Maandelijks archief: oktober 2017

7 aandachtspunten bij het opstellen van een verwerkersovereenkomst

Een verwerkersovereenkomst of data processing agreement (DPA) is een begrip uit de privacyregelgeving en wordt gesloten tussen een verwerkingsverantwoordelijke (de opdrachtgever) en de bewerker (de leverancier).

Een bedrijf of organisatie wordt als verwerkingsverantwoordelijke aangemerkt wanneer het persoonsgegevens verwerkt. Een voorbeeld hiervan is een bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer). Het bedrijf is verantwoordelijk voor de gegevens.

De bewerker (processor) is diegene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In bovengenoemd voorbeeld zou een salarisadministratiekantoor, dat voor het bedrijf de salarisadministratie afhandelt, bewerker zijn. In deze gevallen is het verplicht een verwerkersovereenkomst af te sluiten.

Het opstellen van een verwerkersovereenkomst vereist altijd enig maatwerk. De werkwijze van organisaties en de wijze waarop een organisatie samenwerkt en gegevens uitwisselt met andere partijen verschilt van geval tot geval. Bij het opstellen van een verwerkersovereenkomst is het goed om met de volgende aandachtspunten rekening te houden:

1 – Een generieke overeenkomst voldoet niet

Om te voldoen aan de AVG dient vastgelegd te worden waarvoor de persoonsgegevens mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen. Iedere verwerkersovereenkomst is uniek. Een standaard overeenkomst (zoals de standaard van de IBD) kan gebruikt worden als basis, maar dient altijd aangepast te worden aan de specifieke situatie. Daarbij moet worden vermeld om welke persoonsgegevens het gaat en om welke categorie van personen (betrokkenen) het gaat.

2 – De uitgebreide rechten van betrokkenen stellen eisen aan de samenwerkingsrelatie tussen de verwerkingsverantwoordelijke en de bewerker

Betrokkenen, personen waarvan gegevens worden bijgehouden, hebben de mogelijkheid om op ieder moment op te vragen welke informatie is opgeslagen en wat met die informatie gedaan wordt. In geval van datalekken en beveiligingsincidenten, die (mogelijk) gevolgen hebben voor betrokkenen, dient direct gerapporteerd te worden. Van de bewerker kan verwacht worden dat hij meewerkt aan het adequaat informeren van de betrokkenen en in bepaalde gevallen de Autoriteit Persoonsgegevens. Dit stelt eisen aan de manier waarop de verwerkingsverantwoordelijke en de bewerker samenwerken en informatie uitwisselen.

3 – Maak afspraken over de kosten van een audit

De verwerkingsverantwoordelijke zal op ieder moment in staat willen zijn om de verwerking van persoonsgegevens te (laten) controleren. In sommige gevallen zal het nodig zijn een onafhankelijke partij in te schakelen om een dergelijke controle uit te voeren. Het is belangrijk om in de verwerkersovereenkomst vast te leggen wat de procedure hiervoor is. Bijvoorbeeld dat de audit slechts mag worden uitgevoerd na schriftelijke melding aan de bewerker en wie de kosten hiervan voor zijn rekening neemt.

4 – Zorg voor een realistische, evenwichtige verdeling van de aansprakelijkheid

Het is belangrijk goede afspraken te maken voor het geval het toch een keer verkeerd gaat. Wie is aansprakelijk als er door de Autoriteit Persoonsgegevens bestuurlijke boetes worden opgelegd? Het komt regelmatig voor dat afspraken betreffende aansprakelijkheid te summier worden beschreven of dat deze afspraken te eenzijdig zijn. In een evenwichtige situatie is het mogelijk om eventuele kosten te verhalen op een leverancier en moet de leverancier zich (kunnen) verzekeren. Het initiatief hiervoor moet van de verwerkingsverantwoordelijke uitgaan.

5 – De verwerkingsverantwoordelijke moet de regie behouden

Het is van eminent belang dat de verwerkingsverantwoordelijke de regie heeft over de hele keten. In geval van beveiligingsincidenten of als een betrokkene zijn rechten uitoefent of meent schade geleden te hebben, moet de verwerkingsverantwoordelijke snel kunnen schakelen en op korte termijn de relevante informatie boven tafel kunnen krijgen. Ook dit vereist een uitgebreide set van weloverwogen afspraken.

