Globale ict architectuur Glazen Stadhuis Den Haag 1 0 · 3.3 ICT architectuur standaarden ......

Globale ICT Architectuur Glazen Stadhuis Den Haag Versie 1.0 11 december 2002

Het Glazen Stadhuis

© 2002 Gemeente Den Haag Bestand: Globale Ict Architectuur Glazen Stadhuis Den Haag 1_0.Doc Pagina 2 van 27

1 Inhoudsopgave

1 Inhoudsopgave............................................................................................ 2 2 Introductie.................................................................................................... 3 2.1 Aanleiding ............................................................................................ 3 2.2 Ontwikkelen onder architectuur ............................................................. 3 2.3 Positie ICT Architectuur in het Concern ................................................. 3 2.4 Doelstelling........................................................................................... 4 2.5 Gebruik ................................................................................................ 4 3 Uitgangspunten ........................................................................................... 5 3.1 Op basis van het Glazen Stadhuis......................................................... 5 3.1.1 Elektronische dienstverlening ............................................................ 5 3.1.2 Identificatie en authenticatie .............................................................. 5 3.1.3 Klantgegevens.................................................................................. 5 3.1.4 Gemeentelijke standaardisatie gegevens........................................... 5 3.1.5 Adressen.......................................................................................... 5 3.1.6 Autorisatie ........................................................................................ 5 3.1.7 Kopie gegevensverzamelingen.......................................................... 5 3.1.8 Authentieke registraties..................................................................... 5 3.1.9 Kwaliteit van de gegevens................................................................. 5 3.2 Opdrachtgever...................................................................................... 6 3.3 ICT architectuur standaarden ................................................................ 6 4 De architectuur lagen en domeinen ............................................................ 6 4.1 Lagen................................................................................................... 6 4.2 Domeinen............................................................................................. 6 4.3 Logische ICT Architectuur .................................................................... 7 5 De positie van gegevens in de globale ICT architectuur............................. 8 5.1 Samenhang met andere lagen in de ICT architectuur ............................. 8 5.2 De gezamenlijke gegevenslaag............................................................. 9 5.3 Kernregistraties .................................................................................... 9 5.4 Gegevensverzamelingen met een specifieke functie .............................. 9 5.5 Kwaliteit van de gegevens................................................................... 10 6 Berichten uitwisseling (messaging) .......................................................... 11 6.1 Gemeentelijke data highway................................................................ 11 7 Beveiliging................................................................................................. 12 7.1 Beveiligingsbeleid............................................................................... 12 7.2 Beveiligingsarchitectuur ...................................................................... 12 7.3 Beveiligingsbeheer.............................................................................. 13 7.4 Beperking toegestane protocollen........................................................ 13 7.5 Security officer.................................................................................... 13

7.6 Centrale identificatie en authenticatie................................................... 13 8 Standaardisatie ICT middelen.................................................................... 14 9 Overzicht architectuur ............................................................................... 15 9.1 Presentatielaag................................................................................... 15 9.1.1 Het internet..................................................................................... 15 9.1.2 Het extranet.................................................................................... 15 9.1.3 Identificatieproces en elektronische certificaten (PKI) ....................... 15 9.1.4 Het intranet..................................................................................... 16 9.2 Gemeenschappelijke Applicatielaag .................................................... 16 9.2.1 Centrale Directory Services............................................................. 16 9.2.2 Applicaties...................................................................................... 16 9.3 Gemeenschappelijke Gegevenslaag.................................................... 16 9.4 Dienstprocessenlaag........................................................................... 16 9.5 Beheer ............................................................................................... 17 9.5.1 Centraal pro-actief beheer............................................................... 17 9.5.2 Functioneel en technisch operationeel beheer van applicaties en

gegevens........................................................................................ 17 10 Bijlage Functionele informatie architectuur Den Haag 2003 ................ 18 11 Bijlage Wijziginghistorie en verspreiding............................................. 19 12 Bijlage Uitgangsdocumenten................................................................ 20 13 Bijlage Voorbeeld Toegangsbeveiliging............................................... 21 14 Bijlage Voorbeeld Digitale Documenten............................................... 22 15 Bijlage Voorbeeld Messaging (o.a. EOS).............................................. 23 16 Bijlage Voorbeeld positionering Vastgoed voorzieningen................... 24 17 Bijlage Voorbeeld Brandveiligheid ....................................................... 25 18 Bijlage Voorbeeld Kernregistratie Niet Natuurlijke Personen .............. 26 19 Bijlage Voorbeeld BurgerRegie ............................................................ 27

Het Glazen Stadhuis


2 In t roduct ie

2.1 Aanleiding

Het gemeentebestuur is ervan overtuigd dat informatie technologie onuitputtelijke mogelijkheden biedt om het functioneren van de Haagse samenleving nieuwe impulsen te geven. Om hieraan invulling te geven is het verbeteren van de dienstverlening aan de burger en het bedrijfsleven cruciaal. In het programma het Glazen Stadhuis is de ontwikkelde i-visie uitgewerkt in concrete trajecten voor het inzetten van ICT om elektronische dienstverlening aan de burgers mogelijk te maken. Tevens is een aanzet gegeven voor de architectuur van de informatievoorziening, zoals weergegeven in het schema in de bijlage functionele informatiearchitectuur Den Haag 2003. Verder hebben de rampen in Enschede en Volendam geresulteerd in grote belangstelling voor de toegang tot gegevens en de mogelijkheden om gegevens in samenhang te kunnen presenteren. Snelheid (bv. bij een dreigende gifwolk of brandmelding) en juistheid van de gegevens (bv. over de opslag gevaarlijke stoffen) zijn daarbij cruciaal. Het invullen van voorzieningen om aan de behoeften van burgers en bedrijven te kunnen voorzien, zonder daarbij voorbij te gaan aan wettelijke regels, vraagt een aanpak die enerzijds robuust en anderzijds flexibel is. Immers het realiseren van dergelijke voorzieningen kost tijd. Gedurende de planperiode tot en met 2006, zullen zich politieke, maatschappelijke en technische ontwikkelingen voordoen, die nu nog niet worden voorzien, laat staan op hun merites kunnen worden beoordeeld. In het kader van vervangen GBA is begin 2002 gestart met het ontwikkelen van een globale ICT architectuur voor het positioneren van de vernieuwingsmodules GBA. Een dergelijke architectuur biedt de kaders en richtlijnen voor projecten om delen van de informatievoorziening in te vullen zonder daarbij mogelijkheden van integratie en communicatie te blokkeren of te belemmeren. In opdracht van de bestuursdienst POI is gewerkt aan het uitbreiden van de architectuur voor GBA naar alle werkterreinen van de gemeente, met extra aandacht voor: - de positionering van de zogenoemde kernregistraties - de systemen voor vastgoed, gevisualiseerd in de bijlage positionering vastgoed

voorzieningen. - informatievoorziening in het kader van brandveiligheid - de communicatie tussen de verschillende delen van de informatiearchitectuur en

aandachtsgebieden. Gegeven de wens om geïntegreerde informatie te kunnen leveren aan burger en ambtenaren is expliciet aandacht besteed aan de wijze van beveiligen en het gebruik van standaarden.

2.2 Ontwikkelen onder architectuur

Het ontwikkelen van de voorzieningen onder architectuur wordt gedaan om deelgebieden te benoemen en kaders te hebben waarbinnen programma’s en projecten kunnen worden gedefinieerd en gerealiseerd met zo min mogelijk interactie tussen de verschillende deelgebieden. Voor de noodzakelijke interactie tussen de verschillende aandachtsgebieden levert de architectuur de spelregels. Elk aandachtsgebied kan hierdoor op eigen tempo de gewenste veranderingen aanbrengen. Een onderdeel van de architectuur is de ICT architectuur waarin de plaats en de samenhang van de verschillende ICT voorzieningen wordt vastgelegd en de wijze waarop zij kunnen communiceren. Belangrijk element in de ICT architectuur is de invulling van het begrip ‘bestand’, zoals dat in de informatie architectuur is benoemd. 1 Bij het opstellen van de ICT architectuur wordt rekening gehouden met: - zowel technische als niet technische uitgangspunten en randvoorwaarden - financiële, juridische, organisatorische en maatschappelijke consequenties - de bestaande situatie en belangen - de ideale eindsituatie - de meest haalbare situatie - migratiemogelijkheden - beveiliging De visualisatie van de ICT architectuur is een communicatiemiddel waarmee ook niet technici zich een beeld kunnen vormen van de werking van de voorgestelde voorzieningen.

2.3 Positie ICT Architectuur in het Concern

“De globale ICT architectuur” is een uitwerking van de business architectuur en de functionele architectuur. Deze architecturen zijn voor de gemeente verwoord in de documenten over het Glazen Stadhuis. Bij de business architectuur staat centraal welke positie wordt ingenomen ten opzichte van de klanten. Welke toegevoegde waarde wordt geleverd, wie de klanten zijn en hoe met klanten wordt omgegaan en niet onbelangrijk waar komt het geld vandaan om de producten en diensten te realiseren. De samenhang is weergeven in de matrix van vraag en aanbod, waarbij aan de aanbodzijde de rollen van de burger zijn aangegeven en aan de vraagzijde de schakels in de keten binnen de gemeente (van balie tot beheer en beveiliging). In de functionele architectuur staat de vraag centraal op welke wijze de schakels in de keten moeten worden ingevuld. Niet de vraag hoe (proces), maar de vraag wat (functie) staat centraal. Met de ICT architectuur wordt een kader geschetst voor de voorzieningen die het wat kunnen ondersteunen en versterken. Op basis van de ICT architectuur kan de infrastructuur worden ingevuld. Het gaat daarbij met name om de invulling met concrete producten van generieke voorzieningen voor berichtenverkeer, het plaatsen en verbinden van servers en het beveiligen en beheren van het geheel aan voorzieningen”

1 Het Glazen Stadhuis van I-visie naar I-strategie Het Haagse programma 2002 voor de superpilot BZK

Het Glazen Stadhuis


2.4 Doelstell ing

Ontwerp en beschrijf de globale ICT architectuur op basis waarvan de doelstellingen van het Glazen Stadhuis kunnen worden gerealiseerd op efficiënte en veilige wijze. De beschreven voorzieningen maken deel uit van een toekomstige gemeentelijke architectuur. Het functioneren van deze voorzieningen is in grote mate afhankelijk van de realisatie van een gemeentelijke architectuur die is ingericht om haar dienstverlening op elektronische wijze aan burgers, bedrijven en overheden aan te bieden. De gemeentelijke architectuur schept als het ware de randvoorwaarden voor het optimaal benutten van de te realiseren onderdelen. In de gemeentelijke architectuur is opgenomen: − De positie van de gegevens. − Identificatie en authenticatie van klanten van de gemeente Den Haag. − Identificatie en authenticatie van medewerkers van de gemeente Den Haag2. − De positie van het Gemeentelijk Contactcentrum. − Het gezamenlijke gebruik van gegevens − Het gemeenschappelijke gebruik van webapplicaties. − Het gebruik van dienstspecifieke applicaties en gegevens. − Voorzieningen voor:

o Autorisatie o Beveiliging o Beheer

De scope van dit architectuurdocument is het beschrijven van de architectuur op hoog niveau. De functionele en technische uitwerking van de gemeentelijke architectuur, de invulling per dienst en het definiëren van het migratietraject vallen buiten de scope. Bij het invullen van de globale ICT architectuur is niet te ontkomen aan het hanteren van technische terminologie. Vooral als het gaat om uitwisseling van gegevens en beveiliging, is het expliciet benoemen wat in technische zin wel en wat niet kan uiterst belangrijk voor het creëren van een evenwichtige en stabiele architectuur.

