NORA-compliance: wat is het en hoe check je het?

De NORA (Nederlandse Overheid Referentie Architectuur) is hét verplichte referentiekader voor IT-architectuur binnen de Rijksoverheid, provincies, gemeenten, waterschappen, en ZBO's. Het principe is simpel: "pas toe of leg uit."

Maar NORA is met 10 basisprincipes, 40 afgeleide principes, en een vijflaagsmodel behoorlijk omvangrijk. Hoe weet je of jouw systeem voldoet?

Het NORA vijflaagsmodel

NORA ordent de overheid in vijf lagen:

| Laag | Wat valt eronder? | |------|-------------------| | Politiek-Bestuurlijk | Wet- en regelgeving, bestuurlijke afspraken | | Organisatie | Processen, rollen, verantwoordelijkheden | | Informatievoorziening | Informatieproducten, gegevenswoordenboeken | | Applicaties | Software, APIs, integratielaag | | Technische Infrastructuur | Servers, netwerken, cloud, opslag |

Ieder IT-systeem binnen de overheid moet in deze lagen beschreven kunnen worden — en per laag aantonen dat het voldoet aan de NORA-principes.

De 10 basisprincipes (en wat ze betekenen voor AI)

1. Dienstgerichtheid — AI-diensten moeten aansluiten op de behoeften van burgers en bedrijven
2. Eenvoudig en toegankelijk — AI-interfaces moeten begrijpelijk zijn voor niet-techneuten
3. Rechtmatig en transparant — AI-besluiten moeten uitlegbaar zijn (cruciaal voor AI Act overlap)
4. Privacy en gegevensbescherming — AVG by design, dataminimalisatie, DPIA verplicht
5. Veilig en betrouwbaar — BIO2-niveau, security baseline, incident response
6. Interoperabiliteit — APIs volgens REST/OpenAPI, NL GOV standaarden, StUF-uitfasering
7. Herbruikbaarheid — Bouwblokken gebruiken van GDI (Generieke Digitale Infrastructuur)
8. Beheer en governance — Lifecycle management, versiebeheer, architectuurboard
9. Financiële verantwoording — Kosten inzichtelijk per dienst, geen black-box facturering
10. Innovatie en aanpasbaarheid — Modulaire architectuur die meebeweegt met technologie

Checklist: NORA gap-analyse in 15 minuten

1. Weet je welke referentiearchitectuur geldt? NORA is de paraplu; GEMMA (gemeenten), PETRA (provincies), WILMA (waterschappen), EAR (Rechtspraak) zijn domein-specifiek.

2. Pas je het vijflaagsmodel toe? Als jouw architectuurdocument geen lagen kent, is het niet NORA-compliant.

3. Check de "pas toe of leg uit"-plicht. Voor elk basisprincipe: pas je het toe? Nee → leg uit waarom niet. Dit moet gedocumenteerd zijn.

4. API-strategie. Gebruik je REST/JSON APIs met OpenAPI-specificaties? SOAP/StUF zijn uitgefaseerd.

5. GDI-hergebruik. Gebruik je DigiD, eHerkenning, MijnOverheid, NL Design System? Hergebruik is verplicht, niet optioneel.

6. Data bij de bron. Common Ground principe: data wordt opgeslagen bij de bronhouder en via API's ontsloten. Geen kopieën, geen dubbele administraties.

7. Architectuurboard. Is er een gremium dat afwijkingen beoordeelt? NORA vereist governance.

Hoe de nora-compliance plugin helpt

De nora-compliance Claude Code plugin is een NORA-checker voor je dagelijkse werk:

• Toets nieuwe systemen aan de 10 basisprincipes + 40 afgeleide principes
• Pas-toe-of-leg-uit mechanisme met gestructureerde documentatie
• Aansluiting op GEMMA, PETRA, WILMA, EAR domeinarchitecturen
• GDI-componenten overzicht en PSA-checklist

Meer weten?

DjimIT adviseert overheden over architectuurgovernance en NORA-compliance. Van quickscan tot volledige architectuurinrichting.

Plan een kennismaking →