Gemeentelijke
ICT-kwaliteitsnormen
(Gemeentelijke Inkoopvoorwaarden bij IT)
Versie 2024-1
Geldig vanaf 22-07-2024
De GIBIT is een set uniforme en gestandaardiseerde inkoopvoorwaarden die gemeenten en gemeentelijke samenwerkingsverbanden kunnen gebruiken bij de verweving van ICT-producten of -diensten. Een nadere specificatie van het toepassingsgebied van de GIBIT is beschreven in de toelichting bij de voorwaarden.
Voor Opdrachtgevers is het van belang dat een te verwerven ICT-product of -dienst aansluit bij hun verdere applicatielandschap. Om deze aansluiting te realiseren is het veelal nodig dat de ICT Prestatie voldoet aan bepaalde normen en standaarden, bijvoorbeeld op gebied van interoperabiliteit of beveiliging. In de Gemeentelijke ICT- kwaliteitsnormen is een aantal voor gemeenten belangrijke normen en standaarden beschreven. Dankzij een koppeling met de GIBIT-voorwaarden is het voldoen aan de Gemeentelijke ICT-kwaliteitsnormen bij toepassing van de GIBIT gewaarborgd.
In de GIBIT zijn de Gemeentelijke ICT-kwaliteitsnormen als volgt gedefinieerd:
“Het door de Vereniging Nederlandse Gemeenten (VNG) en VNG Realisatie op xxx.xxxxx.xx gepubliceerde en van tijd tot tijd bijgewerkte document met een gebundelde verzameling van normen en standaarden voor ICT-producten en -diensten.”
Dit document beschrijft allereerst welke normen en standaarden onderdeel uitmaken van de Gemeentelijke ICT-kwaliteitsnormen. Tevens wordt toegelicht welke eisen gelden voor opname in dit document, en op welke wijze de Gemeentelijke ICT- kwaliteitsnormen onderhouden en gebruikt kunnen worden. Begrippen die in de GIBIT gedefinieerd zijn, zijn met een hoofdletter aangeduid.
1.1 Aanbevelingen bij gebruik van de Gemeentelijke ICT-kwaliteitsnormen De Gemeentelijke ICT-kwaliteitsnormen zijn in de eerste plaats bedoeld als vangnet. Als hierover verder geen afspraken worden gemaakt moet Leverancier er hierdoor toch voor zorgen dat de ICT Prestatie voldoet aan een aantal basisnormen en standaarden.
Om een zo passend mogelijk aanbod van leveranciers te krijgen, is het echter aan te bevelen tijdens het voorbereidingsproces van een verwervingstraject de kwaliteitsnormen nader te bekijken en te specificeren. Hiertoe kunnen vier aanbevelingen worden gedaan.
Hierdoor is, in gevallen waar als onderdeel van de opdracht onderhoud wordt gepleegd, implementatie van nieuwe versies van normen of standaarden gewaarborgd
2. Geef relevante kwaliteitsnormen in de opdrachtdocumentatie nader invulling
Zo is het voor zowel opdrachtgever als leverancier duidelijk aan welke normen (delen van) de ICT Prestatie precies moet voldoen. Bovendien worden onnodige kosten vermeden door implementatie van (delen van) normen of standaarden waaraan geen behoefte is. Nadere specificatie is met name van belang voor toepassingsafhankelijke normen zoals Interoperabiliteit (toe passen standaarden hangen af van het toepassingsgebied van de ICT Prestatie) en Informatiebeveiliging en Privacy (beveiligingsniveau is onder andere afhankelijk van gevoeligheid van met de ICT Prestatie verwerkte gegevens).
3. Betrek (domein)experts bij het vaststellen van de relevantie van kwaliteitsnormen Deze aanbeveling ligt in het verlengde van de vorige. Het nader invullen van aantal kwaliteitsnormen vereist veelal specialistische kennis en ervaring. Dit zal bijvoorbeeld vaak gelden voor normen ten aanzien van Architectuur, Interoperabiliteit, Informatiebeveiliging en Archivering.
4. Gebruik de GIBIT-overeenkomstengenerator om een (concept)overeenkomst te generen
In de GIBIT-overeenkomstengenerator is ruimte om met de GIBIT en de Gemeentelijke ICT-kwaliteitsnormen als basis een overeenkomst te genereren die nadere of afwijkende afspraken omvat. De overeenkomstengenerator is te vinden op xxxxxxxxxxxxxx.xxxxx.xx.
1.2 Reikwijdte Gemeentelijke ICT-kwaliteitsnormen
De Gemeentelijke ICT-kwaliteitsnormen betreffen normen en standaarden waaraan verplicht moet worden voldaan. De verplichting kan volgen uit:
1. een wettelijk kader; en/of
2. opname op de lijst van open standaarden (pas-toe-of-leg-uit); en/of
3. vaststelling als landelijke gemeentelijke standaard of norm door VNG/VNG Realisatie.
Iedere norm en standaard die in Gemeentelijke ICT-kwaliteitsnormen wordt opgenomen, is vastgesteld. Standaarden of versies van standaarden die nog in ontwikkeling zijn kunnen dus geen onderdeel zijn van de Gemeentelijke ICT- kwaliteitsnormen.
