Gemeentelijke
Gemeentelijke
ICT-kwaliteitsnormen
Behorende bij GIBIT 2016 en GIBIT 2020 (Gemeentelijke Inkoopvoorwaarden bij IT)
Versie 2021-1
Geldig vanaf 17 maart 2021
1 Inleiding
In november 2020 is door de VNG een bijgewerkte versie van de Gemeentelijke In- koopvoorwaarden bij IT (GIBIT) vastgesteld. De GIBIT is een set uniforme en gestan- daardiseerde inkoopvoorwaarden die gemeenten en gemeentelijke samenwerkings- verbanden kunnen gebruiken bij de verweving van ICT-producten of -diensten. Een nadere specificatie van het toepassingsgebied van de GIBIT is beschreven in de toe- lichting bij de voorwaarden.
Noot: de inleiding bij deze versie van de Gemeentelijke ICT-kwaliteitsnormen sluit in- houdelijk aan bij de 2020-versie van de GIBIT. Deze versie van de kwaliteitsnormen geldt echter óók voor lopende en nieuwe contracten die zijn of worden afgesloten op basis van de GIBIT 2016. De relatie tussen de Gemeentelijke ICT-kwaliteitsnormen en de GIBIT 2016 is beschreven in artikelen 6.1 (Overeengekomen gebruik), 8.9 (Preventief en Innovatief Onderhoud), en 10.1 (Garanties).
Voor Opdrachtgevers is het van belang dat een te verwerven ICT-product of -dienst aansluit bij hun verdere Applicatielandschap. Om deze aansluiting te realiseren is het veelal nodig dat de ICT Prestatie voldoet aan bepaalde normen en standaarden, bij- voorbeeld op gebied van interoperabiliteit of beveiliging. In de Gemeentelijke ICT- kwaliteitsnormen is een aantal voor gemeenten belangrijke normen en standaarden beschreven. Dankzij een koppeling met de GIBIT-voorwaarden is het voldoen aan de Gemeentelijke ICT-kwaliteitsnormen bij toepassing van de GIBIT gewaarborgd.
In de GIBIT (2020) zijn de Gemeentelijke ICT-kwaliteitsnormen als volgt gedefini- eerd:
“Het door de Vereniging Nederlandse Gemeenten (VNG) en VNG Realisatie op xxx.xxxxx.xx gepubliceerde en van tijd tot tijd bijgewerkte document met een gebundelde verzameling van normen en standaarden voor ICT-producten en -diensten.”
Dit document beschrijft allereerst welke normen en standaarden onderdeel uitmaken van de Gemeentelijke ICT-kwaliteitsnormen. Tevens wordt toegelicht welke eisen gelden voor opname in dit document, en op welke wijze de Gemeentelijke ICT-kwali- teitsnormen onderhouden en gebruikt kunnen worden. Begrippen die in de GIBIT ge- definieerd zijn, zijn met een hoofdletter aangeduid.
1.1 Aanbevelingen bij gebruik van de Gemeentelijke ICT-kwaliteitsnormen De Gemeentelijke ICT-kwaliteitsnormen zijn in de eerste plaats bedoeld als vangnet. Bij het ontbreken van afwijkende afspraken moet leverancier ervoor zorgen dat de ICT Prestatie voldoet aan de daarvoor relevante normen en standaarden (GIBIT-arti- kel 6.1 sub i).
Om een zo passend mogelijk aanbod van leveranciers te krijgen, is het echter aan te bevelen tijdens het voorbereidingsproces van een verwervingstraject de kwaliteits- normen nader te bekijken en te specificeren. Hiertoe kunnen vier aanbevelingen wor- den gedaan.
1. Neem relevante kwaliteitsnormen expliciet op in de opdrachtdocumentatie Hierdoor is, in gevallen waar als onderdeel van de opdracht onderhoud wordt ge- pleegd, het bijwerken naar nieuwe versies van normen of standaarden gewaarborgd (GIBIT-artikel 8.10 sub ii).
2. Geef relevante kwaliteitsnormen in de opdrachtdocumentatie nader invulling
Zo is het voor zowel opdrachtgever als leverancier duidelijk aan welke normen (delen van) de ICT Prestatie precies moet voldoen. Bovendien worden onnodige kosten ver- meden door implementatie van (delen van) normen of standaarden waaraan geen behoefte is. Nadere specificatie is met name van belang voor toepassingsafhanke- lijke normen zoals Interoperabiliteit (toe passen standaarden hangen af van het toe- passingsgebied van de ICT Prestatie) en Informatiebeveiliging en Privacy (beveili- gingsniveau is onder andere afhankelijk van gevoeligheid van met de ICT Prestatie verwerkte gegevens).
3. Betrek (domein)experts bij het vaststellen van de relevantie van kwaliteitsnormen Deze aanbeveling ligt in het verlengde van de vorige. Het nader invullen van aantal kwaliteitsnormen vereist veelal specialistische kennis en ervaring. Dit zal bijvoorbeeld vaak gelden voor normen ten aanzien van Architectuur, Interoperabiliteit, Informatie- beveiliging en Archivering.