6 – Een verwerkersovereenkomst staat nooit op zichzelf

Een verwerkersovereenkomst is altijd gekoppeld aan een hoofdovereenkomst. Om het juridisch kader compleet te hebben, moet deze hoofdovereenkomst aanwezig én bij alle relevante partijen bekend zijn.

7 – Stel de verwerkersovereenkomst zo op dat hij ook onder de AVG geldig is

Per 25 mei 2018 is alleen nog de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Het is belangrijk de verwerkersovereenkomst zo op te stellen, dat deze ook onder de AVG geldig is. Dit stelt eisen aan de inhoud van de overeenkomst, aangezien de eisen die de AVG stelt, bijvoorbeeld op het gebied van transparantie, strenger zijn dan de Wbp

Handleiding voor een succesvol bewustwordingsprogramma informatiebeveiliging

Bewustwordingsprogramma informatiebeveiliging: wat houdt het in?

Een bewustwordingsprogramma is een integraal onderdeel van het Informatiebeveiligingsplan. Een goed opgezet bewustwordingsprogramma voorziet in een reeks primaire stappen om de interne bewustwording te laten ontstaan en te vergroten.

Bewustwording betekent het bewust zijn van risico’s die er bestaan op het gebied van informatiebeveiliging. Bepaalde risico’s kunnen worden beperkt door het treffen van technische maatregelen. Maar veel risico’s liggen in het handelen als onderdeel van menselijk gedrag. Het bewustwordingsprogramma richt zich daarom vooral op het aspect menselijk gedrag. Hoe maak je medewerkers duidelijk, dat hun eigen gedrag voor een groot deel bepalend is voor de mate waarin risico’s worden gelopen op het gebied van informatiebeveiliging?

Doelstellingen van een bewustwordingsprogramma informatiebeveiliging

Het bewustwordingsprogramma ondersteunt daarbij niet alleen in het verhogen van het niveau van beveiligingsbewustzijn. Het heeft ook de volgende doelstellingen:

  • Kennis:
    • Medewerkers op de hoogte brengen van het onderwerp informatiebeveiliging in het
      algemeen;
    • Medewerkers op de hoogte brengen van het onderwerp informatiebeveiliging binnen hun
      specifieke bedrijf / organisatie (inclusief de regels voor informatiebeveiliging) in het
      bijzonder.
  • Houding:
    • Medewerkers zien het belang en de waarde van informatie voor de organisatie in.
    • Medewerkers zien in dat informatiebeveiliging onderdeel is van hun dagelijkse
      werkzaamheden.
  • Gedrag:
    • Medewerkers zetten zich in voor de verbetering van de informatiebeveiliging.
    • Medewerkers spreken elkaar aan op hun gedrag m.b.t. informatiebeveiliging.
    • Medewerkers dragen eigen ideeën aan tot verbetering van de informatiebeveiliging.

Fases die doorlopen moeten worden om de bewustwording te realiseren

Om deze doelstellingen te behalen en de gewenste bewustwording te realiseren is het essentieel om 7 fases te doorlopen.

Fase 1: Bewustzijn
Medewerkers zijn op de hoogte van het onderwerp informatiebeveiliging in het algemeen.
Fase 2: Begrijpen
Medewerkers zijn op de hoogte van het onderwerp informatiebeveiliging binnen hun specifieke organisatie (inclusief de regels voor informatiebeveiliging).
Fase 3: Waarderen
Medewerkers zien het belang en de waarde van informatie voor de organisatie in.
Fase 4: Eigenaarschap
Medewerkers zien in dat informatiebeveiliging onderdeel is van hun dagelijkse werkzaamheden.
Fase 5: Verbinden
Medewerkers zetten zich in voor de verbetering van de informatiebeveiliging.
Fase 6: Communiceren
Medewerkers spreken elkaar aan op hun gedrag m.b.t. informatiebeveiliging.
Fase 7: Ontwikkeling
Medewerkers dragen eigen ideeën aan tot verbetering van de informatiebeveiliging.

