Kenniscentrum Wetgeving en Juridische zaken

7.4 Gevolgen voor de ICT

Integraal afwegingskader voor beleid en regelgeving

Algemeen

Als wet- en regelgeving wijzigt kan dat gevolgen hebben voor de ICT die het Rijk, medeoverheden en zelfstandige bestuursorganen met een publieke taak gebruiken ter ondersteuning van hun (keten)processen. Wijzigingen in wet- en regelgeving kunnen ook gevolgen hebben voor de ICT die burgers, bedrijven en instellingen gebruiken.

Waar het gaat om de gevolgen voor ICT kan natuurlijk worden gedacht aan wet- en regelgeving die een specifiek facet van de iOverheid beoogt te regelen, zoals de elektronische handtekening, de bescherming van privacy, gemeenschappelijke voorzieningen of informatiebeveiliging. Maar evenzeer moet worden gedacht aan ‘gewone regels’ waarvan de uitvoering of handhaving met ICT wordt ondersteund, zonder dat dit met zoveel woorden in de regels wordt gezegd. Denk hier bijvoorbeeld aan sociale zekerheidswetgeving, belastingwetgeving, onderwijswetgeving etc. Tot slot kan worden gedacht aan regels die informatie­plichten opleggen.

Het is met het oog op een verantwoorde in- en uitvoering essentieel dat structureel geborgd is dat de impact van wijzigingen in wet- en regelgeving op zowel de ontwikkeling als het beheer van de ICT tijdig (en zo vaak als nodig) wordt geanalyseerd. Dit vergt een goede samenwerking tussen de werelden van beleid, wetgeving en ICT. Om de impact van nieuwe regels te kunnen toetsen, zou steeds traceer­baar moeten hoe de regels zijn vertaald naar ICT. Op diverse plaatsen in de uitvoering worden hiervoor specifieke instrumenten gebruikt, zoals bijvoorbeeld een taxonomie of ontologie waarin de in de uitvoering gehanteerde termen worden vastgelegd, inclusief de bijbehorende definities, de onderlinge relaties, de relatie met wet- en regelgeving, de technische uitwerking etc. Er bestaan ook instrumenten voor het vastleggen van beslis- en procesregels, mede in relatie tot de onderliggende wet- en regelgeving, beleidsregels etc.

Hergebruik en uitwisselbaarheid van gegevens

Met het oog op de herbruikbaarheid en uitwisselbaarheid van gegevens en het voorkomen van administratieve lasten, dient voordat in wet- en regelgeving een nieuw begrip wordt geïntroduceerd, eerst te worden bezien of (in deze context) een bestaand begrip ook voldoet. Sluit (zeker in een green field situatie) bij voorkeur aan bij begrippen op het hoogst mogelijke niveau, dus bijvoorbeeld liever op een internationaal begrip, dan op een nationaal begrip. En liever op een nationaal begrip dan op een begrip in de keten of de interne organisatie. Zijn op een bepaald niveau de benodigde gegevens reeds voorhanden, dan speelt dit uiteraard ook een rol in de afweging. Aansluiten op bestaande begrippen bevordert de uitwisselbaarheid van gegevens en kan voorkomen dat de overheid burgers, bedrijven en professionals om gegevens moet vragen waarover ze al beschikt. Zie in dit verband ook het in het kader van Standard Business Reporting (SBR) onderhouden Factsheet taxonomie denken.

Of een gegeven kan worden hergebruikt hangt uiteraard niet alleen af van de technische voorzieningen, maar ook van het toepasselijke verstrekkingsregime.

In veel domeinen zijn al voorzieningen getroffen voor uitwisseling en hergebruik van gegevens. SBR is bijvoorbeeld de nationale standaard voor de digitale uitwisseling van alle bedrijfsmatige rapportages. Voor deze en andere standaarden kunt u te rade gaan bij het Forum Standaardisatie. Zie in dit verband ook Ar 5.31 (aansluiten bij definities basis­registra­ties). De Stelselcatalogus biedt inzicht in de begrippen uit de basisregistraties.