4. Gebruik de GIBIT-overeenkomstengenerator om een (concept)overeenkomst te generen
In de GIBIT-overeenkomstengenerator is ruimte om met de GIBIT en de Gemeente- lijke ICT-kwaliteitsnormen als basis een overeenkomst te genereren die nadere of af- wijkende afspraken omvat. De overeenkomstengenerator is te vinden op overeen- xxxxxxx.xxxxx.xx.
1.2 Reikwijdte Gemeentelijke ICT-kwaliteitsnormen
De Gemeentelijke ICT-kwaliteitsnormen betreffen normen en standaarden waaraan verplicht moet worden voldaan. De verplichting kan volgen uit:
1. een wettelijk kader; en/of
2. opname op de lijst van open standaarden (pas-toe-of-leg-uit); en/of
3. vaststelling als landelijke gemeentelijke standaard of norm door VNG/VNG Realisatie.
Iedere norm en standaard die in Gemeentelijke ICT-kwaliteitsnormen wordt opgeno- men, is vastgesteld. Standaarden of versies van standaarden die nog in ontwikkeling zijn kunnen dus geen onderdeel zijn van de Gemeentelijke ICT-kwaliteitsnormen.
Het vaststellingsproces kan per norm verschillen. Dit is mede afhankelijk van de be- heerder van en governancestructuur bij de betreffende norm. Voor wettelijke normen geldt de wetgever als vaststeller. Landelijk vastgestelde open standaarden worden vastgesteld onder regie van het Forum Standaardisatie. En specifiek gemeentelijke standaarden worden onder regie van VNG/VNG Realisatie vastgesteld. In alle geval- len is een standaardisatieproces ingericht waarbij gemeenten nauw betrokken zijn, en mede bepalen hoe de norm of standaard eruit gaat zien. In veel gevallen spelen ook ICT-leveranciers een rol in het vaststellingsproces.
Enkele normen zoals die voor documentatie en dataportabiliteit wijken van het bo- venstaande af. Deze zijn niet gebaseerd op landelijke afspraken, maar op internatio- nale standaarden of binnen de ICT zeer gangbare normen of formaten.
De Gemeentelijke ICT-kwaliteitsnormen hebben betrekking op de volgende ICT-kwa- liteitsgebieden:
• Architectuur;
• Interoperabiliteit;
• Informatiebeveiliging en privacy;
• Dataportabiliteit;
• Toegankelijkheid;
• Archivering;
• Infrastructuur;
• Documentatie;
• E-facturering.
In dit document zijn voor ieder bovengenoemd ICT-kwaliteitsgebied het doel, de reik- wijdte en de bijbehorende standaarden of normen beschreven.
1.3 Toepassing van de Gemeentelijke ICT-kwaliteitsnormen
Onderstaande figuur toont een schematisch overzicht tussen de Overeenkomst, de onderliggende GIBIT-voorwaarden met Gemeentelijke ICT-kwaliteitsnormen en de eisen die door Opdrachtgever op verschillende gebieden gesteld kunnen worden.
De Gemeentelijke ICT-kwaliteitsnormen zijn van toepassing als de GIBIT van toepas- sing verklaard is. Dit geldt zowel in de situatie dat een overeenkomst wordt gesloten waarop de GIBIT van toepassing is verklaard, als wanneer een opdrachtgever tijdens een uitvraag (bijvoorbeeld bij een aanbesteding) aangeeft dat de GIBIT van toepas- sing is.
In GIBIT-artikel 6.1(i) is beschreven dat het voldoen aan de Gemeentelijke ICT-kwali- teitsnormen onderdeel is van het ‘Overeengekomen gebruik’. Hieruit volgt dat Leve- rancier geacht wordt bekend te zijn met (de inhoud van) de Gemeentelijke ICT-kwali- teitsnormen.
Concreet betekent artikel 6.1 dat de ICT Prestatie (“de te leveren goederen en dien- sten”) moet voldoen aan de Gemeentelijke ICT-kwaliteitsnormen. Hierop zijn echter twee beperkingen van toepassing.
1. Bereik: er hoeft alleen te worden voldaan aan in Gemeentelijke ICT-kwaliteits- normen opgenomen interoperabiliteitseisen, normen en standaarden voor zo- ver die relevant zijn voor de functie of gelden voor het werkingsgebied van de ICT Prestatie.
2. Tijd: er hoeft alleen te worden voldaan aan die interoperabiliteitseisen, nor- men en standaarden die tijdens het sluiten van de Overeenkomst voorge- schreven waren (hoewel het voldoen aan bij nieuwe versies onderdeel kan zijn van afspraken over Onderhoud, zie hieronder).
De in de GIBIT voorgeschreven normen en standaarden zijn minimumeisen. GIBIT- artikel 6.1 ii creëert voor Opdrachtgevers dan ook de mogelijkheid om van Leveran- ciers te vragen te voldoen aan aanvullende normen en standaarden - bijvoorbeeld de verplichte implementatie van een standaard die volgens de Gemeentelijke ICT-kwali- teitsnormen slechts een aanbevolen karakter heeft. Hierom moet door de Opdracht- gever wel expliciet in de Overeenkomst worden gevraagd.
