Samenvatting

Topicus is een softwarebedrijf dat software maakt voor zorg-, onderwijs-, overheids- en financiële instellingen. Voor het verwerken van hypotheekaanvragen ontwikkeld Topicus de applicatie FORCE. De organisatie wil aan kunnen tonen dat zij aan de General Data Protection Regulation (GDPR) regelgeving voldoet. Met behulp van Enterprise Architecture kunnen de relaties tussen bedrijfsprocessen, data, applicaties en infrastructuur in kaart worden gebracht en inzichtelijk worden gemaakt. Dit zorgt voor traceerbaarheid, wat mogelijk bij kan dragen aan het aantonen van GDPR-compliance. Deze toepassing van Enterprise Architecture is in deze scriptie onderzocht.
In het vooronderzoek is onder andere naar de inhoud van de GDPR gekeken en welke eisen het stelt aan Topicus. Daarnaast is er een Enterprise Architecture framework gekozen om componenten van FORCE in te modelleren.
Vervolgens zijn er Enterprise Archtiecture-modellen van de FORCE-componenten Morality, NHG Gateway, Proposals en Agreements opgesteld en zijn deze geanalyseerd. Voor de analyse zijn de user requirements naast de architectuurplaten gelegd om na te gaan wat er uit de architectuurmodellen afgeleid kan worden. Uit de analyse komen de volgende punten naar voren:

Uit de architectuurplaten is af te leiden in welke informatiesystemen er data wordt verzameld.
Uit de architectuurplaten is af te leiden in welke businessprocessen er data wordt verzameld.
Uit de architectuurplaten is deels af te leiden waar data wordt opgeslagen: Databases zijn af te leiden, maar overige opslaglocaties zoals logbestanden niet.
Uit de architectuurplaten is deels af te leiden welke data wordt opgeslagen: Het onderwerp waar data betrekking op heeft is inzichtelijk, bijvoorbeeld een hypotheekovereenkomst of een rentevoorstel, maar niet welke data er daadwerkelijk opgeslagen wordt zoals NAW-gegevens, onderpand, BSN, etc.

Dat maar deels af te leiden is welke data opgeslagen wordt en waar data opgeslagen wordt is te wijten aan de aard van Enterprise Architecture, de bijbehorende modelleertaal ArchiMate en de aard van dit onderzoek. Enterprise Architecture en ArchiMate zijn alleenstaand niet geschikt voor het gedetailleerd modelleren en inzichtelijk maken van software, hetgeen juist in dit onderzoek gewenst is. Het gevolg hiervan is dat er maar één maatregel geïdentificeerd kan worden om Topicus meer GDPR-compliant te maken, namelijk het uitbreiden van de Record Retention-functionaliteit naar alle databases. Wel bestaat het vermoeden dat Enterprise Architecture in combinatie met UML-diagrammen tot meer inzicht kan leiden.
Concluderend is  Enterprise Architecture alleenstaand niet geschikt voor Topicus om toegepast te worden om GDPR-compliance aan te tonen. Om GDPR-compliance voor Topicus aan te tonen en te toetsen dient er te gedetailleerd ingegaan te worden op software. Enterprise Architecture is hier niet geschikt voor. Wel bestaat het vermoeden dat Enterprise Architecture in combinatie met UML het inzicht biedt dat Topicus zoekt. Daarom wordt aangeraden om dit verder te onderzoeken.