Eisen aan de communicatie

Om ervoor te zorgen dat de medewerkers van de organisatie alle fasen doorlopen, binnen de daarvoor gestelde periode, wordt een gedegen communicatieplan opgesteld. Hierbij is het van belang dat de communicatie over informatiebeveiliging gedurende alle fasen herkenbaar is. Daarom kiezen we voor de introductie van een ‘communicatielijn’, die de rode draad vormt in de communicatie over het onderwerp informatiebeveiliging. De communicatielijn krijgt een pakkende naam, een herkenbaar beeldmerk, duidelijke kernboodschappen per fase en een vaste afzender. Dit laatste versterkt het gevoel dat iemand regie heeft over de communicatie. We passen de communicatielijn toe in de bestaande communicatiemiddelen van de organisatie. Daarnaast ontwikkelen we enkele nieuwe middelen. Alle communicatie over het onderwerp informatiebeveiliging vindt voortaan plaats onder deze paraplu.

Daarnaast moet de communicatie over informatiebeveiliging zo concreet mogelijk worden gemaakt. Informatiebeveiliging is een vrij abstract onderwerp. Om medewerkers écht te betrekken bij het onderwerp en hen aan te zetten tot actie, is het nodig dat de communicatie duidelijk maakt op welke manier het onderwerp medewerkers raakt, wat zij aan verbeteringen hebben, etc. Om dit te bereiken, moeten de kernboodschappen zo concreet mogelijk zijn en passen bij de belevingswereld van medewerkers.

Communicatiemiddelen per fase

Per fase kunnen verschillende communicatiemiddelen worden ingezet.

Fase 1: Bewustzijn

Elementen van de kernboodschap in deze fase zijn: wat is informatiebeveiliging? Wat is de samenhang met wet- en regelgeving? Wat zijn mogelijke maatregelen?
Om deze boodschap goed over te brengen kunnen de volgende communicatiemiddelen worden ingezet:

  • Nieuwsflits
    Via een nieuwsflits worden de medewerkers geïnformeerd over informatiebeveiliging in het algemeen en beveiliging binnen de sector / branche.
    Bij het verschijnen van de nieuwsflits, komt ook een nieuwsbericht op intranet te staan. Op intranet komt een nieuw item: informatiebeveiliging. Deze bevat de kernboodschappen over het onderwerp en achtergrondinformatie.
  • Basispresentatie
    We ontwikkelen een basispresentatie over het onderwerp informatiebeveiliging. De presentatie bevat beelden van informatiebeveiligings-incidenten bij andere organisaties, maar ook voorbeelden of een case van de organisatie.

Fase 2: Begrijpen

Elementen van de kernboodschap in deze fase zijn: Hoe is het met de informatiebeveiliging gesteld (op basis van digitaal onderzoek), wat zijn de regels voor informatiebeveiliging en wat zijn (vernieuwde) protocollen voor het gebruik van internet, e-mail en mobiele apparatuur?
In deze fase worden de volgende middelen ingezet:

  • Digitaal onderzoek
    Voor de introductie van de regels voor informatiebeveiliging, onderzoeken we via een digitale enquête op intranet hoe het met deze thema’s is gesteld binnen de organisatie.
  • Posterronde
    Via (vloer)posters introduceren we het beeldmerk en via prikkelende stellingen de regels voor informatiebeveiliging.
  • Nieuwsbrief
    Via een nieuwsbrief informeren we de medewerkers over de uitkomsten van de digitale enquête en de regels voor informatiebeveiliging. Elke regel wordt kort uitgelegd. Bij het verschijnen van de nieuwsbrief, komt ook een nieuwsbericht op intranet te staan. Het item informatiebeveiliging wordt aangevuld met nieuwe informatie. De verschenen nieuwsbrief komt, zoals gebruikelijk, als pdf op intranet te staan.

