FAQ: Compliance richtlijnen bij pakketselectie voor (semi-) overheden.
- Caspar Kleijne
Bij de selectie van een pakket of oplossing voor gegevensbeheer en uitwisseling is het van essentieel belang dat deze voldoet aan minimale eisen en best practices op het gebied van data-integriteit, beveiliging, toegankelijkheid en compliance. Dit document biedt een overzicht van de minimale eisen en wensen die als criteria gelden voor de beoordeling en selectie van een oplossing.
Deze FAQ is bedoeld om een objectieve en consistente beoordeling van oplossingen mogelijk te maken en de selectie te ondersteunen van een pakket dat voldoet aan landelijke standaarden, beveiligingsrichtlijnen en wet- en regelgeving zoals de AVG, Archiefwet en Forum Standaardisatie.
Binnen deze FAQ worden vragen beantwoord over essentiële onderwerpen zoals data-opslag en eigendom, API-ondersteuning, IAM-integratie, logging, encryptie, gegevensuitwisseling en algoritmisch verantwoord gebruik van data. De antwoorden zijn gebaseerd op best practices en actuele beveiligings- en compliance-eisen.
Hierdoor biedt dit document een duidelijke leidraad voor besluitvorming en borgt het dat de geselecteerde oplossing voldoet aan de huidige en toekomstige eisen op het gebied van data en informatiebeheer.
FAQ: Beschikbaarheid van het logisch datamodel en API-documentatie
Beschikbaarheid van het logisch datamodel en API-documentatie
Vraag:
Is het logisch datamodel van de oplossing en de bijbehorende API’s beschikbaar en wordt deze gedeeld?
FAQ: Ondersteuning van API-interactiepatronen
Ondersteuning van API-interactiepatronen
Vraag:
Biedt de oplossing ondersteuning voor de volgende interactiepatronen via API’s?
FAQ: Toegankelijkheid van gegevens en informatie via API's
Toegankelijkheid van gegevens en informatie via API's
Vraag:
Zijn gegevens en informatie (los van de applicatie) toegankelijk via API’s of op een andere manier, ten behoeve van hergebruik door andere oplossingen, voor analyse-doeleinden en exit-scenario’s? Dit betreft alle mogelijke gegevens, niet alleen een subset aan velden.
FAQ: Voldoen de API’s aan de landelijk beschikbare informatiemodellen?
Voldoen de API’s aan de landelijk beschikbare informatiemodellen?
Vraag:
Moeten de API’s voldoen aan de informatiemodellen die nu landelijk beschikbaar zijn?
FAQ: Beschikbaarheid van API-documentatie en OpenAPI-specificatie
Beschikbaarheid van API-documentatie en OpenAPI-specificatie
Vraag:
Is de API-documentatie beschikbaar, idealiter in de vorm van een OpenAPI-specificatie, en wordt deze bij gunning gedeeld?
FAQ: Gegevenslevering en dataminimalisatie via API's
Gegevenslevering en dataminimalisatie via API's
Vraag:
Bevatten gegevensleveringen via API’s niet meer gegevens dan strikt noodzakelijk, zoals alleen opgevraagde data (via query) of data die vereist is voor het verwerkingsdoel (dataminimalisatie bij persoonsgegevens)?
FAQ: IAM-oplossing voor autorisaties bij gegevensbeheer
IAM-oplossing voor autorisaties bij gegevensbeheer
Vraag:
Kan de oplossing gebruik maken van een Identity & Access Management (IAM)-oplossing voor het bepalen van autorisaties voor toegang tot gegevens?
FAQ: Beveiliging op gegevensniveau – datamasking en autorisaties
Beveiliging op gegevensniveau – datamasking en autorisaties
Vraag:
Ondersteunt de oplossing beveiliging op gegevensniveau, zoals datamasking op basis van data-autorisaties per medewerker in plaats van alleen functionele autorisaties?
