Kenniswiel Data Governance · Kenniswiel Data governance -14-02-2018 Data - Governance 1....

Kenniswiel Data governance - v 14-02-2018

Kenniswiel Data Governance

2

Kenniswiel Data governance -14-02-2018

Data - Governance

• De organisatie- visie, missie en strategie is leidend voor

data,

• Databeleidskaders, roadmaps, standaarden en principes

voor beoordeling van data vraagstukken,

• Inrichting van data-organisatie en sturing op

datamanagement en datakwaliteit.

• Besluitvormingsprocessen, • Beschrijving data-organisatie, • Functies & Rollen, • Taken, verantwoordelijkheden en

bevoegdheden. • Risico-inventarisatie en risicobeheersing.

• Ondersteunende processen (o.a. financieel beheer, communicatie),

• Data-asset en service portfolio, • Training, bekwaamheid en

kennisdeling van medewerkers.

• Inzage in data ten behoeve van verbetering,

• Toegankelijkheid van de data(-organisatie. • Strategie voor data-uitwisseling,

• Beheer van data-relaties, • Service Level Agreement voor data-

uitwisseling, • Externe transparantie en

verantwoording.

• Data definities en data bibliotheek,

• Data stromen en Data Lifecycle,

• Data-ontwikkeling, • Data-architectuur, • Master Datamanagement.

• Data-infrastructuur, • Data-security, • Data content-management, • Back-up en recovery, • Audit, audittrail en monitoring.

• Monitoring op datakwaliteit, • Specificaties, analyses en

verbeteringen,

• Interne verantwoording,

• Beheersing activiteiten, • Meta-datamanagement.

• Naleving van weten regelgeving,

• Verantwoordingsrapportage aan externe toezichthouders.

Legitimiteit,

weten regelgeving

Sturing,

Organisatie

en Risico- management

Processen,

training en medewerkers

Interactie

met burgers en bedrijven

Data-

uitwisseling met derden

Data-

management,

en Data kwaliteit

Technologie

voor Data-verwerking

Data-

verwerking

methodieken

Data - Governance

3


Data - Governance

Inhoudsopgave

Inleiding ........................................................................................................................................................................................................ 6

Handleiding ................................................................................................................................................................................................... 7

1. Organisatie-visie, missie en strategie ...................................................................................................................................................... 8

1.1 Definitie ................................................................................................................................................................................................ 8

1.2 Theorie en context ................................................................................................................................................................................. 8

1.3 Deliverables .......................................................................................................................................................................................... 9

1.4 Algemeen geldende kaders en richtlijnen .................................................................................................................................................. 9

1.5 Best Practice: RWS Data agenda ............................................................................................................................................................ 10

2. Legitimiteit weten regelgeving ............................................................................................................................................................ 13

2.1 Definitie .............................................................................................................................................................................................. 13

2.2 Theorie en context ............................................................................................................................................................................... 13

2.3 Deliverables ........................................................................................................................................................................................ 14

2.4 Algemeen geldende kaders en richtlijnen ................................................................................................................................................ 14

2.5 Best Practice RWS: Geprioriteerde compliance-eisen tabel ......................................................................................................................... 15

3. Sturing Organisatie en Risicomanagement ............................................................................................................................................ 18

3.1 Definitie .............................................................................................................................................................................................. 18

3.2 Theorie en Context ............................................................................................................................................................................... 18

3.3 Deliverables ........................................................................................................................................................................................ 19


3.5 Best Practices Nationale Politie: Gezaghebbend omgaan met gegevens ....................................................................................................... 20

4. Processen, trainingen en medewerkers ................................................................................................................................................. 22

4.1 Definitie .............................................................................................................................................................................................. 22


4.3 Deliverables ........................................................................................................................................................................................ 22


4.5 Best practice: Big Data en Data Science binnen de overheid ...................................................................................................................... 24

5. Interactie met burgers en bedrijven ...................................................................................................................................................... 27

5.1 Definitie .............................................................................................................................................................................................. 27

4


Data - Governance


5.3 Deliverables ........................................................................................................................................................................................ 27


5.5 Best practice: Good practice Loonaangifteketen ....................................................................................................................................... 28

6. Data uitwisseling met derden ................................................................................................................................................................ 32

6.1 Definitie .............................................................................................................................................................................................. 32


6.3 Deliverables ........................................................................................................................................................................................ 32


6.5 Best practice KOOP: Datagovernance en Data.overheid.nl ......................................................................................................................... 33

7. Data verwerking methodieken ............................................................................................................................................................... 37

7.1 Definitie .............................................................................................................................................................................................. 37


7.3 Deliverables ........................................................................................................................................................................................ 37


7.5 Best practice: DUO ............................................................................................................................................................................... 38

8. Technologie voor Data verwerking ........................................................................................................................................................ 44

8.1 Definitie .............................................................................................................................................................................................. 44


8.3 Deliverables ........................................................................................................................................................................................ 44


8.5 Best practice: CBS ............................................................................................................................................................................... 45

9. Data management en data kwaliteit ...................................................................................................................................................... 50

9.1 Definitie .............................................................................................................................................................................................. 50


9.3 Deliverables ........................................................................................................................................................................................ 50


9.5 Best practices RWS: Data-gedreven en -minded! ..................................................................................................................................... 51

5


Data - Governance

6


Data - Governance

Inleiding

Aanleiding & Context Het kenniswiel vormt het vertrekpunt voor het Selfassesment (SA), maar ook voor de aan de uitkomst van het SA te koppelen vervolgstappen of aan te bevelen maatregelen. Deze moeten deelnemende organisaties in staat stellen om het gewenste ambitieniveau te bereiken.

Doel van het Kenniswiel is om op alle 9 functies van het Datagovernance relevante kennis op te nemen en deze kennis eenvoudig te ontsluiten. De informatie biedt deelnemende organisaties uitleg, voorbeelden en inspiratie voor het opstarten en verbeteren van het Datagovernance programma. Om deze reden bevat het kenniswiel per onderdeel relevante referentiekaders / richtlijnen en/of best practices / uitwerkingen. Er is echter veel kennis

beschikbaar op het gebied van Datagovernance. Zo zijn er diverse referentiekaders, onderzoeksrapporten, informatie en good practices te vinden. Het Kenniswiel pretendeert om deze reden dan ook geen volledigheid. Het document is als kennisdocument nooit “af” en is een “groeidocument” waaraan stakeholders zelf input en inhoud aan kunnen geven.

Hieronder wordt toegelicht welke informatie onder welke criteria is opgenomen in het kenniswiel.

Criteria voor opname van referentiemateriaal Opgenomen informatie bij het kenniswiel moet voldoen aan vooraf vastgestelde criteria. De per onderdeel opgenomen informatie is onder de volgende voorwaarden aan het kenniswiel gekoppeld. Opgenomen informatie dient te voldoen aan de volgende criteria: - Beschrijvend: d.w.z. geeft een theoretische uitleg en duiding van het betreffende onderdeel.

- Generiek: d.w.z. algemeen geldend voor alle beoogde eindgebruikers van het model.

- Relevant: d.w.z. heeft specifiek betrekking op het betreffende onderdeel van het governance model. - Duidend: d.w.z. geeft een best practice of voorbeelddocument, bedoeld om de context van het onderdeel

te duiden

Opbouw van het referentiemateriaal

Per onderdeel van het kenniswiel worden – indien beschikbaar - de volgende referentiedocumenten / teksten opgenomen. 1. Een definitie van het betreffende onderdeel van het kenniswiel. 2. Een toelichting vanuit de onderliggende theorie of een link naar achtergrondinformatie. 3. Een – niet limitatieve – opsomming van deliverables behorend bij het betreffende onderdeel 4. Een algemeen geldend, generiek én vastgesteld kader, richtlijn of beschikbaar voorschrift, indien bestaand.

5. Een best practice of voorbeelddocument, aangeleverd vanuit de deelnemende partijen.

7


Data - Governance

Handleiding

8


Data - Governance

1. Organisatie-visie, missie en strategie

1.1 Definitie

Data Governance begint met het nadenken over wat en waarom de organisatie een datagovernance programma wil starten. De vastlegging van de ambitie en strategie op datagebied vindt plaats in de datamissie, visie, scope en strategie. Richtlijnen en standaarden gericht op de realisatie van de visie en missie en de daarin vastgelegde ambitie worden vastgelegd in databeleidskaders, zijn veelal gebaseerd op de geldende weten regelgeving. 1.2 Theorie en context

Bestaande datamanagement modellen besteden uitsluitend aandacht aan de interne organisatiekant, met een primaire focus op de methoden en

technieken voor gegevensverwerking. Deze interne inrichting en uitvoering van datamanagement is echter onlosmakelijk verbonden met de beleidskeuzes ten aanzien van de omgang met de externe omgeving. Een integraal datamanagement model op strategisch niveau moet dan ook beide pijlers omvatten. De verbinding tussen buiten- en binnenkant wordt gemaakt in de Beleidsvisie op gegevensverwerking, dat een doorvertaling is van de algemene strategische doelstellingen van de organisatie. In die beleidsvisie maakt het hoogste management aan alle interne en externe belanghebbenden kenbaar hoe de organisatie omgaat met de verwerking van gegevens. Met dit beleid als uitgangspunt dient aan beide pijlers van datamanagement, in samenhang, invulling te worden gegeven.

Bron: https://www.noraonline.nl/images/noraonline/b/b0/ISDM_model_NL_factsheet_kort_versie_jul_17.pdf Voor een succesvol datagovernance programma is het van essentieel belang om de volgende elementen te definiëren en te beschrijven:

Data Visie: een inspirerend toekomstbeeld voor de organisatie op het data gebied. Data Missie: Een korte maar complete beschrijving van de algemene doelen en intenties van het datagovernance programma. Het somt op wat er moet worden bereikt. Scope: Omvang van het datagovernance programma. Strategie: Een datastrategie opzetten die wordt gedreven door de bedrijfsstrategie van de organisatie, de strategie is

leidend om alle activiteiten voor gegevensbeheer te begeleiden. In de strategie moet opgenomen worden hoe de coördinatie van mensen, processen en technologie plaatsvind om te verwezenlijken dat data als een asset wordt beheerd door de organisatie. Opstellen van Databeleidskaders: deze bevatten richtlijnen en standaarden om de data lifecycle, toegang en administratie m.b.t. data vraagstukken te beheren. Voorbeelden hiervan zijn principes om data te herstellen, definiëren van data elementen, de afhandeling van probleemoplossingen en uitzonderingen m.b.t. data vraagstukken. Interview De data gedreven overheid: https://www.ictu.nl/publicaties/de-datagedreven-overheid#

Quickscan informatiegestuurd werken: https://www.vka.nl/quickscan-igw/?utm_source=nb&utm_medium=feb18&utm_source=VKA+mailinglijst&utm_campaign=d176bac4f1-

&utm_medium=email&utm_term=0_1e17785be3-d176bac4f1-193558609

https://www.ictu.nl/publicaties/de-datagedreven-overheid

https://www.vka.nl/quickscan-igw/?utm_source=nb&utm_medium=feb18&utm_source=VKA+mailinglijst&utm_campaign=d176bac4f1-&utm_medium=email&utm_term=0_1e17785be3-d176bac4f1-193558609



9


Data - Governance

1.3 Deliverables

Strategische data behoeften beschrijven (Doelen) Data Visie Data Missie Data strategie (Implementatie roadmap) Data principes Prestatie indicatoren Overzicht (belangrijke) data diensten Verwachte opbrengsten en kosten van het Datagovernance programma

1.4 Algemeen geldende kaders en richtlijnen Het totstandkomingsproces en uitwerking van de datamissie, visie en strategie is sterk organisatie-afhankelijk. Er zijn geen algemeen geldende kaders en richtlijnen voor dit onderdeel aangetroffen.

10


Data - Governance

1.5 Best Practice: RWS Data agenda

11


Data - Governance

12


Data - Governance

13


Data - Governance

2. Legitimiteit weten regelgeving

2.1 Definitie

Onder Legitimiteit / Wet- en Regelgeving worden verstaan: alle voor Data Governance en het Datadomein van toepassing zijnde verdragen, wetten, ministeriële regelingen, algemene maatregelen van bestuur en andere koninklijke besluiten, regelgeving van zelfstandige bestuursorganen (ZBO's) en

publiekrechtelijke bedrijfsorganisatie (PBO). Dit onderdeel van het kenniswiel brengt tot uitdrukking in hoeverre een organisatie bewust en bekend is met de voor haar geldende wettelijke regelgeving, kaders en richtlijnen op het gebied van dataverwerking en distributie en hierover rapporteert aan in- en externe stakeholders / toezichthouders.

2.2 Theorie en context

Overheidsinstellingen zijn voor de uitvoering van hun taak en hieruit volgende datamanagement, verwerking en distributie, gehouden aan wettelijke

verplichtingen en regelgeving. Zij mogen alleen gegevens met andere partijen, zoals andere ministeries of uitvoeringsorganen, uitwisselen als dat in een wet vastgelegd is. De wetgeving kan nationaal, internationaal of supranationaal zijn. Die andere partijen moeten ervoor zorgen dat zij zorgvuldig met die gegevens omgaan. Hoe zij dat moeten doen is vastgelegd in wettelijke regelingen als (bijvoorbeeld) de Algemene Verordening Gegevensbescherming. Hoe en op basis waarvan gegevens uitgewisseld worden, wordt vastgelegd in documenten. In veel gevallen zijn dat convenanten. Gegevens worden niet langer bewaard en niet eerder vernietigd dan wettelijk is toegestaan, conform de Archiefwet. De bewaar- en vernietigingstermijnen zijn hierin voor alle gegevens bepaald en bekend.

Sommige kwaliteitsaspecten zoals: ‘beschikbaarheid’, ‘integriteit’ en ‘vertrouwelijkheid’ van data, zijn gerelateerd aan weten regelgeving. Een voorbeeld hiervan is de Baseline Informatiebeveiliging Rijk (BIR) die geldt binnen de Rijksoverheid. In de financiële sector gelden bijvoorbeeld meer de aspecten: ‘toepasbaarheid’, ‘volledigheid’ en ‘juistheid’ (volgend uit Solvency II).

Er zijn 12 basisregistraties welke bij wet vastgestelde, authentieke gegevens bevatten. Voorbeelden van basisregistraties zijn o.a.: Basisregistratie Personen (BRP), Basisregistraties Adressen en Gebouwen (BAG), Basisregistratie Voertuigen (BRV), Basis Registratie Wet Onroerende Zaken (WOZ)

en Basisregistratie Grootschalige Topografie (BGT).