Het vaststellingsproces kan per norm verschillen. Dit is mede afhankelijk van de beheerder van en governancestructuur bij de betreffende norm. Voor wettelijke normen geldt de wetgever als vaststeller. Landelijk vastgestelde open standaarden worden vastgesteld onder regie van het Forum Standaardisatie. En specifiek gemeentelijke standaarden worden onder regie van VNG/VNG Realisatie vastgesteld. In alle gevallen is een standaardisatieproces ingericht waarbij gemeenten nauw betrokken zijn, en mede bepalen hoe de norm of standaard eruit gaat zien. In veel gevallen spelen ook ICT-leveranciers een rol in het vaststellingsproces.
Enkele normen zoals die voor documentatie en dataportabiliteit wijken van het bovenstaande af. Deze zijn niet gebaseerd op landelijke afspraken, maar op internationale standaarden of binnen de ICT zeer gangbare normen of formaten.
De Gemeentelijke ICT-kwaliteitsnormen hebben betrekking op de volgende ICT- kwaliteitsgebieden:
• Architectuur;
• Interoperabiliteit;
• Informatiebeveiliging en privacy;
• Dataportabiliteit;
• Digitale toegankelijkheid;
• Archivering;
• Infrastructuur;
• Documentatie;
• E-facturering.
In dit document zijn voor ieder bovengenoemd ICT-kwaliteitsgebied het doel, de reikwijdte en de bijbehorende standaarden of normen beschreven.
1.3 Toepassing van de Gemeentelijke ICT-kwaliteitsnormen
Onderstaande figuur toont een schematisch overzicht van de verhouding tussen de Overeenkomst, de onderliggende GIBIT-voorwaarden met Gemeentelijke ICT- kwaliteitsnormen en de eisen die door Opdrachtgever op verschillende gebieden gesteld kunnen worden.
De Gemeentelijke ICT-kwaliteitsnormen zijn van toepassing als de GIBIT van toepassing verklaard is. Dit geldt zowel in de situatie dat een overeenkomst wordt gesloten waarop de GIBIT van toepassing is verklaard, als wanneer een opdrachtgever tijdens een uitvraag (bijvoorbeeld bij een aanbesteding) aangeeft dat de GIBIT van toepassing is.
In GIBIT is beschreven dat het voldoen aan de Gemeentelijke ICT-kwaliteitsnormen onderdeel is van het ‘Overeengekomen gebruik’. Dit betekent dat de ICT Prestatie (“de te leveren goederen en diensten”) aan de Gemeentelijke ICT-kwaliteitsnormen moet voldoen. Hierop zijn echter twee beperkingen van toepassing.
1. Bereik: er hoeft alleen te worden voldaan aan in Gemeentelijke ICT- kwaliteitsnormen opgenomen interoperabiliteitseisen, normen en standaarden voor zover die relevant zijn voor de functie of gelden voor het werkingsgebied van de ICT Prestatie.
2. Tijd: er hoeft alleen te worden voldaan aan die interoperabiliteitseisen, normen en standaarden die tijdens het sluiten van de Overeenkomst voorgeschreven waren (hoewel het voldoen aan bij nieuwe versies onderdeel kan zijn van afspraken over Onderhoud).
De in de ICT-kwaliteitsnormen opgenomen normen en standaarden zijn minimumeisen. Het is Opdrachtgevers uitdrukkelijk toegestaan om van Leveranciers te vragen om verdergaande waarborgen - bijvoorbeeld de verplichte implementatie van een standaard die volgens de Gemeentelijke ICT-kwaliteitsnormen slechts een
aanbevolen karakter heeft. Hierom moet door de Opdrachtgever in de Overeenkomst wel expliciet worden gevraagd.
De GIBIT beschrijft ook hoe Opdrachtgevers kunnen valideren of normen en standaarden in de ICT Prestatie juist zijn toegepast. Voorafgaand aan implementatie toont Leverancier dit middels preventieve testen of rapportage aan. En tijdens de Acceptatieprocedure wordt getoetst of de ICT Prestatie inderdaad aan normen en standaarden voldoet. Dit geldt zowel voor (relevante) ICT-kwaliteitsnormen als voor aanvullende, in de Overeenkomst beschreven normen en standaarden.
2.1 Doel
Gemeenten hebben een breed taken- en dienstenpakket. Gevolg is dat er een landschap van verschillende informatiesystemen nodig is om goed invulling te kunnen geven aan die taken en diensten. Er is behoefte aan inzicht en overzicht ten aanzien van dat landschap om goed te kunnen sturen en organiseren.
GEMMA staat voor ‘Gemeentelijke Modelarchitectuur’. Dit is de landelijke referentiearchitectuur voor gemeenten. GEMMA helpt gemeenten om bedrijfsmatige en (ICT-)ontwikkelingen in samenhang aan te sturen. Ontwikkelen, bouwen, aanschaffen en implementeren onder architectuur zorgt ervoor dat de oplossingen onderling goed samenwerken. Ook ontstaat er meer inzicht en overzicht dat bestuur en management helpt alle ontwikkelingen in samenhang aan te sturen. Met GEMMA ontstaat daardoor meer grip op de informatievoorziening. XXXXX helpt bij de samenwerking tussen gemeenten, met ketenpartners en het aansluiten en gebruiken van landelijke voorzieningen en infrastructuur. Binnen GEMMA wordt het functionele werkingsgebied van applicaties gepositioneerd met behulp van de gemeentelijke bedrijfsarchitectuur. Meer informatie over XXXXX is te vinden op xxx.xxxxxxxxxxx.xx/
index.php/Wat_is_GEMMA.
