Skip to main content

Overheid, practice what you preach!

Overheden produceren in hoog tempo nieuwe richtlijnen voor informatiedeling, privacy, cybersecurity en ai. Terecht, want de risico s nemen toe. Maar wie goed kijkt, ziet dat diezelfde overheid een essentieel element stelselmatig overslaat: de implementatie-infrastructuur.

Developers worden geacht complexe, risicovolle beleidsregels correct en veilig te implementeren, zonder dat daar een functioneel hanteerbaar kader tegenover staat. De uitkomst: fouten, vertraging en versnippering. Wat als we het anders doen? Wat als we beleid niet alleen publiceren, maar direct uitvoerbaar maken via een nieuwe generatie, functionele api’s? Als je zo goed richtlijnen kunt bedenken, zou je ze toch ook heel goed moeten kunnen implementeren of aanbesteden?

Stel je een api voor die niet vraagt ‘Wat is het adres van persoon X?’, maar die accepteert: ‘Bezorg dit bericht bij de juiste functionaris, mits bevoegd en conform beleid.’ Of een endpoint dat geen rollenlijst teruggeeft, maar antwoordt: ‘Deze medewerker mag deze taak op dit moment uitvoeren.’ Geen datalevering, maar beleidsgecontroleerde uitvoering.

Zo’n infrastructuur werkt op basis van vier kernprincipes:

  • Functionele doelgerichtheid: Api’s leveren geen data maar voeren acties uit, volgens regels;
  • Toestemming boven toegang: Gebruikers vragen geen data op, maar rechten op een beoogde actie. Data-toegang is nodig voor de uitvoerende kant, niet voor de initiërende;
  • Contextualisatie: Elke api-call bevat metadata over reden, actor, en beleidscontext en hanteert standaards zoals NIS2;
  • Centrale beleidslaag: Beleid wordt één keer geïmplementeerd, in de api zelf. De applicatieontwikkelaars eieren voor hun geld laten kiezen.

De voordelen? Ontwikkelaars hoeven geen juridische experts meer te zijn. Beleidswijzigingen vergen geen nationale ict-trajecten. En auditbaarheid is ingebouwd vanaf het eerste verzoek. Bovendien kunnen vakinhoudelijke experts hun eigen regels opstellen, zonder het hele land ermee lastig te vallen.

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Kleine groep gebruikers houdt toegang tot Mythos
Verder lezen
Autoriteit Persoonsgegevens ontvangt veel klachten over camera’s
Verder lezen
AFM: Financiële organisaties moeten grip krijgen op ICT-risico’s en interne controle
Verder lezen
AP controleert vanaf 1 juli registratie scanauto’s in algoritmeregister
Verder lezen
Digitale soe­ve­rei­ni­teit bestaat niet in zwart-wit
Verder lezen
Inlichtingendiensten slaan alarm over privacy: je nieuwe auto luistert actief mee
Verder lezen
Amerikaanse overheid moet update voor kritiek Dell-lek binnen 3 dagen uitrollen
Verder lezen
Waarschuwing voor personeel dat met AI aan de slag gaat: ‘Kans op datalek groot’
Verder lezen
Intelligentie als wapen
Verder lezen
Veilige softwarekeuzes bij het toepassen van AI in de zorg
Verder lezen