Fase 3: Waarderen

Elementen van de kernboodschap in deze fase: Hoe is het met de informatiebeveiliging binnen de organisatie gesteld (bezoek Mystery Guest)? Wat houden de regels voor informatiebeveiliging precies in? Wat zijn beveiligingsincidenten (zowel fysiek als ICT-gerelateerd) en hoe meld ik deze?
In deze fase worden de volgende middelen ingezet:

  • Bezoek Mystery Guest
    Tijdens deze fase van het bewustwordingsprogramma bezoekt een Mystery guest de organisatie. De taak van deze bezoeker is in enkele uren tijd de organisatie op een vriendelijke manier duidelijk te maken waar bewustwording ontbreekt. Verder wordt geprobeerd door het benaderen van medewerkers van de organisatie, hetzij telefonisch of persoonlijk (social engineering), informatie te verkrijgen. Hierbij geeft men zich uit bijvoorbeeld als een medewerker van de organisatie, externe dienstverlener of leverancier.
  • Nieuwsbrief
    Via een nieuwsbrief informeren we de medewerkers over de uitkomsten van het bezoek van de Mystery Guest. Elke regel wordt kort uitgelegd (een uitgebreidere beschrijving volgt via nieuwflitsen).
    Bij het verschijnen van de nieuwsbrief, komt ook een nieuwsbericht op intranet te staan. Het item informatiebeveiliging wordt aangevuld met nieuwe informatie. De verschenen nieuwsbrief komt, zoals gebruikelijk, als pdf op intranet te staan.
  • Nieuwsflitsen
    In fase 3 geven we nieuwsflitsen uit voor alle regels voor informatiebeveiliging. Elke regel krijgt een eigen nieuwsflits. Elke twee weken verschijnt er één. In deze nieuwsflitsen komt een kadertje te staan met een definitie van het begrip beveiligingsincident en uitleg over waar deze gemeld kunnen worden.
  • Geheugensteun
    Elk bureau krijgt een geheugensteun. Dit is een eenvoudige kunststof kaarthouder. Hier komen de nieuwsflitsen steeds in te zitten. De achterkant van de geheugensteun wordt gebruikt voor andere organisatie brede informatie (bijvoorbeeld gebruiksaanwijzingen voor applicaties).
  • Posterronde 2
    Via (vloer)posters geven we elke week aandacht voor een nieuwe regel voor informatiebeveiliging. Hiervoor kunnen eventueel dezelfde posters worden gebruikt als in fase 2.
  • Boekje
    Als alle regels zijn gecommuniceerd via nieuwsflits, intranet en posters, maken we een boekje of overzicht van de regels voor de geheugensteun. Hierop komt algemene informatie over het onderwerp te staan (grotendeels een herhaling van de kernboodschappen van fasen 1, 2 en 3) en alle regels voor informatiebeveiliging.

Fase 4: Eigenaarschap

Elementen kernboodschap: Hoe pas ik de regels voor informatiebeveiliging toe? Is de informatiebeveiliging binnen de organisatie het afgelopen jaar verbeterd? Wat zijn ervaringen van collega’s?

In deze fase worden de volgende middelen ingezet:

  • Bezoek Mystery Guest
    Tijdens deze fase van het bewustwordingsprogramma bezoekt een Mystery guest de organisatie. De taak van deze bezoeker is in enkele uren tijd de organisatie op een vriendelijke manier duidelijk te maken waar bewustwording ontbreekt. Ook wordt telefonisch geprobeerd informatie te verkrijgen. Ook kan er gekeken worden of er verschil is ontstaan sinds de eerste mystery guest actie.
  • Digitaal onderzoek
    Via een digitale enquête op intranet onderzoeken we of het thema informatiebeveiliging en de regels voor informatiebeveiliging bekend zijn en worden toegepast. De vragenlijst heeft dezelfde opzet als die van fase 2. Daardoor kunnen we meten of het bewustzijn van de medewerkers is vergroot.
  • Nieuwsbrief
    Via een thema-editie van de nieuwsbrief informeren we de medewerkers over de uitkomsten van het bezoek van de Mystery Guest en de uitkomsten van de digitale enquête. Daarnaast blikken we terug op het eerste jaar van de bewustwordingscampagne. Ook maken we duidelijk welke uitdagingen nog voor ons liggen.Bij het verschijnen van de nieuwsbrief, komt ook een nieuwsbericht op intranet te staan. Het item informatiebeveiliging wordt aangevuld met nieuwe informatie. De verschenen nieuwsbrief komt, zoals gebruikelijk, als pdf op intranet te staan.
  • Presentatie
    We ontwikkelen een nieuwe presentatie over het onderwerp informatiebeveiliging. De presentatie is helemaal gericht op de organisatie en bevat praktijkvoorbeelden en praktische informatie. De werkgroep informatiebeveiliging houdt deze presentatie op verzoek van afdelingen en taakgebieden: Zij kunnen een presentatie aanvragen. Daarnaast wordt de presentatie standaard gegeven in de bijeenkomsten voor nieuwe medewerkers die een paar keer per jaar plaatsvinden.

