in de organisatie? Kunnen mensen ermee werken? Kwaliteit Zijn kwaliteitseisen gedefinieerd? Worden deze gemeten? Volgt uit de resultaten een verbetervoorstel? Wordt er verbeterd op basis van de uitkomsten? Afspraken GLO s Richtlijnen Zijn de richtlijnen opgesteld en bij iedereen bekend? Worden ze nageleefd? Kwaliteitsverbetering 26

27 Per (basis)registratie Generieke Rollen Roadmap Beveiliging Organisatie In welke mate zijn de diverse rollen generiek dan wel voor elke (basis)registratie specifiek vastgelegd en uiteindelijk belegd bij medewerkers? Weten de betreffende medewerkers wat ze op basis van die rollen moeten doen en zijn ze toegerust met voldoende mogelijkheden om deze taken uit te voeren? Facilitator Distributeur Data-integrator Overige rollen Architect CIO Auditor Registratiehouders Leverancier van de gegevens: Broneigenaren Bronhouders Mutatieleveranciers Afnemers 27