2.5 Gebruik

Het invullen van de voorgestelde ICT architectuur heeft de grootste kans van slagen wanneer bij elke beslissing over een project of programma, naast de functionele afwegingen, naar de volgende zaken wordt gekeken: - Neemt de beschikbaarheid van gegevens toe voor integratie in proceseigen en

procesvreemde informatieproducten. - Krijgt de burger of ondernemer toegang tot zo veel mogelijk gegevens en zijn

maatregelen genomen om het contactmoment te gebruiken om de kwaliteit van de gegevens voor burger en bestuur te verbeteren

2 Met medewerkers van de gemeente Den Haag wordt bedoeld: ambtenaren, bestuurders en fractiemedewerkers

- Draagt het project bij aan de realisatie of het gebruik van kernregistraties. - Worden gegevens los van applicaties, rekenregels, presentatie tools enzovoort

zodanig opgeslagen dat de gegevens toegankelijk zijn voor (thematische) applicaties die gericht zijn op de interactie met de burger

- Worden gegevens tussen de verschillende lagen in de vorm van berichten uitgewisseld om de privacy en veiligheid van de informatiehuishouding te waarborgen.

- Worden bedrijfsregels, waaronder regels voor procesflow en beslisbomen opgenomen in de applicaties (webapplicaties voor de presentatie en procesapplicaties voor het ondersteunen van processen) in plaats van in de gegevensopslag.

- Wordt door een pakket de strikte scheiding van lagen ondersteund. - Wordt gebruik gemaakt van de aangegeven protocollen en standaarden.

Het Glazen Stadhuis


3 Ui tgangspunten

3.1 Op basis van het Glazen Stadhuis

3.1.1 Elektronische dienstverlening

− De burger3 is in staat om voor hem of haar relevante gegevens te kunnen raadplegen en daarop te reageren.

− De burger is in staat om zijn of haar eigen gegevens te raadplegen op te voeren en te wijzigen.

− De ‘waarheid’ van de burger wordt zichtbaar gemaakt voor de ambtenaren en de burger zelf. Het proces van verwerken van gegevens van de burger is voorspelbaar en door de burger langs elektronische weg te volgen.

− Producten van de gemeente die zich lenen voor elektronische dienstverlening zijn 24 uur per dag en 7 dagen per week voor de burger bereikbaar.

− De verschillende kanalen voor dienstverlening aan de burger zoals het contactcentrum, de centrale en decentrale balies en Internet beschikken over dezelfde gegevens.

− De gemeente is in staat bij calamiteiten snel en accuraat gegevens te leveren voor de eigen diensten, de provinciale en landelijke overheid en niet in de laatste plaats aan de eigen burgers over: aantallen en identificatie van burgers, gebouwen, ondernemingen enzovoort in het bedreigde gebied.

− Identificatie van natuurlijke en niet natuurlijke personen is een vereiste om de elektronische dienstverlening voor de burger als betaler en bewaker mogelijk te maken.

− Identificatie van de burger is gewenst om de kwaliteit van de aanwezige gegevens te kunnen controleren en te verbeteren.

− De privacy van burgers en ambtenaren moet gewaarborgd blijven, uitgaande van de bestaande wetgeving.

3.1.2 Identificatie en authenticatie

− Voor identificatie en authenticatie van klanten (natuurlijke en niet natuurlijke personen) van de gemeente Den Haag wordt een centrale voorziening ontwikkeld.

− Voor identificatie en authenticatie van medewerkers van de gemeente Den Haag wordt een centrale voorziening gerealiseerd.

3.1.3 Klantgegevens

Het betreft algemene (bv. naw) en specifieke gegevens van een burger als natuurlijke persoon of van een organisatie als niet natuurlijke persoon. Burgers en gemeentelijke diensten kunnen, mits geautoriseerd, beschikken over real time gegevens van klanten van de gemeente Den Haag. Dergelijke gegevens moeten door systemen van diensten kunnen worden gebruikt in de eigen processen.

3 Met burgers bedoelen we zowel burgers als ondernemers

De informatiebehoefte van de diensten betreft minimaal identificerende gegevens en het adres van de klant.

3.1.4 Gemeentelijke standaardisatie gegevens

Het beleid van de gemeente Den Haag is gebaseerd op het principe van éénmalige opslag en meervoudig gebruik van gegevens. Standaardisatie van gegevens in lijn met landelijke ontwikkelingen stroomlijning basisgegevens.

3.1.5 Adressen

Alle kernregistraties van de gemeente Den Haag waarin een relatie wordt gelegd tussen personen en adressen binnen de gemeente Den Haag, maken gebruik van het Eenduidig Basisadres (EBA) van de Gemeente Den Haag.

3.1.6 Autorisatie

Het verlenen van toegang tot applicaties en gegevens van gemeentelijke diensten aan ambtenaren, burgers en bedrijven is de verantwoordelijkheid van de betreffende dienst en/of proceseigenaar.

3.1.7 Kopie gegevensverzamelingen

Het kopiëren van gegevens binnen de gemeente moet worden beperkt. On line raadplegen van gegevens wanneer deze nodig zijn in combinatie met het opnemen van sleutelverwijzingen zijn de norm.

3.1.8 Authentieke registraties

De gemeente sluit aan bij het beleid van de overheid rond authentieke registraties. Omdat niet alle gegevens uit dergelijke registraties relevant zijn voor de gemeentelijke dienstverlening en een ander deel van de wel noodzakelijke gegevens ontbreekt, wordt een ander term, namelijk: kernregistraties gebruikt. De relatie tussen authentieke registraties en kernregistraties is schematisch als volgt weer te geven:

Kernregistratie Wel Niet

Wel Gemeenschappelijk met gebruik standaard

Niet relevant voor de gemeente

Authentieke registratie

Niet Extra voor de gemeente Niet van toepassing

3.1.9 Kwaliteit van de gegevens

Het streven is erop gericht de kwaliteit van de gegevens zodanig te verbeteren dat de dienstverlening aan de burger optimaal is. De kwaliteit van de gegevens wordt zichtbaar en meetbaar gemaakt.

Het Glazen Stadhuis


3.2 Opdrachtgever

De globale ICT architectuur is opgesteld in opdracht van dhr. F. Toet, directeur POI van de gemeente Den Haag. Voor het opstellen van de architectuur is uitvoerig gesproken met dhr. E. Dolle van DSO/Landmeten en Vastgoedinformatie, dhr. C. Batist van POI en dhr. H. Bos van POI. Verder is gebruik gemaakt van een groot aantal rapporten en notities en incidentele gesprekken met vertegenwoordigers van verschillende diensten en disciplines over: − Haagse infodesk − Financiën − Brandveiligheid − GBA vernieuwingsmodules − Kernregistratie niet natuurlijke personen − Bedrijven Basis Registratie

3.3 ICT architectuur standaarden

De eisen en aannames zoals die hierboven zijn beschreven, zijn geformuleerd vanuit het perspectief van de opdrachtgever en gebruiker. In deze paragraaf worden aanvullende eisen en aannames beschreven vanuit de techniek. Door het digitaliseren van de samenleving moeten diensten via steeds meer kanalen en op elk moment worden aangeboden. Naast de klassieke balie en correspondentie zijn call centers actief en is het Internet opgekomen. Om de verscheidenheid aan kanalen efficiënt te kunnen bedienen, is het gebruikelijk de presentatielaag te scheiden. Deze presentatielaag wordt bediend door een applicatielaag. Het voordeel van deze scheiding is dat één applicatie door meer bedieningwijzen gebruikt kan worden. Door vervolgens de applicaties los te maken van gegevens ontstaat de gegevenslaag. Gegevens worden slechts éénmaal vastgelegd, maar kunnen meervoudig worden gebruikt.

Halen in plaats van brengen Een architectuur die gebaseerd is op hoofdstroomstandaarden gaat er vanuit dat gegevens niet worden gebracht, maar moeten worden gehaald. Dit bevordert de eenmalige vastlegging, de efficiëntie en de juistheid van de gegevens Beveiliging per laag Bijkomend voordeel van de opdeling in lagen is dat de beveiliging per laag kan toenemen tot het hoogste niveau van beveiliging op de gegevenslaag (de registers).

Logische en fysieke plaats De logische opdeling in lagen zegt, dankzij de moderne communicatie- en beveiligingstechnologie, niets over de fysieke locatie van een applicatie, database, webserver of wat dan ook.

4 De arch i tec tuur lagen en domeinen

4.1 Lagen

Conform de beschreven hoofdstroomstandaard is de gemeentelijke ICT architectuur opgedeeld in drie horizontaal georganiseerde lagen: − Presentatielaag

Webservers, mobileservers en (minder gewenst) cliëntapplicaties − Applicatielaag

Applicatieservers, authenticatieservers en communicatieservers − Gegevenslaag

Kernregistraties, financiëndatabase, personeelsdatabase, dienstspecifieke gegevens (core proces data), diverse databanken

Deze lagen zijn verbonden door berichtenuitwisseling (messaging), waarbij een bericht geen laag kan overslaan.

4.2 Domeinen

Om ongeautoriseerd gebruik te voorkomen en het mogelijk te maken interne processen af te schermen van de buitenwereld, wordt elke laag opgedeeld in domeinen. Voor ieder domein behalve het anonieme domein is authenticatie vereist. − Intern Diensten, waarbij de voorzieningen uitsluitend voor één dienst beschikbaar zijn. − Intern Gezamenlijk, voor voorzieningen die door meer diensten kunnen worden gebruikt

maar niet toegankelijk zijn voor gebruikers van buiten de diensten. − Intern en Extern, voor voorzieningen die gemeentebreed gebruikt kunnen worden en

nodig zijn voor (elektronische) dienstverlening aan de burger. − Anoniem voor anonieme internet gebruikers − Netwerk Beheer − Werkplek Beheer (Kantoor automatisering) In het volgende schema zijn de verschillende lagen en domeinen weergegeven.