2.2 Reikwijdte
Voor de ICT Prestatie geldt de GEMMA-informatiearchitectuur als kader. Deze informatiearchitectuur beschrijft de inrichting van de gewenste informatiehuishouding van gemeenten en de aansluiting daarvan op de omgeving. De informatiehuishouding bestaat onder meer uit referentiecomponenten en applicatie- functionaliteit waarmee de gegevens kunnen worden opgeslagen, geraadpleegd en processen kunnen worden ondersteund.
Zie voor de definitie van een referentiecomponent xxx.xxxxxxxxxxx.xx/ index.php/Definitie_referentiecomponent.
2.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
A1 | De ICT Prestatie dient op de GEMMA referentiecomponenten geplot te worden. Voor die referentiecomponenten die geraakt worden dient de ICT Prestatie tenminste de bij de referentiecomponent(en) gespecificeerde functionaliteit te bieden. | XXXXX referentiecomponenten: xxx.xxxxxxxxxxx.xx/xxxxx.xxx/ GEMMA_Referentiecomponenten |
2.4 Tips en toelichting
1. Neem in het programma van eisen en/of de Overeenkomst de naam en de beschrijvingen van de GEMMA referentiecomponent(en) op.
2. De GEMMA-kaders en -principes kunnen voor de specifieke uitvraag van Opdrachtgever worden vertaald in het programma van eisen. De principes zijn te vinden op xxx.xxxxxxxxxxx.xx/xxxxx.xxx/Xxxxxxxxxxxxxxxxxxxxx.
3.1 Doel
Gemeenten maken gebruik van systemen van meerdere leveranciers, willen voor een efficiënte uitvoering en dienstverlening informatie delen, en werken in ketens samen met andere (overheids-) partijen. Gevolg is dat gemeenten in staat moeten zijn om gegevens tussen verschillende systemen uit te kunnen wisselen. Xxxxx, veilige en betrouwbare koppelingen zijn hiervoor noodzakelijk. Het gebruik van open standaarden voor interoperabiliteit zorgt voor inpasbaarheid van ICT Prestaties binnen het Applicatielandschap van gemeenten. Dit leidt voor gemeenten tot meer samenhang in het Applicatielandschap, grotere flexibiliteit in informatievoorziening en meer keuzevrijheid ten aanzien van software. Tevens zorgt het gebruik van standaarden voor het voorkomen van maatwerkkoppelingen en extra werkzaamheden die daaraan verbonden zijn.
3.2 Reikwijdte
Voor interoperabiliteit zijn standaarden per wet bepaald, evenals open standaarden die op de ‘pas toe of leg uit’ lijst staan. Tevens zijn er specifieke standaarden die gelden voor het gemeentelijk domein. Een deel van de standaarden specifiek voor het gemeentelijk domein betreft een nadere uitwerking van een meer generieke wettelijke dan wel open standaard. Daar waar die situatie zich voordoet dient aan de specifieke gemeentelijke eis voldaan te worden waarmee tevens invulling is gegeven aan de verplichting uit de meer generieke open standaard.
De reikwijdte voor de toe te passen standaarden en normen is in drie delen gesplitst:
• B1 betreft de specifieke standaarden voor het gemeentelijk domein en geldt voor dat deel van de ICT Prestatie dat valt binnen (delen van) het functionele werkingsgebied binnen het GEMMA applicatielandschap;
• B2 betreft de generieke standaarden en geldt voor de gehele ICT Prestatie.
• B3 betreft de API-standaarden die horen bij de informatiekundige visie Common Ground en de architectuur van het XXXXX Xxxxxxxxxxxxxxxxx. Deze standaarden kunnen voor wat betreft hun functioneel werkingsgebied overlappen met standaarden uit delen A en B. Gedurende de transitie naar een gegevenslandschap kan het wenselijk zijn dat een informatiesysteem zowel de standaarden die horen bij A, B en C ondersteunt, zelfs als dat betekent dat door implementatie van functioneel gelijkaardige standaarden bepaalde functionaliteit dubbel wordt geïmplementeerd.
• B4 betreft bouwblokken uit de Generieke Digitale Infrastructuur (GDI) voor de domeinen ‘interactie’ en ‘gegevensuitwisseling’. Binnen het eerste domein zijn met name de inwoner- en ondernemersportalen en de website Xxxxxxxx.xx relevant waarop de ICT Prestatie, als dat voor de werking daarvan relevant is, moet kunnen aansluiten. Het domein ‘gegevensuitwisseling’ bestaat onder andere uit voorzieningen die het werken met gegevens uit basisregistraties ondersteunen, zoals Digmelding en Digilevering.
