Eigenschap:Implicaties nl

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen

This property page has been created by SmartConnect. The datatype is Text.

Showing 83 pages using this property.
A
De criteria die de bewaartermijn bepalen zijn expliciet en de naleving hierop kan geverifieerd worden.  +
De ambities met betrekking tot het te realiseren niveau van informatiebeveiliging kunnen in de tijd per onderwijssector of toepassingsgebied verschillen. Het afstemmen van de ambitie vindt binnen de verschillende onderwijssectoren plaats. Om betrouwbaar gegevens te kunnen uitwisselen en in ketens te kunnen samenwerken moeten partijen een vergelijkbaar ambitieniveau hebben. Waar mogelijk wordt met het realiseren van de ambities vaart gemaakt, zonder organisaties te overvragen. Er wordt nadrukkelijk rekening gehouden met de huidige stand van zaken, de mogelijke verbeterpunten en een groeipad naar een steeds hoger daadwerkelijk gerealiseerd niveau ten opzichte van de ambitie. Dit gerealiseerde ´volwassenheidsniveau´ kan worden vastgesteld middels toetsingskaders. Die maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketen valideerbaar  +
<ul><li>In het afsprakenstelsel zijn afspraken gemaakt over privacy.</li><li>Binnen het afsprakenstelsel zijn afspraken gemaakt voor het waarborgen van de beschikbaarheid.</li><li>Het moet duidelijk zijn welke gegevens worden gebruikt voor toegang en welke voor een ander doel, zoals het kunnen uitvoeren van een transactie.</li><li>Binnen een afsprakenstelsel wordt beschreven hoe er invulling wordt gegeven aan de verschillende generieke functies, dit betreft o.a.:</li><ul><li>Identiteitenbeheer om de relatie te leggen tussen realiteit en de digitale identiteit.</li><li>Beheer authenticatiemiddelen om o.a. de authenticatiefunctie te ondersteunen en het leveren van de authenticatieverklaring (identiteitsverklaring) en een efficiënte en veilige logistiek.</li><li>Bevoegdhedenbeheer om vast te stellen of de digitale identiteit bevoegd is voor de betreffende transactie en welke gegevens gebruikt mogen worden bij deze transactie.</li></ul></ul>  +
Er wordt, bijvoorbeeld middels een stakeholderanalyse, vastgelegd welke belanghebbenden de ketenafspraak kent en wat hun belangen zijn. Belangen kunnen verder geduid worden, bijvoorbeeld aan de hand van het RACI-model.  +
Het is bekend wie de belanghebbenden zijn en wat hun belangen zijn.  +
B
Gegevensservices zijn geënt op de context waarbinnen die services gebruikt worden. Er wordt niet meer (maar ook niet minder) informatie uitgewisseld dan nodig.  +
Maak onderscheid in attributen voor (a) identificatie, (b) autorisatie, en (c) business processen.  +
Inrichten van overleg- en governancestructuren, wijzigingsprocessen, et cetera  +
Er is structurele aandacht voor afhankelijkheden, waarbij actief gezocht wordt naar bestaande afspraken die voor de ketenafspraak benodigde randvoorwaarden invullen. Partijen zorgen dat ontwikkelingen rondom ketenafspraken tijdig in de keten bekend zijn. Afhankelijkheden zijn traceerbaar, wijzigingen worden gesignaleerd en hun implicaties doorgevoerd. Zo nodig vindt structureel overleg plaats.  +
C
Alle objecten en gegevens(domeinen) die een rol spelen binnen een ketenproject zijn op te hangen aan elementen uit het KOI. Dit heeft als implicatie dat er ook aangesloten wordt bij de Stelselcatalogus.  +
Voor gegevens waarvoor onderling een kritieke tijdsafhankelijke relatie bestaat, worden maatregelen genomen die de continuïteit van de dienstverlening waarborgen.  +
Voor gegevens waarvoor onderling een kritieke tijdsafhankelijke relatie bestaat, worden maatregelen genomen die de continuïteit van de dienstverlening waarborgen.  +
D