Gegevens

Applicaties

Presentatie

Gegevens

Applicaties

Presentatie

Het Glazen Stadhuis


4.3 Logische ICT Architectuur

Intranet/extranet

pre

sen

tati

elaa

gA

pp

licat

iela

agG

egev

ensl

aag

In-

en e

xter

nP

ub

liek

do

mei

n

Intern gezamenlijk Intern en extern gezamenlijk

Intranet

Intern Dienst

Intranet Client/server Client/server

pre

sen

tati

elaa

gA

pp

licat

iela

agG

egev

ensl

aag

Inte

rnge

brui

ker

Financiëlegegevens

Personeelgegevens

KR adressen

KRNP

Burgergegevens bank

KR objecten

Digitale Documenten

Kopiegegevensbank

KRNNP

KRtopografie

CDSKlanten

Den HaagInfo desk

Burgerregie applicatie

DiverseApplicatie servers

Documentmanagement

BBR

GBAKetenpartners

Communicatieservers

personeleapplicaties

Financiëleapplicaties

Call Cent. applicatie

Mobileservers

Webserversextranet

Webserversextranet

Mailserverextranet

Webserversintranet

WANWAN

CallCenter

browserMedewerkers

ClientsoftwareMedewerkers


browserMedewerkers

browserMedewerkers

browserburger

browserondernemer

Diverse Dienst procesApplicatie servers

Dienst procesgegevens


WebserversDienst intranet

Balie

Dienst legacy

CDSMedewerkers

www.denhaag.nl

Dienst legacy

BeheerBeveiliginggezamenlijk

monitoring

logging

Indringerdetectie

Configuratiebeheer

Helpdesk Probleembeheer

Wijzigingenbeheer

residentienet

DienstDS

KAWerkplekbeheer

Mailserverintranet

MailserverDienst

File en PrintserversDienst

browserketenpartner

geauthenticeerd

WebserversInternet

InternetApplicatie(anoniem)

anoniem

Internet

Intranet/extranet

pre

sen

tati

elaa

gA

pp

licat

iela

agG

egev

ensl

aag

In-

en e

xter

nP

ub

liek

do

mei

n

Intern gezamenlijk Intern en extern gezamenlijk

Intranet

Intern Dienst


pre

sen

tati

elaa

gA

pp

licat

iela

agG

egev

ensl

aag

Inte

rnge

brui

ker

Financiëlegegevens

Personeelgegevens

KR adressen

KRNP

Burgergegevens bank

KR objecten

Digitale Documenten

Kopiegegevensbank

KRNNP

KRtopografie

CDSKlanten

Den HaagInfo desk


DiverseApplicatie servers

Documentmanagement

BBR

GBAKetenpartners

Communicatieservers

personeleapplicaties

Financiëleapplicaties


Mobileservers

Webserversextranet

Webserversextranet

Mailserverextranet

Webserversintranet

WANWAN

CallCenter

browserMedewerkers



browserMedewerkers

browserMedewerkers

browserburger

browserondernemer

Diverse Dienst procesApplicatie servers



WebserversDienst intranet

Balie

Dienst legacyDienst legacy

CDSMedewerkers

www.denhaag.nl

Dienst legacyDienst legacy

BeheerBeveiliginggezamenlijk

monitoring

logging

Indringerdetectie

Configuratiebeheer

Helpdesk Probleembeheer

Wijzigingenbeheer

residentienet

DienstDS

KAWerkplekbeheer

Mailserverintranet

MailserverDienst

File en PrintserversDienst

browserketenpartner

geauthenticeerd

WebserversInternet

InternetApplicatie(anoniem)

anoniem

Internet

Het Glazen Stadhuis


5 De pos i t ie van gegevens in de g loba le ICT arch i tec tuur

In het document Het Glazen Stadhuis 4 zijn diverse informatisering programma’s gedefinieerd die doorlopen tot eind 2006. Deze programma’s zijn gerelateerd aan de wijze waarop het aanbod voor de burger wordt ingevuld. Het betreft: − Balie: de wijze waarop gegevens worden gepresenteerd − Beleid: de vertaling van wet en regelgeving, beslisbomen en de receptuur voor het

gebruiken van de gegevens. − Besturing: de procesflow om het gewenste resultaat te bereiken − Bestand: de gegevens die nodig zijn om de gewenste producten te produceren − Beheer: de voorzieningen waarmee de dienstverlening mogelijk wordt gemaakt. De focus bij de ontwikkeling van de globale ICT architectuur ligt op de dimensie ‘bestand’. Daarbij wordt ingegaan op de inrichting en invulling van ‘bestand’ in relatie tot de andere voorzieningen die nodig zijn om de burger in de gedefinieerde rollen van bezoeker, beïnvloeder, betaler, bewaker en browser te kunnen ondersteunen. Schematische weergave van de relatie tussen de vraag en de aanbod zijde 5 VRAAG

AANBOD

BEZOEKERTOEGANKELIJK PRODUCTEN

BEINVLOEDERKWALITEIT PROFIELEN

BETALERBETROUWBAAR TRANSACTIES

BEWAKERCONTROLEERBAAR GEGEVENS

BROWSERVEILIGHEID WEBPLEKKEN

BEHEER EN BEVEILIGINGBALIE BELEID

BESTURING BEDRIJFS VOERING

BESTAND

In een vraaggestuurde bedrijfsvoering spelen gegevens een cruciale rol. Het zijn immers de gegevens waar de burger in verschillende rollen iets mee moet kunnen doen. Nu blijft de rol van de burger in de elektronische dienstverlening veelal beperkt tot die van bezoeker en levert de gemeente de gevraagde productgerichte informatie. In de toekomst zal de burger via elektronische hulpmiddelen steeds meer gaan optreden in de rol van betaler en bewaker. Rollen waarvoor identificatie strikt noodzakelijk is en – paradoxaal - gegevens moeten worden ontsloten én sterker beveiligd dan in de huidige situatie. Belangrijk onderdeel van de beveiliging is het tegengaan van ongeautoriseerde bewerkingen.

4 Het Glazen Stadhuis van I-visie naar I-strategie; Bestuursdienst / Directie POI; Den Haag februari 2002 5 Bron: Het Glazen Stadhuis De Haagse aanpak voor burger en bestuur; Bestuursdienst / Directie POI; Den Haag september 2001, pagina 4.

Kortom gegevens zullen in steeds meer en steeds wisselende samenstelling nodig zijn voor de standaard en maatwerk producten van de gemeente. Het is de kunst om een evenwicht te vinden tussen voldoende beveiliging en aanvaardbare beschikbaarheid. Dit evenwicht zal telkens weer opnieuw moeten worden bepaald. Zowel technologische als maatschappelijke ontwikkelingen blijven hier invloed op uit oefenen. Het veilig koppelen van verschillende gegevens uit verschillende bronnen op de wijze die de burger wil en op het tijdstip dat het hem of haar uitkomt, is daardoor misschien wel de grootste uitdaging bij het realiseren van het glazen stadhuis.

5.1 Samenhang met andere lagen in de ICT architectuur

Om de burger, ondernemer en ambtenaar op een veilige en betrouwbare manier gebruik te laten maken van de voorzieningen wordt gebruik gemaakt van verschillende lagen 6: De burger richt zich tot de gemeente via de gebruikerslaag. In deze laag bevindt zich de browser van de pc of mobiele telefoon van de burger. Voor interne toepassingen kunnen hier ook de clients van gemeentelijke toepassingen voorkomen. Deze zijn niet toegankelijk voor de burger. Met de presentatielaag zorgen web- en mobileservers ervoor dat gegevens gepresenteerd worden op het apparaat waarmee de burger toegang zoekt. In deze laag presenteert de gemeente zich aan de burger. De nadruk ligt op de vorm, de inhoud wordt gedurende de interactie met de burger opgebouwd vanuit de andere lagen. De laag met applicaties waarin de regels zijn opgenomen om gegevens te kunnen verwerken en bewerken tot de vorm waarin ze voor de webservers geschikt zijn om door te geven aan de presentatielaag. Hierin zijn ook de servers geplaatst voor authenticatie en communicatie. Functionaliteit is hier het sleutelwoord. Beslisbomen en andere business rules zijn beschikbaar om de interactie met de burger de juiste toepassingen te vinden en te laten werken. Onder andere de applicatie voor elektronische formulieren (zie bijlage Digitale Documenten) is op deze laag gepositioneerd. Een specifieke toepassing wordt gevormd door de centrale directory servers, waarmee de identiteit en de gebruikersrechten van burgers of medewerkers kunnen worden gecontroleerd en doorgegeven aan de applicaties. Op de gegevenslaag zijn de kernregistraties (bv. natuurlijke personen) en andere gegevensverzamelingen met een specifieke functie (bv. digitale documenten) opgenomen. Hier worden de gegevens gevonden voor de interactie met de burger. In voorkomende gevallen kunnen specifieke gegevens via deze laag worden opgehaald uit de processystemen. Gegevens die processpecifiek zijn, worden aangetroffen bij de dienstprocessen en zijn in principe alleen bedoeld voor intern gebruik. In de verdere uitwerking ligt het zwaartepunt op de plaats van de verschillende gegevensverzamelingen. Gegevens kunnen voorkomen op: − de gezamenlijke gegevenslaag voor in- en extern gebruik − de processpecifieke gegevenslaag Voor de inrichting van de Haagse gegevenshuishouding wordt als regel gehanteerd dat alle gegevens processpecifiek zijn, totdat is aangetoond dat gegevens tot de gezamenlijke

6 Conform 3.3 Logische ICT Architectuur.

Het Glazen Stadhuis


gegevenslaag behoren. Het uitwerken van de processpecifieke gegevens kan dan ook achterwege blijven.

5.2 De gezamenli jke gegevenslaag

Gegevens die voldoen aan één van de volgende criteria behoren tot de gezamenlijk gegevens laag. Het gaat om de volgende criteria: − Een gegeven maakt deel uit van een door de landelijke overheid aangewezen

authentieke registratie 7 (bv. niet natuurlijke personen); − Een gegeven wordt gebruikt in meer dan één proces om processpecifieke gegevens aan

te kunnen relateren (bv. Adressen). − Een gegeven is nodig om de burger de voortgang van een proces, bijvoorbeeld een

aanvraag bouwvergunning, te kunnen laten volgen.

5.3 Kernregistraties

Bij het aanwijzen van kernregistraties wordt aangesloten op landelijke ontwikkelingen op het gebied van stroomlijnen basisgegevens. Onderdeel hiervan is het definiëren, ontwerpen en invullen van authentieke registraties. Voor de planperiode (tot en met 2006) worden de volgende kernregistraties voorzien: − Natuurlijke personen8; hieraan wordt invulling gegeven in het kader van het GBA. Eind

2003 moet deze kernregistratie operationeel zijn. − Niet natuurlijke personen9 (zie bijlage ) met als basis het in ontwikkeling zijnde Basis

Bedrijven Register, waarin behalve niet natuurlijke personen ook vestigingen van bedrijven worden opgenomen. Onder regie van DSO wordt hieraan invulling gegeven. De 1e versie van deze kernregistratie wordt eind 2003 verwacht, evenals de Centrale Directory Services voor het identificeren van de ondernemers.

− Adressen voor het vastleggen van de relatie tussen (niet) natuurlijke personen en objecten. DSO speelt hierbij een belangrijke initiërende rol die gekoppeld is aan de verantwoordelijkheid voor de kernregistratie gebouwen. DSO / L&V heeft hiervoor recent een visiedocument 10opgesteld waarin de relaties tussen de diverse kernregistraties onder de verzamelnaam objecten is vastgelegd. Oplevering van de eerste versie is gepland medio 2003.

− Gebouwen is aangewezen als authentieke registratie. Daarnaast wordt de registratie voor verschillende sterk uiteenlopende doelen gebruikt:

o De identificatie van objecten en verblijfsruimten. o Het ruimtelijk beleid

o Belasting heffing o Inzicht van de burger in de eigen gegevens o Thematische bevragingen, zoals bijvoorbeeld brandveiligheid (bijlage)

7 Uitgangspunten conform het programma Stroomlijning Basisgegevens 8 Personen volgens programma stroomlijning basisgegevens 9 Organisatie genoemd in het programma stroomlijning basisgegevens. 10 Visie op de vastgoedinformatie in 2006, met GIDS naar het loket; concept versie 1.2

− Kadastrale informatie, is een authentieke registratie en daarmee automatisch een kernregistratie. Omdat de gegevens zowel administratief als topografisch zijn, is een sterke verbinding en oriëntatie op de kernregistratie topografie nodig.

− Topografie 11 is opgenomen als kernregistratie omdat de elektronische dienstverlening steeds meer geografisch georiënteerd zal worden. Onder de topografische gegevens worden ondergebracht:

o de grootschalige basiskaart o kleinschalige basiskaart o gebiedsindelingen o cyclorama’s en foto’s 12

De digitale basiskaart vormt het fundament voor deze kernregistratie.