14


Data - Governance

2.3 Deliverables

Analyse en vastlegging van de relevante weten regelgeving betreffende de (data verwerkende) organisatie. Overzicht Wet- en Regelgevingen met betrekking op de dataverwerking voor de primaire processen en ondersteunende processen. Selectie en sturing op bedrijfskritische data-assets. Periodieke toetsing op de kwaliteit van de bedrijfskritische data-assets. Periodieke verantwoording aan interne en externe belanghebbenden en stakeholders.

2.4 Algemeen geldende kaders en richtlijnen

https://www.overheid.nl/help/wet-en-regelgeving/ https://www.digitaleoverheid.nl/beleid/naar-een-gegevenslandschap/aanpak-gegevenslandschap/factsheet-avg/ https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacycheck/privacy-impact-assessment-pia

https://www.overheid.nl/help/wet-en-regelgeving/

https://www.digitaleoverheid.nl/beleid/naar-een-gegevenslandschap/aanpak-gegevenslandschap/factsheet-avg/

https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacycheck/privacy-impact-assessment-pia

15


Data - Governance

2.5 Best Practice RWS: Geprioriteerde compliance-eisen tabel

Bron: RWS, CIV, geprioriteerde compliance eisen 2017

TOP-5 (gezien de risico's top-prioriteit)

Basisregistratie Grootschalige Topografie (BGT)

8

Baseline Informatiebeveiliging Rijksdienst (BIR) + VIRBI 2013 + VIR 2007

6

INSPIRE

5

Basisregistratie Ondergrond (BRO)

2

ITS

3

BELANGRIJK (moeten we zeker oog voor hebben maar heeft geen top-prioriteit)

Wet bescherming persoonsgegevens (WBP)

5

Samen Werken in de Uitvoering van Nieuw Geluidbeleid (SWUNG)

3

Archiefwet

2

Comptabiliteitswet 2001 (aangevuld Regeling materieel beheer rijksoverheid 2006)

2

Kader Richtlijn Water (KRW)

2

Basisregistratie Kadaster (BRK)

2

Basisregistratie Topografie (BRT)

2

Basisregistratie Voertuigen (BRV)

2

Basisregistratie Adressen en Gebouwen (BAG)

1

Handelsregister (HR)

1

Basisregistratie Personen (BRP)

0

Basisregistratie Waardering Onroerende Zaken (WOZ)

0

Basisregistratie Inkomen (BRI)

0

Databankenwet

0

https://www.digitaleoverheid.nl/onderwerpen/stelselinformatiepunt/stelsel-van-basisregistraties/basisregistratie-grootschalige-topografie

http://wetten.overheid.nl/BWBR0004976/1990-12-01


https://www.digitaleoverheid.nl/onderwerpen/stelselinformatiepunt/stelsel-van-basisregistraties/basisregistratie-ondergrond

http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A32010L0040





http://www.helpdeskwater.nl/onderwerpen/wetgeving-beleid/kaderrichtlijn-water/

https://www.digitaleoverheid.nl/onderwerpen/stelselinformatiepunt/stelsel-van-basisregistraties/basisregistratie-kadaster

https://www.digitaleoverheid.nl/onderwerpen/stelselinformatiepunt/stelsel-van-basisregistraties/basisregistratie-topografie

https://www.digitaleoverheid.nl/onderwerpen/stelselinformatiepunt/stelsel-van-basisregistraties/basisregistratie-voertuigen

https://www.digitaleoverheid.nl/onderwerpen/stelselinformatiepunt/stelsel-van-basisregistraties/basisregistraties-adressen-en-gebouwen

https://www.digitaleoverheid.nl/onderwerpen/stelselinformatiepunt/stelsel-van-basisregistraties/handelsregister

http://www.digitaleoverheid.nl/onderwerpen/stelselinformatiepunt/stelsel-van-basisregistraties/basisregistratie-personen

https://www.digitaleoverheid.nl/onderwerpen/stelselinformatiepunt/stelsel-van-basisregistraties/basisregistratie-waarde-onroerende-zaken

https://www.digitaleoverheid.nl/onderwerpen/stelselinformatiepunt/stelsel-van-basisregistraties/basisregistratie-inkomen


16


Data - Governance

RANDVOORWAARDELIJK (doen we al dus geen extra effort)

Aanbestedingswet 2012

5

Omgevingswet

5

WION

5

Auteurswet

3

Wet openbaarheid van bestuur (WOB)

2

Mededingingswet (aangevuld met Besluit Markt en Overheid)

2

TOEKOMSTIG

Wet melding inbreuken elektronische informatiesystemen

0

AVG

0

(BELEIDS)KADERS

Open Data

3

EAR (met inbegrip van NORA, i-Strategie Rijk en Cloudstrategie Rijk)

2

Kwaliteitsraamwerk I(v)functie

1

Open standaarden

1

Rijks brede beleidskaders voor ondersteuning apparaat onafhankelijk werken: BYOD

0

http://wetten.overheid.nl/BWBR0032203/2013-04-01/1

https://www.rijksoverheid.nl/onderwerpen/omgevingswet/inhoud/vernieuwing-omgevingsrecht



http://wetten.overheid.nl/BWBR0005252/geldigheidsdatum_23-01-2014


https://www.internetconsultatie.nl/meldplicht_ict_inbreuken

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg

https://www.rijksoverheid.nl/opendata

http://www.earonline.nl/index.php/Wat_is_de_Enterprise_Architectuur_Rijksdienst#De_Enterprise_Architectuur_Rijksdienst

http://www.earonline.nl/index.php/Kwaliteitsraamwerk_I(v)functie_deel_1

https://www.forumstandaardisatie.nl/thema/open-standaarden

http://earonline.nl/index.php/BYOD:_Rijksbrede_beleidskaders_voor_ondersteuning_apparaatonafhankelijk_werken

17


Data - Governance

Bron: Digitale overheid.nl, EZK, achtergrondartikelen, Centrale Verwerkingsregistratie AVG

EZK houdt een register bij van alle verwerkingen van persoonsgegevens binnen het ministerie. Momenteel maakt het ministerie van Economische Zaken en Klimaat het centrale meldingenregister AVG-proof. Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG is bedoeld om personen te beschermen wanneer hun gegevens worden gebruikt. De AVG stelt het verplicht om de verwerkingen van persoonsgegevens te registreren. De Tool van EZK biedt hiervoor een handige oplossing.

Gebruik door Rijk

Vijf departementen gebruiken het register (EZK, Fin, BZ, AZ en BZK) en meerdere departementen bekijken of de registratietool geschikt is voor hen. Ieder departement bepaalt zelf of zij de tool in gebruik nemen. De tool De tool is oorspronkelijk gemaakt voor het registreren van meldingen aan de Autoriteit Persoonsgegevens (AP). In het register staan alle processen

in het kader waarvan verwerkingen van persoonsgegevens plaatsvinden binnen het ministerie. Je kunt daarbij denken aan bijvoorbeeld een subsidie- of belastingadministratie, maar ook aan cameratoezicht. In al die gevallen worden persoonsgegevens verwerkt (zoals het opslaan, bewaren of verspreiden). Dat register is openbaar. Elke melding bevat een korte beschrijving van de soorten gegevens die worden verwerkt, waarvoor die gegevens zijn verzameld, wat er met de gegevens wordt gedaan en wie er verantwoordelijk is voor de verwerking. De tool wordt beheerd door DICTU (EZK). De ministeries moeten bij gebruik met hen een overeenkomst af te sluiten.

AVG per 25 mei 2018

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

18


Data - Governance

3. Sturing Organisatie en Risicomanagement

3.1 Definitie

Sturing houdt in: besluitvormingsprocessen, functies & Rollen en de daarbij behorende taken, verantwoordelijkheden en bevoegdheden m.b.t. de data-organisatie. Risicomanagement gaat over het in kaart brengen van mogelijke risico’s die ontstaan wanneer de data niet voldoet aan de door de organisatie gestelde eisen zoals datakwaliteit en data beschikbaarheid.

3.2 Theorie en Context

3.2.1 Willen, Mogen, Kunnen methode Bron: https://www.digitaleoverheid.nl/document/wmk-toets/ Factsheet WMK-toets: Willen, Mogen, Kunnen De WMK-toets is een methode voor het maken van een afweging voor juist gebruik van gegevens. WMK staat voor Willen, Mogen, Kunnen. De toets helpt organisaties om in een korte tijd ‘het goede gesprek’ te voeren over een voorliggende gegevensvraag én tot een betere onderbouwing en

vastlegging van de gemaakte afweging en (voorgesteld) besluit te komen. Overheden ontdekken steeds meer mogelijkheden om hun taken beter en efficiënter uit te voeren door slim gebruik te maken van publieke en private gegevens. De praktijk laat echter ook zien dat bij overheden onzekerheden bestaan over hetgeen op dit gebied wenselijk, toegestaan en

uitvoerbaar is. Daarom is er nu de WMK-toets ontwikkeld. Wat is een WMK-toets?

De toets bevat een afwegingskader en een gedeeld begrippenkader waardoor organisaties op een gestructureerde manier zelfstandig een afweging te maken. Het afwegingskader bestaat uit een drietal hoofdvragen: Wat willen we? Wat mogen we? Wat kunnen we? Deze vragen worden via een aantal subvragen vanuit zowel een intern als extern perspectief beantwoord. Het is een toets die organisaties helpt om in de breedte te verkennen welke (juridische) kaders gelden voor gegevensgebruik (mogen), welke (technische) mogelijkheden er zijn (kunnen) en voor welk doel het gegevensgebruik zou worden ingezet (willen). Voor wie is de WMK-toets? Het afwegingskader is gemaakt voor overheden die met data(sets) werken. De toets is geschikt voor gebruik door materiedeskundigen, eventueel

onder begeleiding van een WMK-adviseur of een collega die ervaring heeft met de toets.

Doorontwikkeling van prototype naar volwassen instrument De WMK-toets heeft zijn toegevoegde waarde bewezen in het domein van de Belastingdienst en het GEO-domein. De toets wordt nu doorontwikkeld voor breder gebruik door hem in te zetten bij andere overheden in verschillende sectoren. De Regieraad Gegevens ondersteunt deze doorontwikkeling door de toets in te zetten in de organisaties die de leden aansturen. Iedere organisatie die zelf ervaring heeft opgedaan met de toets begeleidt een volgende organisatie die de toets gaat gebruiken. Dit verdiept de kennis over de werking

van de toets en houdt de kosten laag. De toets is in de prototype-versie gratis te downloaden. Bij gebleken brede inzetbaarheid en grote vraag naar het instrument kan op termijn de

https://www.digitaleoverheid.nl/document/wmk-toets/

19


Data - Governance

toegankelijkheid van de toets worden verbeterd, bijvoorbeeld door er een app van te maken. Ook kan de toets op termijn onderdeel worden van de

NORA en uitvoeringstoets zodat het gebruik van de toets geborgd is en overheden beter ondersteund worden bij afwegingen over een juist gebruik van gegevens. Download de toets op deze pagina: https://www.digitaleoverheid.nl/document/wmk-toets/

3.3 Deliverables

Besluitvormingsproces document Advies is om te beginnen met een selectie van belangrijke of bedrijfskritische data-assets

Beschrijving van de data functies & rollen met bijbehoren taken, verantwoordelijkheden en bevoegdheden

De behoefte aan Data rollen en functies kunnen per organisatie verschillen (Chief Data Officer, Data-steward, Data-eigenaar) Toewijzen van de beschreven data functies & rollen Analyse document van mogelijke ‘data’ risico’s die kunnen ontstaan


Bron: The DAMA guide to The Data Management Body of knowledge: Hoofdstuk 3, Data Governance (geen link beschikbaar)

https://www.digitaleoverheid.nl/document/wmk-toets/

20


Data - Governance

3.5 Best Practices Nationale Politie: Gezaghebbend omgaan met gegevens

Sturing, organisatie en risicomanagement; processen, training en medewerkers; data-uitwisseling met derden; datamanagement en datakwaliteit

Bron: ADR

1. Inleiding

Ongestructureerde gegevens, beeld en spraak zijn niet meer los van elkaar te zien. Technologische mogelijkheden op het gebied van big data, open

data en clouddiensten zijn oneindig! De Nationale Politie vindt het daarom essentieel om goed gebruik te maken van beschikbare gegevens

2. Ambitie, kaders en normen

De Nationale Politie heeft een ambitieuze strategie als het gaat om datagovernance en dat zorgt voor een mooie uitdaging:

“Wij willen effectief zijn in de digitale wereld, samenwerken in ketens en netwerken waarbij de ‘lokale waarde’ wordt behouden en

centraal wordt aangestuurd.”

De randvoorwaarden die het realiseren van de ambitie mogelijk moeten maken zijn o.a.: gegevens zijn de kern, fundament structureel op orde, een

professionele organisatie en rechtmatigheid dient gewaarborgd te zijn.

Binnen de Nationale Politie is de Gegevensautoriteit opgericht om het behalen van de ambities mogelijk te maken. De Chief Data Officer staat aan het

hoofd van de Gegevensautoriteit. De kerntaken zijn:

1. zorg dragen voor een stabiele gegevenshuishouding die flexibel benaderbaar is; 2. de kwaliteit van de gegevens vergroten door middel van heldere normen, kaders en richtlijnen;

3. actief gegevens delen met externe partijen conform weten regelgeving.

Daarnaast adviseert de Gegevensautoriteit (on)gevraagd het korps op het gebied van bestaande en nieuwe weten regelgeving. Denk bijvoorbeeld

aan het verbeterprogramma ten aanzien van de Wet politiegegevens (Wpg), het inventariseren van gegevens die worden verstrekt zonder wettelijke

basis, of de te nemen maatregelen met betrekking tot de invoering van de Algemene verordening gegevensbescherming (Avg).

De interactie met burgers en bedrijven is een belangrijk onderdeel van het (open)databeleid. Een mooie ontwikkeling is de samenwerking met het

Centraal Bureau voor de Statistiek. Daardoor kunnen cijfers over criminaliteit en politiecapaciteit worden gedeeld met burgers en bedrijven.

Daarnaast vindt er inmiddels gegevensuitwisseling van voertuiggegevens (BRV) en persoonsgegevens (BRP) plaats. Maar dit ging niet zomaar. Om

gegevens uitwisselbaar te maken moeten ze eerst gestandaardiseerd worden.

Er wordt ook geïnvesteerd in dataverwerkingsmethodieken. De Gegevensautoriteit wil een drijvende kracht zijn achter de ontwikkeling van de

kernregisters als fundament onder de informatiehuishouding van de politie. De essentie van de IV-strategie en de Gegevensautoriteit is dat de

gegevens de kern zijn van de informatievoorziening.

