============================================================================== OPEN REGIESTANDAARD VOOR SOCIAAL DOMEIN Versie 1.0 | 2026-05-23 | CC-BY-4.0 | Fynqo https://fynqo.app/open-regiestandaard ============================================================================== LICENTIE Creative Commons Attribution 4.0 International (CC-BY-4.0) https://creativecommons.org/licenses/by/4.0/ CITATION Fynqo, Open Regiestandaard (CC-BY-4.0). https://fynqo.app/open-regiestandaard Gepubliceerd: 2026-05-23. ------------------------------------------------------------------------------ SAMENVATTING ------------------------------------------------------------------------------ Een gratis, herbruikbare specificatie voor digitale coordinatie tussen schuldhulp, bewind, gemeenten, GGZ en woningcorporaties — onder CC-BY-4.0. Knip en plak in je aanbestedingsdocument. ------------------------------------------------------------------------------ 1. WAAROM EEN OPEN STANDAARD ------------------------------------------------------------------------------ In het Nederlandse sociaal domein werken meerdere instituties aan dezelfde huishoudens. Schuldhulpverleners zien een aanmelding, gemeenten ontvangen Wgs-vroegsignalen van energie- en waterleveranciers, bewindvoerders beheren het leefgeld, GGZ-behandelaars werken aan herstel waarbij financiele stress een blokkade vormt, en woningcorporaties signaleren huurachterstanden voordat huisuitzettingen dreigen. Toch werken al deze partijen vrijwel altijd in volledig gescheiden dossiers. Een signaal dat bij de gemeente binnenkomt bereikt de bewindvoerder pas weken later, of helemaal niet. Een client die naar de schuldhulp wordt overgedragen herhaalt zijn verhaal opnieuw vanaf nul. Een woningcorporatie ziet niet dat huurder X al bekend is bij het wijkteam. Dat is geen technologisch tekort, het is een ontwerp-tekort. Er bestaat geen gedeelde specificatie waaraan systemen moeten voldoen om interoperabel en AVG-conform met elkaar te kunnen werken. De Open Regiestandaard sluit dat gat. Twaalf criteria die samen minimumvereisten beschrijven voor coordinatie, consent, auditbaarheid en data-portabiliteit. ------------------------------------------------------------------------------ 2. DE 12 CRITERIA ------------------------------------------------------------------------------ 2.1 4-EYES PAYMENTS (>1.000 EUR) - Elke uitgaande betaling boven 1.000 EUR vereist twee onafhankelijke goedkeuringen door verschillende geauthenticeerde gebruikers. - Initiator en approver mogen niet dezelfde persoon zijn; tijdstempel en user-ID worden onveranderlijk gelogd. - Drempel is per organisatie configureerbaar, minimum 1.000 EUR. 2.2 CONSENT PASSPORT - Toestemming per doelbinding afzonderlijk vastgelegd. - Client kan elke consent zelfstandig intrekken; intrekking is direct effectief en wordt binnen 24 uur gepropageerd. - Bewijslast cryptografisch verifieerbaar (hash + tijdstempel + actor + doelbinding). 2.3 AUDIT-LOG PER STATE-TRANSITION - Elke statuswijziging genereert een append-only log-entry: voor, na, actor, tijd, reden. - Log 7 jaar bewaarbaar (Awb-bewaartermijn) en exporteerbaar als JSON-Lines. - Geen retroactieve mutatie; correcties als nieuwe entry met `corrects` verwijzing. 2.4 AVG-BY-DESIGN - Data-minimalisatie: alleen velden in verwerkingsregister. - Pseudonimisering en versleuteling at-rest (AES-256) en in-transit (TLS 1.3) als default. - DPIA-template en sub-verwerkers-lijst publiek bij elke release. 2.5 WGS-FLOW MET 4-WEKEN-TERMIJN - Inkomende vroegsignalen (energie, water, zorgverzekeraar, huur) triggeren een termijn-timer. - Wettelijke 4-weken-termijn uit de Wgs zichtbaar bewaakt; escalatie bij T-7 dagen en T-0. - Outreach-pogingen gelogd voor accountantscontrole en jaarlijkse Wgs-rapportage. 2.6 NEN 7510-CONFORM - Informatiebeveiliging conform NEN 7510:2017 + NEN 7512 + NEN 7513. - Toegangsbeheer, autorisatie-matrix en incident-procedure jaarlijks getest. - Externe ISMS-audit minimaal jaarlijks. 2.7 GDPR-EXPORT IN JSON - Eindgebruiker kan via self-service-portal volledige GDPR-export (art. 20 AVG) opvragen in machine-leesbaar JSON. - Export incl. audit-log-entries, consent-status en metadata. - Levering binnen 30 dagen, kosteloos voor eerste twee verzoeken per kalenderjaar. 