2015 begint goed: Dit is de eerste blog van het Bureau Forum Standaardisatie voor de VIAG. Iedere maand kunt u voortaan onze gedachtenspinsels over open standaarden en het e-overheidsveld lezen. Ons team ondersteunt het Forum standaardisatie en het Nationaal Beraad voor keuzes van standaarden voor gebruik binnen de e-overheid. Ons team bestaat uit 5 adviseurs. Allemaal zullen we een blog verzorgen. Deze eerste keer heb ik de eer.
Open standaarden, waarom is dat ook al weer zo belangrijk? Omdat we (de overheid) al lang niet meer op een eiland leven. We leven op zijn minst in een archipel en die archipel omvat eigenlijk de hele wereld. De nodige bruggen kunnen echt niet gebouwd worden zonder open standaarden. 10 jaar geleden hebben we het al gehad over de ketensamenwerking en nu de decentralisaties. Zonder de IT bruggen kan onze samenleving niet meer functioneren. Waar de uitdaging nu ligt is om de partijen om je heen duidelijk maken dat je als gemeente begrijpt dat je bruggenbouwer bent en dat je altijd voorbereid bent om een brug te bouwen naar een nieuw systeem. Door het gebruik van open standaarden in je systemen ben je technisch voorbereid. Je legt als het ware de bekisting alvast neer, zodat iedereen weet: “Hé dat is een bruggenbouwer”.
Genoeg metaforen. Nu de praktijk. Laten we de zorg als voorbeeld nemen. Veilige informatie uitwisseling is hierbij essentieel. Voor veilig transport van gegevens bestaat Digikoppeling. Nu denkt u natuurlijk, ja wat kost dat wel niet om dat voor onze berichten te gebruiken? Als je het nu nog moet gaan inrichten voor de decentralisaties kost het heel wat, maar dat bedoel ik met het voorbereid zijn op de nieuwe brug. Als we het onze leveranciers op tijd vragen krijgen we het ook, maar we moeten het wel vragen en duidelijk maken.
Digikoppeling is trouwens gewoon een internationale set standaarden met een strik eromheen, dus niets exotisch, waardoor alle leveranciers het zouden moeten kennen. Bij Digikoppeling 3.0 kan je gebruik maken van EBMS 2.0, een OASIS standaard of een set Web service standaarden van W3C. Het Nederlandse sausje is de keuze van de set. Dit weten is maakt het voor uw leverancier veel gemakkelijker. Of andersom: Als uw leverancier deze internationale standaarden niet kent, kunt u zich de vraag stellen: Is deze leverancier wel zo professioneel?
Digikoppeling kan in de zorg een brug te ver zijn, vanwege de veelheid en diversiteit aan zorgaanbieders. Digikoppeling is volgens de ‘Pas toe of leg uit’-lijst niet verplicht voor toepassing van gegevensuitwisseling binnen 1 domein: In de lijst staat het volgende als functioneel werkingsgebied:
https://lijsten.forumstandaardisatie.nl/open-standaard/digikoppeling
Voor CORV wordt Digikoppeling gebruikt vanwege de uitwisseling van privacygevoelige gegevens en is het verplicht, omdat sectoroverstijgend hier betrekking heeft op de verschillende bestuurslagen die bij Jeugdzorg betrokken zijn.
Hoe wissel ik nu gegevens uit binnen het zorgdomein? Wat ik me kan voorstellen is dat uw nieuwe applicatie mailfunctionaliteit bevat. Het mailprotocol SMTP is geen veilig transport mechanisme, dus privacy gevoelige gegevens verstuur je niet per mail. Voor alle andere gegevensuitwisseling per mail, is het zaak om zeker te zijn van de juistheid van afzender en geadresseerde door het gebruik van DKIM/DMARC (https://lijsten.forumstandaardisatie.nl/open-standaard/dkim ). Dat helpt bij het voorkomen van gegevensuitwisseling met andere dan de bedoelde partij. Zorg er daarnaast voor dat je niet naar een ander domein (……nl) gestuurd wordt, dat kan door het gebruik van DNSSEC (https://lijsten.forumstandaardisatie.nl/open-standaard/dnssec) . De transportlaag van IP naar IP kan je beveiligen…. https://lijsten.forumstandaardisatie.nl/open-standaard/tls-0 . Dit totaal werkt het beste als je gebruik maakt van IPv6 https://lijsten.forumstandaardisatie.nl/open-standaard/ipv6-en-ipv4 . Met deze combinatie van standaarden op uw mailverkeer en onderliggende transportlaag is de beveiliging behoorlijk sterk.
Wellicht sterk genoeg om gegevens van betrouwbaarheidsniveau Laag te transporteren (maar over betrouwbaarheidsniveaus meer in een volgend blog). Bijkomend voordeel van het gebruik van de mailstandaarden: de kans op een DDOS aanval wordt hiermee heel gering .... Grote banken zijn u voorgegaan. https://www.forumstandaardisatie.nl/fileadmin/os/presentaties/20130402_DKIM_4._ING_XS4ALL_mcdkim.pdf
De combinatie van bovenstaande set mail/ hosting standaarden is een combinatie die elke leverancier van mailapplicaties en hosting partijen bekend moet voorkomen en is niet voor niets een standaard set. Als hier afwijzend of negatief op gereageerd wordt door een leverancier dan diskwalificeert de leverancier zich. Dat geldt natuurlijk ook voor de leveranciers van zorgaanbieders.
Voor gegevensuitwisseling voor privacy gevoelige gegevens is een “share” wellicht een oplossing. Ook hier gelden weer veilige protocollen en standaarden voor. Via een portaal kunnen alle partijen de data veilig inzien gebruik makend van Identificatie/authenticatie en autorisatie protocollen, waarvan er een aantal op onze lijst staan (een blog over beveiliging en toegang volgt).
Kortom: Kijk naar wat u nu en in de nabije toekomst denkt nodig te hebben aan functionaliteit. Zorg altijd voor de aanleg van de brug naar buiten en help uw leverancier begrijpen hoe belangrijk dit voor u is. Een klein frustratiepuntje van deze schrijver: demystificeer alle Digi namen. Help uw leverancier te voldoen aan de eisen voor een solide IT brug, nl met het gebruik van open standaarden.
En……. als u er even niet uitkomt kunt u ons altijd bellen.
Mijn naam is: Marijke Salters en mijn telefoonnummer is 0655713611