5.4 Gegevensverzamelingen met een specif ieke functie

Op basis van de huidige inzichten worden naast de kernregistraties de volgende gezamenlijke gegevensverzamelingen onderkend: − De gegevens voor financiële administratie, vormgegeven in het project EOS. − PION / PRISAL voor personeelsinformatie, salarisbetalingen en dergelijke. − Digitale documenten met aanvragen voor vergunningen, verleende vergunningen,

raadsbesluiten, tekeningen enzovoort. Deze voorziening is generiek bevraagbaar (in- en extern gebruik) en gekoppeld aan de processen waar de gegevens ontstaan.

− Productcatalogus in elektronische vorm voor het on line completeren van formulieren door de diensten (1e vorm), het contactcentrum of aan de balie en door burgers (2e vorm).

− Burger Gegevensbank (zie ook bijlage Burger Regie), met de gegevens waarmee de burger zijn of haar rol als bewaker kan invullen. In deze voorziening worden gegevens opgeslagen waarmee de burger voor hem of haar relevante gegevens kan opvragen en vastleggen. Deze voorziening vraagt nog nadere uitwerking.

Gegevens in de burger gegevensbank zijn bereikbaar via residentie.net en denhaag.nl. Gebruik is alleen toegestaan voor burgers die zich kunnen identificeren en het recht hebben gekregen om van deze voorziening gebruik te maken. Het toewijzen van de verantwoordelijkheid van deze voorziening zal nog plaats moeten vinden. Een eerste versie zal moeten aansluiten op de ontwikkeling van de kernregistraties natuurlijke personen en niet natuurlijk personen evenals het beschikbaar komen van elektronische formulieren voor aanvragen van diverse vergunningen. Voor het verzamelen van eisen en wensen van de burger kan gebruik worden gemaakt van de ontwikkelingen rond residentie.net. Een algemene gegevensbank, voor gegevens die: − Geen deel uitmaken van een bestaande kernregistratie. − Praktisch niet binnen de gestelde responstijden of voldoende veilig zijn te verkrijgen uit

de processystemen

11 Kernregister en GBKN genoemd in het programma stroomlijning basisgegevens. 12 Cyclorama’s en foto’s worden gerelateerd aan de topografische gegevens. Gegeven de aard van gegevensverzameling zal voor de opslag en ontsluiting aparte voorzieningen moeten worden getroffen.

Het Glazen Stadhuis


− Essentieel zijn voor de elektronische dienstverlening aan de burgers − Noodzakelijk voor thematische bevragingen13 door burgers die zich niet wensen te

identificeren in de rol van bezoekers. Deze voorziening is tijdelijk van aard en zal worden opgeheven wanneer alle kernregistraties zijn afgerond en de processystemen voldoende toegankelijk en beveiligd zijn om binnen de gestelde responstijd gegevens te leveren. Het ontwikkelen en implementeren van deze voorziening en het invullen van de verschillende verantwoordelijkheden moet nog plaatsvinden. Het is nadrukkelijk niet de bedoeling dat andere diensten hun eigen gegevensbanken op de gezamenlijke gegevenslaag gaan invullen. Of men sluit aan bij een kernregistratie of men sluit aan bij de algemene gegevensbank.

5.5 Kwaliteit van de gegevens

Het kennen van de kwaliteit van de gegevens is essentieel voor een goede dienstverlening. Wanneer alle gegevens als even betrouwbaar worden gepresenteerd en als ‘waarheid’ worden gebruikt ontstaat ruis in de besturing van de processen binnen de gemeente en onrust bij de burger, omdat bij een volgend contact de ‘waarheid’ anders blijkt te zijn. Het verbeteren van de kwaliteit van de gegevens is dan ook een zorg voor alle diensten. Door het benoemen van eigenaren van gegevens wordt duidelijk wie verantwoordelijk is voor de kwaliteit. Vervolgens is het noodzakelijk om de kwaliteit vast te stellen. Een beproefde methode is het kwalificeren van gegevens met behulp van een indicatie. Bijvoorbeeld: − Groen: gecontroleerde en juist bevonden gegevens, geen reden om aan de juistheid te

twijfelen. (afkomstig uit authentieke registraties) − Oranje: vastgelegde gegevens waarvan de juistheid nog moet worden vastgesteld, maar

wel de meest actuele werkelijkheid lijken voor te stellen (alle andere bronnen). Deze methode stelt eisen aan de wijze waarop gegevens worden vastgelegd en daarmee aan de applicaties. Tevens moet in de bestanden ruimte worden gemaakt om de betreffende kwalificaties op te nemen. De applicaties die gegevens presenteren zullen in staat moeten zijn om de kwaliteitsindicatie te tonen en eventuele alternatieven gegevens te presenteren. Het vaststellen van de kwaliteit is geen doel op zich. Het gaat uiteindelijk om de verbetering van de dienstverlening in- of extern. Aangezien het doorvoeren van een dergelijk mechanisme een tijdrovende en intensieve operatie is, is het verstandig eerst vast te stellen welke gegevens de meeste invloed op de dienstverlening hebben. Na het vaststellen van de kwaliteit van die gegevens, kunnen verbeterprogramma’s worden gedefinieerd en worden vastgesteld in hoeverre de acties daadwerkelijk leiden tot een betere kwaliteit van de gegevens.

13 Bijvoorbeeld: brandveiligheid, bereikbaarheid, bestemmingsplan, taxateurs, enzovoort.

Het Glazen Stadhuis


6 Ber ichten u i tw isse l ing (messaging)

6.1 Gemeenteli jke data highway

Om een wirwar aan interfacedefinities te voorkomen, is een standaard interfacespecificatie voor gemeentelijke gegevensuitwisseling gewenst, de zogenoemde gemeentelijke data-highway. Binnen deze data-highway geldt het standaard protocol XML. Op basis van XML zijn diverse definities beschikbaar op allerlei gebieden zoals geografische informatie, financiële informatie etc. Vervolgens wordt voorgesteld om de gemeentelijke systemen aan te sluiten op deze Gemeentelijke Highway via standaard Gateways zoals BizTalk server van Microsoft of

applicatiespecifieke messagingservices zoals Oracle Interconnect of Microsoft.net XML/SOAP servers. Dergelijke Gateways of Messagingservices converteren: − niet gestandaardiseerde protocollen naar het binnen de gemeente gestandaardiseerde

XML protocol − het binnen de gemeente gestandaardiseerde XML protocol naar een niet

gestandaardiseerd protocol. Het voordeel van het gebruik van Messagingservices is dat de conversie buiten het verzendende of ontvangende systeem gebeurt. Bij vervanging van het systeem hoeft dan alleen de conversiedefinitie te worden aangepast. Voor nieuwe te realiseren systemen wordt aanbevolen het betrokken systeem rechtstreeks XML te laten communiceren i.p.v. een Gateway te realiseren. Een voorbeeld van messaging is opgenomen in de bijlagen.

clientbrowser

CDS medewerkers

Intranet/extranet

Kopie Gegevensbank

applicatie CDS klanten

Data 1

applicatie

client

client browser

Data n

applicatie

client

kernregistratiekernregistratie

presentatielaag

Applicatielaag

GegevenslaagIn- en extern

gebruiker

Financiën Personeel Digitale documenten

Messaging

Dienst legacy

applicatie

Messaging

applicatie applicatie

Messaging Messaging

webserver mobileserverwebserver webserver webserver

Intern gezamenlijk

Messaging Messaging

applicatie

Core proces data

applicatieapplicatie

webserver

Intern en extern gezamenlijk

Intranet

Intern Dienst


presentatielaag

Applicatielaag


gebruiker

Core procesdata binnen een dienst

kan communiceren via messaging met dienst legacy data

dienst legacy data binnen een dienst

kan communiceren via messaging met

kernregistraties

EOS kan communiceren via

messaging met dienst applicaties

Applicaties kunnen

communiceren met alle

gegevens-verzamelingen

Webserverskunnen

communiceren met meerdere

applicatieservers

PION kan communiceren via

messaging met CDS medewerkers

clientbrowser

CDS medewerkers

Intranet/extranet

Kopie Gegevensbank


Data 1

applicatie

client

Data 1

applicatie

client

client browser

Data n

applicatie

client

Data n

applicatie

client


presentatielaag

Applicatielaag


gebruiker


Messaging

Dienst legacy

applicatie

Messaging


Messaging Messaging


Intern gezamenlijk

Messaging Messaging

applicatie

Core proces data


webserver


Intranet

Intern Dienst


presentatielaag

Applicatielaag


gebruiker

Core procesdata binnen een dienst

kan communiceren via messaging met dienst legacy data

dienst legacy data binnen een dienst

kan communiceren via messaging met

kernregistraties



Applicaties kunnen



Webserverskunnen


applicatieservers



Het Glazen Stadhuis


7 Bevei l ig ing

Het beveiligingsniveau heeft een sterke relatie met de wijze waarop de fysieke beveiliging van ruimten en documenten is geregeld. Een samenhangend beveiligingsbeleid omvat de gehele informatievoorziening. De regels gelden zowel voor de geautomatiseerde als de niet geautomatiseerde informatieverwerking en verstrekking. Voor de toegankelijkheid wordt de volgende baseline gehanteerd: - open - afgeschermd - gesloten De invulling hiervan moet per voorziening worden vastgesteld. Een Gemeentelijke Architectuur die zich richt op de elektronische dienstverlening biedt kaders en richtlijnen voor de beveiliging van de betrokken informatiesystemen. Voor generieke voorzieningen zoals een werkplek of de gemeentelijke data highway zijn deze dwingend. Immers deze voorzieningen bieden de toegang tot allerlei gemeentelijke informatie. Voor de verschillende toepassingen zijn de diensten zelf verantwoordelijk voor de invulling van richtlijnen. De werking van de voorziening van toegangsbeveiliging is opgenomen in één van de bijlagen. In de planperiode worden diensten en producten steeds toegankelijker gemaakt voor de burger. Dit stelt ook nieuwe eisen aan de beveiliging. De focus van de beveiliging komt steeds meer te liggen op persoonsgebonden toegang tot delen van het netwerk. Hiervoor zijn specifieke voorzieningen noodzakelijk.

7.1 Beveil igingsbeleid

De gemeente dient een actief beveiligingsbeleid te hanteren. Beveiliging moet daarbij onderdeel worden van de bedrijfscultuur. Het beveiligingsbeleid moet vertaald worden in richtlijnen en werkinstructies.