3.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
B1 | De ICT Prestatie voldoet aan alle verplichte standaarden (eindproduct en halffabricaat standaarden) van de bijbehorende GEMMA referentiecomponent(en). | Voor de GEMMA referentiecomponenten: xxx.xxxxxxxxxxx.xx/xxxxx.xxx/ GEMMA_Referentiecomponenten. Voor de verplichte standaarden en standaard bestekteksten: xxxxxxxxxxxxxxxxx.xx/ purchase-support |
B2 | De ICT Prestatie voldoet aan de wettelijke standaarden, de open standaarden van de Pas-toe-of-leg-uit- lijst en de landelijke gemeentelijke standaarden, voor zover het werkingsgebied van deze standaarden overeenkomt met het organisatorische of functionele werkingsgebied van het betreffende deel van de ICT Prestatie. | Open standaarden: xxxxxxxxxxxxxxxxxxxx.xx/ open-standaarden/verplicht Landelijke gemeentelijke standaarden: xxxxxxxxxxx.xx/xxxxx.xxx/ GEMMA_standaardenlijst |
B3 | Tenzij Opdrachtgever anders bepaalt, voldoet de ICT Prestatie aan gemeentelijke API-standaarden, voor zover het werkingsgebied van deze standaarden overeenkomt met het organisatorische of functionele werkingsgebied van het betreffende deel van de ICT Prestatie. | Zie kopje ‘API-standaarden’ op: xxx.xx/xxxxxxxxx/xxxxxxxxx-xxxxxxxxxxxxx- standaarden |
B4 | Tenzij Opdrachtgever anders bepaalt, ondersteunt de ICT-prestatie voor die prestatie relevante GDI-bouwblokken uit de domeinen interactie’ en ‘gegevensuitwisseling’. | Het domein ‘interactie’ omvat onder andere de voorzieningen ‘MijnOverheid’ en ‘Xxxxxxxx.xx’. Het domein ‘gegevensuitwisseling’ omvat onder andere de voorzieningen ‘Digimelding’ en ‘Digilevering’. Zie xxxxxxxxxxxxxxxx.xx/xxxx/ generieke-digitale-infrastructuur-gdi/ domein-interactie en xxxxxxxxxxxxxxxx.xx/xxxx/ generieke-digitale-infrastructuur-gdi/ |
3.4 Tips en toelichting
1. Aan opdrachtgevers wordt aangeraden om in het bestek op te nemen welke standaarden in ieder geval van toepassing zijn (verplichte standaarden). Zie zowel GEMMA Online als de Softwarecatalogus. Vanuit de Softwarecatalogus kunnen ook bestekteksten gegenereerd worden (xxxxxxxxxxxxxxxxx.xx/ purchase-support). Daarnaast wordt opdrachtgevers aangeraden om tevens te kijken welke standaarden vanuit GEMMA Online aanbevolen worden. Beoordeel per aanbevolen standaard of je deze van toepassing wilt verklaren. Voor het van toepassing verklaren dient de standaard expliciet opgenomen te worden in het bestek.
2. Naast verplichte open standaarden zijn er ook aanbevolen standaarden op de lijst standaarden bij het Forum Standaardisatie: xxxxxxxxxxxxxxxxxxxx.xx/ open-standaarden/lijst/aanbevolen. Deze standaarden zijn niet verplicht om toe te passen, maar worden wel geadviseerd om te gebruiken voor een
betreffend functioneel werkingsgebied. Opdrachtgevers wordt aangeraden om in hun bestek heel duidelijk aan te geven welke van die aanbevolen standaarden ook verplicht worden gesteld.
3. Leverancier dient preventieve testen uit te voeren op de verplichte standaarden. Indien een testinstrument beschikbaar is, staat dit bij de betreffende norm vermeld en wordt de Leverancier geacht deze test uit te voeren en een positieve uitslag aan Opdrachtgever te overleggen. Indien er geen testinstrument beschikbaar is, dan vervalt de verplichting om hieraan te voldoen.
4. Een overzicht van API-standaarden is te vinden op xxx.xx/xxxxxxxxx/xxxxxxxxx- gemeentelijke-standaarden. Ten opzichte van de StUF-standaarden sluiten deze API-standaarden beter aan bij door softwareontwikkelaars gebruikte industriestandaarden. Voor de API’s voor zaakgericht werken (ZGW API’s) is een testvoorziening gerealiseerd waarmee kan worden beproefd of een implementatie van één of meer ZGW API’s voldoet aan de bijbehorende specificaties. Deze testvoorziening is te vinden op xxx-xxxx.xx.
4 Informatiebeveiliging en privacy
4.1 Doel
Gemeenten verwerken veel informatie, waarvan een deel zeer (privacy)gevoelig is en extra beschermd dient te worden. Voor een groot deel van die informatieverwerking wordt gebruik gemaakt van ICT-producten en -diensten van derden, waarmee goede afspraken moeten worden gemaakt over beveiliging en het waarborgen van privacy.
Informatiebeveiliging is het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van beschikbaarheid, integriteit en vertrouwelijkheid (BIV) alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende beveiligingsmaatregelen. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. Betrouwbare informatiesystemen dragen bij aan het verlagen van risico’s en vergroten van de weerbaarheid van de bedrijfsvoeringsprocessen van de gemeente.
Gemeenten verwerken veel persoonsgegevens. Vaak is het daarom nodig met leveranciers een verwerkersovereenkomst af te sluiten. Om dat makkelijker te maken, hebben VNG, gemeenten en leveranciers gezamenlijk een gemeentelijke standaard VWO ontwikkeld. Dit document wordt gebruikt als aanvulling op een hoofdovereenkomst om nadere afspraken te maken over de omgang met persoonsgegevens.
4.2 Reikwijdte
Ten aanzien van informatiebeveiliging zijn er landelijk vastgestelde normen en standaarden. De Baseline Informatiebeveiliging Overheid (BIO) is sinds 1 januari 2019 beschikbaar, en geldt vanaf 1 januari 2020 voor de hele overheid als standaard.