21


Data - Governance

3. Gegevens zijn de kern: Project SIR

Het project SIR (standaardisatie en implementatie referentiegegevens) werd geïnitieerd toen alle politiekorpsen samengevoegd werden tot één

politie. Dat was immers het ideale moment om ook alle standaarden rond referentiegegevens te harmoniseren en onder te brengen in één systeem.

De Gegevensautoriteit heeft hiervoor het project SIR opgezet.

Een referentiegegeven is een gedefinieerde waarde (uit een tabel) voor een bepaald gegevenselement. Denk aan een agent op straat die een ongeval

moet vastleggen in het systeem. Dit zal sneller en makkelijker gaan als de agent kan kiezen uit een lijst met waarden en het niet zelf hoeft te

formuleren. Een referentiegegeven wordt meestal eenmalig vastgelegd en vervolgens meervoudig gebruikt. Er moet vooraf zijn afgesproken wat de

betekenis, het gebruiksdoel en de inhoud van de verzameling van waarden is.

In het project SIR heeft elk referentiegegeven een eigen standaard gekregen. Zodat alle politieagenten in Nederland op dezelfde manier vastleggen.

Hier zie je direct al een conflict, want zodra je een gegeven tot standaard gaat verheffen zal je te maken krijgen met verschillende belangen.

De ene partij wil bijvoorbeeld meer referentiegegevens registeren dan de andere partij. Zo registreert een wijkteam het merk en type bij de vondst

van een vuurwapen. Het forensisch team wil voor het onderzoek ook registreren of er met het vuurwapen mogelijk geschoten is. Een ander

voorbeeld is hoe de maatschappij een incident ervaart. De politie is geïnteresseerd in het soort incident dat heeft plaatsgevonden: gaat het om een

woninginbraak of om een inbraak in een schuur, of wellicht was het een insluiping? Daar tegenover staat dat een burgermeester behoefte heeft aan

informatie waarmee hij zijn anti-inbraakbeleid kan verantwoorden of kan wijzigen. Het (interne) dilemma dat nu ontstaat, is dat de operatie

gegevens registreert op een gedetailleerder niveau, terwijl de business intelligence meer gestandaardiseerde gegevens wil gebruiken om data met

elkaar te kunnen combineren en vergelijken. Om toch tot één referentiestandaard te komen is een verantwoordelijke nodig die deze belangen

afweegt en kiest welke standaard het uiteindelijk als referentie gaat dienen. Dat is gelukt door een goede ‘datagovernance’ in te richten.

De juiste verantwoordelijkheden beleggen

Het belangrijkste was om goed aan te sluiten in de huidige lijnsturing van de politie. Zo kwamen er portefeuillehouders die verantwoordelijk zijn voor

de referentiestandaarden binnen een bepaald kennisveld. De portefeuillehouders werden ondersteund door een portefeuille-team. Op die manier

werd kennis en kunde bijeen gebracht. Elke referentiestandaard heeft twee verantwoordelijken: één is beleidsverantwoordelijk (voor beleid, definities

en afspraken) en één is uitvoerings-verantwoordelijk (voor een correcte verwerking). De laatste is meestal de leidinggevende van de medewerkers

die de gegevens verwerken en wordt vaak zo laag mogelijk belegd. Er wordt onderscheid gemaakt tussen kerngegevens en transactiegegevens. Bij

transactiegegevens wordt de verantwoordelijkheid veel meer bij de operatie gelegd. En des te meer de gegevens de kern raken van de organisatie,

des te meer wordt de regie over die gegevens centraal belegd. Dan is de Gegevensautoriteit ook veel meer sturend op de kwaliteit van de gegevens.

Verantwoordelijkheidsgevoel creëren

Maar de grootste uitdaging was nog om de verantwoordelijke personen zich ook echt verantwoordelijk te laten voelen. Dit gebeurde op verschillende

manieren. Ten eerste dient de top van de politie datagovernance te omarmen, de lijnorganisatie zal dan volgen. Ten tweede is het belangrijk om

duidelijk te maken dat de standaardisatie van referentiegegevens bijdraagt aan de gehele kwaliteit van de gegevens. Dit heeft weer invloed op de

effectiviteit en veiligheid van het politiewerk. Zo is het belangrijk dat het systeem tijdig opmerkt of een verdachte vuurwapengevaarlijk is, wat

misschien wel onopgemerkt blijft als het niet goed genoteerd staat. Tenslotte is het belangrijk om misvattingen rond de abstractie van

referentiegegevens weg te nemen. Het moet duidelijk zijn waarom de referentiegegevens interessant zijn en in welke voorziening op welke manier ze

gebruikt worden. Het project SIR heeft door de gestructureerde governance aanpak tot een lange termijn succes geleid!

22


Data - Governance

4. Processen, trainingen en medewerkers

4.1 Definitie

Dit onderdeel van het kenniswiel richt zich op de “datawerkers” binnen een organisatie. Van belang is in hoeverre medewerkers (op alle niveaus) zich bewust zijn van hun verantwoordelijkheid in het omgaan met data-assets (als productiefactor) van de organisatie, de ketenpartners, de burgers en bedrijven. Zij hebben daartoe de kennis en kunde en handelen daar ook naar. De organisatie dient ervoor te zorgen dat de medewerkers hierop goed zijn (of worden) toegerust. 4.2 Theorie en context

Gegevens vormen samen met mensen en financiële middelen de belangrijkste productiefactoren van een dataverwerkende organisatie. Hoe gegevens worden verwerkt en welke verantwoordelijkheden, bevoegdheden en taken daarbij spelen zijn belangrijke in te richten aspecten.

Rondom iedere set van gegevens dienen taken, bevoegdheden en verantwoordelijkheden te zijn belegd, in aansluiting en volgend op de processen

binnen de organisatie. Om deze taken bevoegdheden en verantwoordelijkheden helder te kunnen beleggen kan gebruik worden gemaakt van een

kader/model dat over de verschillende bedrijfsonderdelen heen duidelijkheid schept; Dat betekent dat medewerkers op de hoogte zijn van weten regelgeving en tools in handen hebben om hier aan te kunnen voldoen. Gericht hierop dienen medewerkers te beschikken over de voldoende informatie en kennis. Voor (groepen van) medewerkers die meer specialistische kennis nodig hebben moet worden gedacht aan een pakket aan opleidingen en cursussen.

Versterking ICT-werkgeverschap Rijk, een analyse van de knelpunten met betrekking tot het werven, ontwikkelen en behouden van ICT-personeel bij het Rijk. Pagina 85 & 86 hebben betrekking op Data personeel.

https://www.rijksoverheid.nl/documenten/rapporten/2017/12/01/versterking-ict-werkgeverschap-rijk

4.3 Deliverables

formeel kennismanagementproces voor de data-functies kennis-matrix data-opleidingsprogramma, aanbod of faciliteren van functie specifieke training op gebieden als Blockchain, Machine Learning, Data-analytics etc. data-gerelateerde training 'on the job' strategische personeelsplan voor de data-medewerkers sturend op behoud en/of delen van kennis en kunde op het gebied van datagovernance

en datamanagement

bewustzijn van medewerkers van het feit dat de kritische data-assets van de organisatie dienen te voldoen aan de voor hun geldende,

belangrijkste weten regelgevingen. in het verlengde van hiervan: verantwoordelijkheidsbesef binnen de ondersteunende processen (financieel, communicatie) en bijdrage aan

bijvoorbeeld communicatie-activiteiten, communicatieplan, bewustzijn van organisatie etc.

Bron: Belastingdienst, Principes Uitwerking 171117

https://www.rijksoverheid.nl/documenten/rapporten/2017/12/01/versterking-ict-werkgeverschap-rijk

23


Data - Governance


In het functiegebouw rijksoverheid zijn weinig tot geen concrete aanknopingspunten te vinden met betrekking tot datafuncties. Datascientists zijn te vinden in de functiegroep “Senior medewerker IV” en “Expert IV”, respectievelijk functies op HBO en WO niveau.

https://www.functiegebouwrijksoverheid.nl/functiegebouw

Rijksbreed zijn recentelijk meerdere initiatieven gestart gericht op het ontwikkelen, aantrekken en behouden van expertise op het datadomein. Een recent initiatief op dit terrein is beschreven in het plan van aanpak voor de versterking van ICT-personeel. Uit dit plan de onderstaande passage:

Op basis van de diverse onderzoeken, en met input van HR- en ICT-experts van de departementen, is een groslijst van mogelijke aanvullende acties ter versterking van het ICT-werkgeverschap van het Rijk opgesteld…. Met de uitvoering van die initiatieven wordt in 2018 al een start gemaakt. Er wordt gewerkt aan het opzetten van een «ICT-gilde»: een flexpool van ICT-professionals in uiteenlopende ICT-disciplines als bijvoorbeeld

software engineering, data engineering, cloud engineers en security specialisten. De intentie is om zowel jonge als ervaren ICT’ers te binden aan dit Gilde en hen continu te ontwikkelen.

In samenwerking met het CBS wordt gewerkt aan het opzetten van een Rijks Data Science Traineeship (RDTP) voor jonge data science professionals binnen het Rijk. Dit programma richt zich op zowel de brede inzetbaarheid van de trainees als op het leren toepassen van het

vakgebied data science binnen de Rijksdienst. Er zal worden gewerkt aan het (structureel) versterken van de informatiepositie van het Rijk als ICT-werkgever en deze gericht in te zetten in de

interdepartementale netwerken van HR (ICT) professionals. Er zal intensivering plaatsvinden van de samenwerking met het hoger onderwijs d.m.v. een rijksbreed opererende functionaris die gaat makelen

en schakelen tussen Rijksonderdelen en hogescholen en universiteiten over stageplekken, leer-werktrajecten en gastdocent-schappen. De mogelijkheden worden verkend om samen met hoger onderwijs-instellingen te komen tot meer gediplomeerde ICT uitstroom en een

uitbreiding te realiseren van onderwijs en onderzoek in de expertisege-bieden waar het Rijk behoefte aan heeft.

De specifieke rijksbrede wervingscampagnes voor ICT’ers worden gecontinueerd.

Bron: Brief van de Minister (nr. 235), Vernieuwing van de rijksdienst (31 490), Informatie- en communicatietechnologie (ICT) (26 643)

https://www.functiegebouwrijksoverheid.nl/functiegebouw

https://zoek.officielebekendmakingen.nl/kst-31490-235.pdf

24


Data - Governance

4.5 Best practice: Big Data en Data Science binnen de overheid

Big Data: toepassing binnen de overheid Big data en data science zijn enorm in opkomst. De hoeveelheid data die wordt gegenereerd neemt exponentieel toe. Dit geldt ook voor de snelheid waarmee data beschikbaar wordt en de verschijningsvormen die data aanneemt. Hierdoor kunnen er steeds meer toepassingen voor deze data ontwikkeld worden. Daarnaast klinken er steeds meer kritische geluiden ten aanzien van de alsmaar groter wordende drang van bedrijven en

overheden om data te verzamelen over consumenten en burgers. Rond dit thema is daarom op 20 oktober 2016 een bijeenkomst georganiseerd met als titel Big Data: toepassing binnen de overheid. Op deze bijeenkomst, georganiseerd door het Rijks ICT Traineeprogramma (RITP) in samenwerking met UBR/IIR, stond kennisuitwisseling tussen overheidsorganisaties en tussen overheid en universiteiten centraal. Tijdens deze bijeenkomst was er

ook een delegatie Rijks ICT trainees aanwezig die aandachtig en kritisch hebben geluisterd naar de presentaties van overheidsorganisaties, universiteiten en de daaropvolgende discussie. Om als overheid de kansen te benutten zonder de risico’s en beperkingen uit het oog te verliezen, hebben de Rijks ICT trainees een zestal

aanbevelingen om tot een duurzame en succesvolle toepassing van big data binnen de overheid te komen:

1. Word zichtbaar en aantrekkelijk voor talenten en onderzoekers Om de enorme hoeveelheid data binnen de overheid optimaal te kunnen benutten is het noodzakelijk om op verschillende niveaus in de organisatie kennis over big data en data science te hebben. Om de juiste mensen met de juiste kennis op de juiste plek te krijgen zijn drie zaken belangrijk: talent binnenhalen, talent vasthouden en ambtenaren (bij)scholen. Het betrekken van universiteiten en academici is hierbij essentieel. Zij hebben de capaciteit om de impact en toepassing van nieuwe technologische ontwikkelingen en regelgeving te onderzoeken op het gebied van privacy maar ook

op het gebied van zowel nieuwe analyse methoden als de organisatieveranderingen die daarmee gepaard gaan.

2. Creëer ruimte om te experimenteren Om de talenten op het gebied van data science binnen te halen en vast te houden is er ruimte nodig om te experimenteren. De overheid heeft van oudsher moeite met experimenten omdat het algemene gedachtegoed is dat een innovatie zich eerst moet hebben bewezen voordat het zijn implementatie kan vinden binnen de overheid. Met betrekking tot big data is het zeer belangrijk dat er geëxperimenteerd wordt. Zonder experimenten zal het erg moeilijk worden om big data als tool te gebruiken binnen de overheid. De overheid kan wellicht zelf niet vooraan staan in

het creëren van nieuwe technologie maar zij zal haar best moeten doen om technologie zo goed mogelijk aan te passen voor eigen gebruik. Een ander belangrijk aspect is dat experimenten in microlabs georganiseerd kunnen worden zonder een constante controle maar met genoeg vertrouwen dat er integer wordt omgegaan met data. Natuurlijk zijn er juridische beperkingen waar iedereen zich aan dient te houden maar tot aan die grens moet er veel mogelijk zijn. Als het gaat om big data kunnen simulaties, anonimiseren en pseudonimiseren of het scramblen van identiteiten uitkomsten bieden om privacy van burgers te garanderen. Er zijn veel mogelijkheden om over te gaan tot het experimenteren met big data maar deze moeten wel de ruimte krijgen om zich te ontwikkelen. Zonder experimenteren geen innovatie en zonder innovatie geen toekomstbestendige

overheid.