7.2 Beveil igingsarchitectuur

De logische architectuur is mede ingegeven door het principe van de gelaagde beveiliging. De lagen worden gescheiden door netwerkapparatuur zoals switches, routers en firewalls waardoor voor iedere laag een specifiek beveiligingsniveau wordt gecreëerd. Daarbij moet ook nog onderscheid worden gemaakt in de toegang voor anonieme gebruikers (bijvoorbeeld voor

informatie via het web) en geïdentificeerde gebruikers. Systemen voor anonieme gebruikers zijn bijvoorkeur niet gekoppeld aan het gemeentelijke netwerk. De gemeentelijk gezamenlijke applicatielaag waarop de CDS en bijvoorbeeld een WOZ applicatie zijn gepositioneerd is in beveiligingsniveau gescheiden van de gemeentelijk gezamenlijke gegevenslaag waarop de Kernregistratie is gepositioneerd. Het volgende voorbeeld toont het principe: Externe geïdentificeerde klant heeft alleen toegang tot webservers Alleen webservers hebben toegang tot applicatieservers Alleen applicatieservers hebben toegang tot databases

bestand

burger

Intranet/extranet

CommunicatieExterne systemen

Klantenauthenticatie

Medewerkeauthenticatie

Beheermonitoring

beheer

KernRegisters

Digitale Documenten

Beheerlogging

Dienst

processen

Financieelsysteem

Gezamenlijke gegevenslaagintern gebruik

Gezamenlijke gegevenslaag

intern en extern gebruik

Gezamenlijke applicatielaag


Gezamenlijke presentatielaag


medewerker

bedrijfslevenbalie

Personeelsysteem

Kopiegegevens

verzamelingen

applicaties

BeheerIndringerdetectie

Alleen verkeer mogelijk van webservers via proxyservers met

directory servers enapplicatieservers

Alleen verkeer mogelijk tussen applicaties en

gezamenlijke gegevens voor in- en extern gebruikOnder voorwaarde van

authenticatie van degebruiker en autorisatie

door de Diensten

Alleen verkeer mogelijk met de gezamenlijke

gegevenslaag en onder voorwaarden van de

Dienst.

Gebruikers worden geïdentificeerd en geauthenticeerd

voordat zij toegang krijgen

Communicatie tussen webservers en intranet en extranet gebruikers

wordt indien nodig versleuteld

Beheerverkeer met systemen binnen de

gezamenlijke lagen vindt plaats via een apart beheer-netwerksegment Dit wordt doorgevoerd tot in de te

beheren systemen


gezamenlijke gegevensVoor intern gebruik

Onder voorwaarde van authenticatie van de

gebruiker en autorisatiedoor de Diensten

firewalls

bestand

burger

Intranet/extranet




Beheermonitoring

beheer

KernRegisters

Digitale Documenten

Beheerlogging

Dienst

processen

Financieelsysteem








medewerker

bedrijfslevenbalie

Personeelsysteem

Kopiegegevens

verzamelingen

applicaties


Alleen verkeer mogelijk van webservers via proxyservers met

directory servers enapplicatieservers


gezamenlijke gegevens voor in- en extern gebruikOnder voorwaarde van

authenticatie van degebruiker en autorisatie

door de Diensten

Alleen verkeer mogelijk met de gezamenlijke

gegevenslaag en onder voorwaarden van de

Dienst.

Gebruikers worden geïdentificeerd en geauthenticeerd

voordat zij toegang krijgen

Communicatie tussen webservers en intranet en extranet gebruikers

wordt indien nodig versleuteld

Beheerverkeer met systemen binnen de

gezamenlijke lagen vindt plaats via een apart beheer-netwerksegment Dit wordt doorgevoerd tot in de te

beheren systemen


gezamenlijke gegevensVoor intern gebruik

Onder voorwaarde van authenticatie van de

gebruiker en autorisatiedoor de Diensten

firewalls

Het Glazen Stadhuis


Communicatie is dus alleen mogelijk tussen twee naast elkaar gelegen lagen en dan alleen onder strikte condities en protocollen. De beheerders moeten echter in verbinding staan met alle systemen op alle lagen. Dit wordt gerealiseerd door een apart beheernetwerk. Te beheren objecten worden voorzien van een extra netwerkkaart of aansluiting waarover alleen beheerverkeer kan lopen.

7.3 Beveil igingsbeheer

Pro-actief beheer is noodzakelijk omdat bedreigingen en de technologie van die bedreigingen continu in ontwikkeling zijn. De volgende activiteiten kunnen worden onderscheiden: − Onderhoud op beveiligingsbeleid − Onderhoud op beveiligingsrichtlijnen en

werkinstructies − Communicatie (binnen de organisatie) van

beveiligingsbeleid, -richtlijnen en -werkinstructies − Monitoren van systemen en netwerk − Intruder detectie (signaleren van inbraak(pogingen) − Logging (vastleggen van alle beveiliging

gerelateerde gebeurtenissen binnen het netwerk) ten behoeve van recherche en audittrail.

7.4 Beperking toegestane protocollen

Tussen de lagen en dus tussen verschillende beveiligingsniveaus vindt communicatie plaats. Deze communicatie moet worden beperkt tot de hoogst nodige protocollen. Deze standaardisatie zorgt voor efficiency en beperkt de: − mogelijkheden tot inbraak − benodigde beheerinspanning op de controle op

inbraakpogingen De hier vermelde protocollen zijn een globale inventarisatie. Per infrastructuurontwerp moeten deze nauwgezet worden vastgesteld, geïmplementeerd en beheerd.

7.5 Security off icer

In een complexe ICT omgeving als die van Den Haag moet beveiliging continue op de agenda staan en onderdeel worden van de cultuur. Het is verstandig op concernniveau een ICT beveiligingsfunctionaris te

benoemen. Deze is minimaal verantwoordelijk voor het beleid en de richtlijnen en bijvoorkeur ook voor de implementatie en handhaving.

7.6 Centrale identif icatie en authenticatie

bestand

burger

Intranet/extranet




Beheermonitoring

beheer

KernRegisters

Digitaal Documenten

archief

Beheerlogging

Dienst

processen

Financieelsysteem








medewerker

bedrijfslevenbalie

Personeelsysteem

Kopiegegevens

verzamelingen

applicaties


2IP, IPSEC, HTTP (S)HTML, DHTML, XML,

SOAP

4IP, XML, SOAP, LDAP

5Naar niet Dienst eigen systemen:

IP, IPSEC, SSL, XML, SOAP, LDAPNaar Dienst eigen systemen ook:

TCP, ODBC, JDBC, SQLNET

1IP, HTTP(S), SSL,

HTML, DHTML, XML

0IP, TCP, FTP, SNTP


Fysieke laag

Datalinklaag

Netwerklaag

Transportlaag

Sessielaag

Presentatielaag

Applicatielaag

Netwerk

Routers, switches, hubs, ethernet, IEEE 804, kabels, etc

IP en IPSEC

TCP,SSL

OSInetwerklagen

TCP/IPnetwerklagen

XML,SOAP,HTTP(S), (D)HTML, LDAP, ODBC,JDBC,SQLNET, FTP, SNTP, POP, SMTP, IMAP

bestand

burger

Intranet/extranet




Beheermonitoring

beheer

KernRegisters

Digitaal Documenten

archief

Beheerlogging

Dienst

processen

Financieelsysteem








medewerker

bedrijfslevenbalie

Personeelsysteem

Kopiegegevens

verzamelingen

applicaties


2IP, IPSEC, HTTP (S)HTML, DHTML, XML,

SOAP


5Naar niet Dienst eigen systemen:

IP, IPSEC, SSL, XML, SOAP, LDAPNaar Dienst eigen systemen ook:

TCP, ODBC, JDBC, SQLNET

1IP, HTTP(S), SSL,

HTML, DHTML, XML

0IP, TCP, FTP, SNTP


Fysieke laag

Datalinklaag

Netwerklaag

Transportlaag

Sessielaag

Presentatielaag

Applicatielaag

Netwerk


IP en IPSEC

TCP,SSL

OSInetwerklagen

TCP/IPnetwerklagen


Fysieke laag

Datalinklaag

Netwerklaag

Transportlaag

Sessielaag

Presentatielaag

Applicatielaag

Netwerk


IP en IPSEC

TCP,SSL

OSInetwerklagen

TCP/IPnetwerklagen


Het Glazen Stadhuis


Alle in- en externe gebruikers van de gezamenlijke lagen moeten centraal worden geauthenticeerd. Hiertoe wordt een centrale directory service opgezet voor klanten en medewerkers. Wat deze gebruikers vervolgens wel of niet mogen wordt bepaald door de proceseigenaar. De proceseigenaar kan er voor kiezen deze rechtenprofielen op te nemen in de CDS of de CDS te laten verwijzen naar zelf opgeslagen profielen. De rechtenprofielen van medewerkers kunnen worden gerepliceerd uit de Directory Servers per Dienst en worden daarmee door de Diensten zelf onderhouden. De CDS kan medewerkers eventueel actualiseren door een XML koppeling met PION. Voor de rechtenprofielen van klanten zal per elektronische dienst of product moeten worden vastgesteld welke rechten worden verleend.

8 Standaard isa t ie ICT midde len

Het standaardiseren van ICT middelen dient de volgende doelen: − Beheersbaar maken (maatregel: beperken aantal leveranciers en

componenten en alleen hoofdstroomproducten en standaarden) − Kosten efficiëntie (maatregel: beperken aantal leveranciers en

componenten) − Goede inkooppositie (maatregel: meer leveranciers in concurrentie) − Continuïteit (maatregel: meer grote leveranciers) Hieruit blijkt dat de goedkoopste operatie op gespannen voet staat met de maatregelen voor de inkooppositie en continuïteit. Het toestaan van meerdere leveranciers kost meer maar geeft minder afhankelijkheid. Men moet een gulden middenweg kiezen door: − Keuze van een beperkt aantal leveranciers op een specifieke laag van

de architectuur − Eisen dat tussen deze lagen en dus mogelijk tussen verschillende

leveranciers een standaard protocol wordt gebruikt. − De samenhang en samenwerking van de toegestane producten continu

beoordelen Speciale aandacht is nodig voor de “open source” middelen zoals het operating systeem Linux. Deze middelen vereisen extra aandacht op het gebied van kennismanagement omdat niet terug gevallen kan worden op een producent.

bestand

burger

Webservers•Microsoft•Apache

Directory Service•Novell•Microsoft

beheer

Dienst

processen








medewerker

bedrijfslevenbalie OS/NOS•Microsoft•Linux•Novell

OS/NOS•Microsoft•Linux•Novell

Applicaties•Microsoft•Oracle

OS/NOS•Microsoft•Linux•Unix•Novell

Gegevens•Oracle•Microsoft


Gegevens•Oracle•Microsoft•IBM

Processen•Pakketten•Oracle•Microsoft

bestand

burger

Webservers•Microsoft•Apache

Directory Service•Novell•Microsoft

beheer

Dienst

processen








medewerker

bedrijfslevenbalie OS/NOS•Microsoft•Linux•Novell

OS/NOS•Microsoft•Linux•Novell

Applicaties•Microsoft•Oracle


Gegevens•Oracle•Microsoft


Gegevens•Oracle•Microsoft•IBM

Processen•Pakketten•Oracle•Microsoft

Het Glazen Stadhuis


9 Overz ich t a rch i tec tuur

De architectuur zoals beschreven is een logische voorstelling van de gemeentelijke infrastructuur. De fysieke plaats en kenmerken van de verschillende onderdelen van de architectuur is nog niet bepaald. In een infrastructuur ontwerp moeten alle componenten en systemen en hun communicatie gespecificeerd, gepositioneerd en verbonden worden. Voor elk gemeenschappelijk onderdeel, zoals de kernregistraties en de beveiligingsvoorzieningen moet worden bepaald welke gemeentelijke dienst of afdeling de rol van proceseigenaar op zich zal nemen. Verder zal moeten worden bepaald wie de systemen in technische en operationele zin zal gaan beheren.