GIBIT-artikelen 6.2 t/m 6.5 zien toe op het uitvoeren van (preventieve) testen van de ICT Prestatie ten aanzien van de geldende Gemeentelijke ICT-kwaliteitsnormen. Arti- kel 6.4 bepaalt dat tijdens de Acceptatieprocedure getoetst wordt of voldaan is aan de krachtens 6.1 toe te passen normen. Bij individuele normen binnen de Gemeente- lijke ICT-kwaliteitsnormen is aangegeven welke testvoorzieningen beschikbaar en te gebruiken zijn.
Normen en standaarden kunnen tijdens de looptijd van een Overeenkomst verande- ren. Van veel normen verschijnen immers regelmatig nieuwe of bijgewerkte versies. Om interoperabiliteit en het voldoen aan wetgeving tijdens de contractperiode te ga- randeren, is het noodzakelijk dat deze nieuwe versies binnen een redelijke termijn worden geïmplementeerd.
Wat die redelijke termijn is, is niet in algemene zin te zeggen. Omdat de Gemeente- lijke ICT-kwaliteitsnormen uitsluitend vastgestelde normen omvat, zijn aanpassingen echter vrijwel altijd ruim tevoren te voorzien. Bij vaststelling van (aangepaste) nor- men is bovendien vaak sprake van een overgangsperiode, zoals de periode tussen vaststelling en het daadwerkelijk ingaan in het geval van nieuwe wetgeving.
Om implementatie van nieuwe (versies van) normen en standaarden tijdens de loop- tijd van de overeenkomst te ondersteunen, is in GIBIT-artikel 8.10 sub iii bepaald dat het implementeren van nieuwe versies van normen en standaarden onderdeel is van het Onderhoud dat Leverancier uitvoert. Deze verplichting wordt beperkt tot die nor- men en standaarden waarvoor implementatie in de Overeenkomst expliciet en ver- plichtend is benoemd. Tegenover deze verplichting kan een vergoeding staan.
GIBIT-artikel 8.1 nodigt Leverancier en Opdrachtgever uit hierover in de Overeen- komst afspraken vast te leggen.
2 Architectuur
2.1 Doel
Gemeenten hebben een breed taken- en dienstenpakket. Gevolg is dat er een land- schap van verschillende informatiesystemen nodig is om goed invulling te kunnen geven aan die taken en diensten. Er is behoefte aan inzicht en overzicht ten aanzien van dat landschap om goed te kunnen sturen en organiseren.
2.2 Reikwijdte
Voor de ICT Prestatie geldt de GEMMA-informatiearchitectuur als kader. Deze infor- matiearchitectuur beschrijft de inrichting van de gewenste informatiehuishouding van gemeenten en de aansluiting daarvan op de omgeving. De informatiehuishouding be- staat onder meer uit referentiecomponenten en applicatie-functionaliteit waarmee de gegevens kunnen worden opgeslagen, geraadpleegd en processen kunnen worden ondersteund.
Zie voor de definitie van referentiecomponenten: xxxxxxxxxxx.xx/xxxxx.xxx/ Definitie_referentiecomponent.
2.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
A1 | De ICT Prestatie dient op de GEMMA refe- rentiecomponenten geplot te worden. Voor die referentiecomponenten die geraakt wor- den dient de ICT Prestatie tenminste de bij de referentiecomponent(en) gespecificeerde functionaliteit te bieden. | GEMMA referentiecomponenten: xxxxxxxxxxx.xx/xxxxx.xxx/ GEMMA_Applicatielandschap |
2.4 Tips
1. Neem in het programma van eisen en/of de Overeenkomst de naam en de be- schrijvingen van de GEMMA referentiecomponent(en) op.
2. De GEMMA-kaders en -principes kunnen voor de specifieke uitvraag van Op- drachtgever worden vertaald in het programma van eisen. De principes zijn te vinden op xxxxxxxxxxx.xx/xxxxx.xxx/Xxxxxxxxx_XXXXX_ Architectuurprincipes.
3 Interoperabiliteit
3.1 Doel
Gemeenten maken gebruik van systemen van meerdere leveranciers, willen voor een efficiënte uitvoering en dienstverlening informatie delen, en werken in ketens sa- men met andere (overheids-) partijen. Gevolg is dat gemeenten in staat moeten zijn om gegevens tussen verschillende systemen uit te kunnen wisselen. Xxxxx, veilige en betrouwbare koppelingen zijn hiervoor noodzakelijk. Het gebruik van open stan- daarden voor interoperabiliteit zorgt voor inpasbaarheid van ICT Prestaties binnen het Applicatielandschap van gemeenten. Dit leidt voor gemeenten tot meer samen- hang in het Applicatielandschap, grotere flexibiliteit in informatievoorziening en meer keuzevrijheid ten aanzien van software. Tevens zorgt het gebruik van standaarden voor het voorkomen van maatwerkkoppelingen en extra werkzaamheden die daar- aan verbonden zijn.
3.2 Reikwijdte
Voor interoperabiliteit zijn standaarden per wet bepaald, evenals open standaarden die op de pas-toe-of-leg-uit lijst staan. Tevens zijn er specifieke standaarden die gel- den voor het gemeentelijk domein. Een deel van de standaarden specifiek voor het gemeentelijk domein betreft een nadere uitwerking van een meer generieke wette- lijke dan wel open standaard. Daar waar die situatie zich voordoet dient aan de spe- cifieke gemeentelijke eis voldaan te worden waarmee tevens invulling is gegeven aan de verplichting uit de meer generieke open standaard.