Fase 5, 6 en 7: Verbinden, Communiceren en Ontwikkeling

De middelen die in deze drie laatste fases worden ingezet worden meestal op basis van voortschrijdend inzicht ingevuld. Wat werkte in de eerdere fases wel / niet? De invulling is bijna altijd een maatwerk-traject, helemaal toegespitst op de situatie van de organisatie.

Impact op de verschillende organisatieonderdelen

Het bewustwordingsprogramma heeft betrekking op alle medewerkers en bestuurders van de organisatie, inclusief ingehuurd personeel, stagiaires en uitzendkrachten. Ook de buitendienst/dislocaties wordt in dit programma betrokken.

Het management heeft een voorbeeldfunctie voor de rest van de organisatie. Daarnaast fungeert één team als voorbeeld voor de rest van de organisatie. Dit team is tenslotte verantwoordelijk voor veel informatie.

Managementteam
Het management van de organisatie is verantwoordelijk voor het vaststellen en toezicht houden op de uitvoering van het programma. Het management zal het belang van informatiebeveiliging moeten uitspreken richting de medewerkers en dit zichtbaar moeten ondersteunen.

Verantwoordelijken informatiebeveiliging
De raad van bestuur is politiek verantwoordelijk. De inhoudelijke verantwoording voor het bewustwordingsprogramma ligt bij de werkgroep beveiliging. De functionaris informatiebeveiliging is het aanspreekpunt voor het onderwerp informatiebeveiliging. De werkgroep is verantwoordelijk voor de uitwerking, implementatie en handhaving van diverse organisatorische beveiligingsmaatregelen onder leiding van de beveiligingsfunctionaris.

Taakgebied facilitaire zaken
Team facilitaire zaken is verantwoordelijk voor het inrichten van de fysieke werkplekken. Tevens is facilitaire zaken verantwoordelijk voor het afvoeren van overtollig materiaal, oud papier en de fysieke beveiliging van de panden van de organisatie en deels de dislocaties. Bij invoering van onder andere clear-desk zullen er vragen komen over bijv. opbergmiddelen, reservesleutels e.d. Het team facilitaire zaken is verantwoordelijk voor de uitwerking, implementatie en handhaving van diverse fysieke beveiligingsmaatregelen. Tevens zal facilitaire zaken voor zover het betrokken is bij fysieke beveiliging een zeer grote rol spelen bij het onderdeel incidenten en specifiek het melden ervan.

Taakgebied HRM
Het taakgebied HRM is verantwoordelijk voor het personeelsbeleid. Bij aanstelling van medewerkers zal er gewezen dienen te worden op het belang van informatiebeveiliging tijdens het introductieprogramma. HRM is verantwoordelijk voor de uitwerking, implementatie en handhaving van diverse beveiligingsmaatregelen.

Taakgebied ICT
ICT beheert de laptops, tablets, telefoons, applicaties en infrastructuur. Ook is ICT verantwoordelijk voor de uitwerking, implementatie en handhaving van diverse logische beveiligingsmaatregelen.

Taakgebied Communicatie
Tijdens het bewustwordingstraject zal zorgvuldig en regelmatig gecommuniceerd moet worden naar de medewerkers. Communicatie vindt altijd plaats in overleg met team communicatie. Dit communicatieplan vormt de leidraad voor de interne communicatie.

Een optimale security architectuur; 5 aandachtspunten

Een security architectuur bestaat uit een transparant en samenhangend overzicht van modellen, principes, uitgangspunten en condities. Hiermee kan een concretere invulling worden gegeven aan het informatiebeveiligingsbeleid, meestal zonder in specifieke oplossingstermen te spreken. Het bepalen van de optimale architectuur is geen sinecure. In deze blogpost worden enkele handvatten geboden voor het ontwerpen van een gedegen, breed gedragen architectuur.