3. Stimuleer kennisdeling binnen de overheid

Het stimuleren van kennisdeling in de breedste zin is erg belangrijk op ICT-gebied in het algemeen. De ICT trainees merken op dat er veel gesproken wordt over een tekort aan kennis en kunde binnen de overheid. Het is een vicieuze cirkel waarin het tekort wordt opgevuld door de markt die vervolgens de kennis ontwikkelt en ook weer met deze kennis de deur verlaat. Daarnaast zijn veel departementen bezig met hetzelfde te ontdekken - toepassingen van big data binnen het overheidsdomein. Veiligheid, fraudebestrijding en dienstbaarheid aan de burger zijn belangrijke thema’s om te

25


Data - Governance

ontwikkelen voor de overheid en hierbij zijn meerdere departementen mankracht aan het inzetten om experimenten op touw te zetten. Wij merken

op dat zowel technisch als procesmatig er veel te halen valt binnen de bewandelde paden van collega’s die al flinke stappen hebben gezet. Een goed voorbeeld van Agile werken met ook nog eens het verwerken van een grote bulk data is te vinden bij de Belastingdienst. Zij innoveren met een snelle vaart en bereiken hierin veel resultaat. Door het delen van kennis een onderdeel te maken van het primaire proces zal de opgedane ervaring en methodiek veel efficiënter verspreid worden en uiteindelijk leiden tot het bereiken van duurzame kwalitatief hoogstaande ontwikkelingen binnen de overheid. Om kennisdeling te bevorderen kunnen een aantal maatregelen genomen worden. De eerste aanbeveling is een duidelijke archivering en monitoring

van innovatie inhouden binnen de overheid. Centrale uitvoeringsorganisaties (SSC-ICT, DICTU etc.) zouden hier een rol in kunnen spelen. Een gestructureerde archivering zou ervoor zorgen dat wanneer een organisatie binnen de overheid aan een ontwikkeling begint er een overzicht gemaakt kan worden van de organisaties binnen de overheid die zich hiermee bezig houden of dit in het verleden hebben gedaan. Er kunnen

vervolgens gesprekken en bezoeken worden gepland om ervaringen uit te wisselen of zelfs over te gaan tot het geven van trainingen en workshops om collega’s op de hoogte te brengen van wat er speelt.

Een tweede aanbeveling om kennisdeling te bevorderen heeft het RITP zojuist georganiseerd. Middagen waarin kennisdeling en het creëren van netwerken centraal staat zouden een vast en cyclisch onderdeel moeten uitmaken van kennisdeling binnen de overheid. Dit soort (mid)dagen bevorderen kennisnetwerken maar ook vooral het up-to-date houden van ambtenaren die zich bezig houden met een bepaalde hoek van innovatie\ Er moet wel bij vermeld worden dat wanneer dit zich zal beperken tot sporadische events het effect erg klein zal blijven. Wanneer dit cyclisch gebeurt - ieder kwartaal per ICT kennisgebied - zal het effect sterk zijn en zullen dezelfde mensen elkaar vaker tegenkomen. Ook kan kennis vanuit de markt vanuit een centraal punt gedistribueerd worden. Kennisdagen kunnen een vitaal onderdeel worden van kennisdeling op ICT gebied binnen de overheid. Initiatieven hiervoor lopen onder ander al bij I-Interim Rijk en dienen Rijks breed onder de aandacht te worden gebracht.

4. Versterk de i-component in beleid

Het gebruiken van data bij het opstellen van beleid is niet nieuw. Het toepassen van big data algoritmes en het koppelen van verschillende (ongestructureerde) datasets is dat wel. Beleidsmakers zijn vaak nog onvoldoende op de hoogte van de mogelijkheden die er met big data zijn, of zijn zich niet bewust van de fundamentele verschillen tussen traditionele data-analyses en big data toepassingen. Om deze mogelijkheden optimaal en op een verantwoordelijke manier te gebruiken is er meer big data-kennis nodig bij beleidsmakers. Om big data op een effectieve, efficiënte en verantwoorde wijze in te zetten bij het opstellen en uitvoeren van beleid is het (bij)scholen van ambtenaren cruciaal. Ze hoeven geen experts te zijn

in het uitvoeren van data-analyses maar moeten ze wel kunnen vertalen en gebruiken in hun werk. Initiatieven zoals het starten van een tweedaagse cursus voor beleidsmedewerkers over o.a. open data, big data, en kunstmatige intelligentie zoals nu gebeurt door het Leer- en Ontwikkelplein (gezamenlijk door OCW, SZW en VWS) wordt aangemoedigd door de ICT trainees.

5. Neem privacy vanaf het begin af aan mee Beleidsmakers zijn vaak erg enthousiast over big data toepassingen en gaan hiermee voortvarend aan de slag. Ze vergeten hierbij echter vaak de

privacyaspecten van de verschillende toepassingen te overwegen, mede door een gebrek aan ‘awareness’. Momenteel wordt gepoogd dit op te

vangen door middel van een Privacy Impact Assessment (PIA) . De PIA heeft een corrigerende, sturende en richtinggevende werking en maakt privacy problemen inzichtelijk. Echter, de PIA is vaak het slotstuk van een project, waardoor risico’s pas in een laat stadium gesignaleerd worden. Hierdoor kan het voorkomen dat trajecten, projecten of opdrachten vlak voor (of soms zelfs na) de ‘lancering’ gepauzeerd of geannuleerd moeten worden als gevolg van de conclusie dat persoonsgegevens onrechtmatig worden verwerkt.

26


Data - Governance

Dit is inefficiënt, duur en bovendien vaak onnodig. Daarom raden wij aan om de PIA niet te zien als een afvinklijst achteraf, maar om deze analyse uit te voeren in de beginfase van het ontwerp van big data-toepassingen (en bovendien iedere keer wanneer big data-toepassing wezenlijk verandert). Ter aanvulling op de PIA is het belangrijk privacy problemen op voorhand te herkennen en te bespreken, het liefst door middel van het betrekken van een privacy expert. Hiermee kun je ieder traject, project of opdracht vanuit de privacy-by-design gedachte starten en ben je er zeker van dat zowel de beveiligings- als privacywetgeving is gedekt.

6. Word transparant over wat we doen en waarom we dat doen Het open en transparant in verbinding blijven met burgers en bedrijven vraagt misschien om een cultuuromslag, aangezien het ambtenaren dwingt de werkwijze van de overheid inzichtelijk te maken. Tegelijk zet dit echter een al eerder ingezette trend voort. Momenteel heeft de overheid

bijvoorbeeld al te maken met de Wet openbaarheid bestuur, hetgeen in de toekomst misschien zelfs uitgebreid wordt met de Wet open overheid. Deze transparantie is belangrijk voor het gebruik van big data toepassingen. Als burgers een duidelijk beeld hebben over wat er met gegevens gebeurt, wordt het begrip vergroot en zal de burger minder het gevoel hebben dat de overheid ‘in het geniep’ iets met hun gegevens doet. Dit is

belangrijk, omdat analyses door Big Data toepassingen gezien hun karakter op voorhand niet te voorspellen zijn en door transparantie de burger op zijn minst over het doel is ingelicht. Bovendien zou de overheid op deze manier als voorbeeldfunctie voor het bedrijfsleven kunnen fungeren.

27


Data - Governance

5. Interactie met burgers en bedrijven

5.1 Definitie Veel overheidsorganisaties werken met gegevens van burgers en bedrijven. De bescherming van die gegevens heeft altijd de hoogste prioriteit bij elk aspect van het eigen werk en in de samenwerking met anderen. Om in een data gedreven omgeving het vertrouwen van burgers en bedrijven te behouden is het van belang om als organisatie te laten zien dat gegevens op een rechtmatige, behoorlijke en transparante wijze worden verwerkt met inachtneming van wettelijke eisen en verplichtingen.

5.2 Theorie en context Dit onderdeel van het kenniswiel heeft betrekking op de vormen van gegevensverwerking en de daarbij behorende interactie met burgers en bedrijven waarvan de gegevens worden verwerkt. Het betreft zowel de interne als de externe dimensie: dus niet alleen hoe de organisatie zelf in de eigen processen met gegevens omgaat maar ook hoe hierover de dialoog gevoerd wordt met externe stakeholders in samenleving en politiek. Interactie met burgers en bedrijven heeft ook betrekking op het opzoeken van de dialoog met deze stakeholders m.b.t. nieuwe technologieën. Nieuwe vormen van data verwerkingsmethodieken brengen andere soorten dilemma’s met zich mee.

Handige links: Hulp en stappenplan bij het aanbieden van open data: https://data.overheid.nl/handreiking-bij-openen-van-data

Veilig delen van informatie met burgers en bedrijven: https://www.digitaleoverheid.nl/wp-content/uploads/sites/8/2017/10/Oracle_KPN-presentatie-informatiemarkt-20171018.pdf

Bronnen Data Principes uitwerking belastingdienst Rapport: Public Sector Data Ethics : https://kennisopenbaarbestuur.nl/media/254747/public-sector-data-ethics.pdf

5.3 Deliverables

Transparantie voor belanghebbenden (intern en extern) over de omgang met data.

Met o.a. Bewaartermijn data, Bewaar doel, Toegankelijkheid Kaders met wettelijke grondslagen waarom de gegevensverwerking wordt uitgevoerd

Met name: Doelbinding en Proportionaliteit (staat het belang in verhouding tot inbreuk op de privacy) Subsidiariteit (is dit de beste manier om het doel te bereiken of zijn er ook andere manieren). 5.4 Algemeen geldende kaders en richtlijnen

Interactiestrategie: https://www.digitaleoverheid.nl/wp-content/uploads/sites/8/2017/10/Oracle_KPN-presentatie-informatiemarkt-20171018.pdf Privacy impact assessment: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacycheck/privacy-impact-assessment-pia

https://data.overheid.nl/handreiking-bij-openen-van-data

https://www.digitaleoverheid.nl/wp-content/uploads/sites/8/2017/10/Oracle_KPN-presentatie-informatiemarkt-20171018.pdf


https://kennisopenbaarbestuur.nl/media/254747/public-sector-data-ethics.pdf


https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacycheck/privacy-impact-assessment-pia

28


Data - Governance

5.5 Best practice: Good practice Loonaangifteketen

De good practice heeft ook betrekking op de volgende onderdelen van het Data Governance model:

Legitimiteit, weten regelgeving; Sturing, organisatie en risicomanagement; Interactie met burgers en bedrijven; Datauitwisseling met derden;

Dataverwerkingmethodieken; Datamanagement- en kwaliteit

1. Inleiding De Loonaangifteketen (LAK) is ontstaan door invoering van de wet Walvis en de overgang van premieheffing van het UWV naar de Belastingdienst.

Deze twee diensten moesten gaan samenwerken in het uitvragen, opslaan en ter beschikking stellen van de loonaangiftegegevens. De essentie van de LAK is het principe ‘eenmalige uitvraag, meervoudig gebruik’ van gegevens. Werkgevers leveren bij één loket de gegevens aan en er is één database (de Polisadministratie) waaruit gebruikers, zoals CBS, de gegevens kunnen opvragen.

Daardoor kunnen de administratieve lasten bij de werkgevers omlaag en de uitvoeringskosten eveneens. Ook neemt het gemak voor de burger toe. De Belastingdienst en UWV zijn samen verantwoordelijk voor het logistieke proces van de LAK. Samen met CBS zijn zij eigenaar van de gegevens die worden verzameld en verstrekt. 2. Datagovernance

De LAK heeft in de houtskoolschets LAK 2020 aangegeven dat ze werk wil maken van datagovernance. De huidige governance richt zich op de sturing, organisatie en risicomanagement, de gegevensuitwisseling met derden, en de datakwaliteit. Ook voldoen aan weten regelgeving is een belangrijk onderdeel van de governance.

3. Doelstellingen en ambities Loonaangifteketen De LAK kent in het kort drie doelstellingen:

1. Verminderen van de administratieve lasten voor werkgevers

2. Verlagen van de uitvoeringskosten bij Belastingdienst en UWV

3. Gemak voor de burger. Dit wordt gerealiseerd door het principe van eenmalige uitvraag, meervoudig gebruik van gegevens. De hoofdopdracht van de LAK is, en blijft: zorgen voor de instandhouding en ongestoorde voortgang van de lopende processen. Dit betekent het op orde houden van de verwerking van gegevens, succesvol implementeren van nieuwe weten regelgeving en het verwerken van proces- en

systeemontwikkelingen. De logistieke inrichting van de LAK kan vergeleken worden met een lopende band waarop de gegevens terecht komen, die vervolgens allerlei stadia van productiebewerkingen bij de Belastingdienst en UWV ondergaan. Gegeven de mogelijkheden en stand van techniek op het moment van ontwikkeling was dat toen een optimale oplossing. Belangrijk is dat er duidelijkheid is over de begrippen die worden gehanteerd in de ketensamenwerking tussen Belastingdienst, UWV, CBS en de leveranciers en afnemers van gegevens. Daarom zijn definities afgesproken tussen de betrokken partijen.

29


Data - Governance

Ambities

De LAK wil haar activiteiten de komende jaren uitbreiden om het gemak voor de burger te vergroten door haar data aan meer afnemers ter beschikking te stellen. Een voorbeeld is het project Handig waarbij een werknemer met behulp van ‘zijn’ gegevens uit de Polisadministratie een werkgeversverklaring kan krijgen voor een hypotheekaanvraag. Een andere activiteit is samen met pensioenfondsen kijken hoe die meer gebruik kunnen maken van de gegevens uit de Polisadministratie. Daarvoor zouden 4 á 5 gegevens extra in de dataset moeten worden opgenomen. Ook het volautomatisch monitoren van de kwaliteit en het door de klant zelf laten aanbrengen van correcties op gegevens behoren tot de ambities van de LAK.

4. Kaders

Het wettelijk kader vormt de grondslag van de samenwerking in de loonaangifteketen. De wetgeving beschrijft de taken en verantwoordelijkheden. LAK heeft een normenkader ontwikkeld waarmee zij het functioneren van de loonaangifteketen jaarlijks kan beoordelen. In de jaarrapportage geeft het LAK aan in hoeverre zij aan de normen voldoet. De ADR en de auditdienst van UWV toetsen de totstandkoming van de rapportage en de

betrouwbaarheid van de cijfers. 5. Datakwaliteit De kwaliteit van gegevens is essentieel voor een soepele keten. De LAK wil een zodanige actualiteit en inhoudelijke kwaliteit van gegevens realiseren dat afnemers deze gegevens optimaal kunnen gebruiken. De eerste stap is definiëren wat gegevens zijn. Verder zijn in de systemen technische, verbands- en inhoudelijke controles ingevoerd. Een belteam bewaakt de aanleveringen en belt zo nodig achteraf achter aanleveraars aan om te

zorgen dat die tijdig gegevens aanleveren. Het Analyseteam Gegevenskwaliteit Loonaangifteketen (AGL) is specifiek belast met het uitvoeren van analyses om de kwaliteit van de

loonaangiftegegevens bij UWV en de Belastingdienst vast te stellen en om voorstellen te doen tot het verbeteren daarvan. Met de methodiek ‘Kwaliteit premiegegevens’ wordt de inhoudelijke gegevenskwaliteit gemeten en gemonitord. Het team kijkt naar verschillen tussen de premies die de werkgever heeft aangegeven en de premies die door het UWV zijn berekend. Zo kan het team verbetervoorstellen doen zodat de LAK meer ‘in control’ komt op gegevenskwaliteit. De focus verschuift steeds meer van het herstellen van fouten achteraf naar het in de actualiteit monitoren en bewaken van de kwaliteit van de

gegevens. Verder wordt actief de samenwerking gezocht met externe partijen zoals salarisadministrateurs. In het online platform ‘Forum Salaris’ kunnen salarisadministrateurs met elkaar in contact komen en vragen stellen. De LAK ziet hier op toe. Ook wordt de samenwerking gezocht met softwareontwikkelaars. Die kunnen de software testen aan nieuwe wetgeving, zodat de kwaliteit van de ingediende loonaangiften wordt geborgd. Zo laat het LAK externe partijen meewerken aan verbetering van de kwaliteit van gegevens.

