Overheden produceren in hoog tempo nieuwe richtlijnen voor informatiedeling, privacy, cybersecurity en ai. Terecht, want de risico s nemen toe. Maar wie goed kijkt, ziet dat diezelfde overheid een essentieel element stelselmatig overslaat: de implementatie-infrastructuur.

Developers worden geacht complexe, risicovolle beleidsregels correct en veilig te implementeren, zonder dat daar een functioneel hanteerbaar kader tegenover staat. De uitkomst: fouten, vertraging en versnippering. Wat als we het anders doen? Wat als we beleid niet alleen publiceren, maar direct uitvoerbaar maken via een nieuwe generatie, functionele api’s? Als je zo goed richtlijnen kunt bedenken, zou je ze toch ook heel goed moeten kunnen implementeren of aanbesteden?

Stel je een api voor die niet vraagt ‘Wat is het adres van persoon X?’, maar die accepteert: ‘Bezorg dit bericht bij de juiste functionaris, mits bevoegd en conform beleid.’ Of een endpoint dat geen rollenlijst teruggeeft, maar antwoordt: ‘Deze medewerker mag deze taak op dit moment uitvoeren.’ Geen datalevering, maar beleidsgecontroleerde uitvoering.

Zo’n infrastructuur werkt op basis van vier kernprincipes:

• Functionele doelgerichtheid: Api’s leveren geen data maar voeren acties uit, volgens regels;
• Toestemming boven toegang: Gebruikers vragen geen data op, maar rechten op een beoogde actie. Data-toegang is nodig voor de uitvoerende kant, niet voor de initiërende;
• Contextualisatie: Elke api-call bevat metadata over reden, actor, en beleidscontext en hanteert standaards zoals NIS2;
• Centrale beleidslaag: Beleid wordt één keer geïmplementeerd, in de api zelf. De applicatieontwikkelaars eieren voor hun geld laten kiezen.

De voordelen? Ontwikkelaars hoeven geen juridische experts meer te zijn. Beleidswijzigingen vergen geen nationale ict-trajecten. En auditbaarheid is ingebouwd vanaf het eerste verzoek. Bovendien kunnen vakinhoudelijke experts hun eigen regels opstellen, zonder het hele land ermee lastig te vallen.

Deze versturen we 3-4x per jaar.