Naast de BIO zijn ook de beveiligingsstandaarden van toepassing die vallen binnen de open standaarden. Zie het hoofdstuk Interoperabiliteit voor deze standaarden.
De standaardverwerkersovereenkomst wordt gebruikt wanneer de aard van een in te kopen product of dienst het afsluiten van een verwerkersovereenkomst nodig maakt. Vanaf 1 januari 2019 geldt voor het gebruik van de
standaardverwerkersovereenkomst een verplichting volgens het ‘pas toe of leg uit’- regime. Vanaf 1 januari 2020 dient in alle gevallen de standaardverwerkersovereenkomst gebruikt te worden.
4.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
C1 | De ICT Prestatie dient de functionele en technische mogelijkheden te hebben zodat de Opdrachtgever kan voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). | De BIO: xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/ baseline-informatiebeveiliging-overheid |
C2 | Als door de aard van de opdracht een verwerkersovereenkomst moet worden afgesloten, dan dient de Standaardverwerkersovereenkomst voor gemeenten te worden gebruikt. | xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/ handreiking-standaard- verwerkersovereenkomst-gemeenten |
4.4 Tips en toelichting
1. De BIO is als download beschikbaar op xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/ product/baseline-informatiebeveiliging-overheid-bio.
2. Voor gemeenten is de IRPA-tool beschikbaar die kan helpen te bepalen welke beveiligings- en privacymaatregelen moeten worden uitgevraagd. De tool is beschikbaar op xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxx-xxxx. Om de implementatie van de BIO ondersteunen, zijn door de IBD meer producten ontwikkeld. Deze Operationele Baseline-producten zijn als download beschikbaar op xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxxxxxx-xxx. Bewerkbare versies van de operationele producten zijn als download beschikbaar op de IBD- community.
3. Om de implementatie van beveiligingstandaarden op de lijst open standaarden van het Forum Standaardisatie te ondersteunen, ontwikkelt de IBD regelmatig factsheets bij daarin opgenomen open standaarden (zoals, TLS, DNSSEC, SPF/DKIM/DMARC, DANE en STARTTLS). Deze factsheets zijn als download beschikbaar op xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxx. Om te bepalen welke standaarden van toepassing zijn kunt u ook gebruik maken van de beslisboom (xxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxxx/xxxxxxxxxx- open-
standaarden) van het Forum Standaardisatie.
Zie ook het hoofdstuk Interoperabiliteit waarin is aangegeven op welke wijze deze standaarden als vereist zijn geborgd en op welke wijze deze standaarden expliciet opgenomen kunnen worden in het bestek.
4. De bruikbaarheid van verschillende normen op het gebied van informatiebeveiliging in relatie tot de beveiligingsbehoeften van gemeenten
wordt toegelicht in de Factsheet Assurance: xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/ product/factsheet-assurance.
5. In het kader van de AVG is een standaardverwerkersovereenkomst opgesteld. Dit document is tot stand gekomen door nauwe samenwerking tussen gemeenten en leveranciers. In de overeenkomst worden op uniforme wijze de afspraken rondom de verwerking van persoonsgegevens geregeld. Het gebruik van de standaardverwerkersovereenkomst is verplicht vanaf 1 januari 2020. Zie voor meer informatie: xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxx/ handreiking-standaard-verwerkersovereenkomst-gemeenten/.
6. Op xxxxxxxx.xx kan een check uitgevoerd worden om te kijken of voldaan wordt aan de juiste internetbeveiligingsstandaarden.
5.1 Doel
Gemeenten beheren veel data. Deze data zijn nodig om taken en diensten te verrichten. Vaak liggen deze data opgeslagen in ICT Prestaties van leveranciers, waar ook verwerking en creatie van data kan plaatsvinden. Het doel van dataportabiliteit is zorgen dat Opdrachtgever altijd toegang heeft tot de eigen data en deze betekenisvol kan overzetten naar andere systemen. Dataportabiliteit is de mogelijkheid eigen gegevens geautomatiseerd uit een informatiesysteem naar een ander systeem te kunnen verhuizen. Daar waar interoperabiliteit gaat over samenwerking en koppelingen tussen systemen gaat dataportabiliteit over het er uit kunnen halen van gegevens (exporteren) en zonder verlies van betekenis overzetten (migreren/importeren) ervan naar een ander systeem of platform. Dataportabiliteit is noodzakelijk voor het op lange termijn beschikbaar houden van ICT functionaliteiten, meer regie en bescherming van eigen gegevens en het makkelijker kunnen wisselen van leverancier en/of systeem.
5.2 Reikwijdte
Dataportabiliteit heeft zowel betrekking op de inhoud (waarden) van de data als op de bijbehorende metadata over de structuur en betekenis van die gegevens.
Voor het geautomatiseerd omzetten hiervan dient dit in een gangbaar formaat te gebeuren.
De metadata omvatten tenminste:
1. de beschrijving van de betekenis van entiteiten, relaties, attributen, datatype en waardenbereik;
2. het technische formaat.