6. Sturing en beheersing en samenwerking als succesfactor

Een succesfactor voor de LAK is het besturingsmodel. Op ieder niveau zijn de partijen vertegenwoordigd en met de instelling van de ketenmanager, die tussen de partijen instaat, is een slagvaardige besturing gerealiseerd. De ketenmanager bewaakt zowel de horizontale verbinding tussen beide organisaties als het voldoen aan de normen voor de gegevensprocessen.

30


Data - Governance

Er is gekozen voor een kernteam dat bestaat uit de DG Belastingdienst, de voorzitter van de Raad van Bestuur van de UWV en de DG Statistiek van

het CBS. Dit kernteam is bestuurlijk eindverantwoordelijk voor de keten. De ketenmanager is de linking-pin tussen het kernteam en het overleg van de vertegenwoordigers van de lijnmanagers in het lijnmanagersoverleg (LMO). De ketenmanager wordt daartoe ondersteund door het ketenbureau.

31


Data - Governance

Het Lijnmanagersoverleg (LMO) ziet toe op de dagelijkse gang van zaken op het gebied van beheer en exploitatie van de LAK en legt verantwoording

af aan het kernteam. De operationele overleggen bewaken de dagelijkse gang van zaken op het gebied van beheer en exploitatie van de loonaangifteketen (Tactisch en Operationeel Productieoverleg) en de ontwikkelingen in de voortbrengingsketen. Zij leggen verantwoording af aan het LMO. De transparante communicatie naar bestuurders zorgt ervoor dat ze op de hoogte zijn en dat schept vertrouwen over en weer. De samenwerking valt of staat met een open en transparante communicatie tussen alle partijen, van hoog tot laag. De benodigde chemie begint aan de top. De nadere afspraken over de samenwerking in het kader van de loonaangifteketen zijn vastgelegd in een convenant dat driejaarlijks wordt herijkt.

Een (al dan niet expliciet) gehanteerde strategie is om vanuit ‘soft controls’, met name samenwerking, de kwaliteit van gegevens te bevorderen. Het eerder genoemde ‘Forum Salaris’ en de Database Gegevensbelang, waarachter de gedachte schuilgaat dat aanleveraars betere kwaliteit leveren als

ze het belang van de gegevens kennen, zijn daar voorbeelden van. 7. Kansen, risico’s en dilemma’s

De LAK ziet kansen in het meer gaan inzetten van haar gegevens ten behoeve van de burger, dus ook buiten de loonaangifteketen. Daarmee sluit ze aan bij de ambitie van het kabinet om zoveel mogelijk data beschikbaar te stellen voor hergebruik. De LAK zit op een ‘pot met goud’ omdat zij miljoenen gegevens over inkomen en arbeid beheert. Hiervoor worden diverse projecten opgezet zoals het eerder genoemde Handig. Voor de beheersing van de risico’s is een risicomodel ontwikkeld. In dit risicomodel staan de risico’s die de continuïteit en de kwaliteit van gegevens in de LAK bedreigen en welke maatregelen er zijn getroffen om de risico’s te beheersen. Een dilemma waar de LAK voor staat is dat zij de data ter beschikking wil stellen aan potentiële gebruikers, maar gelijktijdig moet voldoen aan de

wettelijke eisen uit de privacyregelgeving. Een belangrijke nieuwe ontwikkeling is de Algemene Verordening Gegevensbescherming. De Belastingdienst en UWV moeten nadere maatregelen treffen om aan de eisen te kunnen voldoen, zoals het realiseren van inzagerecht en

rectificatiemogelijkheid.

De keten is destijds ingericht met de technologie van toen (2006). Er is op de betrokken systemen wel onderhoud gepleegd. Echter, om kwalitatief

up-to-date te blijven zijn onderhoud en nieuwe toepassingen nodig, zoals geautomatiseerde controles aan de voorkant. Ook is aandacht nodig voor

behoud van kennis. Er werken relatief veel oudere medewerkers in het proces die op enig moment met pensioen gaan.

32


Data - Governance

6. Data uitwisseling met derden

6.1 Definitie

De organisatie wisselt alleen data uit met andere keten-partijen als daarvoor een wettelijke grondslag is, waarbij deze partijen waarborgen kunnen

bieden voor het rechtmatig en verantwoord gebruik van deze data. In de uitvoering van de gegevensuitwisseling met derden zijn de volgende activiteiten en randvoorwaarden in te richten:

- Het relatiebeheer met gegevensleveranciers en – afnemers

- Het proces- en gegevensbeheer en de procesondersteuning

- De behandeling van issues en verstoringen Bron: Belastingdienst, Principes Uitwerking 171117 6.2 Theorie en context

Bestaande datamanagement modellen besteden uitsluitend aandacht aan de interne organisatiekant, met een primaire focus op de methoden en technieken voor gegevensverwerking. Deze interne inrichting en uitvoering van datamanagement is echter onlosmakelijk verbonden met de beleidskeuzes ten aanzien van de omgang met de externe omgeving. Een integraal datamanagement model op strategisch niveau moet dan ook beide pijlers omvatten. De verbinding tussen buiten- en binnenkant wordt gemaakt in de Beleidsvisie op gegevensverwerking, dat een doorvertaling is van de algemene strategische doelstellingen van de organisatie. In die beleidsvisie maakt het hoogste management aan alle interne en externe belanghebbenden kenbaar hoe de organisatie omgaat met de verwerking van gegevens. Met dit beleid als uitgangspunt dient aan beide pijlers van

datamanagement, in samenhang, invulling te worden gegeven.

Bron: https://www.noraonline.nl/images/noraonline/b/b0/ISDM_model_NL_factsheet_kort_versie_jul_17.pdf

6.3 Deliverables

Strategie op gegevensuitwisseling

Overzicht van alle ketenpartners (en overige derde partijen) Vastlegging wettelijke basis op basis waarvan data uitgewisseld wordt, per ketenpartner (of derde partij) Overeenkomsten data-uitwisseling met ketenpartner (of derde partij) Serviceportfolio met vastlegging van data-relaties (inclusief de data uitwisselingen) Periodieke controle op data-relatiebeheer

Externe verantwoording


Er zijn geen algemeen geldende kaders en richtlijnen voor dit onderdeel aangetroffen, een algemeen framework biedt het ISDM-model. https://www.noraonline.nl/images/noraonline/b/b0/ISDM_model_NL_factsheet_kort_versie_jul_17.pdf

https://www.noraonline.nl/images/noraonline/b/b0/ISDM_model_NL_factsheet_kort_versie_jul_17.pdf

33


Data - Governance

6.5 Best practice KOOP: Datagovernance en Data.overheid.nl

Functies van het Nationale dataportaal Het Nederlandse Nationale dataportaal bestaat uit een register met informatie over en verwijzingen naar data die beschikbaar is van Nederlandse overheden. Daarnaast bieden we ondersteuning bij het openbaar maken van data. Dat doen we door feedback te verwerken, te helpen bij het aanmelden en zoeken van datasets en door bij te dragen aan kennis over open data.

Data.overheid.nl vervult daarbij vier functies in het datalandschap: Vindplaats van overheidsdata

Data.overheid.nl biedt een actueel overzicht van alle beschikbare datasets binnen de Nederlandse overheid. Het dataportaal verwijst naar de vindplaats en/of naar de organisaties en contactpersonen achter een dataset. De functie wordt ingevuld door: het dataregister en de synchronisatiefuncties met databronnen van overheidsorganisaties.

Monitor van kwaliteit en relevantie Overheidsdata is bruikbaar als deze van goede kwaliteit en relevant is. De informatie over data (metadata) moet daarom zoveel mogelijk vertellen over de context en beschikbaarheid van de data. Daarom controleren en verbeteren wij, aan de hand van metadata, de vindbaarheid en kwaliteit van datasets. De monitor ondersteunt de data management activiteiten. Inzicht geven in vraag naar data vanuit hergebruikers

Data.overheid.nl biedt inzicht in het aanbod en de vraag naar data van de Nederlandse overheid. Door middel van een dataverzoek kan een hergebruiker aangeven naar welke overheidsdata hij of zij op zoek is. Data.overheid.nl helpt de hergebruiker bij het vinden naar de gewenste data of

een contactpersoon. Ondersteunen van overheidsorganisaties bij het beschikbaar maken van data Data.overheid.nl biedt ondersteuning aan overheidsorganisaties bij het beschikbaar maken en houden van data. Dat doen we door bijvoorbeeld door het leveren van handreikingen en het ontwikkelen van standaarden. Maar ook door gebruikersbijeenkomsten te organiseren. Data.overheid.nl werkt

bijvoorbeeld samen met het Nationaal Georegister, het Ministerie van Economische zaken en het Ministerie van Infrastructuur en Milieu en met alle andere overheidsorganisaties die hun data aanbieden voor hergebruik. Op dit moment zijn er meer dan 140 data-eigenaren op data.overheid.nl actief. Aandachtsgebieden van data.overheid.nl

Data.overheid.nl ondersteunt bovenstaande functies met concrete standaardisatie initiatieven en het bieden van directe ondersteuning aan

overheidsorganisaties in de praktijk. Data.overheid.nl wordt beleidsmatig door MinBZK/DIO gestuurd. Waar mogelijk neemt data.overheid.nl drempels weg voor overheidsorganisaties om data te kunnen publiceren. Onderstaand zijn een aantal initiatieven uitgelicht.

34


Data - Governance

DCAT-AP-NL

Data.overheid.nl is het Nationale Dataportaal van de Nederlandse overheid. Het portaal is afhankelijk van de aanlevering van informatie van data-eigenaren om een zo goed mogelijk overzicht van beschikbare data te bieden. Om de vindbaarheid, uitwisseling en toegankelijkheid van de informatie over data te garanderen, wordt binnen de Europese Unie een uitwisselingsstandaard gehanteerd, DCAT. Data.overheid.nl heeft van deze standaard een Nederlands toepassingsprofiel ontwikkeld en afgestemd met data-eigenaren en hun leveranciers. Het Nederlandse toepassingsprofiel, DCAT-NL, is primair bedoeld om de uitwisseling van metadata binnen Nederland eenvoudig te maken. Het principe van eenmalige invoer en meervoudig gebruik is leidend. De brede toepassing van DCAT-NL zorgt daarnaast dat de kwaliteit en betrouwbaarheid van de informatie over data kan worden gegarandeerd. Nederlandse data-eigenaren leveren

automatisch hun metadata volgens de DCAT-NL standaard aan data.overheid.nl, die dit op haar beurt weer doorlevert aan het Europese dataportaal. Via deze wijze kunnen we binnen de overheid op gestandaardiseerde wijze metadata met elkaar uitwisselen.

High value datasets Een 'high-value' dataset is een dataset met grote waarde voor de samenleving, economie of het functioneren van de overheid. Bij het beschikbaar maken van data en bijbehorend datamanagement, wordt prioriteit gegeven aan deze high-value-datasets. High-value-datasets dragen bij aan een

transparante en open overheid. Bij deze benadering wordt dus gekeken naar waardevolle data waarvan het van belang is dat de overheid dit beschikbaar voor haarzelf en de buitenwereld. Data.overheid.nl heeft ingestoken op deze benadering om data-eigenaren sturing te geven welke datasets eerste te ontsluiten. Daarnaast bieden de high-value datasets sturing voor het datamanagement; omdat het onmogelijk is om de kwaliteit en metadata van alle datasets te garanderen, is het datamanagement gericht op het garanderen van de kwaliteit van deze essentiële high-value-datasets. Ondersteuning

Data.overheid.nl biedt praktische ondersteuning aan overheden om beschikbare data inzichtelijk te krijgen binnen de eigen organisatie. Diverse instrumenten kunnen daarbij een rol spelen:

- Inventariseren van aanwezige data; - Handreiking “data openen”, inclusief juridische afwegingskader; - Beslisbomen “mag deze data open?” - Documentatie over de minimale eisen aan metadatering van datasets

3. Datamanagement van data.overheid.nl Datamanagement is essentieel voor een data-gedreven organisatie om de kwalitiet, beschikbaarheid en toepasbaarheid van data te garanderen. Voor data.overheid.nl is het datamanagement met name gericht op de metadata beschrijving bij een datasets. Data.overheid.nl is niet verantwoordelijk voor de inhoud van de dataset zelf. Deze verantwoordelijkheid ligt bij de respectievelijke data-eigenaar. Het datamanagement van data.overheid.nl is in essentie gericht op het vindbaar maken van de beschikbare data van de Nederlandse overheid.

KOOP als juridisch dataknooppunt

Nederland kent een groeiend aantal ‘dataknooppunten’. Een dataknooppunt is een plek waar data van een specifiek domein van nature al samenkomt. Een voorbeeld van dataknooppunten zijn het CBS voor het Statistisch domein, Kadaster voor het Geodata-domein en KOOP voor het juridische data domein. Het dataknooppunt heeft een belangrijke rol als verzamelaar van datasets uit het domein, handhaven en aanreiken van datastandaarden, zorgen voor verwijzing en identificatie en het opbouwen van goed herbruikbare collecties van data uit onderliggende organisaties. Dataknooppunten zorgen voor focus van kennis en ervaring in specifieke domeinen zodat gestructureerd en efficiënt aan data vraagstukken kan worden gewerkt.

35


Data - Governance

1. Organisatie Het Kennis- en Exploitatiecentrum Officiële Overheidspublicaties (KOOP) biedt publicatie- en informatiediensten en toepassingen voor de keten van weten regelgeving. Dit wordt gedaan voor alle overheidsorganisaties. De producten zijn gericht op zowel de professionele gebruikers als de Nederlandse burger en ondernemer. De juridische informatie wordt verzameld, gestandaardiseerd en weer aangeboden als open data. Daarbij wordt de toeleiding naar deze informatie zo laagdrempelig mogelijk gehouden. KOOP ondersteunt daarmee alle overheidsorganisaties in Nederland om elke dag formele juridische informatie zoals weten regelgeving, parlementaire stukken, vergunningen en internationale verdragen te publiceren en als

open data beschikbaar te maken. 2. Producten binnen KOOP

Diverse producten worden binnen KOOP tot stand gebracht, zoals: - Alle Nederlandse wetgeving in wetten.nl.