9.1 Presentatielaag

De presentatielaag wordt in de architectuur voorgesteld als een centrale gemeentelijke voorziening die de contacten met de klanten van de gemeente Den Haag verzorgt. In deze definitie ondersteunt het meerdere kanalen (web, kiosk, telefoon, balie). De positionering van de presentatielaag in een drie-lagen architectuur heeft een belangrijk voordeel. Alle kanalen kunnen in principe gebruik maken van alle gemeentelijke applicaties en gegevens. In de praktijk kent ieder kanaal zijn beperkingen. Legitimatie via de telefoon is lastig. Hetzelfde geldt voor het overhandigen van fysieke documenten bij contact via het web. Voor de realisatie van de presentatielaag is het belangrijk vanuit de klant te denken, en minder vanuit de procesvoering. Voor het tot stand komen en handhaven van een consistent beleid voor klantbediening kan een classificatie worden gemaakt op basis van de volgende criteria: − aan wie het product of de dienst wordt aangeboden (overheid, burger, bedrijf) − welk product, dienst en of combinatie van producten en/of diensten wordt aangeboden,

bijvoorbeeld: − informatie, beschermd of onbeschermd, − transactie, betaald of onbetaald − middels welke kanalen de verschillende gemeentelijke diensten worden aangeboden. De beschreven architectuur is een architectuur op hoofdlijnen waarin alleen de verschillende kanalen van de presentatielaag zijn opgenomen: − Internet voor de juridisch anonieme klanten − Extranet voor de juridisch geïdentificeerde klanten − Intranet voor de interne klanten (medewerkers van de gemeente) − E-mail voor allen − Callcenter voor juridisch anonieme interne en externe klanten − Fax − Post − Balie

9.1.1 Het internet

Het onderdeel “internet” in de architectuur is toegankelijk voor iedereen. De klant hoeft zich niet te identificeren om toegang te krijgen tot dit deel van de gemeentelijke infrastructuur. Het aanbod op deze webpagina’s is vaak algemeen informatief van aard. Juist omdat men zich niet hoeft te identificeren om toegang te krijgen tot dit deel van infrastructuur, is dit deel kwetsbaar voor inbraak door hackers (van buiten). Een open verbinding van dit deel van de infrastructuur met gegevens en applicaties van diensten brengt risico’s met zich mee. Vanuit beveiligingsoogpunt wordt voorgesteld een aparte omgeving in te richten in het gemeentenetwerk, waar diensten al dan niet op aan kunnen sluiten. Iedere dienst kan na inventarisatie van de voordelen en risico’s besluiten al dan niet een communicatieverbinding te realiseren met dit deel van de infrastructuur.

9.1.2 Het extranet

Het extranet deel van de gemeentelijke infrastructuur is toegankelijk voor alle klanten en medewerkers van de gemeente Den Haag die zich kunnen identificeren met een geldig elektronisch certificaat, dat door de gemeente Den Haag wordt vertrouwd. De gemeente weet met wie ze te maken heeft, en dat de klant is wie hij of zij zegt te zijn. Het is hier mogelijk om gepersonaliseerde en privacygevoelige diensten aan te bieden, eventueel met een wilsbekrachtiging in de vorm van een elektronische handtekening (vereist transactielogging). Vanuit beveiligingsoogpunt minder risicovol om vanuit dit extranet een verbinding te leggen naar de applicatie- en gegevenslagen in de infrastructuur. Wanneer de identiteit en adresgegevens van de gebruiker bekend zijn, is misbruik immers snel en gemakkelijk te traceren (vereist audit trail logging).

9.1.3 Identificatieproces en elektronische certificaten (PKI)

Allereerst moet worden gecontroleerd of een klant inlogt met een certificaat dat is uitgegeven door een instantie die door de gemeente Den Haag wordt vertrouwd. Dit kan DBZ van Den Haag of een andere gemeente zijn, maar ook de Kamer van Koophandel, of de BBR. Vervolgens moet worden gecontroleerd of het certificaat niet is ingetrokken door deze instantie. Dat kan op twee manieren: Blacklisting Is het certificaat uitgegeven door een instantie buiten de gemeente Den Haag, dan controleert de gemeente of het certificaat voorkomt op de black list van ingetrokken certificaten, de zogenaamde Certificate Revocation List (CRL). Deze CRL wordt gepubliceerd door de instantie die het certificaat heeft uitgegeven (Certificate Autority), op een plek die 24 uur per dag en 7 dagen per week toegankelijk is voor alle accepterende instanties. Op het certificaat is meestal aangegeven waar de CRL te vinden is. Komt het certficaat voor op de lijst, dan wordt de toegang tot het extranet geweigerd. DBZ zal overigens ook een CRL moeten publiceren of doen publiceren door de CA voor alle instanties die de certificaten van DBZ Den Haag accepteren.

Het Glazen Stadhuis


Whitelisting Is het certificaat uitgegeven door (een dienst van) gemeente Den Haag, dan controleert de gemeente of het certificaat voorkomt op de white list van geldige certificaten. De white list kan worden opgenomen in de CDS. Komt het certificaat voor in de CDS dan wordt de gebruiker toegang tot het extranet verleend. Komt het certificaat niet voor in de CDS, dan wordt de toegang geweigerd. 9.1.3.1 Technische noot Het vertrouwen in de uitgevende instantie (CA) kan het best worden geïnstalleerd in een Hardware Secure Module (HSM). Deze HSM zorgt tevens voor de geldigheidscontrole van het betreffende certificaat op datum. De bevraging van de CRL’s en de CDS van Den Haag vindt plaats op het niveau van webservers en applicaties via proxyservices. De HSM zorgt tevens voor de encryptie van de communicatie op basis van het certificaat. Het is belangrijk deze functie te benoemen, omdat deze een alternatief biedt voor encryptie door webservers of proxyservers, hetgeen gebruikelijk is. De HSM ontlast de webservers, waarmee wordt voorkomen dat de webservers alleen bezig zijn met de encryptie van de communicatie en de beschikbaarheid en de performance van de dienstverlening in het gedrang komt. Bovendien is het veiliger de privé-sleutels van Den Haag in een HSM op te bergen dan in een web- of proxyserver. 9.1.3.2 Migratie noot Zolang nog geen gebruik kan worden gemaakt van elektronische certificaten kunnen andere identificatie middelen worden gebruikt. Deze moeten in verhouding staan tot de gevoeligheid van de aan te bieden diensten en producten. Hierbij kan worden gedacht aan: − Gebruikersnaam en wachtwoord samen per post toesturen − Gebruikersnaam en wachtwoord separaat per post toesturen − Gebruikersnaam toesturen en wachtwoord afhalen − PIN en challenge/respons token separaat toesturen (als bij telebankieren) − PIN en challenge/respons token afhalen − Eigen certificaten pilot met online uitgifte (kosten efficiënt)

9.1.4 Het intranet

Het intranet is toegankelijk voor alle medewerkers van de gemeente Den Haag. De identificatie van de medewerkers wordt op centraal niveau verzorgd. Wanneer de ambtenarencertificaten door PKI overheid of een derde worden uitgegeven, kan een CRL worden gecontroleerd. Indien de ambtenarencertificaten door Den Haag zelf worden uitgegeven, kan een white list worden aangelegd in de CDS. De RA rol voor de uitgifte van ambtenarencertificaten wordt namelijk bij de betreffende overheidsinstantie belegd. De geldigheid van een ambtenarencertificaat wordt op dezelfde wijze gecontroleerd als die van een Haagse burger. De autorisatie op gemeentelijke systemen wordt niet op centraal niveau geregeld, maar is en blijft de verantwoordelijkheid van de proces- of systeemeigenaar. Totdat de ambtenarencertificaten beschikbaar zijn, kan identificatie en authenticatie worden gerealiseerd door gebruik van gebruikersnaam en wachtwoord van de medewerkers-accounts uit de Directory Services van de diensten.

9.2 Gemeenschappeli jke Applicatielaag

Dit is het centrale gebied van de gemeente waarin applicaties, directory services en communicatieservices zijn gepositioneerd voor gemeenschappelijk gebruik. Deze kunnen door alle kanalen van de klantbediening en intern worden gebruikt. Het gaat hier om een logische positionering van de systemen. Fysiek kunnen deze systemen bij de verantwoordelijke dienst (proceseigenaar) staan.

9.2.1 Centrale Directory Services

De Centrale Directory Services verzorgen authenticatie van alle gebruikers van de gemeentelijke voorzieningen. − Klanten

In de CDS staan een aantal identificerende gegevens van alle klanten van Den Haag. Dit zijn zowel natuurlijke als niet natuurlijke personen die in of buiten Den Haag gevestigd zijn. Het gaat om klanten die via het extranet bij de gemeente binnenkomen.

− Medewerkers In de CDS staan identificerende gegevens van alle medewerkers van de diensten die toegang hebben tot het intranet van de gemeente Den Haag. Op dit moment hebben veel diensten eigen Directory Services waarin de authenticatie en autorisatie van hun eigen medewerkers wordt geregeld. Bij de realisatie van de CDS kunnen de Directory Services van de diensten die medewerkers repliceren die centraal geauthenticeerd moeten worden.

9.2.2 Applicaties

Alle applicaties voor extern en intern gezamenlijk gebruik worden logisch op deze laag gepositioneerd. Het gaat om: − Alle mogelijke web en mobile applicaties, bijvoorbeeld de Haagse-infodesk,

Residentienet en my marriage.com. − Callcenter applicaties − Balie applicaties − Alle applicaties voor intern gezamenlijk gebruik

9.3 Gemeenschappeli jke Gegevenslaag

Alle gegevens die bedoeld zijn voor gemeenschappelijk gebruik worden op deze laag gepositioneerd. De gemeenschappelijke gegevenslaag is opgesplitst in een intern en intern/extern deel. De kernregistraties vormen de basis van deze gegevensverzamelingen voor gemeenschappelijk gebruik.

9.4 Dienstprocessenlaag

Op deze laag in de logische architectuur vinden de primaire en secundaire dienstprocessen plaats. Voor DBZ is het GBA op deze laag gepositioneerd.

Het Glazen Stadhuis


9.5 Beheer

Binnen de gemeentelijke architectuur is het beheer van systemen vanuit twee invalshoeken benaderd: − Alle systemen die via het internet en het extranet kunnen worden benaderd dienen

centraal en pro-actief te worden beheerd. − Functioneel en technisch operationeel beheer van applicaties en gegevens

9.5.1 Centraal pro-actief beheer

Alle systemen die via het Internet en het extranet kunnen worden benaderd dienen centraal en pro-actief te worden beheerd op de volgende punten: − Monitoring

op beschikbaarheid, capaciteit en prestatie − Intruder-detection

signaleren van inbraakpogingen − Logging

vastleggen van alle gebeurtenissen (inclusief de handelingen van de beheerder) en transacties voor analyse en audittrail

Deze punten moeten binnen een consistent beheerproces vallen waarin ook zaken zijn opgenomen als: − Wijzigingbeheer − Probleembeheer − Configuratiebeheer − Beveiligingbeheer

9.5.2 Functioneel en technisch operationeel beheer van applicaties en gegevens

Het functioneel beheer van applicaties en gegevens ligt bij de proces- of systeemeigenaar. De keuze over de invulling van het technisch operationeel beheer ligt bij de proceseigenaar. Aandachtspunt hierbij is de relatie met het centrale pro-actieve beheer. Om te voorkomen dat werkzaamheden dubbel of juist niet worden uitgevoerd moeten goede onderlinge taakafspraken worden gemaakt. Deze afspraken moeten worden vastgelegd in Service Level Agreements (SLA’s) Vanuit beveiligingsoogpunt moet een apart beveiligingsnetwerk worden gecreëerd. Alle systemen in het gezamenlijke presentatie- en applicatiegebied van intranet en extranet bevatten dus een separate netwerkverbinding naar centraal pro-actief beheer!