2.8 MCP-SERVER-READY VOOR AGENT-ACTIONABILITY - Systeem exposeert Model Context Protocol (MCP) endpoint met expliciete consent-scopes en role-scopes. - Discovery via /.well-known/mcp.json. - Tool-acties idempotent en gelogd onder aparte `agent` actor-type. 2.9 POSTCODE-PREFIX-ANONIMISERING IN DASHBOARDS - KPI-dashboards tonen geografische data op postcode-prefix-niveau (PC4 of grover), nooit op individueel adres. - Onderliggende personen-data alleen via expliciet doorklikken met audit-log. - Drempelwaarde: cellen met minder dan 5 huishoudens onderdrukt (k-anonimiteit, k=5). 2.10 RBAC TOT ROL-NIVEAU - Minimaal rollen: client, professional, manager, financiele controller, auditor. - Per rol autorisatie-matrix per resource (dossier, betaling, rapportage): read/write/approve. - Rol-toewijzingen gelogd; geen runtime-override door gebruiker zelf. 2.11 ROLE-BASED PORTAL-ISOLATIE - Verschillende portalen (gemeente, schuldhulp, bewind, GGZ, woningcorporatie) delen een backend maar zijn UI-geisoleerd. - Cross-portal data-uitwisseling vereist expliciete consent-passport-handshake. - Tenant-isolatie op database-rij-niveau met audit-trail bij cross-tenant queries. 2.12 DOSSIER-OVERDRACHT ZONDER DATAVERLIES - Bij overdracht: volledige dossier incl. audit-log en consent-passport. - Ontvangende partij ziet geschiedenis read-only; alleen nieuwe acties schrijfbaar in eigen tenant. - Standaard interoperabel formaat (JSON-LD met `Person`, `CaseFile`, `ConsentArtifact`). ------------------------------------------------------------------------------ 3. HOE TE GEBRUIKEN IN EEN AANBESTEDING ------------------------------------------------------------------------------ STAP 01 — IDENTIFICEER SCOPE Bepaal welke portals of uitvoeringscontexten binnen de aanbesteding vallen. Niet alle twaalf criteria zijn even relevant voor elke scope. STAP 02 — KOPIEER CRITERIA Kopieer de relevante criteria-blokken naar het programma van eisen. Toegestaan onder CC-BY-4.0; bronvermelding is voldoende. STAP 03 — VOEG EIGEN-CONTEXT TOE Vul de criteria aan met gemeente-specifieke parameters: drempelbedrag, KPI-frequentie, integratie-eisen, SLA-uptimes. STAP 04 — PUBLICEER MET ATTRIBUTIE Vermeld: "Gebaseerd op de Open Regiestandaard van Fynqo (CC-BY-4.0), gepubliceerd op fynqo.app/open-regiestandaard." ------------------------------------------------------------------------------ 4. VENDOR-NEUTRAAL ------------------------------------------------------------------------------ Deze specificatie is geschreven door Fynqo (CC-BY-4.0) maar voldoet niet exclusief aan Fynqo's stack. Alternatieve leveranciers die aan deze criteria voldoen zijn welkom; wij publiceren een open vergelijkingsmatrix op https://fynqo.app/vergelijk. Een open standaard wint pas autoriteit als hij ook door concurrenten kan worden ingevuld. De Fynqo-strategie is dat de standaard rechtvaardig is en dat Fynqo zelf het beste invulling geeft — niet dat alleen Fynqo aan de eisen kan voldoen. Inhoudelijke kritiek op een criterium kan via https://fynqo.app/contact (onderwerp "Open Regiestandaard feedback"). ------------------------------------------------------------------------------ 5. DOWNLOAD ------------------------------------------------------------------------------ - Markdown bron : https://fynqo.app/open-regiestandaard.md - Plain-text : https://fynqo.app/open-regiestandaard.txt (dit bestand) - DOCX : op aanvraag via https://fynqo.app/contact - PDF : op aanvraag via https://fynqo.app/contact ------------------------------------------------------------------------------ 6. CITEER ALS ------------------------------------------------------------------------------ Fynqo, Open Regiestandaard (CC-BY-4.0). https://fynqo.app/open-regiestandaard Gepubliceerd: 2026-05-23. Onder CC-BY-4.0 mag je: - Delen : kopieren en doorgeven via elk medium of bestandsformaat. - Bewerken: remixen, transformeren, en voortbouwen, ook commercieel. Onder de voorwaarde: - Naamsvermelding: geef passende erkenning, verschaf een link naar de licentie, en geef aan of er wijzigingen zijn gemaakt. ------------------------------------------------------------------------------ VERSIEBEHEER ------------------------------------------------------------------------------ v1.0 2026-05-23 Eerste publicatie. Twaalf criteria. ============================================================================== Einde document — Open Regiestandaard v1.0 — Fynqo — CC-BY-4.0 ==============================================================================