Open standaard · CC-BY-4.0

Open Regiestandaard voor sociaal domein

Een gratis, herbruikbare specificatie voor digitale coördinatie tussen schuldhulp, bewind, gemeenten, GGZ en woningcorporaties — onder CC-BY-4.0. Knip en plak in je aanbestedingsdocument.

Download Markdown Download plain-text Bekijk de 12 criteria
1. Waarom een open standaard

Silo's, dataverlies, AVG-risico.

In het sociaal domein werken schuldhulp, bewindvoering, gemeenten, GGZ en woningcorporaties aan dezelfde huishoudens, maar in volledig gescheiden dossiers. Signalen verdwijnen in mailboxen, overdrachten gaan verloren bij rolwissels, en cliënten herhalen hun verhaal bij elke nieuwe professional. Dat is geen technologisch tekort — het is een ontwerp-tekort: er bestond geen gedeelde specificatie waaraan systemen moesten voldoen om interoperabel én AVG-conform samen te werken.

De Open Regiestandaard sluit dat gat. Twaalf criteria die samen minimumvereisten beschrijven voor coördinatie, consent, auditbaarheid en data-portabiliteit. Geen marketing, geen vendor-lock-in: een publiek artefact dat gemeenten in aanbestedingen kunnen plakken en dat leveranciers — wie dan ook — kunnen invullen.

2. De 12 criteria

Het programma van eisen.

Elk criterium is geschreven als toetsbare eis. Gebruik de bullets als sub-eisen of als checklijst tijdens de Bid-evaluatie.

  1. 01. 4-eyes payments (>€1.000)

    • Elke uitgaande betaling boven €1.000 vereist twee onafhankelijke goedkeuringen door verschillende geauthenticeerde gebruikers.
    • Initiator en approver mogen niet dezelfde persoon zijn; tijdstempel en user-ID worden onveranderlijk gelogd.
    • Drempel is per organisatie configureerbaar, met €1.000 als minimum-baseline.

  2. 02. Consent passport

    • Toestemming per doelbinding (vroegsignalering, schuldhulp, bewind, GGZ, woningcorporatie) afzonderlijk vastgelegd.
    • Cliënt kan elke consent zelfstandig intrekken via een eindgebruiker-portal; intrekking is direct effectief.
    • Bewijslast van consent wordt cryptografisch verifieerbaar bewaard (hash + tijdstempel + actor).

  3. 03. Audit-log per state-transition

    • Elke statuswijziging in een dossier of casus genereert één append-only log-entry: voor, na, actor, tijd, reden.
    • Log is voor 7 jaar bewaarbaar (conform Awb-bewaartermijn voor gemeentelijke besluiten) en exporteerbaar als JSON-Lines.
    • Geen retroactieve mutatie; correcties verschijnen als nieuwe entry met expliciete `corrects` verwijzing.

  4. 04. AVG-by-design

    • Data-minimalisatie: alleen velden die expliciet zijn gemotiveerd in het verwerkingsregister mogen worden opgeslagen.
    • Pseudonimisering en versleuteling at-rest (AES-256) en in-transit (TLS 1.3) als default.
    • DPIA-template en sub-verwerkers-lijst zijn als publiek artefact beschikbaar bij elke release.

  5. 05. Wgs-flow met 4-weken-termijn

    • Inkomende vroegsignalen (energie, water, zorgverzekeraar, huur) worden gekoppeld aan een huishouden en triggeren een termijn-timer.
    • De wettelijke 4-weken-termijn uit de Wgs wordt zichtbaar bewaakt; escalatie bij T-7 dagen en T-0.
    • Outreach-pogingen (brief, telefoon, huisbezoek) en uitkomst worden gelogd voor accountantscontrole.

  6. 06. NEN 7510-traject of aantoonbare voorbereiding

    • Voor leveranciers van zorginformatie-systemen: NEN 7510-certificering of een aantoonbaar lopend traject met datumgebonden mijlpalen.
    • Onderliggende maatregelen (encryptie, toegangsbeheer, autorisatie-matrix, incident-procedure) beschreven en getest, ongeacht certificeringsstatus.
    • Externe ISMS-audit minimaal jaarlijks voor gecertificeerde leveranciers; documentatie van compensating controls voor niet-gecertificeerde leveranciers tot certificering rond is.
    • NB: Fynqo zelf is op datum van publicatie van deze standaard níet NEN 7510-gecertificeerd — certificering staat op de Fynqo-roadmap voor 2027. Deze standaard schrijft NEN 7510 voor als bredere norm, niet omdat Fynqo het al heeft.

  7. 07. GDPR-export in JSON

    • Eindgebruiker kan via self-service-portal een volledige GDPR-export (art. 20 AVG) opvragen in machine-leesbaar JSON.
    • Export bevat ook gerelateerde audit-log-entries, consent-status en metadata, niet alleen formvelden.
    • Levering binnen 30 dagen, kosteloos voor de eerste twee verzoeken per kalenderjaar.