De reikwijdte voor de toe te passen standaarden en normen is in drie delen gesplitst:
• Deel A betreft de specifieke standaarden voor het gemeentelijk domein en geldt voor dat deel van de ICT Prestatie dat valt binnen (delen van) het functi- onele werkingsgebied binnen het GEMMA applicatielandschap;
• Deel B betreft de generieke standaarden en geldt voor de gehele ICT Presta- tie.
• Deel C betreft de API-standaarden die horen bij de informatiekundige visie Common Ground en de architectuur van het XXXXX Xxxxxxxxxxxxxxxxx. Deze standaarden kunnen voor wat betreft hun functioneel werkingsgebied overlappen met standaarden uit delen A en B. Gedurende de transitie naar een gegevenslandschap kan het wenselijk zijn dat een informatiesysteem zo- wel de standaarden die horen bij A, B en C ondersteunt, zelfs als dat betekent dat door implementatie van functioneel gelijkaardige standaarden bepaalde functionaliteit dubbel wordt geïmplementeerd.
3.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
B1 | Deel A: Het betreffende deel van de ICT Presta- tie voldoet aan alle verplichte standaar- den (eindproduct en halffabricaat stan- daarden) van de bijbehorende GEMMA referentiecomponent(en). | Voor de GEMMA referentiecomponenten: xxxxxxxxxxx.xx/xxxxx.xxx/ GEMMA_Applicatielandschap. Voor de verplichte standaarden en standaard bestekteksten: xxxxxxxxxxxxxxxxx.xx/ purchase-support |
B2 | Deel B: Het betreffende deel van de ICT Presta- tie voldoet aan de wettelijke standaar- den, de open standaarden van de Pas- toe-of-leg-uit-lijst en de landelijke ge- meentelijke standaarden, voor zover het werkingsgebied van deze standaarden overeenkomt met het organisatorische of functionele werkingsgebied van het betreffende deel van de ICT Prestatie. | Open standaarden: xxxxxxxxxxxxxxxxxxxx.xx/xxxx-xxxxxxxxxxx Landelijke gemeentelijke standaarden: xxxxxxxxxxx.xx/xxxxx.xxx/ Overzicht_standaarden |
B3 | Deel C: Tenzij Opdrachtgever anders bepaalt, voldoet het betreffende deel van de ICT Prestatie aan gemeentelijke API-stan- daarden, voor zover het werkingsgebied van deze standaarden overeenkomt met het organisatorische of functionele werkingsgebied van het betreffende deel van de ICT Prestatie. |
3.4 Tips
1. Aan opdrachtgevers wordt aangeraden om in het bestek op te nemen welke standaarden in ieder geval van toepassing zijn (verplichte standaarden). Zie zowel GEMMA Online als de Softwarecatalogus. Vanuit de Softwarecatalogus kunnen ook bestekteksten gegenereerd worden (xxxxxxxxxxxxxxxxx.xx/ purchase-support). Daarnaast wordt opdrachtgevers aangeraden om tevens te kijken welke standaarden vanuit GEMMA Online aanbevolen worden. Be- oordeel per aanbevolen standaard of je deze van toepassing wilt verklaren (conform GIBIT artikel 6.1 ii). Voor het van toepassing verklaren dient de stan- daard expliciet opgenomen te worden in het bestek.
2. Naast verplichte open standaarden zijn er ook aanbevolen standaarden op de lijst standaarden bij het Forum Standaardisatie: xxxxxxxxxxxxxxxxxxxx.xx/xxxx- standaarden/lijst/aanbevolen. Deze standaarden zijn niet verplicht om toe te passen, maar worden wel geadviseerd om te gebruiken voor een betreffend functioneel werkingsgebied. Opdrachtgevers wordt aangeraden om in hun be- stek heel duidelijk aan te geven welke van die aanbevolen standaarden ook verplicht worden gesteld (dit is conform GIBIT artikel 6.1 ii).
3. Conform GIBIT artikel 6.2 en 6.3 dient Leverancier preventieve testen uit te voeren op de verplichte standaarden. Indien een testinstrument beschikbaar is, staat dit bij de betreffende norm vermeld en wordt de Leverancier geacht deze test uit te voeren en een positieve uitslag aan Opdrachtgever te overleg- gen. Indien er geen testinstrument beschikbaar is, dan vervalt de verplichting om hieraan te voldoen.
4. Een overzicht van API-standaarden is te vinden op xxxxxxxxxxx.xx/xx- dex.php/API-standaarden. Ten opzichte van de StUF-standaarden sluiten deze API-standaarden beter aan bij door softwareontwikkelaars gebruikte in- dustriestandaarden. Bovendien zijn ze flexibeler toe te passen, en maken ze het mogelijk de uitgangspunten van de architectuur van het XXXXX Xxxx- venslandschap (xxxxxxxxxxx.xx/xxxxx.xxx/Xxxxxxxxxxxxxxxxx) toe te pas- sen. Voor de API’s voor zaakgericht werken (ZGW API’s) is een testvoorzie- ning gerealiseerd waarmee kan worden beproefd of een implementatie van één of meer ZGW API’s voldoet aan de bijbehorende specificaties. Deze test- voorziening is te vinden op xxx-xxxx.xx.