5.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
D1 | Dataportabiliteit moet mogelijk zijn voor de inhoud (waarden) van de data in de ICT Prestatie alsmede de bijbehorende metadata bestaande uit ten minste de beschrijving van de betekenis van entiteiten, relaties, attributen en waardenbereik. |
D2 | Het technische formaat voor dataportabiliteit is een open formaat, en sluit bij voorkeur aan bij de XML- of JSON-standaarden. Indien aan het bovenstaande niet voldaan kan worden en ander gangbaar technisch dataformaat wordt gebruikt, dient de meta- informatie afzonderlijk gedocumenteerd te worden. | XML: x0.xxx/XXX JSON: publications-and-standards/standards/ ECMA-404 |
5.4 Tips en toelichting
1. Om dataportabiliteit te waarborgen voor de ICT Prestatie kan de volgende eis worden toegevoegd aan het bestek:
“Leverancier geeft de specificaties voor dataportabiliteit. Deze specificaties voor dataportabiliteit bevatten voor de export én import van data tenminste:
a. de beschrijving van betekenis van de data van entiteit, attributen en waardenbereik;
b. de beschrijving van betekenis en relaties (kardinaliteit) tussen gegevens;
c. het formaat waarin data kunnen worden geëxporteerd/geïmporteerd;
d. welke gegevens en metadata wel en niet worden meegenomen en het formaat waarin dat plaatsvindt;
e. de beschrijving van de import en exportfunctionaliteit die het softwareproduct ondersteunt;
f. de data die niet in de import en export meegenomen worden omdat deze geen eigendom zijn van Opdrachtgever;
g. opgave van de technische formaten die voor dataportabiliteit gebruikt worden.”
2. Indien de over te dragen datastructuur en betekenis overeenkomt met een bestaand semantisch informatiemodel en bijbehorende XML of JSON gegevens/berichtenstandaard dan kan daarvan gebruik worden gemaakt.
3. Er is geen algemeen geaccepteerde definitie van wat een ‘open (bestands)formaat’ is. De toelichting van het Forum Standaardisatie bij ‘open standaarden’ kan dienen als leidraad bij het bepalen of sprake is van een open formaat:
xxxxxxxxxxxxxxxxxxxx.xx/xxx-xxxx-xxxxxxxxxxx.
4. Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. In de AVG is dataportabiliteit ook opgenomen. Artikel 20 van de AVG betreft de verplichting tot het waarborgen van het ‘Recht op overdraagbaarheid van gegevens’ oftewel ‘gegevensoverdraagbaarheid’.
6.1 Doel
In Nederland willen we dat openbare voorzieningen toegankelijk zijn voor alle burgers. Niet alleen gebouwen en bijvoorbeeld het openbaar vervoer, maar ook overheidswebsites en -webapps. Daarom is digitale toegankelijkheid belangrijk én verplicht voor de (semi-)overheid.
6.2 Reikwijdte
Alle (semi-)overheidswebsites en -webapps moeten toegankelijk zijn. Onder websites vallen ook intra- en extranetten en cloudapplicaties volgens de Europese definitie (zie xxxxxxxxxxxxxxxx.xx/xxx-xx-xxxx/xxxx/xxxxxxxxxxx).
6.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
E1 | Europese standaard EN 301 549 met WCAG 2.1 | xxxxxxxxxxxxxxxx.xx en xxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxx/ digitoegankelijk-en-301-549-met-wcag-21 |
6.4 Tips en toelichting
1. Voor de digitale toegankelijkheid is het in veel gevallen beter informatie als webpagina te publiceren dan als (Pdf-)bestand. Het Forum Standaardisatie heeft een handreiking gemaakt die helpt de meest passende publicatievorm te vinden: xxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxx/xxxxxxxx-xx-xxxxxxxxxxxx. Toch een Pdf-bestand publiceren? Dan wordt het gebruik van PDF/UA aanbevolen. Dit formaat is duurzaam en (mits correct opgemaakt) toegankelijk. Zie xxxxxxxxxxxxxxxxxxxx.xx/xxxx-xxxxxxxxxxx/xxxxx.
2. Op xxxxxxxxxxxxxxxx.xx/xxxxxxxxx/xxx-xxxxxxxxx is beschreven welke verplichtingen gelden, o.a. voor het publiceren van een toegankelijkheidsverklaring.
3. In het Tijdelijk besluit digitale toegankelijkheid is bepaald wanneer websites en mobiele apps van overheidsinstanties aan het besluit moeten voldoen:
a. Op 23 september 2019 websites die zijn gepubliceerd vanaf 23 september 2018;
b. Op 23 september 2020 websites die zijn gepubliceerd voor 23 september 2018;
c. Op 23 juni 2021 mobiele applicaties.
7.1 Doel
Archivering heeft tot doel het zorgdragen dat gegevens duurzaam beschikbaar blijven zodat het handelen van gemeenten (publiek)verantwoord kan worden. Hiertoe dienen archiefbescheiden in geordende en toegankelijke staat te zijn.
Voor een goede vindbaarheid en archivering van informatie en uitwisseling van informatie tussen overheden is metadatering van (digitale) informatie noodzakelijk. Metadata geven informatie over gemeentelijke stukken. In metadata is informatie vastgelegd over de inhoud, context, structuur, vorm en het beheer van stukken door de tijd heen. Gemeenten zijn op grond van de Archiefregeling verplicht een overzicht vast te stellen, waarin ze aangeven welke metadata voor de eigen organisatie minimaal nodig zijn en hoe deze worden vastgelegd.