Ook bij de wijziging van een begrip dient uiteraard gedacht te worden aan de gevolgen voor herbruikbaarheid en uitwisselbaarheid, alsmede aan de vergelijkbaarheid met in het verleden verzamelde gegevens.

Gegevensuitwisseling in de uitvoering

Indien voor de uitvoering van een regeling de beschikbaarheid of uitwisseling van informatie tussen overheidsorganisaties van betekenis is, wordt in een aparte informatie­paragraaf in de toelichting aandacht besteed aan de wijze waarop de informatievoorziening organisatorisch en technisch is ingericht, aldus Ar 5.32.

Privacy Impact Assessment

Wanneer je beleid beoogt waarin persoonsgegevens worden gevraagd, verstrekt, bewerkt of uitgewisseld, ben je verplicht om uitdrukkelijk aandacht te besteden aan de vraag of deze beperkingen op het grondrecht tot bescherming van de persoonlijke levenssfeer gerechtvaardigd zijn. Een Privacy Impact Assessment is hiervoor het meest geëigende instrument. Het PIA-toetsmodel Rijksdienst wordt vanaf 1 september 2013 standaard toegepast bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien (Kamerstukken II 2012/13, 26643, nr. 282).

Verplichtingen om de gevolgen voor de ICT in kaart te brengen

In het kader van uitvoerbaarheid en handhaafbaarheid (U&H) ben je verplicht om de beoogde en de niet-beoogde gevolgen van ontwerp-regelgeving in kaart te brengen voor de organisaties die met de uitvoering en handhaving worden belast (inclusief de rechterlijke macht). Onder gevolgen worden ook verstaan de gevolgen die burgers en bedrijven (in de ogen van de uitvoering en de handhaving) zullen ervaren om de nieuwe regelgeving na te leven of uit te voeren. Tot de gevolgen die in kaart moeten worden gebracht, behoren uiteraard ook de gevolgen voor de ICT.

Volgens het Beoordelingskader Interbestuurlijke verhoudingen geldt bij een beleidsvoornemen de verplichting om de gevolgen voor medeoverheden (provincies, gemeenten en waterschappen) in kaart te brengen. Hiertoe behoren blijkens artikel 6 van het beoordelingskader ook de informatiekundige gevolgen.

Breng de gevolgen voor ICT tijdig in kaart en zo vaak als nodig (doe dit bijvoorbeeld opnieuw als de tekst van de regeling (ingrijpend) wordt gewijzigd, op eigen initiatief of in het kader van een (voorgenomen) amendement). De ICT-impactanalyse kan uiteraard onderdeel zijn van een reguliere uitvoeringstoets. De betrokkenheid van de departementale CIO is gewenst.

Beheersing grote ICT-projecten

Valt een project onder de ministeriële verantwoordelijkheid en is er sprake van een ICT-component van meer dan € 5 miljoen dan zal het niet kunnen starten, respectievelijk voortgezet worden, zonder een positief oordeel van de departementale CIO over een project. Bovendien is een toetsing door het Bureau ICT-toetsing (BIT) verplicht (zie Instellingsbesluit tijdelijk Bureau ICT-toetsing). De oprichting van het BIT is één van de maatregelen uit de kabinetsreactie op het Eindrapport van de Tijdelijke commissie ICT-projecten bij de overheid. Het BIT geeft een (openbaar) advies over de risico’s en slaagkans van een project.

Beschrijf met het oog op de toets hoe voldoende kennis, geld, mensen en middelen beschikbaar zullen zijn voor zowel de fase van ontwikkeling als beheer. Beschrijf de projectafhankelijkheden en risico’s en hoe deze beheerst worden. Besteed aandacht aan de samenhang tussen werkprocessen en informatisering, architectuur, functionele haalbaarheid en technische maakbaarheid. Zie in dit verband ook het Handboek Portfoliomanagement.

Laatst gewijzigd op: 10-7-2018