4 Informatiebeveiliging en Privacy
4.1 Doel
Gemeenten verwerken veel informatie, waarvan een deel zeer (privacy)gevoelig is en extra beschermd dient te worden. Voor een groot deel van die informatieverwer- king wordt gebruik gemaakt van ICT-producten en -diensten van derden, waarmee goede afspraken moeten worden gemaakt over beveiliging en het waarborgen van privacy.
Informatiebeveiliging is het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van beschikbaarheid, integriteit en vertrouwelijk- heid (BIV) alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende beveiligingsmaatregelen. De betrouwbaarheid van een in- formatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. Betrouwbare informatiesystemen dragen bij aan het verlagen van risico’s en vergroten van de weerbaarheid van de bedrijfsvoeringspro- cessen van de gemeente.
Gemeenten verwerken veel persoonsgegevens. Vaak is het daarom nodig met leve- ranciers een verwerkersovereenkomst af te sluiten. Om dat makkelijker te maken, hebben VNG, gemeenten en leveranciers gezamenlijk een gemeentelijke standaard VWO ontwikkeld. Dit document wordt gebruikt als aanvulling op een hoofdovereen- komst om nadere afspraken te maken over de omgang met persoonsgegevens.
4.2 Reikwijdte
Ten aanzien van informatiebeveiliging zijn er landelijk vastgestelde normen en stan- daarden. De Baseline Informatiebeveiliging Overheid (BIO) is sinds 1 januari 2019 beschikbaar, en geldt vanaf 1 januari 2020 voor de hele overheid als standaard.
Naast de BIO zijn ook de beveiligingsstandaarden van toepassing die vallen binnen de open standaarden. Zie het hoofdstuk Interoperabiliteit voor deze standaarden.
De standaardverwerkersovereenkomst wordt gebruikt wanneer de aard van een in te kopen product of dienst het afsluiten van een verwerkersovereenkomst nodig maakt. Vanaf 1 januari 2019 geldt voor het gebruik van de standaardverwerkersovereen- komst een verplichting volgens het ‘pas toe of leg uit’-regime. Vanaf 1 januari 2020 dient in alle gevallen de standaardverwerkersovereenkomst gebruikt te worden.
4.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
C1 | De ICT Prestatie dient de functionele en technische mogelijkheden te hebben zo- dat de Opdrachtgever kan voldoen aan de Baseline Informatiebeveiliging Over- heid (BIO). | De BIO: xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/ baseline-informatiebeveiliging-overheid |
C2 | Als door de aard van de opdracht een verwerkersovereenkomst moet worden afgesloten, dan dient de Standaardver- werkersovereenkomst voor gemeenten te worden gebruikt. | xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/ handreiking-standaard-verwerkersover- eenkomst-gemeenten |
4.4 Tips
1. De BIO is als download beschikbaar op xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxx- duct/baseline-informatiebeveiliging-overheid-bio.
2. De Baselinetoets BBN-BIO kan helpen te bepalen welke beveiligingsmaatre- gen moeten worden uitgevraagd. De toets is beschikbaar op informatiebeveili- xxxxxxxxxxx.xx/xxxxxxx/xxxxxxxxxxxxx-xxx-xxx/. Om de implementatie van de BIO ondersteunen, zijn door de IBD meer producten ontwikkeld. Deze Opera- tionele Baseline-producten zijn als download beschikbaar op informatiebeveili- xxxxxxxxxxx.xx/xxxxxxxxxxxxxxx-xxx. Bewerkbare versies van de operationele producten zijn als download beschikbaar op de IBD-community.
3. Om de implementatie van beveiligingstandaarden op de lijst open standaar- den van het Forum Standaardisatie te ondersteunen, ontwikkelt de IBD regel- matig factsheets bij daarin opgenomen open standaarden (zoals, TLS, DNS- SEC, SPF/DKIM/DMARC, DANE en STARTTLS). Deze factsheets zijn als download beschikbaar op xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxx.
Zie ook het hoofdstuk Interoperabiliteit waarin is aangegeven op welke wijze deze standaarden als vereist zijn geborgd en op welke wijze deze standaar- den expliciet opgenomen kunnen worden in het bestek.
4. De bruikbaarheid van verschillende normen op het gebied van informatiebe- veiliging in relatie tot de beveiligingsbehoeften van gemeenten wordt toege- licht in de Factsheet Assurance: xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxx- duct/factsheet-assurance/.
5. In het kader van de AVG is een standaardverwerkersovereenkomst opgesteld. Dit document is tot stand gekomen door nauwe samenwerking tussen ge- meenten en leveranciers. In de overeenkomst worden op uniforme wijze de af- spraken rondom de verwerking van persoonsgegevens geregeld. Het gebruik van de standaardverwerkersovereenkomst is verplicht vanaf 1 januari 2020.
Zie voor meer informatie: xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/ handreiking-standaard-verwerkersovereenkomst-gemeenten/.
6. Op xxxxxxxx.xx kan een check uitgevoerd worden om te kijken of voldaan wordt aan de juiste internetbeveiligingsstandaarden.