7.2 Reikwijdte
Voor archivering staat de Archiefregeling centraal (xxxxxx.xxxxxxxx.xx/ BWBR0027041/2014-01-01), die op haar beurt op het Archiefbesluit 1995 (xxxxxx.xxxxxxxx.xx/XXXX0000000/0000-00-00) en de Archiefwet 1995 (xxxxxx.xxxxxxxx.xx/XXXX0000000/0000-00-00) is gebaseerd. De Archiefregeling schrijft voor dat gemeenten moeten beschikken over een kwaliteitssysteem en een metadateringsschema. De functionaliteiten van ICT-systemen moeten voldoen aan deze eisen. Overigens: Archiefwet en Archiefregeling spreken over archiefbescheiden. Daarmee wordt bedoeld: alle informatie die door een gemeente ontvangen, gecreëerd en verwerkt wordt.
7.3 Normen en standaarden
Nr. | Standaard/xxxx | Xxxxxxx/referenties |
F1 | Kwaliteitssysteem voor beheer van archiefbescheiden: Kwaliteitssysteem Informatiebeheer Decentrale Overheden (KIDO) | Archiefregeling, artikel 16 NEN-ISO 15489 is de norm, KIDO omvat de uitwerking daarvan voor gemeenten |
F2 | Metadateringsschema: MDTO | Archiefregeling, artikel 19 NEN-ISO 23081 is het voorschrift. MDTO is de uitwerking daarvan voor gemeenten. Zie xxxxxxxxxxxxxxxx.xx/xxxxxxxxxx/xxxx |
F3 | Selectielijst gemeenten en intergemeentelijke organen 2020 | |
F4 | Verplichte (‘moeten’) functionele eisen uit NEN-ISO 16175-1:2020 |
7.4 Tips en toelichting
1. KIDO is als download beschikbaar op xxx.xx/xxxxx/xxx/xxxxxx_xxxxxxxxxxx/0000/xxxxxxxxxxxxxxx.xxx.xxx.
2. ‘Duurzaam Toegankelijke Overheidsinformatie’ (MDTO) is de standaard voor metagegevens die in het kader van duurzame toegankelijkheid worden vastgelegd. Toelichting en het metadataschema zelf zijn beschikbaar via xxxxxxxxxxxxxxxx.xx/xxxxxxxxxx/xxxx.
3. Bij de selectielijst 2020 is een handreiking en SelectTool beschikbaar gesteld. Deze zijn beschikbaar via xxx.xx/xxxxxxxxx/xxxxxxxxxxxxx.
4. NEN-ISO 16175-1 beschrijft functionaliteit die binnen de gemeentelijke informatievoorziening beschikbaar moet zijn om de duurzame toegankelijkheid van informatie te waarborgen. De ICT Presentatie moet, als die ‘archiefstukken’ verwerkt, alleen of in combinatie met andere (eventueel al in het applicatielandschap van de gemeente) aanwezige componenten de in de norm verplichte functionaliteit kunnen leveren. Opdrachtgevers kunnen aan de hand van de norm bepalen hoe ze de hiervoor benodigde functionaliteit over individuele applicaties of componenten binnen het applicatielandschap verdelen. NEN-ISO 16175 is tegen betaling bij NEN verkrijgbaar.
8.1 Doel
Infrastructuur gaat over de afspraken, standaarden en voorzieningen voor transport, opslag, routering, monitoring, beheersing en beveiliging van uit te wisselen gegevens inclusief de aansluiting op de uitwisseling.
8.2 Reikwijdte
De Generieke Digitale Infrastructuur (GDI) omvat een aantal bouwstenen die te maken hebben met infrastructuur. Die gaan bijvoorbeeld over het geauthentiseerd en veilig en uitwisselen van gegevens tussen overheidsorganisaties.
Een IP-adres is nodig om een verbinding te maken met het internet is. De voorraad volgens het ‘oude’ systeem Internet Protocol versie 4 (IPv4) gemaakte IP-adressen is op. Om te voorkomen dat websites en apparaten onbereikbaar worden is Internet Protocol versie 6 (IPv6) ontwikkeld. Daardoor komt er een groot aantal IP-adressen bij. Alle overheidsorganisaties moeten ook via IPv6 bereikbaar zijn.
Haven is een gemeentelijke standaard voor platformonafhankelijke cloud hosting. Met Haven kunnen gemeenten applicaties overal hosten zonder dat zij daarvoor hun IT-infrastructuur hoeven aan te passen. Dit zorgt onder meer voor uniformiteit, lagere kosten en minder afhankelijkheid van leveranciers.
8.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
G1 | Ondersteunen GDI-bouwblokken uit het domein ‘infrastructuur’. | Het domein ‘infrastructuur’ omvat onder andere de bouwstenen ‘Diginetwerk’, ‘Digikoppeling’ en ‘PKIoverheid’. Zie: xxxxxxxxxxxxxxxx.xx/xxxx/ generieke-digitale-infrastructuur-gdi/ |
G2 | Ondersteunen IPv6 | Richtlijnen voor IPv6: xxxxxxxxxxxxxxxxxxxx.xx/xxxx-xxxxxxxxxxx/ ipv6-en-ipv4. |
G3 | Toepassen Haven binnen het werkingsgebied van deze standaard (zie ook toelichting hieronder) |
8.4 Tips en toelichting
1. Opdrachtgevers wordt aangeraden om in hun bestek heel duidelijk aan te geven op welke van de landelijke voorzieningen van GDI aangesloten moet worden en welke standaarden daarvoor gebruikt dienen te worden.