- Toegang tot alle collecties via Overheid.nl - Alle bekendmakingen van Nederlandse overheden in officielebekendmakingen.nl. - Linked Data voorziening voor brengen van samenhang in alle collecties - Gestructureerde herbruikbare uitvoeringsinformatie in het PUC platform Praktijkvoorbeeld: PUC

KOOP heeft in 2014 het publicatieplatform “PUC” gelanceerd waarmee overheidsorganisaties eigen formele informatie kunnen publiceren als gestructureerde open data. Het primaire gebruik van PUC voor de afnemende organisatie is als juridische kennisbank voor medewerkers. Het

secondair gebruik is als gereedschap om een gecontroleerde publicatie van Open Data op overheid.nl uit te voeren. Op dit moment maken onder andere IND, SVB, Belastingdienst, ILT, MinDef, MinBZK en VNG gebruik van het platform en publiceren open data op overheid.nl. Onderstaand voorbeeld laat een beleidsregel van SVB zien die via PUC zijn gepubliceerd. De beleidsregel heeft een open standaardformaat en is in XML voor hergebruikers in meerdere versies te downloaden als open data.

36


Data - Governance

Voor de SVB biedt PUC voor alle SVB medewerkers een juridische kennisbank waarin ten eerste de eigen uitvoeringsinformatie te vinden is, maar ook open data bronnen van de overheid die relevant zijn voor de uitvoering zoals een eigen selectie uit wetten.nl, rechtspraak.nl en officielebekendmakingen.nl. Het systeem werkt met Linked Data zodat geen onnodige kopieën van data worden gemaakt en altijd de juiste versie beschikbaar is. De redacteuren van SVB kunnen voor elk data-onderdeel aangeven of dit “publiek” wordt gepubliceerd als open data of intern moet blijven. Op de werkplek binnen de SVB zijn alle documenten beschikbaar en doorzoekbaar. Op overheid.nl zijn alleen die onderdelen beschikbaar waarvoor SVB

expliciet heeft aangegeven dat deze mogen worden gepubliceerd.

37


Data - Governance

7. Data verwerking methodieken

7.1 Definitie De gegevens die zijn opgenomen tijdens een meting of ingevoerd in een systeem zijn meestal niet direct het eindresultaat. Voordat het werk klaar is

zullen deze data eerst nog moeten worden verwerkt tot een product dat een duidelijk en overzichtelijk beeld geeft. Gebruik van de juiste software en datamodellering zijn noodzakelijk om de data goed te kunnen benutten.


Data verwerking: batch of streaming https://www.computable.nl/artikel/blogs/datamanagement/6238264/5260614/dataverwerking-batch-of-streaming.html

7.3 Deliverables

Gegevensdefinitie Datamodellen

Conceptuele datamodel (relatie tussen dataobjecten en entiteiten) Logische datamodel (beschrijving structuur van de referenties tussen data-objecten tabellen)

Fysieke datamodel (beschrijving van de manier waarop data zijn opgeslagen) Informatie over dataformats

Levenscyclus van gegevensstromen: Create, Read, Update, Delete (CRUD) analyses van data Data architectuur


Er zijn geen algemeen geldende kaders en richtlijnen voor dit onderdeel aangetroffen. Meer achtergrond biedt de

https://www.computable.nl/artikel/blogs/datamanagement/6238264/5260614/dataverwerking-batch-of-streaming.html

38


Data - Governance

7.5 Best practice: DUO

De best practice heeft ook betrekking op de volgende onderdelen van het Data Governance model: Data-uitwisseling met derden; Informatieuitwisseling met derden, Dataverwerking methodieken; Technologie voor dataverwerking (bron: duo.nl)

Inleiding

De Dienst Uitvoering Onderwijs (DUO) is de uitvoeringsorganisatie van de Rijksoverheid voor het onderwijs. DUO voert als baten-lastendienst in opdracht van de minister van Onderwijs, Cultuur en Wetenschap onderwijswetten en -regelingen uit. Ook voert DUO in opdracht van het ministerie van Sociale Zaken en Werkgelegenheid de Wet inburgering uit.

De hoofdtaken van DUO zijn:

bekostigen van onderwijsinstellingen;

verstrekken van studiefinanciering en tegemoetkoming schoolkosten;

innen van lesgelden en studieschulden;

erkennen van diploma's, beheren Diplomabank;

organiseren van school-, staats- en inburgeringsexamens;

verzamelen en beheren van onderwijsgegevens in diverse registraties;

verrijken van onderwijsgegevens tot informatieproducten;

fungeren als Nationaal Europass Centrum Nederland.

Datagovernance

Datagovernance wordt bij DUO als begrip van datamanagement gehanteerd. Visie en missie ligt bij de CIO. Er is geen aparte CDO, die rol doet de

CIO er bij. Bij beleid hoort ook gegevensarchitectuur; die is in ontwikkeling. DUO voert wetten uit en voert daartoe meerdere registers bij meerdere directies. Het SEG (de Service Eenheid Gegevens) is beleidsstellend ten aanzien van gegevensmanagement (onderwerpen als privacy, metadatamanagement, openheid etc.) binnen DUO. Daarbij gaat het ondermeer voor de gegevensregisters om het opstellen van richtlijnen en spelregels opstellen en het inwinnen en klaarzetten van gegevens. Het beleid van SEG zal ook van toepassing zijn op de besluiten van/ de creatie van nieuwe informatie die de directies op basis van de gegevens van het SEG zullen gaan produceren.

Het SEG is deels nog in ontwikkeling en deels al ingevuld. Feitelijk moet het SEG alleen nog geformaliseerd worden; een aantal functies moeten nog formeel ingevuld worden. SEG gaat de focus op gegevens leggen, niet (meer) op applicaties. Scheidslijn tussen business en SEG is als volgt: de business rules liggen bij het klantproces, de grondstoffen (gegevens) bij het SEG.

39


Data - Governance

Gegevensbeleid

DUO heeft een in oktober 2017 vastgesteld gegevensbeleid: ‘DUO uitvoeringsbeleid gegevens’. Dit is een gedragscode voor het verwerken van gegevens in het primaire proces van DUO. Het doel van dit beleid is voorschriften te geven voor de wijze waarop DUO gegevens verwerkt tot kwalitatief hoogwaardige en tot de bron herleidbare grondslagen waarop: � de beslissingen over rechten en plichten van betrokkenen zijn gebaseerd; � de beleidsinformatieproducten zijn gebaseerd;

De reikwijdte van het gegevensbeleid betreft: � het verwerken van de gegevens, ondermeer;

o beheer: het verzamelen, vastleggen, actueel houden en ter beschikking stellen; o gebruik: afnemen, interpreteren en weer aanbieden als gegeven;

� de omgevingen waarin gegevens verwerkt worden;

o besloten; identificeren, authentiseren en autoriseren; o open: ter beschikking stellen van niet tot de natuurlijke persoon herleidbare gegevens aan het publiek.

De reikwijdte wordt verder bepaald door de wettelijke taken die DUO uitvoert: � Bekostigen van onderwijsinstellingen; � Verstrekken van studiefinanciering en tegemoetkoming schoolkosten;

� Innen van lesgelden en studieschulden; � Erkennen van diploma's, beheren Diplomabank;

� Organiseren van school-,staats- en inburgeringsexamens; � Verzamelen en beheren van onderwijsgegevens in diverse registraties; � Verrijken van onderwijsgegevens tot informatieproducten; � Fungeren als Nationaal Europass Centrum Nederland; � Verzamelen en beheren van gegevens in het landelijk register kinderopvang en peuterspeelzalen.

De visie die onder het gegevensbeleid ligt, is dat DUO een aantrekkelijke uitvoeringspartner in uitvoeringsketens wil zijn. En dat zij daartoe een rechtmatig en doelmatig gegevensplatform dat tegemoet komt aan maatschappelijke verwachtingen van haar opdrachtgevers, levert. Om de speerpunten waarop die visie focust te kunnen plaatsen gebruikt DUO de volgende invalshoeken:

beheer;

gebruik;

open en;

gesloten.

40


Data - Governance

De ontwikkelrichting is vanuit deze invalshoeken uitgewerkt.

In het beleid zijn de leidende principes die DUO hanteert opgenomen (onder de term ‘uitgangspunten)’. Deze zijn gebaseerd op de vele

normenkaders die op DUO zien. Het volgen van die normenkaders leidt tot het invullen van de aspecten ‘rechtmatigheid', ‘doelmatigheid' en

‘conformiteit'. Deze aspecten zijn in het beleid nader uitgewerkt in uitgangspunten. De betreffende normenkaders omvatten: internationale en

rijksbrede weten regelgeving, specifieke weten regelgeving en formele kaders (niet wet) zoals:

41


Data - Governance

Een ander onderdeel in het gegevensbeleid van Duo is het begrip ‘basisbeginselen’. Dit begrip omvat de door DUO gestelde doelen en de wijze

waarop DUO daar invulling aan geeft.

De doelstellingen van het gegevensbeleid betreffen enerzijds het verbreden van de toepasbaarheid en het gebruik van gegevens binnen DUO in

brede zin en anderzijds het ondersteunen van een transparante en kwalitatief goede informatieketen.

In het gegevensbeleid is een plaatsing van DUO in een leverende en ontvangende omgeving te zien. DUO maakt daarbij goed onderscheid is de eigen

verantwoordelijkheden en taken en die van andere partijen en wil daar klaarblijkelijk optimaal op aansluiten (zo veel mogelijk gebruik maken van wat

er al is, mits dat past).

Functies Gegevensmanagement (let wel: vanuit gegevensbeleid):

Centraal gegevensmanagement

DUO kent een centraal gegevensmanagement.(nader toegelicht in document ‘eindrapport gegevensmanagement’) Dit houdt in dat de rol van

‘portefeuillehouder gegevensmanagement' (belegd bij de directeur Registers) zeggenschap heeft over alle gegevensverzamelingen binnen DUO. Het

uitgangspunt hierbij is dat DUO de mogelijkheid gegevens her te gebruiken maximaal wil benutten.

Kaderstelling

Het beheer van gegevens vindt plaats onder vastgestelde kaders. De strategische kaderstelling wordt afgegeven door de afdeling Beleid en Strategie,

de afdeling Compliance en het CIO office. De tactische kaderstelling (zoals de servicekaders bedoeld onder ‘Informatie logistiek' ) wordt afgegeven

door de uitvoerende afdelingen.

Toezicht

Het toezicht op de naleving van de kaders wordt uitgevoerd door onafhankelijk opererende functies (zoals die van de Functionaris voor de

Gegevensbescherming (FG) de afdeling Control en de externe auditor). De interne rol wordt vervuld door de kwaliteitscontroleur die in opdracht van

de portefeuillehouder werkt.

Data administration

Gegevens zijn ontsloten voor gebruik binnen en buiten DUO. Gebruikers moeten kunnen begrijpen waar de gegevens te vinden zijn, wat ze

betekenen en hoe ze (ook in combinatie met gegevens uit andere bronnen) gebruikt kunnen worden. Deze metagegevens (gegevens over gegevens)

worden ontwikkeld en beheerd door de functie ‘data administration' die verantwoordelijk is voor het ontstaan en beheer van het canonical datamodel,

het gegevenswoordenboek en het berichtenboek.

Databasemanagement

De functie databasemanagement focust zich op het modelleren van databases, database architectuur, database management en database access.

42


Data - Governance

Data Ware House

De functie Data Ware House brengt gegevensverzamelingen in een zodanige vorm dat terugkerende en ad-hoc vragen in relatief korte tijd

beantwoord kunnen worden zonder dat de bronsystemen zelf daardoor overmatig belast worden.

Gegevensmagazijn

De functie Gegevensmagazijn vormt een transportmiddel dat hoog performant gegevens zoekt en levert aan de interne gebruiker.

Informatielogistiek

De functie Informatielogistiek staat voor: in- en outputmanagement, monitoring, beveiliging en archiefmanagement.

Ambities en doelstellingen DUO

Ambities De ambitie (van CIO office) is om de data-architectuur DUO breed te maken.

Doelstellingen (De planningshorizon van het SEG is thans dat in Q1 2018 de spelregels voor registereigenaren zijn opgesteld en in de loop van 2018 gestart wordt met de handhaving ervan. Richting 2020 moet e.e.a. op orde (naar wens) zijn.

Kaders De verschillende functies vanuit het internationale kader Datamanagement Body of Knowledge (DAMA-DMBOK) zijn te herkennen met de komst van het SEG bij DUO. Het DUO hanteert zelf niet het DAMA-DMBOK model.

Privacy en AVG De AVG heeft binnen DUO geleid tot extra aandacht voor alle informatie die DUO ontsluit. Er is een inventarisatie gemaakt wat er binnen DUO op dit

gebied gebeurt en of dat privacy gevoelig is. DUO is voornemens deze inventarisatie (welke registers ze hebben) ook openbaar te maken. Er was al aandacht voor datalekken/meldpunt. DUO beschikt verder over een privacy officer en een functionaris gegevensbescherming. DUO heeft ook leerlinggegevens (dit zijn privacygevoelige persoonsgegevens). Bij de vervaardiging van informatieproducten worden deze gegevens geanonimiseerd. Behalen data-ambities In het gegevensbeleid is een roadmap opgenomen focus aan te brengen in de veelheid aan wijzigingen. De opsomming in deze roadmap is niet

limitatief, ze betreft slechts de onderwerpen met de hoogste prioriteit.

De roadmap geeft inzicht de fasen waarin de benodigde resultaten geleverd worden. De termen beschrijven de resultaten die door de betreffende directeuren in Management Afspraken kunnen worden vastgelegd. De trajecten waarin de resultaten worden behaald worden op basis van deze Management Afspraken in de ontwikkelagenda opgenomen. De roadmap is onderverdeeld in de 4 invalshoeken; beheer, gebruik, gesloten en open.

43


Data - Governance

Kansen, risico’s en dilemma’s

Gevraagd naar risico’s die DUO in de ontwikkelingen ziet, geeft men aan: mogelijke spanning tussen SEG (gegevens) en afnemers. Als kansen geeft men het volgende aan: Wat betreft het gegevenswoordenbok voor andere toepassingen om e.e.a. niet alleen binnen DUO te regelen maar in het hele onderwijsveld en

misschien zelf binnen de hele overheid.

Het huidige overpompen van gegevens te minimaliseren (data minimalisatie en de data alleen ophalen wanneer je het nodig hebt.

Beschikbaarheid en toegankelijkheid vergroten (dit betekende tot nu toe vaak dat partijen gegevens naar zicht toe haalden. Als voorbeeld: DUO

haalt gegevens van GBA binnen, en transformeert deze naar eigen behoefte. Dit is onwenselijk.) Nu is er de beweging van hergebruik van

gegevenstypes/metadata i.p.v. hergebruik van data.