Het Glazen Stadhuis


10 B i j lage Funct ione le in format ie a rch i tec tuur Den Haag 2003

Haagse website Den Haag.nl

Telefoon:Gemeentelijk

Contactcentrum

Klachten enmeldingen Stadskrant Bestuur en

organisatie Mijn loketStadsdelen Thema's enprofielenFysiek aan

gemeentelijke baliesPost en fax

Residentie.net

Functionele informatie-architectuur Den Haag 2003

Starten gemeentelijkedienstverlening

vanuit portaal

Productgegevens

IntaketrechterThemaProfiel

Gebeurtenis

Geselecteerdeproducten

Gemeentelijke producten en diensten

Beslisboom

Transactie-formulierNAW-gegevensProces-gegevens

Dynamischeformulierserver

Wet- enregelgeving

Producten-databank

Processen-databank

Producten endiensten

Concernbredegegevens-

verzamelingen

Procesgebondengegevens-

verzamelingenop dienstniveau

Werkstroombeheer

Documenten management

Docu-menten

Proces-regels

Beheer en beveiliging

Stippellijn:Middlewareomgeving voorgegevensuitwisseling via

XML

Onderbroken lijnen:inlezen gegevens

via beveiligde procedures

Klanten-gegevens-

bank

CentralDirectoryServices

Thema-tische

databanken

NatuurlijkePersonen

Niet-natuurlijkepersonen

GebouwenKadaster

TopografieAdressen

Proces-gegevens

Proces-gegevens

Proces-gegevens

Proces-gegevens

Portalen enCommunities

AANBOD-KANT

VRAAG-KANT

Bezoeker

Bezoeker Balie

Beinvloeder Beleid

BesturingBetaler

Bewaker Bestand

Browser Beheer enbeveiliging

Agenderings-systeem Betaalfuncties

Financien

Kernregistraties

Medewerkers-ingang

Virtuele werkplek

BurgeringangVirtueel loket

Identificatie en authenticatiie;ophalen transactie-informatie

Identificatie enauthenticatie

Formulier-gegevens

Gemeente Den Haag Bestuursdienst/POI4 oktober 2002

Het Glazen Stadhuis


11 B i j lage Wi jz ig inghis tor ie en verspre id ing

versie Datum Omschrijving 0.5 8 oktober 2002 Concept versie 0.6 11 oktober 2002 Concept versie voor commentaar POI 0.7 21 oktober 2002 Concept versie na tekst commentaar POI 0.8 22 oktober 2002 Concept versie na plaatjes commentaar POI Dit document is ter beoordeling verspreid aan en afgestemd met: Naam Dienst Functie Henk Bos POI Adviseur Chris Batist POI Adviseur en Programma Manager Bestand Charlie Beekhuizen POI Adviseur en Programmamanager Glazen Stadhuis

Het Glazen Stadhuis


12 Bi j lage U i tgangsdocumenten

Geraadpleegde documentatie: Titel versie datum Auteur Het basisbedrijvenregister op hoofdlijnen

Juli 2002 BBR

Basisbedrijvenregister Handreiking BBR

Augustus 2002 BBR

Baseline voor de beveiliging van elektronische dienstverlening

0.1 Maart 2001

Visie op de vastgoedinformatievoorziening in 2006 met GIDS naar het loket

1.3 Oktober 2002 DSO

Productstrategie DigTop

1.0 September 2002 DSO

Globale architectuur Positionering Vernieuwingsmodules GBA

2.0 Juli 2002 DBZ

Het glazen Stadhuis van i-visie naar i-strategie

Februari 2002 POI

Het glazen stadhuis De haagse aanpak voor burger en bestuur

September 2001 POI

Aanvraag project Mobile-Government (M-Government) “Dienstverlening op locatie”

Juli 2002 GBD

Beheerorganisatie Internet en Intranet Gemeente Den Haag

26 juli 2001 IBAS

Projectplan gebouwen

1.1 Januari 2002 DSO

Titel versie datum Auteur Projectplan adressen

1.1 Januari 2002 DSO

Authentieke gebouwenregistratie

2002 Dolle en Rietdijk

Rapport Inventarisatie gebouwen adresgegevens gemeente Den Haag

September 2001 DSO

Digitaal Archief Systeem 1.0 8 maart 2001 DSO

Web environment integratie document

1.2 2 oktober 2001 Novell

Beschrijving Beveiligingsconcept GBD

November 2001 GBD

Interfaces & interface architectuur EOS

1.1 Juli 2002 Oracle

Raamwerk voor Informatiebeveiliging EOS

1 juli 2002

Hub & Spokes architectuur 1 mei 2002 Itude

Beheerorganisatie internet en intranet Gemeente Den haag

1.2 26 juli 2002 IBAS

Virtuele Kijkdoos Blauwdruk

Het Glazen Stadhuis


13 B i j lage Voorbee ld Toegangsbeve i l ig ing

clientbrowser

Intranet/extranet

Kopie Gegevensbank


Data 1

applicatie

client

client browser

Data n

applicatie

client


presentatielaag

Applicatielaag


gebruiker


Dienst legacy

applicatieapplicatie applicatie


Intern gezamenlijk

applicatie

Core proces data


webserver


Intranet

Intern Dienst


presentatielaag

Applicatielaag


gebruiker

proxy

1Gebruiker

Informatie- of applicatievraag

2Identificatie naar directory service

4Verwijzing naar juiste webserver

En doorgave identiteit en

profiel

5Webserver spreekt applicatie aan op basis van en met

doorgave identiteit en profiel

3Authenticatie resultaat en rechten profielen

FirewallsLaten alleen gespecificeerdeProtocollen door

CDS medewerkers

5Applicatieserver

spreekt gegevens aan op basis van identiteit

en profiel

clientbrowser

Intranet/extranet

Kopie Gegevensbank


Data 1

applicatie

client

Data 1

applicatie

client

client browser

Data n

applicatie

client

Data n

applicatie

client


presentatielaag

Applicatielaag


gebruiker


Dienst legacy

applicatieapplicatie applicatie


Intern gezamenlijk

applicatie

Core proces data


webserver


Intranet

Intern Dienst


presentatielaag

Applicatielaag


gebruiker

proxy

1Gebruiker

Informatie- of applicatievraag

2Identificatie naar directory service

4Verwijzing naar juiste webserver

En doorgave identiteit en

profiel

5Webserver spreekt applicatie aan op basis van en met

doorgave identiteit en profiel

3Authenticatie resultaat en rechten profielen

FirewallsLaten alleen gespecificeerdeProtocollen door

CDS medewerkers

5Applicatieserver

spreekt gegevens aan op basis van identiteit

en profiel

Het Glazen Stadhuis


14 Bi j lage Voorbee ld D ig i ta le Documenten

bestand

burger

mobileservers

webservers

webservers

BBR

GBA 1

GBA n

Overheden en Ketenpartners

VOA GBA

VOA BBR

WANWAN

bankenWebservers

extranet

Webserversextranet

CDSKlanten

CDSMedewerkers


monitoring

beheer

KR adressen

KRNP

Burgergegevens

bank

KR objecten

Digitale Documenten

Kopiegegevens

bankKR

NNP

KRtopografie

logging

Dienst

processen

Den HaagInfo deskapplicatie

Financiëlegegevens

Indringerdetectie








Webserversintranet

medewerker

bedrijfsleven

KernregistratiesIntern en externgebruik

GezamenlijkIntern gebruik

GezamenlijkIntern en externgebruik

balie


Personeelgegevens

Tijdelijkegegevensverzameling


applicatieservers

Webserversextranet

ApplicatieserverVoor interngebruik

personeleapps

Financiëleapps

Documentmanagement

1Burger of ondernemer

kiest zijn “mijn Den Haag pagina” en geeft elektronische identiteit

2CDS authenticeertBurger via Proxy

4Applicatie toont gewenst elektronisch formulier en begeleidt het invullen met

wettelijke- en procesgegevens én

beschikbare gegevens

3Webserver toont

beschikbare applicaties via Proxy

5Gewenst Formulier wordt opgehaald en na invulling

weggeschreven

6Iedere Dienst controleert door

de burger ingevulde formulieren en verwerkt ze in

bronsystemenIedere Dienst verwerkt

opdrachten (bijv. Vergunningaanvraag) en meldt de voortgang terug

7Bewaart zowel originele

aanvraag als Beschikking/Vergunning

bestand

burger

mobileservers

webservers

webservers

BBR

GBA 1

GBA n


VOA GBA

VOA BBR

WANWAN

bankenbankenWebservers

extranet

Webserversextranet

CDSKlanten

CDSMedewerkers


monitoring

beheer

KR adressen

KRNP

Burgergegevens

bank

KR objecten

Digitale Documenten

Kopiegegevens

bankKR

NNP

KRtopografie

logging

Dienst

processen


Financiëlegegevens

Indringerdetectie








Webserversintranet

medewerker

bedrijfsleven




balie


Personeelgegevens



applicatieservers

Webserversextranet


personeleapps

Financiëleapps

Documentmanagement




4Applicatie toont gewenst elektronisch formulier en begeleidt het invullen met

wettelijke- en procesgegevens én

beschikbare gegevens

3Webserver toont


5Gewenst Formulier wordt opgehaald en na invulling

weggeschreven

6Iedere Dienst controleert door

de burger ingevulde formulieren en verwerkt ze in

bronsystemenIedere Dienst verwerkt

opdrachten (bijv. Vergunningaanvraag) en meldt de voortgang terug

7Bewaart zowel originele

aanvraag als Beschikking/Vergunning

Het Glazen Stadhuis


15 B i j lage Voorbee ld Messaging (o .a . EOS)

clientbrowser

CDS medewerkers

Intranet/extranet

Kopie Gegevensbank


Data 1

applicatie

client

client browser

Data n

applicatie

client


presentatielaag

Applicatielaag


gebruiker


Messaging

Dienst legacy

applicatie

Messaging


Messaging Messaging


Intern gezamenlijk

Messaging Messaging

applicatie

Core proces data


webserver


Intranet

Intern Dienst


presentatielaag

Applicatielaag


gebruiker

Core procesdata binnen een dienst kan communiceren via messaging met dienst legacy data

dienst legacy data binnen een dienst kan communiceren via messaging met

kernregistraties



Applicaties kunnen



Webserverskunnen


applicatieservers



clientbrowser

CDS medewerkers

Intranet/extranet

Kopie Gegevensbank


Data 1

applicatie

client

Data 1

applicatie

client

client browser

Data n

applicatie

client

Data n

applicatie

client


presentatielaag

Applicatielaag


gebruiker


Messaging

Dienst legacy

applicatie

Messaging


Messaging Messaging


Intern gezamenlijk

Messaging Messaging

applicatie

Core proces data


webserver


Intranet

Intern Dienst


presentatielaag

Applicatielaag


gebruiker

Core procesdata binnen een dienst kan communiceren via messaging met dienst legacy data

dienst legacy data binnen een dienst kan communiceren via messaging met

kernregistraties



Applicaties kunnen



Webserverskunnen


applicatieservers



Het Glazen Stadhuis


16 B i j lage Voorbee ld pos i t ioner ing Vastgoed voorz ien ingen

clientbrowser

CDS medewerkers

Intranet/extranet

Kopie Gegevensbank


Data 1

applicatie

client

client browser

Data n

applicatie

client


presentatielaag

Applicatielaag


gebruiker


Messaging

Dienst legacy

applicatie

Messaging


Messaging Messaging


Intern gezamenlijk

Messaging Messaging

applicatie

Core proces data


webserver


Intranet

Intern Dienst


presentatielaag

Applicatielaag


gebruiker

Specifieke gegevens van de

diensten zoals de WOZ of

groenbeheer

Gezamenlijke gegevens

vastgoed die niet rechtstreeks zijn te

ontsluiten

‘eigen’ Kernregistraties

-Gebouwen-Adressen

-Kadastrale info-Topografie

Te gebruiken kernregistraties

-Natuurlijke personen-Niet natuurlijke

personen

ProcesGebondenApplicaties

Voor intern gebruik bv voor bepalen

WOZ

Applicaties voor in- en extern gebruik bijvoorbeeld

voor thema’s zoals:-Bereikbaarheid

-Taxateurs-Brandveiligheid

- Bestemmingsplan- enz.