5 Dataportabiliteit
5.1 Doel
Gemeenten beheren veel data. Deze data zijn nodig om taken en diensten te verrich- ten. Vaak liggen deze data opgeslagen in ICT Prestaties van leveranciers, waar ook verwerking en creatie van data kan plaatsvinden. Het doel van dataportabiliteit is zor- gen dat Opdrachtgever altijd toegang heeft tot de eigen data en deze betekenisvol kan overzetten naar andere systemen. Dataportabiliteit is de mogelijkheid eigen ge- gevens geautomatiseerd uit een informatiesysteem naar een ander systeem te kun- nen verhuizen. Daar waar interoperabiliteit gaat over samenwerking en koppelingen tussen systemen gaat dataportabiliteit over het er uit kunnen halen van gegevens (exporteren) en zonder verlies van betekenis overzetten (migreren/importeren) ervan naar een ander systeem of platform. Dataportabiliteit is noodzakelijk voor het op lange termijn beschikbaar houden van ICT functionaliteiten, meer regie en bescher- ming van eigen gegevens en het makkelijker kunnen wisselen van leverancier en/of systeem.
5.2 Reikwijdte
Dataportabiliteit heeft zowel betrekking op de inhoud (waarden) van de data als op de bijbehorende metadata over de structuur en betekenis van die gegevens.
Voor het geautomatiseerd omzetten hiervan dient dit in een gangbaar formaat te ge- beuren.
De metadata omvatten tenminste:
1. de beschrijving van de betekenis van entiteiten, relaties, attributen, datatype en waardenbereik;
2. het technische formaat.
5.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
D1 | Dataportabiliteit moet mogelijk zijn voor de inhoud (waarden) van de data in de ICT Prestatie alsmede de bijbehorende metadata bestaande uit ten minste de beschrijving van de betekenis van entiteiten, relaties, attribu- ten en waardenbereik. |
D2 | Het technische formaat voor dataportabiliteit is een open formaat, en sluit bij voorkeur aan bij de XML- of JSON-standaarden. Indien aan het bovenstaande niet voldaan kan worden en ander gangbaar technisch dataformaat wordt gebruikt, dient de meta-in- formatie afzonderlijk gedocumenteerd te worden. | XML: x0.xxx/XXX JSON: xxx.xxxx-xxxxxxxxxxxxx.xxx/ publications/files/ ECMA-ST/ECMA-404.pdf (PDF) |
5.4 Tips
1. Om dataportabiliteit te waarborgen voor de ICT Prestatie kan de volgende eis worden toegevoegd aan het bestek:
“Leverancier geeft de specificaties voor dataportabiliteit. Deze specificaties voor dataportabiliteit bevatten voor de export én import van data tenminste:
a. de beschrijving van betekenis van de data van entiteit, attributen en waardebereik;
b. de beschrijving van betekenis en relaties (kardinaliteit) tussen gege- vens;
c. het formaat waarin data kan worden geëxporteerd/geïmporteerd;
d. welke gegevens en metadata wel en niet worden meegenomen en het formaat waarin dat plaatsvindt;
e. de beschrijving van de import en exportfunctionaliteit die het software- product ondersteunt;
f. de data die niet in de import en export meegenomen wordt omdat deze geen eigendom is van Opdrachtgever;
g. opgave van de technische formaten die voor dataportabiliteit gebruikt worden.”
2. Indien de over te dragen datastructuur en betekenis overeenkomt met een be- staand semantisch informatiemodel en bijbehorende XML of JSON gege- vens/berichtenstandaard dan kan daarvan gebruik worden gemaakt.
3. Er is geen algemeen geaccepteerde definitie van wat een ‘open (bestands)for- maat’ is. De toelichting van het Forum Standaardisatie bij ‘open standaarden’ kan dienen als leidraad bij het bepalen of sprake is van een open formaat: fo- xxxxxxxxxxxxxxxxxx.xx/xxxx-xxxxxxxxxxx/xxx-xxxx-xxxx-xxxxxxxxxxx.
4. Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. In de AVG is dataportabiliteit ook opgenomen. Artikel 20 van de AVG betreft de verplichting tot het waarborgen van het ‘Recht op over- draagbaarheid van gegevens’ oftewel ‘gegevensoverdraagbaarheid’.
6 Toegankelijkheid
6.1 Doel
In Nederland willen we dat openbare voorzieningen toegankelijk zijn voor alle bur- gers. Niet alleen gebouwen en bijvoorbeeld het openbaar vervoer, maar ook over- heidswebsites en -webapps. Daarom is digitale toegankelijkheid belangrijk én ver- plicht voor de (semi-)overheid.
6.2 Reikwijdte
Alle (semi-)overheidswebsites en -webapps moeten toegankelijk zijn.
6.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
E1 | Europese standaard EN 301 549 | xxxxxxxxxxxxxxxx.xx en xxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxx/ digitoegankelijk-en-301-549-met-wcag-21 |
6.4 Tips
1. Op xxxxxxxxxxxxxxxx.xx staat aangegeven welke vereisten er zijn, ook ten aan- zien van het publiceren van een toegankelijkheidsverklaring.
2. Het Tijdelijk besluit digitale toegankelijkheid overheid is per 1 juli 2018 in wer- king getreden in Nederland. In het besluit is bepaald dat websites en mobiele apps van overheidsinstanties op de volgende datums aan het besluit moeten voldoen:
a. Op 23 september 2019 voor websites die zijn gepubliceerd vanaf 23 september 2018;
b. Op 23 september 2020 voor websites die zijn gepubliceerd voor 23 september 2018;
c. Op 23 juni 2021 voor mobiele applicaties.