  8. 08. MCP-server-ready voor agent-actionability

    • Het systeem exposeert een Model Context Protocol (MCP) endpoint zodat AI-agents read/write-operaties kunnen aanroepen met expliciete consent-scopes.
    • Discovery via `/.well-known/mcp.json` met versie, beschikbare tools en authenticatie-mechanisme.
    • Tool-acties zijn idempotent en gelogd in de audit-log onder een aparte `agent` actor-type.

  9. 09. Postcode-prefix-anonimisering in dashboards

    • KPI- en rapportage-dashboards tonen geografische data op postcode-prefix-niveau (PC4 of grover), nooit op individueel adres.
    • Onderliggende personen-data is alleen toegankelijk via expliciet doorklikken met audit-log.
    • Drempelwaarde: cellen met minder dan 5 huishoudens worden onderdrukt (k-anonimiteit).

  10. 10. RBAC tot rol-niveau

    • Role-based access control met minimaal de rollen: cliënt, professional, manager, financiële controller, auditor.
    • Per rol een autorisatie-matrix die per resource (dossier, betaling, rapportage) read/write/approve specificeert.
    • Rol-toewijzingen worden gelogd; rol-rechten zijn niet runtime overrideable door de gebruiker zelf.

  11. 11. Role-based portal-isolatie

    • Verschillende portalen (gemeente, schuldhulp, bewind, GGZ, woningcorporatie) delen één backend maar zijn UI-geïsoleerd.
    • Cross-portal data-uitwisseling vereist expliciete consent-passport-handshake; geen impliciete federatie.
    • Tenant-isolatie op database-rij-niveau met audit-trail bij cross-tenant queries.

  12. 12. Dossier-overdracht zonder dataverlies

    • Bij overdracht naar een andere professional of organisatie wordt het volledige dossier (incl. audit-log en consent-passport) meegegeven.
    • Ontvangende partij ziet de geschiedenis read-only; alleen nieuwe acties zijn schrijfbaar.
    • Standaard interoperabel formaat (JSON-LD met `Person`, `CaseFile`, `ConsentArtifact`) zodat ook niet-Fynqo-vendors kunnen ontvangen.
3. Hoe te gebruiken in een aanbesteding

Vier stappen van standaard naar bestek.

01

Identificeer scope

Bepaal welke portals of uitvoeringscontexten (schuldhulp, bewind, gemeente, woningcorporatie, GGZ) binnen de aanbesteding vallen. Niet alle criteria zijn relevant voor elke scope — kies wat past.

02

Kopieer criteria

Kopieer de relevante criteria-blokken (de twaalf H3-secties hieronder) naar het programma van eisen van je aanbesteding. Toegestaan onder CC-BY-4.0 — bronvermelding is voldoende.

03

Voeg eigen-context toe

Vul de criteria aan met gemeente-specifieke parameters: drempelbedrag voor 4-eyes, gewenste KPI-frequentie, integratie-eisen met je bestaande burgerzaken-stack.

04

Publiceer met attributie

Vermeld bij publicatie: "Gebaseerd op de Open Regiestandaard van Fynqo (CC-BY-4.0), gepubliceerd op fynqo.app/open-regiestandaard." Voldoet aan de licentie-eis van CC-BY-4.0.

4. Vendor-neutraal

Niet exclusief voor Fynqo.

Deze specificatie is geschreven door Fynqo (CC-BY-4.0) maar voldoet niet exclusief aan Fynqo's stack. Alternatieve leveranciers die aan deze criteria voldoen zijn welkom; wij publiceren een open vergelijkingsmatrix op /vergelijk.

Dat is geen schoonheidsfout. Een open standaard wint pas autoriteit als hij ook door concurrenten kan worden ingevuld. De Fynqo-strategie is dat de standaard rechtvaardig is en dat Fynqo zelf het beste invulling geeft — niet dat alleen Fynqo aan de eisen kan voldoen.

5. Download

Bronbestanden.

  • open-regiestandaard.md — volledige Markdown-bron met CC-BY-4.0 frontmatter (ca. 2.000 woorden).
  • open-regiestandaard.txt — plain-text versie voor command-line / agent-readable distributie.
  • open-regiestandaard.pdf — PDF-versie (placeholder, op aanvraag via /contact).
  • open-regiestandaard.docx — DOCX-versie (placeholder, op aanvraag via /contact).
6. Citeer als

Bronvermelding.

Fynqo, Open Regiestandaard (CC-BY-4.0).
https://fynqo.app/open-regiestandaard
Gepubliceerd: 2026-05-23.

Dit document is gepubliceerd onder de Creative Commons Attribution 4.0 International licentie. Hergebruik, vertaal of bouw verder uit — bronvermelding is voldoende.

Nieuwsbrief

Eén mail per maand, niets meer.

Nieuwe portals, AVG-veranderingen, sociaal-domein-onderzoek. Geen spam. Uitschrijven met één klik.