Opslag van aanvragen van

vergunningen en de verstrekte

vergunningen

Identificerende gegevens van

klanten

MicroStationCAD systemen

(teken en ontwerp

systemen)

clientbrowser

CDS medewerkers

Intranet/extranet

Kopie Gegevensbank


Data 1

applicatie

client

Data 1

applicatie

client

client browser

Data n

applicatie

client

Data n

applicatie

client


presentatielaag

Applicatielaag


gebruiker


Messaging

Dienst legacy

applicatie

Messaging


Messaging Messaging


Intern gezamenlijk

Messaging Messaging

applicatie

Core proces data


webserver


Intranet

Intern Dienst


presentatielaag

Applicatielaag


gebruiker

Specifieke gegevens van de

diensten zoals de WOZ of

groenbeheer

Gezamenlijke gegevens

vastgoed die niet rechtstreeks zijn te

ontsluiten

‘eigen’ Kernregistraties

-Gebouwen-Adressen

-Kadastrale info-Topografie

Te gebruiken kernregistraties

-Natuurlijke personen-Niet natuurlijke

personen

ProcesGebondenApplicaties

Voor intern gebruik bv voor bepalen

WOZ

Applicaties voor in- en extern gebruik bijvoorbeeld

voor thema’s zoals:-Bereikbaarheid

-Taxateurs-Brandveiligheid

- Bestemmingsplan- enz.

Opslag van aanvragen van

vergunningen en de verstrekte

vergunningen

Identificerende gegevens van

klanten

MicroStationCAD systemen

(teken en ontwerp

systemen)

Het Glazen Stadhuis


17 Bi j lage Voorbee ld Brandve i l ighe id

bestand

burger

mobileservers

webservers

webservers

Virtu

ele

kijk

doos

BBR

GBA 1

GBA n


VOA GBA

VOA BBR

WANWAN

bankenWebservers

extranet

Webserversextranet

CDSKlanten

CDSMedewerkers


monitoring

beheer

KR adressen

KRNP

Burgergegevens

bank

KR objecten

Digitale Documenten

Kopiegegevens

bankKR

NNP

KRtopografie

logging

Dienst

processen


Financiëlegegevens

Indringerdetectie








Webserversintranet

medewerker

bedrijfsleven




balie


Personeelgegevens



applicatieservers

Webserversextranet


personeleapps

Financiëleapps

Documentmanagement

2Bepaal met coördinaten

rampgebiedVerkrijg objecten

3Bepaal met objecten de adressen

1Brandweer kan inloggen voor

specifieke gegevens

4Bepaal met adressen

de bewoners en bedrijven8

Bepaal met bewoners eventuele

familierelaties

5Indien nodig verkrijg extra info bedrijven

6Verkrijg

vergunningen/gevaarlijke stoffen

7Verbeter aanrijroutes

met actuele kaartinformatie

9Informeer

webapplicaties

10Informeer callcenter

bestand

burger

mobileservers

webservers

webservers

Virtu

ele

kijk

doos

BBR

GBA 1

GBA n


VOA GBA

VOA BBR

WANWAN


extranet

Webserversextranet

CDSKlanten

CDSMedewerkers


monitoring

beheer

KR adressen

KRNP

Burgergegevens

bank

KR objecten

Digitale Documenten

Kopiegegevens

bankKR

NNP

KRtopografie

logging

Dienst

processen


Financiëlegegevens

Indringerdetectie








Webserversintranet

medewerker

bedrijfsleven




balie


Personeelgegevens



applicatieservers

Webserversextranet


personeleapps

Financiëleapps

Documentmanagement

2Bepaal met coördinaten

rampgebiedVerkrijg objecten

3Bepaal met objecten de adressen

1Brandweer kan inloggen voor

specifieke gegevens

4Bepaal met adressen

de bewoners en bedrijven8

Bepaal met bewoners eventuele

familierelaties

5Indien nodig verkrijg extra info bedrijven

6Verkrijg

vergunningen/gevaarlijke stoffen

7Verbeter aanrijroutes

met actuele kaartinformatie

9Informeer

webapplicaties

10Informeer callcenter

Het Glazen Stadhuis


18 B i j lage Voorbee ld Kernreg is t ra t ie N ie t Natuur l i j ke Personen

bestand

burger

mobileservers

webservers

webservers

BBR

GBA 1

GBA n


VOA GBA

VOA BBR

WANWAN

bankenWebservers

extranet

Webserversextranet

CDSKlanten

CDSMedewerkers


monitoring

beheer

KR adressen

KRNP

Burgergegevens

bank

KR objecten

Digitale Documenten

Kopiegegevens

bankKR

NNP

KRtopografie

logging

Dienst

processen


Financiëlegegevens

Indringerdetectie








Webserversintranet

medewerker

bedrijfsleven




balie


Personeelgegevens



applicatieservers

Webserversextranet


personeleapps

Financiëleapps

Documentmanagement

1Synchroniseer

Kernregistratie Niet Natuurlijke Personen met Basis Bedrijven Register

2Synchroniseer CDS Klanten

met Kernregistratie Niet Natuurlijke Personen

3CDS stuurt geactualiseerde

adresrelaties Niet Natuurlijke Personen naar

KRNNP

5KRNNP stuurt gecontroleerde

geactualiseerde adresrelaties Niet Natuurlijke Personen naar BBR

4Dienst controleert geactualiseerde

adresrelaties Niet Natuurlijke Personen op adres juistheid

bestand

burger

mobileservers

webservers

webservers

BBR

GBA 1

GBA n


VOA GBA

VOA BBR

WANWAN


extranet

Webserversextranet

CDSKlanten

CDSMedewerkers


monitoring

beheer

KR adressen

KRNP

Burgergegevens

bank

KR objecten

Digitale Documenten

Kopiegegevens

bankKR

NNP

KRtopografie

logging

Dienst

processen


Financiëlegegevens

Indringerdetectie








Webserversintranet

medewerker

bedrijfsleven




balie


Personeelgegevens



applicatieservers

Webserversextranet


personeleapps

Financiëleapps

Documentmanagement

1Synchroniseer

Kernregistratie Niet Natuurlijke Personen met Basis Bedrijven Register

2Synchroniseer CDS Klanten

met Kernregistratie Niet Natuurlijke Personen

3CDS stuurt geactualiseerde

adresrelaties Niet Natuurlijke Personen naar

KRNNP

5KRNNP stuurt gecontroleerde

geactualiseerde adresrelaties Niet Natuurlijke Personen naar BBR

4Dienst controleert geactualiseerde

adresrelaties Niet Natuurlijke Personen op adres juistheid

Het Glazen Stadhuis


19 B i j lage Voorbee ld BurgerRegie

bestand

burger

mobileservers

webservers

webservers

BBR

GBA 1

GBA n


VOA GBA

VOA BBR

WANWAN

bankenWebservers

extranet

Webserversextranet

CDSMedewerkers


monitoring

beheer

KR adressen

KRNP

Burgergegevens

bank

KR objecten

Digitale Documenten

Kopiegegevens

bankKR

NNP

KRtopografie

logging

Dienst

processen


Financiëlegegevens

Indringerdetectie








Webserversintranet

medewerker

bedrijfsleven




balie


Personeelgegevens



applicatieservers

Webserversextranet


personeleapps

Financiëleapps

Documentmanagement




3Applicatie toont burger-specifieke gegevens uit

BurgerGegevensBank en Gemeente gegevens

6Iedere Dienst controleert door de burger

geactualiseerde gegevens en verwerkt ze in bronsystemen

Iedere Dienst verwerkt opdrachten (bijv. Vergunningaanvraag) en meldt de

voortgang terug

3Webserver toont


4Burger en ondernemer

RegieApplicatie haalt gewenste (en toegestane) gegevens uit

bronsystemen en toont en bewerkt ze in BurgerGegevenBankProxy

ABurger kan (via

BurgerGegevensBank) met kaartinformatie boom aanwijzen

voor kapvergunningC

Ondernemer kan (via BurgerGegevensBank)

met kaartinformatie plaats Gevaarlijke Stoffen aangeven

DBurger kan (via

BurgerGegevensBank) inzicht krijgen in gebruik persoonsgegevens via

Protocolleren

Gemeente krijgt inzicht in wensen en vraagpatronen

(vereist wel extra voorzieningen)

CDSKlanten

BBurger kan (via

BurgerGegevensBank) digitaal aanvragen, Beschikkingen en

Vergunningen inzien

5De RegieApplicatie en

BurgerGegevensBank zetten actuele gegevens en opgaves in

bronsystemen in daartoe geëigende velden

bestand

burger

mobileservers

webservers

webservers

BBR

GBA 1

GBA n


VOA GBA

VOA BBR

WANWAN


extranet

Webserversextranet

CDSMedewerkers


monitoring

beheer

KR adressen

KRNP

Burgergegevens

bank

KR objecten

Digitale Documenten

Kopiegegevens

bankKR

NNP

KRtopografie

logging

Dienst

processen


Financiëlegegevens

Indringerdetectie








Webserversintranet

medewerker

bedrijfsleven




balie


Personeelgegevens



applicatieservers

Webserversextranet


personeleapps

Financiëleapps

Documentmanagement




3Applicatie toont burger-specifieke gegevens uit

BurgerGegevensBank en Gemeente gegevens

6Iedere Dienst controleert door de burger

geactualiseerde gegevens en verwerkt ze in bronsystemen

Iedere Dienst verwerkt opdrachten (bijv. Vergunningaanvraag) en meldt de

voortgang terug

3Webserver toont


4Burger en ondernemer

RegieApplicatie haalt gewenste (en toegestane) gegevens uit

bronsystemen en toont en bewerkt ze in BurgerGegevenBankProxy

ABurger kan (via

BurgerGegevensBank) met kaartinformatie boom aanwijzen

voor kapvergunningC

Ondernemer kan (via BurgerGegevensBank)

met kaartinformatie plaats Gevaarlijke Stoffen aangeven

DBurger kan (via

BurgerGegevensBank) inzicht krijgen in gebruik persoonsgegevens via

Protocolleren

Gemeente krijgt inzicht in wensen en vraagpatronen

(vereist wel extra voorzieningen)

CDSKlanten

BBurger kan (via

BurgerGegevensBank) digitaal aanvragen, Beschikkingen en

Vergunningen inzien

5De RegieApplicatie en

BurgerGegevensBank zetten actuele gegevens en opgaves in

bronsystemen in daartoe geëigende velden

Globale ict architectuur Glazen Stadhuis Den Haag 1 0 · 3.3 ICT architectuur standaarden ......

Documents

Transcript of Globale ict architectuur Glazen Stadhuis Den Haag 1 0 · 3.3 ICT architectuur standaarden ......