/
Wettelijke kaders en architectuurpricipes

Wettelijke kaders en architectuurpricipes

Juridisch en architectuurkader

Het bewaarbeleid van Infraplannen is gebaseerd op wettelijke verplichtingen, sectorale richtlijnen en algemeen aanvaarde beveiligings- en ontwerpnormen. Deze kaders bepalen de voorwaarden waaronder data wordt opgeslagen, verwerkt, geanonimiseerd of verwijderd.

8.1 Juridisch kader

Algemene Verordening Gegevensbescherming (AVG)

De AVG is het centrale juridische kader voor de omgang met persoonsgegevens binnen het Infraplannen-platform. Relevante artikelen:

  • Artikel 5 – Beginselen van gegevensverwerking

    • Doelbinding

    • Dataminimalisatie

    • Opslagbeperking

    • Integriteit en vertrouwelijkheid

  • Artikel 17 – Recht op gegevenswissing
    Persoonsgegevens moeten worden gewist zodra ze niet langer noodzakelijk zijn voor het oorspronkelijke doel, of op verzoek van de betrokkene.

  • Artikel 28 – Verwerkersovereenkomst
    Infraplannen is verwerker en voert verwerkingen uit op expliciete instructie van de verwerkingsverantwoordelijke (bijvoorbeeld de leverancier of netbeheerder).

Archiefwet 1995

De Archiefwet stelt eisen aan het duurzaam en integer bewaren van informatie die door of namens bestuursorganen is ontvangen of opgesteld:

  • Selectielijsten bepalen de bewaartermijnen van archiefwaardige documenten.

  • Overdrachtplicht geldt voor informatie van blijvende waarde: die moet na verloop van tijd worden overgebracht naar een archiefinstelling.

  • Archivering in het algemeen belang is een grondslag voor het (langer) bewaren van gegevens, ook als deze persoonsgegevens bevatten (AVG artikel 89).

Wet open overheid (Woo)

De Woo regelt de toegang tot publieke informatie:

  • Openbaarheid is uitgangspunt, tenzij er uitzonderingen gelden, zoals bescherming van persoonsgegevens.

  • Plandata afkomstig van bestuursorganen kan Woo-plichtig zijn.

  • Afweging beschikbaarheid: geen expliciete bewaartermijnen, maar informatie moet beschikbaar blijven zolang dit redelijkerwijs vereist is voor transparantie en verantwoording.

8.2 Beleidsafspraken en sectorale richtlijnen

  • In verwerkersovereenkomsten zijn bewaartermijnen, bevoegdheden en verwijderprocedures vastgelegd tussen Infraplannen en de verwerkingsverantwoordelijke.

  • Instructies voor verwijdering van persoonsgegevens worden uitsluitend uitgevoerd op basis van deze afspraken of wettelijke verplichtingen.

  • Verwijderverzoeken van betrokkenen worden uitsluitend verwerkt na goedkeuring van de verantwoordelijke partij.

8.3 Architectuurkaders en ontwerpprincipes

ISO/IEC 27001 – Informatiebeveiliging

  • Classificatie en toegangsbeheer

  • Logging van toegang en bewerkingen

  • Beveiligde opslag en datatransport

  • Risicoanalyses en continue controle

OWASP – Secure Software Principles

  • Validatie van gebruikersinvoer

  • Minimalisatie van aanvalsvectoren

  • Beveiliging van API’s en endpoints

NIST Cybersecurity Framework

  • Detectie van verlopen retentieperiodes

  • Beveiliging van inactieve data

  • Herstelprocedures en logbeheer

  • Procescontrole op verwijdering en anonimisering

FAIR-principes (Findable, Accessible, Interoperable, Reusable)

  • Unieke identificeerbaarheid van planversies

  • Machineleesbare en gestandaardiseerde metadata

  • Tijdelijk herbruikbare gegevens met beperkte retentie

KISS-principe (Keep It Simple, Straightforward)

  • Eenvoudige datastructuur per plan (/leverancier/planId/YYYY-MM-DD/)

  • Transparante statusovergangen (actief, soft deleted, verwijderd)

  • Duidelijke en onderhoudbare retentielogica