1 – Ontwerp vanuit een integrale aanpak

Bij het opzetten van een security architectuur is het belangrijk om te kiezen voor een integrale aanpak. In veel gevallen wordt een architectuur ontwikkeld op basis van incidenten die zich hebben voorgedaan in de bedrijfsomgeving. Het is echter veel verstandiger om te kiezen voor een proactieve, risico-gedreven benadering. Hierbij wordt eerst gekeken naar de objecten die beschermd moeten worden. Nadat een inventarisatie van deze zgn. kroonjuwelen heeft plaatsgevonden, worden de objecten gewaardeerd (risicoclassificatie) en wordt beschreven op welke manier met de risico’s dient te worden omgegaan. Door deze integrale, risico gedreven aanpak worden risico’s op alle relevante vlakken inzichtelijk gemaakt.

2 – Ontwerp vanuit je (bedrijfs)doelstellingen

Het gebeurt regelmatig dat binnen een organisatie IT-oplossingen geïmplementeerd worden zonder dat hieraan een weloverwogen keuzeproces is voorafgegaan. Dit kan leiden tot ingebruikneming van oplossingen en systemen die niet aansluiten bij / geen bijdrage leveren aan de bedrijfsdoelstellingen en die afwijken van het IT (beveiligings)beleid. Dit kan voorkomen worden door bij het ontwerpen van de architectuur uit te gaan van de bedrijfsdoelstellingen. De eerste vraag die hiertoe beantwoord moet worden is: wat zijn de belangrijkste drivers in de organisatie om de gestelde doelen te halen? Op basis daarvan kunnen de risicofactoren bepaald worden en kan een policy worden gedefinieerd. Door het vaststellen van een set aan KRI’s, KPI’s en beheersmaatregelen kan vervolgens inzichtelijk worden gemaakt waar wordt afgeweken van de norm. Daarbij mag niet klakkeloos van zgn. “best practices” worden uitgegaan. Alleen best practices die daadwerkelijk bijdragen aan de bedrijfsdoelstellingen mogen tot standaard verheven worden.

3 – Gebruik principes en patronen

De volgende basisprincipes dienen – ook vanuit het oogpunt van de wet- en regelgeving ten aanzien van privacy en datalekken – leidend en richtinggevend te zijn bij het opzetten van een security architectuur:

  1. Need to know – zorg ervoor dat de security architectuur zodanig is opgebouwd dat mensen alleen informatie kunnen inzien of gebruiken waar ze op basis van hun rol of functie toegang toe moeten hebben;
  2. Least priviliged – zorg ervoor dat mensen voldoende informatie hebben om de processen waaraan ze werken goed uit te kunnen voeren. Maar niet meer dan strikt noodzakelijk is.
  3. Keep it simple stupid (KISS) – vermijd complexiteit. Zorg ervoor dat de security architectuur logisch en begrijpelijk is opgezet.

4 – Zorg voor een gedegen organisatorische inrichting

Bij het opzetten van een security architectuur is aandacht voor mens, proces en techniek essentieel. Organisaties worstelen nogal eens met de inrichting van hun informatiehuishouding. Reden hiervoor is vaak dat specifieke functies niet aanwezig zijn of onvoldoende zijn ingevuld. Denk aan het invullen van de CISO-rol door het Hoofd IT of het inzetten van een jurist als parttime privacy officer. Daarnaast vereist een gedegen organisatorische inrichting heldere processen en de juiste technische systemen.

5 – Zorg voor borging van architectuur in het Implementatietraject

Architecten zijn verantwoordelijk voor het ontwerp van een nieuwe omgeving/ infrastructuur. Maar als met de daadwerkelijke bouw wordt begonnen verdwijnt de architectuur-functie vaak uit beeld. Bovendien wordt – nadat de bouw voltooid is – in veel gevallen geen review uitgevoerd om te bepalen of de opgeleverde omgeving conform ontwerp is. Om ervoor te zorgen dat er geen discrepantie ontstaat, dient architectuur betrokken te worden bij de uitvoering van het bouwtraject. Niet alleen om te waarborgen dat er conform ontwerp wordt opgeleverd, maar ook omdat architectuur op die manier de inzichten en ervaringen die zij opdoet kan meenemen bij toekomstige ontwerpen.