Towards Viewpoint-centric Artifact-based Regulatory Requirements Engineering for Compliance by Design

Dit paper presenteert een voorlopig verslag over het Artefact Model voor Regelgevende Requirements Engineering (AM4RRE), dat is ontworpen om de integratie van regelgevende compliance in de softwareontwikkelingscyclus te stroomlijnen door de complexiteit van verschillende perspectieven aan te pakken.

De kern

🏗️ De Bouwmeester en de Wetgever: Hoe software veilig en legaal bouwen?

Stel je voor dat je een gigantische, complexe stad wilt bouwen (dit is je software). Je hebt architecten, metselaars en elektriciens nodig om de gebouwen te ontwerpen en te bouwen. Dit noemen we in de tech-wereld Software Engineering.

Maar er is een probleem: er zijn duizenden strenge regels (wetten) die bepalen hoe die stad eruit mag zien. Denk aan: "Geen ramen op de eerste verdieping," "Alle deuren moeten brandveilig zijn," of "Je mag geen afval in de rivier dumpen." Dit zijn de reguleringen (zoals de AVG/GDPR voor privacy of de Cyber Resilience Act).

De auteur van dit paper, Oleksandr Kosenkov, onderzoekt hoe we deze twee werelden – de bouwers (software-ontwikkelaars) en de wetgevers (juristen) – met elkaar kunnen laten samenwerken zonder dat het project vastloopt.

🚧 Het Huidige Probleem: Twee Talen Spreken

Op dit moment werken deze twee groepen vaak alsof ze op eilanden wonen:

1. De Bouwers werken snel en flexibel (zoals in een Agile team). Ze bouwen eerst en kijken later wel of het voldoet.
2. De Juristen kijken pas aan het einde naar de plannen. Als ze zien dat de stad niet voldoet aan de wet, moet alles opnieuw.

Dit leidt tot chaos. De bouwers begrijpen de juridische taal niet, en de juristen begrijpen niet hoe software werkt. Het resultaat? Software die niet veilig is, of bedrijven die boetes krijgen.

💡 De Oplossing: Een "Vertaalboek" voor Artefacten

De auteur stelt een nieuwe manier van werken voor, genaamd AM4RRE.
In plaats van te zeggen: "Doe eerst stap 1, dan stap 2" (een proces), kijkt hij naar wat er precies op papier moet staan (de artefacten of documenten).

Stel je voor dat je een recept hebt.

• De jurist schrijft op: "Het eten moet veilig zijn (geen bacteriën)."
• De kok (software-ontwikkelaar) moet weten wat dat betekent in zijn keuken: "Gebruik verse groenten en bak op 70 graden."

De kern van dit paper is het maken van een model dat precies beschrijft:

1. Wie moet wat doen? (De rollen: jurist, architect, ontwikkelaar).
2. Wat moet er op het papier staan? (De inhoud: regels, eisen, ontwerp).
3. Hoe hangt dit aan elkaar? (De verbindingen: als de wet zegt "privacy", dan moet het ontwerp een "slot" hebben).

🧩 De Vijf Uitdagingen (In Simpel Woorden)

De auteur noemt vijf redenen waarom dit zo moeilijk is:

1. De Regels Veranderen: Wetten zijn vaak vaag ("bescherm de privacy"). Software moet heel specifiek zijn. Hoe vertaal je vaag naar specifiek?
2. Te Laat Bedacht: Vaak denken bedrijven pas aan de wet als het ontwerp al bijna klaar is. Dat is als pas aan het einde van de bouw ontdekken dat je geen fundering hebt.
3. Aanpassingen: Als je een nieuwe wet moet volgen, moet je vaak je hele ontwerp aanpassen. Dat kost tijd en geld.
4. Twee Werelden: De wet kijkt naar het probleem (wat mag er niet gebeuren), de techniek kijkt naar de oplossing (hoe bouwen we het?). Deze moeten samenkomen.
5. Moeilijke Vertaling: Het is heel moeilijk om juridische termen om te zetten in technische code zonder dat er dingen verloren gaan.

🛠️ De Oplossing in Actie: Het "AM4RRE" Model

Het model dat Oleksandr heeft bedacht, werkt als een interactieve bouwplaat:

• De Rol: Je hebt een "Juridische Expert" en een "Software Architect".
• De Doelen: De jurist wil "geen boetes", de architect wil "stabiele software".
• De Context: Waar bouwen we? (In Nederland? Voor kinderen?).
• De Inhoud: Dit is het belangrijkste. Het model zegt: "Als de wet zegt 'Gegevens mogen niet gestolen worden', dan moet de architect een 'Brandmuur' bouwen en de ontwikkelaar een 'Wachtwoord' coderen."

Het model zorgt ervoor dat niemand iets vergeet en dat alles logisch aan elkaar hangt. Het is alsof je een vertaal-app hebt die juridische regels direct omzet in bouwtekeningen.

🔮 Wat Komt Er Nog?