Succesvolle maatregelen/ best practices

Terugkijkend is men binnen DUO tot op heden vooral tevreden over de volgende uitwerkingen van de functies/deelonderwerpen van

datamanagement:

A. Gegevenswoordenboek

Het gegevenswoordenboek DUO (GWB) is feitelijk de stelselcatalogus van DUO. Het bestaat uit:

1. Canoniek Datamodel;

2. Definities (tekst, ‘wat is het’, inclusief links naar andere zaken. Dit is in feite het gegevenswoordenboek. Er is een project bezig om 1 en 2 uit elkaar te trekken. Voor het gegevenswoordenboek worden internationale standaarden gebruikt voor het semantisch web (veelal W3C) waaonder de pas-toe-of-leg-uit standaard SKOS1.. Ook is een begin gemaakt met het voornemen om het GWB te ontsluiten in samenhang met de stelselcatalogus.

B. Open data en Register Instellingen en Opleidingen (RIO)

Recent heeft DUO een prototype gemaakt voor het ontsluiten van het wettelijke Register Instellingen en Opleidingen (RIO) op het

semantische web. Het semantisch web (web 2.0) bestaat uit een soort ‘geannoteerde’ webpagina’s; data en metadata kunnen zo worden

gekoppeld. RIO op internet is vooralsnog bedoeld voor ketenpartners (partijen die informatieproducten willen bouwen met gebruikmaking

van de data), niet voor burgers. Bij de publicatie van RIO op het internet is de volgende driedeling te onderscheiden:

data;

gegevenstype/meta-data;

concepten (dit is afkomstig van het Kadaster).

E.e.a. wil zeggen dat de data in dit register een web adres heeft gekregen. Data en metadata kunnen worden opgevraagd in browsers of rechtstreeks

door applicaties met een open source Linked Data Theater dat is ontwikkeld door het Kadaster.

Alle basisregisters die beheerd worden door het Kadaster, worden ook op deze manier ontsloten. Het idee is dat steeds andere overheidsorganisaties zich ook op dit terrein bewegen. DUO beweegt zich nu in de richting van een productie voor RIO en in de richting van generieke ontsluiting gegevenswoordenboek voor andere toepassingen dan RIO. Voor RIO is er een plan om deze pilot een stap verder te brengen. Ook wil men datasets als Api publiceren. Deze moeten gelinked worden aan RIO. Het prototype is sinds kort opengesteld. Iedereen kan het inzien op https://lod.duo.nl/rio.

1 SKOS is an area of work developing specifications and standards to support the use of knowledge organization systems (KOS) such as thesauri, classification schemes, subject heading systems and taxonomies

within the framework of the Semantic Web.(bron: website W3C)

https://lod.duo.nl/rio

44


Data - Governance

8. Technologie voor Data verwerking

8.1 Definitie

De gegevens die zijn opgenomen tijdens een meting of ingevoerd in een systeem zijn meestal niet direct het eindresultaat. Voordat het werk klaar is

zullen deze data eerst nog moeten worden verwerkt tot een product dat een duidelijk en overzichtelijk beeld geeft. Gebruik van de juiste software en datamodellering zijn noodzakelijk om de data goed te kunnen benutten.


Data verwerking: batch of streaming:

https://www.computable.nl/artikel/blogs/datamanagement/6238264/5260614/dataverwerking-batch-of-streaming.html CRUD cycle: http://searchdatamanagement.techtarget.com/definition/CRUD-cycle

Datarevolutie en vastgoedbeslissingen: https://www.rekenkamer.nl/publicaties/publicaties/2017/11/16/datarevolutie

8.3 Deliverables Gegevensdefinitie Datamodellen

Conceptueel datamodel (relatie tussen dataobjecten en entiteiten) Logische datamodel (beschrijving structuur van de referenties tussen data-objecten tabellen) Fysieke datamodel (beschrijving van de manier waarop data zijn opgeslagen)

Informatie over data formats Levenscyclus van gegevensstromen: Create, Read, Update, Delete (CRUD) analyses van data

8.4 Algemeen geldende kaders en richtlijnen Er zijn geen algemeen geldende kaders en richtlijnen voor dit onderdeel aangetroffen. Meer achtergrondinformatie is te vinden in:

The DAMA guide to The Data Management Body of knowledge.

https://www.computable.nl/artikel/blogs/datamanagement/6238264/5260614/dataverwerking-batch-of-streaming.html

http://searchdatamanagement.techtarget.com/definition/CRUD-cycle

https://www.rekenkamer.nl/publicaties/publicaties/2017/11/16/datarevolutie

45


Data - Governance

8.5 Best practice: CBS

De best practice heeft ook betrekking op de volgende onderdelen van het Data Governance model:

Processen, training en medewerkers; Interactie met burgers en bedrijven; Data-uitwisseling met derden; Dataverwerkingmethodieken; Technologie

voor dataverwerking; Datamanagement en –kwaliteit

1. Strategie en organisatie: A. Strategie: inspelen op de vraag vanuit de samenleving Het CBS produceert van oudsher statistieken en statistische informatie over Nederland. Die rol, en daarmee een groot deel van het werkprogramma, is gestoeld op de wettelijke taak die aan het CBS is gesteld. De wet schrijft voor om onafhankelijk, objectief en op een efficiënte manier de samenleving in kaart te brengen met betrouwbare statistieken. Europese wetgeving op haar beurt verplicht het CBS tijdig kwalitatief hoogwaardige statistische informatie te leveren. Het voldoen aan deze Europese verplichting beslaat het grootste deel van het werkprogramma van het CBS. Door de groeiende hoeveelheid informatie in de samenleving - een mengeling van feiten, meningen en ‘fact-free-zones’- is het steeds moeilijker om vast te stellen welke informatie betrouwbaar is. Was vroeger nog sprake van dataschaarste, tegenwoord zijn dat in overvloed beschikbaar. Maar door de ongekende groei van de hoeveelheid digitale informatie bij een onveranderde hoofdtaak van het CBS en gelijkblijvende publicaties-principes - onder meer over privacy, coherentie, efficiëntie, toegankelijkheid en relevantie - neemt het CBS in deze dynamische omgeving een unieke positie in. Die positie wil het CBS uitbouwen door nieuwe diensten aan te bieden - de ‘data as a service’ - en door de interne organisatie te versterken met een Chief Data Officer. ‘Data as a service’ zijn eigenlijk ‘data op afroep’. Door de toename van nieuwe databronnen en de opkomst van nieuwe technologieën heeft het CBS zijn dienstverlening al sterk veranderd. Bovendien is er veel vraag vanuit de samenleving om de kennis en data van het CBS breder in te zetten en vanuit het CBS bestaat de behoefte om de datarijkdom breder in te zetten dan voor het maken van eigen statistieken’. Welke data en datadiensten op afroep levert het CBS dan precies? Kort samengevat zijn het de volgende:

1. Data in de digitale databank Statline en de bijbehorende open data-module; 2. Datadiensten:

a. Onderzoekers die toestemming hebben gekregen kunnen onder strikte voorwaarden zelf statistisch onderzoek doen met de microdatabestanden van het CBS via de zogeheten Remote Access. Microdata zijn koppelbare data op persoons-, bedrijfs- en adresniveau. Onderzoeksresultaten die buiten de beveiligde CBS-omgeving worden gebracht, worden vooraf gecontroleerd. Dat gebeurt om er zeker van te zijn dat de resultaten geen onthullingsrisico hebben.

46


Data - Governance

b. Overheidsinstellingen kunnen hun data met CBS-data combineren en die als open data (benaderbaar via API’s) beschikbaar stellen via algemeen toegankelijke websites. Het CBS is behulpzaam bij de metadatering en de beveiligen van tabellen. De data die door het CBS publiek worden gemaakt zijn geaggregeerde data en geen microdata. c. Ad-hoc betaalde onderzoeksopdrachten voor (vooral) overheidsinstanties waar onderzoek wordt uitgevoerd. Diverse samenwerkingsverbanden met overheden (zie ook 4). Hierbij kan de samenwerkingspartner eigen datasets combineren met CBS datasets. Bijvoorbeeld wat voor soort bedrijven een hagelverzekering nemen? Zijn het alleen de rijke ondernemers die een verzekering nemen? Of zijn er andere redenen? Ook hier zijn waarborgen om onthulling te voorkomen. d. Advisering over data-analyse en data infrastructuur.

B. De Chief Data Officer Het CBS heeft geen aparte Chief Data Officer. De rol is verdeeld over de gehele organisatie. De directeur van elke statistische sector kan gezien worden als een Chief Data Officer. Data staan in de hele organisatie centraal. Er is wel een CIO office die bij het CBS toezicht houdt op standaardisatie, toegankelijkheid en informatiebeveiliging. Verder is er een centraal Data Service Center. In dat centrum worden alle bewerkte microdata van het CBS bewaard en toegankelijk gemaakt. De functionaris gegevensbescherming en privacy officer zijn verantwoordelijkheid voor het maken van afspraken omtrent toegang tot data. Elke statistische CBS-sector beheert een bepaalde hoeveelheid van de CBS-data van het CBS.

2. Kaders, richtlijnen en normen De verschillende functies die het Datamanagement Body of Knowledge (DAMA-DMBOK) onderscheidt, zijn te herkennen bij de inrichting van het CBS. Het CBS hanteert zelf dit model niet. De opzet en werkwijze van internationale statistische bureaus zijn in feite de norm voor het CBS. Voor het verzamelen van de gegevens steunt het CBS op de zogenaamde CBS-wet. Gezien de taak van het CBS worden ook andere richtlijnen gehanteerd. Zo heeft datakwaliteit alleen betrekking op statistiek en bestaat er geen inzagerecht voor burgers in data die het CBS in huis heeft. Het interne toezicht op de bescherming van persoons- en bedrijfsgegevens wordt in de eerste plaats uitgeoefend door het lijnmanagement. Toezicht en advies is toebedeeld aan functionaris gegevensbescherming en privacy officer (zie hiervoor). De functionaris gegevensbescherming bewaakt de naleving van de Wet bescherming persoonsgegevens (Wbp) en vanaf mei 2018 de nieuwe Europese verordening op het gebied van gegevensbescherming (de Algemene Verordening Gegevensbescherming, AVG). Dit toezicht vloeit onder meer voort uit de Wbp (en in 2018 de AVG) en de CBS-wet. CBS medewerkers dienen het gebruik van persoonsgegevens vooraf te melden bij deze functionaris. Deze verricht de noodzakelijke controles en plaatst de melding in het meldingenregister van CBS.

47


Data - Governance

De security officer adviseert het management over concrete maatregelen ter verbetering van de Informatiebeveiliging. Hij of zij ziet erop toe dat het CBS blijvend voldoet aan de geldende wetten en regels. CBS stelt hoge interne eisen aan de kwaliteit van de informatiebeveiliging. Op het gebied van privacybescherming en informatiebeveiliging gelden twee doelstellingen:

1. het CBS voldoet aan de Baseline Informatiebeveiliging Rijksdienst (BIR) en aan het European Statistical System (ESS) -IT-security framework. Het BIR bevat alle normen van ISO 27001 en geeft aanwijzingen voor de maatregelen om aan die normen te voldoen Het ESS-IT security raamwerk bevat een deelverzameling van de normen van ISO 27001. Het CBS is met ingang van 1 oktober 2017 gecertificeerd volgens ISO 27001. De certificering geldt voor de gehele organisatie, alle processen en alle systemen. Door blijvend aantoonbaar te voldoen aan ISO 27001 laat het CBS zien dat het volledige controle heeft over zijn informatiebeveiliging.

2. het CBS is in het voorjaar van 2018 geheel privacy proof. In 2017 is hiervoor een grote stap gezet. Alle statistische processen en enkele bedrijfsprocessen hebben het keurmerk ‘privacy proof’ ontvangen. Met ingang van 2018 zal het gehele CBS blijvend aantoonbaar dit stempel houden. In mei 2018 gaat de nieuwe Algemene Verordening Gegevensbescherming (AVG) in, in het Engels: General Data Protection Regulation (GDPR). In het eerste kwartaal zullen een aantal acties worden ondernomen om aan die eisen van de AVG te voldoen die aanvullend zijn ten opzichte van de Wet bescherming persoonsgegevens (Wbp). Daarmee wordt gewaarborgd dat het CBS blijft voldoen aan de hoogste eisen op het gebied van privacybescherming.

De privacynormen die voortvloeien uit de AVG verwijzen voor een aanzienlijk deel naar de ISO 27001 normen. Privacy audits en audits op de informatiebeveiliging overlappen elkaar dus. Voor 2018 wordt een voorstel uitgewerkt om te komen tot een geïntegreerd proces voor de privacy proof certificering en een externe certificering op informatiebeveiliging.