<ul><li>Er zijn afspraken gemaakt over minimale gegevensverwerking. Hierbij wordt altijd een afweging gemaakt tussen het nut en de impact op de privacy. Daarbij spelen proportionaliteit (mate waarin het doel opweegt tegen de impact op de privacy) en subsidiariteit (in hoeverre hetzelfde doel te bereiken is met een alternatief middel dat minder impact op de privacy heeft) een belangrijke rol. </li><li>Er wordt onderscheid gemaakt in de te gebruiken categorieën van persoonsgegevens. </li><li>Er zijn afspraken gemaakt over de wijze waarop verificatie (off-line of real-time) op dataminimalisatie uitgevoerd kan worden.</li></ul>  +
De verschillende schakels in de keten zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaar zijn.  +
De verschillende schakels in een ketenproces zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaar zijn.  +
Transparantie betekent dat het voor de onderwijsdeelnemer duidelijk moet zijn bij welke organisatie welke gegevens over hem zijn opgeslagen. Regie betekent dat de onderwijsdeelnemer in staat wordt gesteld deze gegevens (her) te gebruiken en in sommige gevallen te bewerken, en te beslissen welke partijen al dan niet mogen inzien, gebruiken en bewerken. Daarbij is het niet noodzakelijk dat gegevens centraal worden beheerd en opgeslagen, maar dat gegevens op het moment dat het nodig is, opgehaald kunnen worden bij de bron. Dus geen centraal dossier, maar een samenstelling van diensten.  +
De referentiearchitectuur legt afspraken vast voor het digitale kanaal, met name voor machine-machinekoppelingen, maar dwingt het gebruik van dat kanaal niet af. Afspraken die betrekking hebben op andere kanalen zijn buiten de scope van de referentiearchitectuur en worden door partijen onderling ad hoc of structureel (bilateraal) ingevuld.  +
<ul><li>Voor elke verwerking zijn afspraken gemaakt over doelbinding voor de betreffende verwerking.</li><li>Bij het verwerken (uitwisselen) van persoonsgegevens moet het mogelijk zijn te verifiëren of de vragende partij de gegevens verwerkt conform doelbinding.</li></ul>  +
Ketenpartijen zijn open en transparant over onderlinge afhankelijkheden. Zij maken aan elkaar duidelijk: * de eisen en verwachtingen die zij hebben ten aanzien van procesuitvoering en informatievoorziening door andere ketenpartijen, en * de mate waarin zij zelf aan de verwachtingen en eisen van andere ketenpartijen kunnen voldoen Op basis hiervan worden afspraken gemaakt over ieders rol en taak. Ieder komt de bij zijn rol en taak behorende verplichtingen na, en is daarop aan te spreken. Dit maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketen testbaar.  +
Ketenpartners zijn open en transparant over onderlinge afhankelijkheden. Zij maken aan elkaar duidelijk: * de eisen en verwachtingen die zij hebben ten aanzien van procesuitvoering en informatievoorziening door andere ketenpartijen, en * de mate waarin zij zelf aan de verwachtingen en eisen van andere ketenpartijen kunnen voldoen Op basis hiervan worden afspraken gemaakt over ieders rol en taak. Ieder komt de bij zijn rol en taak behorende verplichtingen na, en is daarop aan te spreken. Dit maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketens testbaar.  +
E
Een persoon heeft minstens één digitale identiteit (maar kan desgewenst ook meerdere digitale identiteiten verkiezen te gebruiken.  +
Per digitale identiteit wordt binnen het vertrouwensraamwerk de mate van zelfbeschikking bepaald.  +
Gegevens die reeds in het onderwijsdomein bekend zijn, worden niet opnieuw samengesteld of uitgevraagd maar in plaats daarvan hergebruikt.  +
<ul><li>Binnen de architectuuraanpak moet binnen een toepassingspatroon beschreven worden hoe zelfbeschikking ingericht kan worden.</li></ul>  +
Maak onderscheid in attributen voor (a) identificatie, (b) autorisatie, en (c) business processen.  +