Meer informatie over deze verplichtingen is te vinden op digitoeganke- xxxx.xx/xxxxxxxxx/xxx-xxxxxxxxx.
7 Archivering
7.1 Doel
Archivering heeft tot doel het zorgdragen dat gegevens duurzaam beschikbaar blij- ven zodat het handelen van gemeenten (publiek)verantwoord kan worden. Hiertoe dienen archiefbescheiden in geordende en toegankelijke staat te zijn.
Voor een goede vindbaarheid en archivering van informatie en uitwisseling van infor- matie tussen overheden is metadatering van (digitale) informatie noodzakelijk. Meta- data geven informatie over gemeentelijke stukken. In metadata is informatie vastge- legd over de inhoud, context, structuur, vorm en het beheer van stukken door de tijd heen. Gemeenten zijn op grond van de Archiefregeling verplicht een overzicht vast te stellen, waarin ze aangeven welke metadata voor de eigen organisatie minimaal no- dig zijn en hoe deze worden vastgelegd.
7.2 Reikwijdte
Voor archivering staat de Archiefregeling centraal (xxxxxx.xxxxxxxx.xx/ BWBR0027041/2014-01-01), die op haar beurt op het Archiefbesluit 1995 (xxxxxx.xxxxxxxx.xx/XXXX0000000/0000-00-00) en de Archiefwet 1995 (xxxxxx.xxxxxxxx.xx/XXXX0000000/0000-00-00) is gebaseerd. De Archiefregeling schrijft voor dat gemeenten moeten beschikken over een kwaliteitssysteem en een metadateringsschema. De functionaliteiten van ICT-systemen moeten voldoen aan deze eisen. Overigens: Archiefwet en Archiefregeling spreken over archiefbeschei- den. Daarmee wordt bedoeld: alle informatie die door een gemeente ontvangen, ge- creëerd en verwerkt wordt.
7.3 Normen en standaarden
Nr. | Standaard/xxxx | Xxxxxxx/referenties |
F1 | Kwaliteitssysteem voor beheer van archiefbescheiden: Kwaliteitssys- teem Informatiebeheer Decentrale Overheden (KIDO) | Archiefregeling, artikel 16 NEN-ISO 15489 is de norm, KIDO omvat de uitwerking daarvan voor gemeenten. |
F2 | Metadateringsschema: TMLO of MDTO | Archiefregeling, artikel 19 NEN-ISO 23081 is het voorschrift. TMLO of MDTO is de uitwerking daarvan voor gemeen- ten. |
F3 | Selectielijst gemeenten en interge- meentelijke organen 2020 |
7.4 Tips
1. KIDO is als download beschikbaar op xxx.xx/xxxxx/xxx/xxxxxx_xxxxxx- ments/2016/handreikingkido.def.pdf.
2. Meer informatie over het Toepassingsprofiel Metadata Lokale Overheden (TMLO) via xxxxxxxxxxxxxxxx.xx/xxxxxxxxxx/xxxxxxxxxx/xxxx.
4. Bij de selectielijst 2020 is een handreiking en SelectTool beschikbaar gesteld. Deze zijn beschikbaar via xxx.xx/xxxxxx/xxxxxxxxxxxxx-0000-xxxxxxxxxxx.
8 Infrastructuur GDI en GGI
8.1 Doel
De maatschappij verandert steeds meer in een informatie- en netwerksamenleving. De overheid moet daarop aansluiten. Overheidsbrede voorzieningen bieden een ge- meenschappelijke basis om de dienstverlening te verbeteren, in te spelen op de ver- anderingen in de maatschappij en effectiever de mogelijkheden van nieuwe technolo- gie te benutten. Het doel is te borgen dat de gemeenschappelijke voorzieningen (her)gebruikt worden. Deze gemeenschappelijke voorzieningen betreffen de Gene- rieke Digitale Infrastructuur (GDI) en de Gemeentelijke Gemeenschappelijke Infra- structuur (GGI).
8.2 Reikwijdte
ICT Prestaties moeten daar waar van toepassing aansluiten op en gebruik maken van bestaande voorzieningen van de GDI en de GGI.
De GDI bestaat uit standaarden, producten en voorzieningen die gezamenlijk ge- bruikt worden door (alle) overheden, vele publieke organisaties en in een aantal ge- vallen ook door private partijen. De GDI is een onmisbaar deel van de (digitale) ba- sisvoorzieningen waarmee organisaties hun primaire processen inrichten.
De GGI bestaat uit voorzieningen, infrastructuur en bijbehorende standaarden en producten die onder gemeenschappelijk bestuur van gemeenten vallen.