2. Haven is een gemeentelijke standaard die is vastgesteld op het niveau ‘pas toe of leg uit’ (xxx.xx/xxxxxx/xxxxxxx-xxx-xxxxxxxxx-xxxxx-xxx-xxxxxxxxx). Een toelichting bij het werkingsgebied van deze standaard legt uit wanneer deze moet worden toegepast:
a. als gemeenten de cloud gaan gebruiken op bestaande of nieuwe infrastructuur, is de Haven-standaard van toepassing op het hosting gedeelte. In een opdracht aan leveranciers voor hosting moeten gemeenten Haven als eis stellen, en
b. als een gemeente een Common Ground-toepassing gaat gebruiken, is de Havenstandaard van toepassing op het hostinggedeelte.
c. Nadere duiding bij de werking n toepassing van Haven en ondersteunend (inkoop)materiaal is te vinden op xxxxx.xxxxxxxxxxxx.xx/
techniek/de-standaard.
1 Doel
Goede documentatie is noodzakelijk om een ICT Prestatie optimaal te implementeren, in te passen in het Applicatielandschap, te gebruiken binnen een bedrijfsproces, keten en/of in dienstverlening en te beheren en te onderhouden.
9.2 Reikwijdte
Voor de gehele ICT Prestatie gelden de vereisten ten aanzien van documentatie zoals opgenomen in de GIBIT.
De GIBIT bepaalt dat de documentatie bij de ICT Prestatie zodanig zal zijn en blijven dat zij geschikt is om op basis hiervan de ICT Prestatie adequaat te kunnen beheren en te kunnen inpassen in het Applicatielandschap. Voor het voldoen aan deze eis worden twee situaties onderscheiden:
• H1 geldt voor dat deel van de ICT Prestatie dat binnen het werkingsgebied van GEMMA valt en waarbij Leverancier toegang heeft tot de Softwarecatalogus;
• H2 geldt voor dat deel van de ICT Prestatie dat niet binnen H1 valt.
9.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
H1 | Dit deel van de documentatie wordt volledig en actueel gehouden conform de gebruiksrichtlijnen van de GEMMA Softwarecatalogus. | |
H2 | Leverancier dient de documentatie op een andere manier dan via de Softwarecatalogus te leveren waarbij de inhoud, diepgang en actualiteit minimaal vergelijkbaar is aan de productinformatie in de GEMMA Softwarecatalogus. Het omvat per product/pakketversie minimaal de volgende informatie: - Afdekking beleidsthema en functioneel werkingsgebied - Functionele beschrijving Ondersteunde standaarden inclusief compliance- aanduiding(en) en testrapport | n.v.t. |
9.4 Tips en toelichting
1. Opdrachtgever wordt aanbevolen om eventuele aanvullende eisen ten aanzien van documentatie op te nemen in het Programma van Eisen.
2. Leverancier die ICT Prestatie levert die binnen het werkingsgebied van GEMMA valt, kan zijn productinformatie transparant maken via de Softwarecatalogus.
3. Leverancier die documentatie op een andere wijze levert, kan als voorbeeld gebruik maken van de productinformatie die andere leveranciers in de Softwarecatalogus bijhouden.
10.1 Doel
Door e-facturatie wordt het proces van facturering efficiënter en beter. Handmatige verwerking is daarmee verleden tijd. Een e-factuur is een gestructureerd, digitaal bestand waarbij alle gegevens altijd op een vaste plek in het bestand staan en hun eigen betekenis hebben. Een e-factuur kan vanuit het ene geautomatiseerde systeem elektronisch worden verwerkt in het andere systeem.
10.2 Reikwijdte
Daar waar de GIBIT van toepassing is en waar elektronische facturen zijn overeengekomen, dienen deze aan de hier vermelde standaarden te voldoen.
10.3 Normen en standaarden
Nr. | Standaard/norm | Bronnen/referenties |
I1 | EN16931 en NLCIUS | xxxxxxxxxxxxxxxxxxxx.xx/xxxx- standaarden/nlcius |
10.4 Tips en toelichting
1. De GIBIT bepaalt – tenzij anders overeengekomen – dat de factuur elektronisch verzonden moet worden. Zorg er als opdrachtgever voor dat u deze elektronische facturen ook kunt ontvangen en verwerken.
2. Het ministerie van Binnenlandse Zaken heeft een handreiking geschreven specifiek voor gemeenten die hun leveranciers willen laten overstappen op e- factureren xxxxxxxxxxxxx.xx/xxxxxxxxxx/xxxxxxxxxxx/0000/00/00/xxxxxxxxxxx-x- facturatie-voor-gemeenten.
3. Met ingang van november 2018 zijn overheden op grond van de Europese richtlijn inzake e-factureren (EU/55/2014) verplicht bij overheidsopdrachten e- facturen te kunnen ontvangen en verwerken. Hiervoor is de Europese norm EN16931 ontwikkeld. NLCIUS is een aanvullende nationale specificatie op EN16931 voor toepassing in Nederland.
VNG Realisatie Xxxxxxxxxx 00 0000 XX Xxx Xxxx
T 070 373 80 08
F 070 363 56 82
xxxxxxxxxx@xxx.xx xxx.xxxxxxxxxxxxx.xx