Maak gebruik van de WaardenWijzer om in het ontwerpproces expliciet te maken op welke wijze de onderwijswaarden in de belangenafweging betrokken zijn. De handreiking [https://www.edustandaard.nl/app/uploads/2020/11/20210929-Onderwijswaarden-en-ROSA.pdf Waarden en Architectuur in ROSA] is beschikbaar als een handreiking en inspiratiebron voor ketenprojecten om vanuit een reeks vragen en voorbeelden in de praktijk met de WaardenWijzer te werken.  +
F
<ul><li>Bepaal foundational identity (contextloos, levert betrouwbaarheid)</li><li>Hanteer een functionele identiteit met een betrouwbaarheidsniveau dat passend is bj de specifieke context.</li><li>De scope van de foundational identity moet de scope van (alle) afgeleide functionele identiteiten omvatten.<ul><li>Een foundational identity (voor een bepaalde scope) kan bestaan uit een verzameling foundational identities (voor diverse scopes). (Voorbeeld: EIDAS)</li><li>Zorg dat de foundational identity het hoogste betrouwbaarheidsniveau heeft dat nodig is in (een toepassing van) de daarvan afgeleide functionele identiteiten.</li></ul></li><li>Voor foundational identities wordt altijd identity proofing en identity verification uitgevoerd.</li><li>Voor functionele identiteiten wordt situationeel bepaald welke mate van identity proofing en/of identity verification noodzakelijk is.</li></ul>  +
G
Uitwisseling van vertrouwelijke gegevens verloopt via webservices;  +
Alle objecten en gegevens(domeinen) in het Gegevenswoordenboek DUO die een rol spelen bij gegevensuitwisseling met de keten zijn te classificeren met elementen uit het KOI  +
De in de onderwijsketen gebruikte systemen, worden ontwikkeld met gebruikmaking van technieken voor veilig programmeren. De gebruikte technieken passen bij de benodigde vertrouwelijkheids- integriteits- en beschikbaarheidsniveaus.  +
Binnen een toepassingspatroon wordt in een privacy-protocol beschreven hoe invulling wordt gegeven aan de IBP kaders, waaronder transparantie, verantwoording en rechten betrokkene .  +
<ul><li>Voor personen die voor het onderwijsdomein relevante rollen vervullen moet duidelijk zijn welke attributen beschikbaar worden gesteld voor deze rol. Het gaat dan niet alleen gaan over syntax en semantiek, maar ook over andere zaken die van belang zijn voor de personen of systemen die deze gegevens gebruiken (De Avg noemt dat: 'verwerken' van gegevens), bijvoorbeeld om vast te kunnen stellen of zulke gegevens voor een specifiek doel valide zijn.</li><li>Partijen die deze gegevens willen gebruiken voor een specifiek doel moeten nadenken over (a) de criteria waar die gegevens aan moeten voldoen om valide te zijn om voor dat doel te worden gebruikt, en (b) op welke manier(en) – design-time of run-time – voldoende zekerheid verkregen kan worden dat (run-time) aangeleverde gegevens aan die criteria voldoen. Waar traditioneel alleen administratieve gegevens als NAW werden gestuurd, biedt SSI mogelijkheden om additionele 'zekerheden' mee te sturen, zoals een bewijs dat de persoon ergens staat ingeschreven bij een onderwijsaanbieder, of medewerker is, een zeker diploma of andere kwalificatie heeft, een werkplek heeft in een bepaald gebouw, etc.</li></ul>  +
Belanghebbenden worden geclusterd op basis van de onderdelen van de ketenafspraak waar zij belang in hebben. Ketenafspraken zijn zo gesegmenteerd dat clustering van belangen en belanghebbenden op het juiste niveau mogelijk is.  +
Zodra het, vanuit het oogpunt van (keten)procesuitvoering, mogelijk is worden gegevens direct vernietigd. Wanneer gegevens in een andere (primaire) bron beschikbaar zijn, worden de gegevens in beginsel uit die bron geraadpleegd; het 'lokaal' opslaan van die gegevens wordt zo veel mogelijk vermeden. Daar waar de wet restricties of verplichtingen oplegt met betrekking tot bewaar- en archieftermijnen worden die gevolgd.  +