3. Best practice: het Stelsel van Sociaal Statistische Bestanden als voorbeeld Het CBS heeft de data voor sociaal economische statistieken samengebracht in één stelsel: het Stelsel van Sociaal Statistische Bestanden (SSB). De kern van dat bestand zijn de gegevens zelf en de metadata van die gegevens. Het SSB is een geslaagd project omdat bij de samenstelling van het bestand een groot aantal aspecten van data governance als criterium golden:

a. Meet de kwaliteit van de data die binnenkomen.

b. Leg metadata-catalogi aan met achterliggende informatie over de data. Het CBS verzamelt data en maakt daarbij zoveel als mogelijk gebruik van de data die door andere (veelal overheid)instellingen zijn verzameld. Hiertoe is het CBS zelfs wettelijk verplicht. Zo zijn de Belastingdienst, het UWV, instellingen in de zorg, DUO, gemeenten en de politie belangrijke dataleveranciers voor het CBS. Door dit veelvuldige gebruik van basisregistraties en big databronnen - zoals scannerdata - zijn enquêtes minder belangrijk geworden. Waar nodig vullen ze bronnentekorten aan. Deze gevarieerde

48


Data - Governance

en vaak zeer omvangrijke databronnen verwerkt het CBS tot nieuwe basisbestanden dat staat en valt met een adequate metadatering van de data en een nauwkeurige beschrijving van de metadata. Nieuwe en verrijkte bestanden slaat het CBS op in het zogeheten Data Service Center Alle metadata zijn openbaar toegankelijk, wat niet voor de data zelf geldt. Informatie kan opgezocht worden via een metadata-catalogus. Wie iets over fietsen wil weten, vindt niet alleen uitleg over wat er onder fietsen wordt verstaan, maar ook alle datasets waarin fietsen in voorkomen omdat deze specifieke data zijn voorzien van het label fietsen. Bij deze metadatering gebruikt het CBS internationale standaardclassificaties, zoals een Standaard Bedrijfsindeling (SBI). Data die gepubliceerd worden, zijn voorzien van een methodetoelichting die duidelijk maakt waarop de betreffende statistiek is gebaseerd: een register, een enquête, andere bronnen of een combinatie van deze bronnen. c. Geen onthullingsrisico: data zijn niet herleidbaar tot een persoon of bedrijf. Dit onthullingrisico krijgt alle aandacht. Hoe meer datasets worden gecombineerd, hoe groter de kans dat gegevens herleidbaar worden tot personen, instellingen of bedrijven. Zo zijn statistieken over alle lichtfabrieken in Noord-Brabant erg makkelijk te herleiden naar Philips. Voor de oplossing van dit probleem gebruikt het CBS speciale software die eerst de herleidbaarheid berekenen en daarna de data zodanig bewerkt dat onthulling is uitgesloten. Microdata worden sowieso nooit gedeeld en individuele gegevens worden niet gepubliceerd. Geaggregeerde gegevens worden gecontroleerd op herleidbaarheid.

d. Doelverantwoording door gebruikers van data via een globaal analyse plan. Iedereen die voor statistisch onderzoek of statistische analyses gebruik wil maken van de SSB-microdata van het CBS moet daarvoor een globaal analyse plan (GAP) opstellen. Onderzoekers geven daarin aan waarom welke data nodig zijn (doelbinding). Na een getrapte interne accorderingsroute - zowel zogeheten ‘ thema-eigenaren’ als ook afdelingshoofden moeten toestemming geven - krijgt de onderzoeker bij een positief oordeel rechten om datasets (te laten) samenstellen. Niet iedere onderzoeker mag de data zelf combineren. Er is zelfs een speciale afdeling die bestanden aan elkaar koppelt. Als extra controle dient de inlogprocedure voor onderzoekers: tijdens het inloggen moeten vragen over het gebruik van de gewenste data juist worden beantwoorden voordat toegang wordt verkregen.

e. Aanvraagprocedure, accorderingsroute, datasetrechten en inlogcontroles en bepalen de toegang tot de data. In sommige gevallen beoordeelt ook nog een speciaal aangestelde ethische commissie over het gebruik. CBS-data mogen slechts worden gebruikt voor statistisch en wetenschappelijk onderzoek, maar niet voor opsporing of inspectie. Omdat de scheidslijn in de praktijk niet altijd even helder is, worden deze gevallen door een ethische commissie beoordeeld.

f. CBS-medewerkers zijn zich bewust van het belang van een goede informatiebeveiliging. Dat belang wordt onderstreept via specifieke trainingen en cursussen over het gebruik van data.

49


Data - Governance

4. Samenvatting: de CBS-wijsheden Hoofdboodschap en belangrijkste wijsheid is dat een goede organisatie en goed bestuur de basis zijn voor een breed - coherent en consistent - en veilig gebruik van CBS data. Voor zijn data governance en het verzamelen en bewerken van data hanteert het CBS samengevat de volgende uitgangspunten:

De 9-CBS-wijsheden: 1. Neem het verzamelen, bewerken en publiceren van data serieus, het is echt een vak apart; 2. Zorg dat data in de hoogste bestuurslaag voldoende aandacht krijgen; 3. Maak iemand verantwoordelijk voor het managen van de data; 4. Voldoe aantoonbaar aan de privacywetgeving; 5. Besteed zorg aan de metadata; zorg dat ze op orde zijn; 6. Inventariseer en documenteer de mate van data-spreiding binnen de organisatie; 7. Acteer op samenwerking tussen ‘thema-eigenaren’ en beheerders van datasets; 8. Werk samen als experts, focus op inhoud en kwaliteit en creëer aldus meerwaarde. 9. Wie datagovernance serieus aanpakt, zal rijke informatie oogsten!

50


Data - Governance

9. Data management en data kwaliteit

9.1 Definitie

Plannings-, implementatie- en controleactiviteiten die kwaliteitsmanagementtechnieken toepassen om de geschiktheid van gegevens voor gebruik te meten, te beoordelen, te verbeteren en te garanderen. (DAMA-DMBOK guide)


9.2.1 DNB Guidance beheersing datakwaliteit

DNB publiceert guidance over haar uitgangspunten rond de beheersing van datakwaliteit door verzekeraars in relatie tot Solvency II.

In de guidance geeft DNB duiding aan de belangrijkste elementen en principes in het kader van Solvency II om de datakwaliteit te kunnen

waarborgen.

Ook zijn er good practices beschreven zoals deze zijn aangetroffen in het themaonderzoek van DNB.

Link: http://www.toezicht.dnb.nl/binaries/50-236703.pdf

9.3 Deliverables

Data Quality Metrics Document, Business Rules, Service Levels

Operational DQM Metrics Data Quality Requirements document. Assessments, test cases. Operational DQM Procedures Data Quality Training, Data Governance Processes,

Defect Resolution Log.


The DAMA guide to The Data Management Body of knowledge: Hoofdstuk 13, Data Kwaliteit (geen link beschikbaar)

http://www.toezicht.dnb.nl/binaries/50-236703.pdf

http://www.toezicht.dnb.nl/binaries/50-236703.pdf

51


Data - Governance

9.5 Best practices RWS: Data-gedreven en -minded!

Onderstaande best practice heeft tevens betrekking op de onderdelen: Sturing, organisatie en risicomanagement; Processen, training en medewerkers; Data-uitwisseling met derden; Dataverwerkingmethodieken;

1. I-Strategie, Datakoers en Data-agenda

Rijkswaterstaat (RWS) heeft zichzelf in de Informatievoorziening Strategie (I-strategie) de ambitie gesteld om een datagedreven organisatie te zijn.

Dat is nodig want RWS, haar ketenpartners en bedrijvenpartners beschikken over enorme hoeveelheden data om een goede infrastructuur voor het

Hoofdvaarwegennet te realiseren. Om de bewustwording hiervan te vergroten, is door de Chief Data Officer (CDO) van RWS een datakoers

opgesteld. Dit betekent concreet dat elk RWS-proces en elk RWS-organisatieonderdeel zich goed bewust moet zijn van zijn databehoefte. De data

wordt dan als een strategische asset beschouwd en als productiefactor ingezet.

Om de ambitie te realiseren is door de CDO van RWS een data-agenda opgesteld. In deze agenda zijn de dataprincipes opgenomen die RWS wil

realiseren. De principes zijn bedoeld als eerste stappen, om meer sturing te ontwikkelen op de inrichting en het gebruik van data binnen RWS. De

dataprincipes hebben ook tot doel om tot een eenduidige manier van opbouwen van het datamodel te komen. Het datamodel is een set van

standaarden die in samenwerking met de verschillende directies van RWS tot stand komt. De zes dataprincipes zijn:

1. Informatiebehoefte is gerelateerd aan het RWS doel:

Er is een aantoonbare relatie tussen de doelen van RWS en de informatie die RWS nodig heeft om te beslissen, bij te sturen en te verantwoorden.

2. Proceseigenaar is verantwoordelijk voor de informatiebehoefte van zijn proces:

Om de informatiebehoefte actueel te kunnen houden, wordt niet alleen de informatiebehoefte zelf vastgelegd, maar ook welke vragen met die

informatie beantwoord worden. Wanneer een vraag vervalt, kan eenvoudig worden bekeken of de data nog voor andere vragen relevant is en

gecontinueerd moet worden.

3. Begrippen eenduidig toepassen:

RWS legt de informatiebehoefte modelmatig vast in de Object Type Library (OTL). Hierin worden alle essentiële onderdelen uit de informatiebehoefte

met hun eigenschappen en relaties opgenomen. Hierdoor worden de definities binnen RWS eenduidig toegepast, onder andere in processen,

applicaties en databases.

4. (Inter)nationale standaarden leidend: RWS volgt het framework DAMA-DMBOK en past deze actief toe bij het bepalen van haar informatiebehoeften en het

inrichten van haar processen en IT-systemen.

52


Data - Governance

5. Proceseigenaar bewaakt de eenduidigheid:

De proceseigenaar bewaakt de eenduidigheid van de data van die objecten die op zwaartepunt van gebruik aan hem zijn

toegedeeld.

6. Bedrijfsobjectmodel voor management

Om de verbindende kracht van data te realiseren en daarmee een datagedreven organisatie te worden, is het nodig om (meer) ordening aan te

brengen in de data en de sturing in de dataprocessen. Het bedrijfsobjectenmodel Rijkswaterstaat is daar het hulpmiddel bij.

De inrichting van de bovenstaande dataprincipes die RWS hanteert dragen bij aan het behalen van de data-ambities in de I-strategie. De data-

agenda van RWS omvat een terugblik op de behaalde doelen en ambities van 2016. Daarnaast bevat dit een uitwerking van de agenda voor 2017. In

de data agenda van RWS zijn voor 2017 vier ontwikkelingsrichtingen uitgewerkt. Voor elke richting zijn de focusgebieden vertaald naar

daadwerkelijke acties voor 2017.

Deze ontwikkelingsrichtingen zijn:

Datavakmanschap

Datamanagement

Data-innovatie

Datagedreven positie RWS in zijn netwerken.

Door de vertaling te maken in de data-agenda zorgt RWS er voor dat zij de vooraf gesignaleerde kansen, risico’s en dilemma’s met betrekking tot

hun data-ambities ook meetbaar en praktisch uitvoerbaar zijn. De directie van de CIV heeft de managers in de organisatie tevens verzocht om elk

een sponsor aan te wijzen. Op deze manier komt de data-agenda tot leven op de werkvloer.

Door bovenstaande sturings- en inrichtingsmaatregelen zorgt RWS ervoor dat de data-ambities ook daadwerkelijk landen op de werkvloer.

Jaarlijks stelt RWS een nieuwe data-agenda op. Hierin worden de ontwikkelingen en behaalde doelstellingen van het voorgaande jaar beschreven en

als startpunt gebruikt voor het volgende jaar. In 2016 heeft de data-agenda vorm gekregen op basis van de verschillende losse initiatieven in de

organisatie. Hierbij is de focus gelegd op het bewustzijn van betrokkenen voor data-aspecten. De CDO heeft als ambassadeur opgetreden. Mede door

deze twee ontwikkelingen zijn er diverse resultaten geboekt. Voor 2017 zet RWS de volgende stap: zij zet het handelen centraal in de data-agenda.

Dit uit zich onder andere in de concrete acties die nu genomen worden om data in bestaande verantwoordelijkheden te verankeren.

53


Data - Governance

2. Datamanagement Areaalgegevens GWW (D.A.G.)

In het onderstaande stuk is een uitwerking te vinden van het project D.A.G. Dit is één van de projecten die aansluit op de datakoers. D.A.G is een

proces waarbij GWW staat voor Grond/Weg/Waterbouw. Rijkswaterstaat is gestart met het toepassen van dataprincipes voor haar gebieden.

Betrouwbare informatie over het areaal is van cruciaal belang, te meer daar RWS een regievoerende organisatie

is. De basis hiervoor zijn o.a. de areaalgegevens die een onlosmakelijk onderdeel zijn van de werkprocessen

binnen Aanleg & Onderhoud en Assetmanagement.

RWS gebruikt deze gegevens als asset in zijn samenwerking met externe partners (zoals waterschappen,

provincies etc.) maar ook binnen RWS zijn areaalgegevens belangrijk. Zonder areaalgegevens is goede

aanbesteding en onderhoud niet mogelijk, zijn goed onderbouwde programmeringskeuzes niet te maken en is

het niet mogelijk om tot een juiste verantwoording te komen richting de maatschappij. Het toepassen van de

dataprincipes voor het areaal is in feite een grote kringloop van de areaalgegevens.

“D.A.G. vervult een behoefte die uit de organisatie is ontstaan”

Het D.A.G-proces is ontstaan uit de behoefte van de organisatie.

De verschillende organisatieonderdelen van RWS dienen met dezelfde gegevens te werken ten behoeve van Aanleg & Onderhoud en het

Assetmanagement. Door het management is ruimte gecreëerd om ervoor te zorgen dat er een generiek datamanagementproces werd opgezet. Deze

ruimte van het management is een belangrijke succesfactor geweest. Een uitdaging is nog wel om er voor te zorgen dat alle betrokkenen in de keten

(blijven) aansluiten. Maar ook dit gaat de goede kant op.

“Directeuren worden steeds meer ‘data-minded’, dat is hard nodig om D.A.G. tot een succes te

maken”

In het proces is beschreven hoe met areaalgegevens wordt omgegaan en welke RWS-

medewerkers betrokken zijn. Het streven is om met een uniforme werkwijze en betrouwbare

areaalgegevens tot een efficiëntere uitvoering van werkzaamheden te komen. Dit geldt voor

zowel de samenwerking binnen als buiten RWS.

54


Data - Governance

Door het begrip en het inzicht in het belang van kwalitatief goede areaalgegevens binnen RWS te verspreiden wordt draagvlak gecreëerd voor het

samenwerken volgens D.A.G. Daarnaast is er gedeeld eigenaarschap voor het proces wat dit draagvlak nog verder aanvult. Om de verschillende

betrokken partijen binnen RWS te benaderen zijn al twintig D.A.G. sessies georganiseerd en volgen er meer in 2018. In deze sessies bespreekt men

het beschreven proces dat als standaard dient voor de gehele RWS organisatie. Tussendoor wordt de stand opgemaakt, en zal men monitoren op

verdere verbeteringen. Van belang is vooral dat alle afspraken over areaalgegevens al aan de voorkant gemaakt worden en dat tussentijds

onderlinge communicatie plaatsvindt.

Er zijn verschillende effecten van het samenwerken op basis van D.A.G. Mensen weten elkaar beter te vinden, afspraken beginnen steeds duidelijker

te worden, risico’s zijn beter in kaart gebracht, areaalgegevens zijn beter geborgd en (her)bruikbaar, reductie in de doorlooptijd van projecten,

verlaging van de faalkosten, RWS heeft betere gegevens om het werk te programmeren en te organiseren en ook is het beter mogelijk om de

areaalgegevens aan te leveren conform de wettelijke taak die RWS heeft.

Het D.A.G. proces is nog niet afgerond. Momenteel wordt er gewerkt aan een aantal toekomstige ontwikkelingen vanuit D.A.G., waaronder het

ontwikkelen van de Automated Audit Tool (AAT). Met AAT kan de datakwaliteit verder verbeterd worden dit door het uitvoeren van geautomatiseerde

datacontroles.

Kenniswiel Data Governance · Kenniswiel Data governance -14-02-2018 Data - Governance 1....

Documents

Transcript of Kenniswiel Data Governance · Kenniswiel Data governance -14-02-2018 Data - Governance 1....