FAQ: Eigendom van data en beheer door de leverancier
Eigendom van data en beheer door de leverancier
Vraag:
Blijft de data eigendom van de organisatie en is deze slechts in beheer bij de leverancier?
FAQ: Gebruik van linked data in plaats van synchronisatie
Gebruik van linked data in plaats van synchronisatie
Vraag:
Kan de oplossing gebruik maken van data uit andere bronnen via linked data in plaats van synchronisatie, bijvoorbeeld authentieke gegevens in basis- en kernregistraties? Wordt deze data niet lokaal opgeslagen, en indien dit nog niet het geval is, staat dit dan op de ontwikkelagenda?
FAQ: Bewaar- en vernietigingstermijnen van data conform wet- en regelgeving
Bewaar- en vernietigingstermijnen van data conform wet- en regelgeving
Vraag:
Worden data conform de geldende bewaar- en vernietigingstermijnen uit de vigerende wet- en regelgeving (zoals de AVG en Archiefwet) behandeld? Biedt de oplossing mogelijkheden om op basis van selectiecriteria gegevens te selecteren, definitief te verwijderen en/of duurzaam op te slaan conform de daarvoor geldende regels?
FAQ: Opslag van data on-premises op basis van standaard informatiemodellen en cloud-native oplossingen
Opslag van data op basis van standaard informatiemodellen (on-prem specifiek)
Dit geldt uitsluitend voor onpremise (niet cloud oplossingen) Infraplannen ondersteund dit op het moment niet en maakt er ook geen gebruik van.
Vraag:
FAQ: Logging van toegang tot gegevens en informatie-uitwisseling
Logging van toegang tot gegevens en informatie-uitwisseling
Vraag:
Wordt toegang tot gegevens en informatie en de uitwisseling ervan binnen wettelijke kaders gelogd en voorzien van relevante metadata?
FAQ: Bewaking van data-integriteit
Bewaking van data-integriteit
Vraag:
Wordt de integriteit van data bewaakt binnen de oplossing?
FAQ: Beveiliging van gegevens- en informatie-uitwisseling
Beveiliging van gegevens- en informatie-uitwisseling
Vraag:
Vinden gegevens- en informatie-uitwisselingen plaats via beveiligde verbindingen?
FAQ: Gebruik van verplichte standaarden voor data en data-uitwisseling (Forum Standaardisatie)
Gebruik van verplichte standaarden voor data en data-uitwisseling (Forum Standaardisatie)
Vraag:
Worden de verplichte standaarden voor data en data-uitwisseling van het Forum Standaardisatie toegepast binnen de oplossing?
FAQ: Kwaliteitscontroles bij gegevensinvoer op basis van business rules
Kwaliteitscontroles bij gegevensinvoer op basis van business rules
Vraag:
Biedt de oplossing de mogelijkheid om kwaliteitscontroles bij gegevensinvoer uit te voeren op basis van business rules? Indien dit nog niet het geval is, staat dit dan op de ontwikkelagenda?
FAQ: Gebruik van niet-verplichte standaarden voor data en data-uitwisseling (Forum Standaardisatie)
Gebruik van niet-verplichte standaarden voor data en data-uitwisseling (Forum Standaardisatie)
Vraag:
Worden de niet-verplichte standaarden voor data en data-uitwisseling van het Forum Standaardisatie toegepast binnen de oplossing? Welke standaarden worden gebruikt en welke niet?
FAQ: Gebruik van algoritmes en verantwoording conform modelbepalingen voor gemeenten
Gebruik van algoritmes en verantwoording conform modelbepalingen voor gemeenten
Vraag:
Wanneer de oplossing gebruik maakt van algoritmes op basis van ingevoerde data, worden dan de Modelbepalingen voor gemeenten voor verantwoord gebruik van algoritmische toepassingen in acht genomen? Kan de documentatie over deze algoritmes worden opgevraagd ten behoeve van vastlegging in een algoritmeregister?