<ul><li>Zodra het, vanuit het oogpunt van (keten)procesuitvoering, mogelijk is worden gegevens direct vernietigd. Wanneer gegevens in een andere (primaire) bron beschikbaar zijn, worden de gegevens in beginsel uit die bron geraadpleegd; het 'lokaal' opslaan van die gegevens wordt zo veel mogelijk vermeden. Daar waar de wet restricties of verplichtingen oplegt met betrekking tot bewaar- en archieftermijnen worden die gevolgd.</li><li>Voor de verschillende soorten persoongegevens worden bewaartermijnen vastgelegd.</li><li>Van actoren die deze persoonsgegevens verwerken is opgenomen op welke wijze geverifieerd kan worden dat de afspraken ten aanzien van de bewaartermijn worden nageleefd.</li></ul>  +
Er zijn maatregelen rond integriteit en vertrouwelijkheid vastgelegd waar de partijen die gegevens verwerken aan moeten voldoen.  +
Er wordt rekening gehouden met belanghebbenden en hun belangen, de architectuur van de ketenafspraak, en de bestendiging van projectresultaten.  +
H
Handelingen rondom gegevens zijn te herleiden naar personen.  +
Een gedegen begrippenkader moet in de ROSA opgebouwd worden en actief beheerd.,Het ROSA begrippenkader moet worden aangevuld met begrippen vanuit HORA, MORA en FORA.,Wanneer begrippen niet gelijk kunnen worden getrokken wordt in ieder geval gebruik gemaakt van SKOS relaties om semantische samenhang aan te duiden.  +
I
Voorkomen is beter dan genezen. De privacy- en beveiligingskaders richten zich daarom met name op het tegengaan van privacy- en beveiligingsincidenten. Toch kan zich altijd de situatie voordoen dat een plotseling incident leidt tot de noodzaak om snel in te grijpen, door de hele onderwijsketen heen. Zo'n situatie ontstaat bijvoorbeeld wanneer een serieus lek wordt gevonden in veelgebruikte (systeem)software. In zo'n geval moeten - afhankelijk van de schaal en reikwijdte van het incident - individuele partijen in het onderwijsdomein, volledige onderwijssectoren of het hele onderwijsdomein voorbereid zijn om op de juiste manier te kunnen reageren.  +
Ketenpartijen conformeren zich aan de 'Code voor informatiebeveiliging'  +
Informatie waarvoor de integriteit op orde is, is dus informatie die 'klopt'. Merk op dat een aantasting van vertrouwelijkheid (waardoor onbevoegden bijvoorbeeld mutaties kunnen doorvoeren) kan leiden tot een aantasting van integriteit.  +
K
Er wordt een ketenserviceregister ingericht waar ketenpartijen met de juiste autorisaties hun eigen logistieke punten beheren. Dit kan per toepassing (verzuim, LAS, OSO, ECK) anders zijn. Het project richt een portaal in waar instellingen kunnen aangeven welke logistieke punten ze hanteren gekoppeld aan de nog te realiseren Basislijst Instellingen. Huidige separate lijstjes met aanleverpunten (DUO, OSO etc) worden hierin opgenomen.  +
Scholen (c.q. hun leveranciers) richten endpoints in waarlangs gegevens aan scholen geleverd kunnen worden. Per gegevensuitwisseling worden er afspraken gemaakt over de "choreografie": wie biedt welke service aan en wanneer.  +
Ketenpartijen implementeren een managementsysteem voor informatiebeveiliging en privacybescherming gericht op het vaststellen, implementeren, bijhouden en continu verbeteren van beheersmaatregelen die beveiligings- en privacyrisico's mitigeren.  +
<ul><li>Binnen de architectuuraanpak moet binnen een toepassingspatroon beschreven worden hoe zelfbeschikking ingericht kan worden.</li></ul>  +
M