8.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
G1 | Aansluiten op voorzieningen uit de GDI | Het overzicht van de GDI is gegeven op xxxxxxxxxxxxx.xx/xxxxxxxxxxx/ generieke-digitale-infrastructuur-gdi |
G2 | Aansluiten op voorzieningen en af- spraken uit de GGI: - Ondersteunen IPv6 - GGI Netwerk - Cloudafspraken - Aansluiting op Gemeentelijk GegevensKnooppunt (GGK) - Nationaal Parkeer Register | De GGI wordt onder regie van VNG Realisatie doorontwikkeld: xxxxxxxxxxxxx.xx/xxx. Richtlijnen voor IPv6 in ICT-apparatuur: xxxxxxxxxxxxxxxxxxxx.xx/xxxxx/ bfs/files/atoms/files/ripe-554-nl.pdf |
8.4 Tips
1. De landelijke en gemeentelijke infrastructuur (GDI en GGI) zijn continue in ontwikkeling. Houd bij verwerving van in te kopen ICT Prestaties rekening met nieuwe mogelijkheden, kaders en eisen. Opdrachtgevers wordt aangeraden om in hun bestek heel duidelijk aan te geven op welke van de landelijke voor- zieningen van GDI en GGI aangesloten moet worden en welke standaarden daarvoor gebruikt dienen te worden.
9 Documentatie
9.1 Doel
Goede documentatie is noodzakelijk om een ICT Prestatie optimaal te implemente- ren, in te passen in het Applicatielandschap, te gebruiken binnen een bedrijfsproces, keten en/of in dienstverlening en te beheren en te onderhouden.
9.2 Reikwijdte
Voor de gehele ICT Prestatie gelden de vereisten ten aanzien van documentatie zo- als opgenomen in GIBIT artikel 11. GIBIT artikel 11.1 geeft aan welke inhoudelijke ei- sen gelden ten aanzien van documentatie. In artikel 11.1 lid v wordt expliciet aange- geven dat een uitwerking van het vereiste is opgenomen in de Gemeentelijke ICT- kwaliteitsnormen. Dit laat onverlet dat de vereisten zoals opgenomen in artikel 11.1. lid i t/m iv te allen tijde gelden voor de gehele ICT Prestatie.
GIBIT artikel 11.1 lid v geeft aan dat de documentatie zodanig zal zijn en blijven dat zij geschikt is om op basis hiervan de ICT Prestatie adequaat te kunnen beheren en te kunnen inpassen in het Applicatielandschap. Voor het voldoen aan deze eis wor- den twee situaties onderscheiden:
• Deel A geldt voor dat deel van de ICT Prestatie dat binnen het werkingsgebied van GEMMA valt en waarbij Leverancier toegang heeft tot de Softwarecatalo- gus;
• Deel B geldt voor dat deel van de ICT Prestatie dat niet binnen deel A valt.
9.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
H1 | Deel A: Dit deel van de documentatie wordt volledig en ac- tueel gehouden conform de gebruiksrichtlijnen van de GEMMA Softwarecatalogus. |
H2 | Deel B: Leverancier dient de documentatie op een andere manier dan via de Softwarecatalogus te leveren waarbij de inhoud, diepgang en actualiteit minimaal vergelijkbaar is aan de productinformatie in de GEMMA Softwarecatalogus. Het omvat per product/pakketversie minimaal de volgende informatie: - Afdekking beleidsthema en functioneel werkings- gebied - Functionele beschrijving - Ondersteunde standaarden inclusief compliance- aanduiding(en) en testrapport | n.v.t. |
9.4 Tips
1. Opdrachtgever wordt aanbevolen om eventuele aanvullende eisen ten aan- zien van documentatie op te nemen in het Programma van Eisen.
2. Leverancier die ICT Prestatie levert die binnen het werkingsgebied van GEMMA valt, kan zijn productinformatie transparant maken via de Softwareca- talogus.
3. Leverancier die documentatie op een andere wijze levert, kan als voorbeeld gebruik maken van de productinformatie die andere leveranciers in de Soft- warecatalogus bijhouden.
10E-facturering
10.1 Doel
Door e-facturering wordt het proces van facturering efficiënter en beter. Handmatige verwerking is daarmee verleden tijd. Een e-factuur is een gestructureerd, digitaal be- stand waarbij alle gegevens altijd op een vaste plek in het bestand staan en hun ei- gen betekenis hebben. Een e-factuur kan vanuit het ene geautomatiseerde systeem elektronisch worden verwerkt in het andere systeem.
10.2 Reikwijdte
Daar waar de GIBIT van toepassing is en waar elektronische facturen zijn overeen- gekomen, dienen deze aan de hier vermelde standaarden te voldoen.
10.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
I1 | EN16931 en NLCIUS | xxxxxxxxxxxxxxxxxxxx.xx/xxxx- standaarden/nlcius |
10.4 Tips
1. GIBIT artikel 9.5 geeft aan dat – tenzij anders overeengekomen – de factuur elektronisch verzonden moet worden. Zorg er als opdrachtgever voor dat u deze elektronische facturen ook kunt ontvangen en verwerken.
2. Met ingang van november 2018 zijn overheden op grond van de Europese richtlijn inzake e-factureren (EU/55/2014) verplicht bij overheidsopdrachten e- facturen te kunnen ontvangen en verwerken. Hiervoor is de Europese norm EN16931 ontwikkeld. NLCIUS is een aanvullende nationale specificatie op EN16931 voor toepassing in Nederland.
VNG Realisatie Xxxxxxxxxx 00 0000 XX Xxx Xxxx
T 070 373 80 08
F 070 363 56 82
xxxxxxxxxx@xxx.xx xxx.xxxxxxxxxxxxx.xx