Inhoudsopgave
- Algemeen
- Hergebruik en uitwisselbaarheid van gegevens
- Gegevensuitwisseling in de uitvoering
- Data Protection Impact Assessment
- Verplichtingen om de gevolgen voor de ICT in kaart te brengen
- Adviescollege ICT-toetsing
- Meer informatie
Algemeen
Als wet- en regelgeving wijzigt, kan dat gevolgen hebben voor de Informatie- en communicatietechnologie (ICT) die overheidsorganen gebruiken voor hun processen. Daarnaast kunnen wijzigingen in wet- en regelgeving ook gevolgen hebben voor de ICT die burgers, bedrijven en instellingen gebruiken.
Het gaat hierbij niet alleen om wet- en regelgeving die gaat over de iOverheid, zoals de elektronische handtekening, de bescherming van privacy, gemeenschappelijke voorzieningen of informatiebeveiliging. Ook kun je hierbij denken aan ‘gewone regels’ waarvan de uitvoering of handhaving met ICT wordt ondersteund. Dit is niet altijd terug te vinden in de regels. Denk bijvoorbeeld aan sociale zekerheidswetgeving, belastingwetgeving en onderwijswetgeving. Tot slot kun je ook denken aan regels die verplichten tot het geven van informatie.
Om nieuwe regels op een verantwoorde manier in- en uit te voeren is het belangrijk dat ervoor wordt gezorgd dat de gevolgen ervan voor de ICT worden geanalyseerd. Deze analyses moeten op tijd worden gedaan en zo vaak als nodig is. Je kijkt hierbij zowel naar de ontwikkeling van de ICT als het beheer ervan. Dit betekent dat er een goede samenwerking nodig is tussen de werelden van beleid, wetgeving en uitvoering en ICT.
Om de gevolgen van nieuwe regels te toetsen, moet je kunnen zien hoe de regels zijn vertaald naar ICT. Bij de uitvoering worden hiervoor verschillende hulpmiddelen gebruikt. Voorbeelden zijn taxonomie en ontologie.
Hergebruik en uitwisselbaarheid van gegevens
Voordat je een nieuw begrip introduceert in wet- en regelgeving, moet je eerst kijken of een bestaand begrip ook voldoet. De reden hiervoor is dat gegevens zoveel mogelijk herbruikbaar en uitwisselbaar moeten zijn en om administratieve lasten te voorkomen. Gebruik het liefst begrippen op het hoogst mogelijke niveau. Dus bijvoorbeeld liever een internationaal begrip dan een nationaal begrip. En liever een nationaal begrip dan een begrip in de keten of de interne organisatie. Als op een bepaald niveau de benodigde gegevens al aanwezig zijn, dan is dit ook goed om te weten. Aansluiten op bestaande begrippen is goed voor de uitwisselbaarheid van gegevens. Het kan voorkomen dat de overheid burgers, bedrijven en professionals om gegevens moet vragen die ze al heeft. Zie hiervoor ook het in het kader van Standard Business Reporting (SBR) onderhouden Factsheet taxonomie denken.
Of een gegeven kan worden hergebruikt hangt natuurlijk niet alleen af van de technische voorzieningen, maar ook van het toepasselijke verstrekkingsregime. Daarmee bedoelen we dat je moet weten welke regels van toepassing zijn om te weten of je gegevens mag hergebruiken. In veel domeinen zijn al voorzieningen voor uitwisseling en hergebruik van gegevens. SBR is bijvoorbeeld de nationale standaard voor de digitale uitwisseling van alle bedrijfsmatige rapportages. Voor deze en andere standaarden kun je het Forum Standaardisatie raadplegen. Zie hiervoor ook Ar 5.31 (aansluiten bij definities basisregistraties). De Stelselcatalogus geeft inzicht in de begrippen uit de basisregistraties.
Ook bij de wijziging van een begrip moet je natuurlijk denken aan de gevolgen voor herbruikbaarheid en uitwisselbaarheid, en ook aan de vergelijkbaarheid met in het verleden verzamelde gegevens.
Gegevensuitwisseling in de uitvoering
Indien voor de uitvoering van een regeling de beschikbaarheid of uitwisseling van informatie tussen overheidsorganisaties van betekenis is, wordt in een aparte informatieparagraaf in de toelichting aandacht besteed aan de wijze waarop de informatievoorziening organisatorisch en technisch is ingericht, aldus Ar 5.32.
Data Protection Impact Assessment
Als je beleid maakt waarin persoonsgegevens worden gevraagd, verstrekt, bewerkt of uitgewisseld, dan moet je een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een hulpmiddel om vast te stellen of deze beperkingen op het grondrecht tot bescherming van de persoonlijke levenssfeer gerechtvaardigd zijn. Vroeger heette dit een Privacy Impact Assessment (PIA). Het PIA-toetsmodel wordt vanaf 1 september 2013 standaard toegepast bij ontwikkeling van nieuwe wetgeving en beleid waarvoor nieuwe ICT-systemen of grote databestanden nodig zijn (Kamerstukken II 2012/13, 26643, nr. 282). In 2021 is het PIA model geactualiseerd onder de vernieuwde naam model DPIA Rijksdienst.
Verplichtingen om de gevolgen voor de ICT in kaart te brengen
Je bent verplicht om bedoelde en onbedoelde gevolgen van ontwerp-regelgeving in kaart te brengen. Dit is vanwege de uitvoerbaarheid en handhaafbaarheid (U&H). Je doet dit dus vooral voor de organisaties die de uitvoering en handhaving moeten doen, waaronder ook de rechterlijke macht. Ook gevolgen voor medeoverheden breng je in beeld (zie ook gevolgen voor decentrale overheden). Hieronder vallen ook de gevolgen voor ICT. Doe dit op tijd (bijvoorbeeld al bij het ontwerpen van wetgeving die digitaal uitgevoerd gaat worden) en zo vaak als nodig (bijvoorbeeld opnieuw als de tekst van de regeling wordt gewijzigd, op eigen initiatief of bij een amendement). Een ICT-impactanalyse kan ook onderdeel zijn van een gewone uitvoeringstoets . Een hulpmiddel hierbij is de werkmethode ICT-Uitvoeringsgericht wetgeven. Betrek hierbij de departementale Chief Information Officer (CIO).
Adviescollege ICT-toetsing
Als het een groot project is, moet het sowieso goedgekeurd worden door de departementale CIO. Het gaat daarbij om projecten die onder de ministeriële verantwoordelijkheid vallen en waarbij de ICT meer dan € 5 miljoen kost. Bovendien moet het project worden gemeld bij het Adviescollege ICT-toetsing, zie het Instellingsbesluit Adviescollege ICT-toetsing. Op basis van een risico-evaluatie bepaalt het Adviescollege ICT-toetsing welke projecten worden getoetst.
Als het project wordt getoetst, moet je goed voorbereid zijn. Beschrijf daarom hoe er genoeg kennis, geld, mensen en middelen beschikbaar zullen zijn voor zowel de fase van ontwikkeling als beheer. Beschrijf de projectafhankelijkheden en risico’s en hoe deze beheerst worden. Besteed aandacht aan de samenhang tussen werkprocessen en informatisering, architectuur, functionele haalbaarheid en technische maakbaarheid. Zie hiervoor ook het Handboek Portfoliomanagement.
Meer informatie
Laatst gewijzigd op:23-1-2024