<ul><li>Het ontwerp is te herleiden naar een bepaald toepassingspatroon van de architectuuraanpak en bijbehorende privacy-protocol.</li><li>De toepassingspatronen die aansluiten bij een vertrouwensraamwerk worden gepubliceerd.</li><li>Het is raadpleegbaar welke organisaties een vertrouwensraamwerk volgen.</li><li> In het ontwerp van een ketenproces wordt informatiebeveiliging en privacy integraal meegenomen. Het maakt expliciet of er persoonsgegevens uitgewisseld worden en welke maatregelen er gelden. Hierbij wordt ook aangegeven welke rollen worden onderscheiden en welke taken en verantwoordelijkheden horen bij een rol.</li></ul>  +
<ul><li>Dienstverleners loggen transacties waarbij persoonsgegevens zijn betrokken</li><li>Dienstverleners zorgen dat betrokken op een gebruikersvriendelijke wijze kunnen vaststellen welk gebruik is gemaakt van zijn of haar persoonsgegevens.</li></ul>  +
Alle onderwijsreferentiearchitecturen modelleren zo veel mogelijk op vergelijkbare manier en hebben een goed beeld van elkaars modelleerkeuzes.,Sectoroverstijgende referentiecomponenten kunnen binnen iedere SRA worden overgenomen/'overerft'. Vanuit het werkpakket “Samenhang ROSA en SRA’s” van het Revisie ROSA-project wordt een inventarisatie gemaakt waarin de raakvlakken tussen de SRA's in kaart worden gebracht.,Er zullen hiervoor aanpassingen gedaan moeten worden in de sector- en referentiearchitecturen, werk wat niet in 1 keer zal kunnen worden uitgevoerd, maar incrementeel zal worden opgepakt.,Er moest een robuust governance-proces worden ingericht om de samenhang voortdurend te blijven bewaken en elkaar hierbij te helpen. Dit is gedaan in de vorm van de Werkgroep Samenhang Sector- en Referentiearchitecturen.  +
N
Er is onderlinge afstemming nodig tussen alle referentiearchitecturen; introduceert ook mogelijke afhankelijkheid van elkaars wijze van modelleren.,Voor generiek beschreven applicaties hanteren we de ROSA-term ‘referentiecomponenten’.,Er is capaciteit nodig binnen de beheerteams van alle aangesloten sector- en referentiearchitecturen om aanpassingen door te kunnen voeren.,Er zijn duidelijke spelregels op het gebied van het opnemen referentiecomponenten in de ROSA.,Referentiecomponenten die voorkomen in meerdere sectorale referentiearchitecturen en dezelfde/sterk overlappende functionaliteit hebben worden onder een generieke naam geduid in de ROSA maar kunnen desgewenst voor elke sector met een sectorspecifiek label worden geduid (bijv. een LAS in po/vo, SIS in het mbo/ho).  +
O
Meer (ArchiMate) elementen moeten worden beschreven, beheerd en afgestemd.,Een sectoroverstijgend door alle sectoren gedragen beheerproces wordt in leven gehouden.  +
Gegevenswoordenboek en openbare registers worden vertaald als zogeheten resources op een URI en permanent geplaatst in een zogenaamde RDF-store. Hiervoor moet een gezamenlijke URI-strategie aanwezig zijn.  +
P
De in de onderwijsketen gebruikte systemen worden proactief technisch beheerd. Onderdeel van proactief technisch beheer is het bewust afwegen van risico's van het gebruik van verouderde software.  +
Aansluiting bij ROSA ketenprocesuitwerkingen.  +
Beheer en doorontwikkeling moet worden belegd over de einddatum van een project heen.  +
R
Er is in kaart gebracht of er op onderdelen sprake is van verschillen in dynamiek. Overleg- en governancestructuren voor de diverse clusters van belanghebbenden zijn afgestemd op de dynamiek rondom de voor hen relevante onderdelen van de ketenafspraak. Tegelijkertijd wordt in de structuur van de ketenafspraak rekening gehouden met de benodigde dynamiek.  +
Dit maakt het mogelijk om begrippen waarvan de semantische betekenis nog niet officieel is vastgelegd in de stelselcatalogus, KOI of het Gegevenswoordenboek DUO alsnog vast te leggen zodat er geen semantische gaten ontstaan.  +
Ketensamenwerkingen (en voorzieningen die binnen ketensamenwerkingen gebruikt worden) omvatten IBP-maatregelen en -afspraken die zijn toegespitst op (risico's binnen) de ketensamenwerking  +
S
Ketenpartners bieden inzage in de normenkaders en beheersmaatregelen die zij toepassen, en bieden de mogelijkheid die toepassing te (laten) controleren. Dit maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketen verifieerbaar.  +
Vanuit de sectoren, maar ook vanuit de Edustandaard Architectuurraad en Standaardisatieraad, is de wens uitgesproken om meer samenhang te brengen in de verschillende sector- en referentiearchitecturen binnen het onderwijs. In de aansluiting bij NORA maken we vooral gebruik van die onderdelen van NORA die het meest helpen bij het realiseren van de ROSA-doelen.  +
Voorkomen is beter dan genezen. De privacy- en beveiligingskaders richten zich daarom met name op het tegengaan van privacy- en beveiligingsincidenten. Toch kan zich altijd de situatie voordoen dat een plotseling incident leidt tot de noodzaak om snel in te grijpen, door de hele onderwijsketen heen. Zo'n situatie ontstaat bijvoorbeeld wanneer een serieus lek wordt gevonden in veelgebruikte (systeem)software. In zo'n geval moeten - afhankelijk van de schaal en reikwijdte van het incident - individuele partijen in het onderwijsdomein, volledige onderwijssectoren of het hele onderwijsdomein voorbereid zijn om op de juiste manier te kunnen reageren.  +
Voorkomen is beter dan genezen. De privacy- en beveiligingskaders richten zich daarom met name op het tegengaan van privacy- en beveiligingsincidenten. Toch kan zich altijd de situatie voordoen dat een plotseling incident leidt tot de noodzaak om snel in te grijpen, door de hele onderwijsketen heen. Zo'n situatie ontstaat bijvoorbeeld wanneer een serieus lek wordt gevonden in veelgebruikte (systeem)software. In zo'n geval moeten - afhankelijk van de schaal en reikwijdte van het incident - individuele partijen in het onderwijsdomein, volledige onderwijssectoren of het hele onderwijsdomein voorbereid zijn om op de juiste manier te kunnen reageren.  +
Er bestaan vooral sectorspecifiek nuances in dreigingsbeelden, risico's en realiseerbaarheid van beheersmaatregelen. Om een zekere harmonisatie van te nemen maatregelen te realiseren, wordt in ieder geval sectorbreed afstemming georganiseerd over de te gebruiken beveiligings- en privacyframeworks en -baselines.  +
Ketenpartners werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines  +
Berichtelementen in XSD's verwijzgen naar de URI die de betekenis van dat element representeert. De gegevens in het Gegevenswoordenboek zijn traceerbaar  +
De betekenis van begrippen is eenduidig vast te stellen. Het verband tussen begrippen uit verschillende onderwijssectoren of ketenprocessen is inzichtelijk.  +
Er wordt een gemeenschappelijk model opgezet voor een serviceregister  +
Het beheer van de keten moet worden ingericht, niet alleen binnen de deelnemende organisaties maar ook over de organisaties heen. Dit is enerzijds een organisatorisce kwestie, wie kan worden aangesproken op het overstijgende gedeelte, en deels een technische kwestie: hoe wordt de keten gemonitord? Daarnaast moet per proces aangegeven kunnen worden welke serviceprestaties moeten en mogen worden gemonitord  +
Congruentie van de governance-structuur met de architectuur van de ketenafspraak  +
<ul><li>Een persoon moet zicht hebben op het gebruik van zijn/haar digitale identiteit. Het moet onder andere duidelijk zijn wie welke gegevens vraagt en voor welke doeleinden. Deze informatie is randvoorwaardelijk voor een persoon om invloed indirect (bijvoorbeeld via een rechter) of direct (door eigen handelen) uit te kunnen oefenen.</li></ul>  +
T
Er zijn centrale afspraken en generieke diensten nodig om de basisinfrastructuur draaiende te houden. Organisaties die zich aansluiten op de basisinfrastructuur moeten aan een aantal voorwaarden voldoen. In principe kunnen alle organisaties en personen die deel uitmaken van of een relatie hebben tot het onderwijsveld zich aansluiten op de basisinfrastructuur.  +
<ul><li>Dienstverleners loggen transacties waarbij persoonsgegevens zijn betrokken</li><li>Dienstverleners zorgen dat betrokken op een gebruikersvriendelijke wijze kunnen vaststellen welk gebruik is gemaakt van zijn of haar persoonsgegevens.</li></ul>  +
Ketenpartners bieden inzage in de normenkaders en beheersmaatregelen die zij toepassen, en bieden de mogelijkheid die toepassing te (laten) controleren.  +
Ketenpartijen bieden inzage in de normenkaders en beheersmaatregelen die zij toepassen, en bieden de mogelijkheid die toepassing te (laten) controleren. Dit maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketen verifieerbaar.  +
V
In elk ketenproces zijn waarborgen geïmplementeerd waardoor binnen dat proces met voldoende mate vastgesteld en verzekerd kan worden dat persoonsgebonden gegevens aan de juiste persoon zijn toegewezen  +
Ketenpartijen monitoren, waar mogelijk geautomatiseerd, in welke mate voldaan wordt aan de privacy- en beveiligingskaders en de daaruit voortvloeiende afspraken. Zij delen de resultaten met andere partijen in de onderwijsketen. Dit maakt de betrouwbaarheid van de informatievoorziening in de onderwijsketen meetbaar  +
Volg de lijn van de NORA en de andere landelijke referentiearchitecturen op het gebied van architectuur-principes, -thema’s, -begrippen en architectuurelementen zoals referentiecomponenten en voorzieningen.,Wanneer er wordt afgeweken van een landelijke trend op het gebied van architectuur, dan wordt dit verschil uitgelegd.,Wanneer kan worden verwezen naar een pagina van de NORA of een andere landelijke referentiearchitectuur wordt dit gedaan, maar de verwachting is dat dit niet altijd mogelijk is.,Definities van architectuurelementen in ROSA en sector- en referentiearchitecturen binnen het onderwijs zijn in lijn met de NORA of een andere landelijke referentiearchitectuur.  +
Gegevens worden zo opgeslagen en getransporteerd dat aantasting van de juistheid, volledigheid en/of tijdigheid onmogelijk worden gemaakt. Daarbij worden maatregelen genomen die passen bij de integriteitsclassificatie van die gegevens.  +
Gegevens worden zo opgeslagen en getransporteerd dat aantasting van de juistheid, volledigheid en/of tijdigheid onmogelijk worden gemaakt. Daarbij worden maatregelen genomen die passen bij de integriteitsclassificatie van die gegevens.  +
In ontwerpen van processen en informatiesystemen wordt uitgegaan van het principe van 'privacy by design', en er is aandacht voor privacybevorderende voorzieningen zoals een nummervoorziening die het gebruik van pseudoniemen in de onderwijsketen mogelijk maakt. Persoonsgegevens worden slechts gebruikt indien dat strikt noodzakelijk is.  +
Gegevens worden zo opgeslagen en getransporteerd dat onrechtmatige toegang of verspreiding onmogelijk wordt gemaakt. Daarbij worden maatregelen genomen die passen bij de vertrouwelijkheidsclassificatie van die gegevens.  +
Gegevens worden zo opgeslagen en getransporteerd dat onrechtmatige toegang of verspreiding onmogelijk wordt gemaakt. Daarbij worden maatregelen genomen die passen bij de vertrouwelijkheidsclassificatie van die gegevens.  +
Z
Van elk gegeven is vastgesteld waar het geregistreerd staat, welke partij het gegeven voor hergebruik aan de keten ter beschikking stelt, wie de gegevens bij die bron mogen inwinnen, wiens toestemming vereist is voor uitwisseling, welke partijen inzagerecht hebben, wie de gegevens mogen corrigeren en/of bijwerken, en onder wiens verantwoordelijkheid vernietiging van de gegevens kan geschieden.  +