De auteur is nog niet klaar. Hij heeft het model bedacht en getest met een paar mensen, maar nu moet het echt worden getest in de praktijk.
Hij twijfelt nog over de beste manier om dit te testen:

• Moeten mensen een checklist invullen?
• Of moeten ze in een simulatie (een spelletje) een stad bouwen volgens de regels?

Hij hoopt dat dit paper zorgt voor discussie en dat experts hem helpen om de laatste hand te leggen aan zijn "vertaalboek" voor veilige software.

🌟 Samenvatting in één zin

Dit paper is een plan om te voorkomen dat softwarebedrijven in de problemen komen met de wet, door een slim systeem te bouwen dat juridische regels automatisch vertaalt naar concrete bouwplannen voor softwareontwikkelaars.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Towards Viewpoint-centric Artifact-based Regulatory Requirements Engineering for Compliance by Design" van Oleksandr Kosenkov, geschreven in het Nederlands.

Titel: Naar een viewpoint-centric, artefact-gebaseerde vereistenengineering voor regelgeving (Regulatory RE) voor Compliance by Design

1. Het Probleem

Het verwerken van wet- en regelgeving om naleving (compliance) in softwareontwikkeling te bereiken, vormt een groeiende uitdaging vanwege de toenemende hoeveelheid, complexiteit en reikwijdte van reguleringen. Hoewel de onderzoeksgemeenschap nieuwe methoden voor Regulatory Requirements Engineering (Regulatory RE) heeft voorgesteld, worstelt de industrie nog steeds met de integratie hiervan in bestaande Requirements Engineering (RE) en Software Development Life Cycle (SDLC) praktijken.

De huidige situatie wordt gekenmerkt door:

• Ad-hoc aanpakken: Teams hanteren compliance vaak op een niet-systematische manier.
• Geïsoleerde processen: Organisaties starten vaak losstaande Regulatory RE-processen die niet naadloos aansluiten bij de algemene softwareontwikkeling.
• Integratieproblemen: Het ontbreekt aan een systematische manier om juridische kennis te vertalen naar technische vereisten zonder de agile workflows te verstoren.
• Viewpoint-conflicten: Er is een fundamenteel verschil tussen juridische en technische perspectieven (viewpoints), wat leidt tot communicatieproblemen en inconsistenties.

Het centrale probleem is dus hoe men een naadloze "Compliance by Design" kan realiseren die juridische geldigheid garandeert zonder de softwareontwikkeling onnodig te belasten.

2. Methodologie

De auteur hanteert een empirisch onderbouwde, iteratieve onderzoeksmethode die bestaat uit een reeks studies om de staat van de kunst te analyseren en een nieuw model te synthetiseren:

• Systematische Mapping en Literatuurstudies: Om de uitdagingen en bestaande methoden voor Privacy by Design en Regulatory RE in kaart te brengen (RQ1).
• Empirisch Onderzoek (Interviews en Focusgroepen):
  • Interviews met engineers en juridische experts om de praktijk van GDPR-implementatie te begrijpen.
  • Focusgroepen met juridische onderzoekers om de juridische interpretatieprocessen te analyseren.
  • Case studies in grote ondernemingen (bijv. European Accessibility Act) om cross-functionele coördinatie te bestuderen.
• Synthese en Validatie: Het ontwikkelen van een conceptueel model op basis van de verzamelde inzichten, gevolgd door validatierondes met experts (walkthroughs) en proefnemingen met praktijkmensen.

De kern van de methodologie verschuift van een activiteit-georiënteerde aanpak (wat moet je doen?) naar een artefact-georiënteerde aanpak (wat moet er gespecificeerd worden?).

3. Belangrijkste Bijdragen

De paper introduceert het Artefact Model for Regulatory Requirements Engineering (AM4RRE). Dit model is een uitbreiding van het bestaande Artefact Model for Domain-independent Requirements Engineering (AMDiRE) en is specifiek ontworpen om de coördinatie tussen verschillende viewpoints (juridisch, business, requirements, architectuur) mogelijk te maken.

De kerncomponenten van AM4RRE:

1. Rolmodel (C1): Definieert verantwoordelijkheden van juridische experts, domeinexperts, requirements engineers en software-architecten.
2. Doelmodel (C2): Specificeert de doelen per rol (bijv. juridische doelen vs. technische doelen).
3. Projectcontext (C3): Beschrijft de uitdagingen en activiteiten binnen het specifieke project.
4. Mijlpaalmodel (C4): Bepaalt de volgorde van specificatie.
5. Inhoudsmodel (C5): Het hart van het model. Het definieert de inhoud van specificaties (juridische specificatie, software-context, requirements, systeemspecificatie) op basis van concepten en hun relaties.

Tailoring-mechanisme (Aanpassing):
Het model vereist aanpassing (tailoring) om bruikbaar te zijn:

• Regelgeving-specifiek (T1): Het annoteren van wetteksten om juridische concepten te identificeren en deze te vertalen naar het inhoudsmodel.
• Inhoud-specifiek (T2): Het leggen van relaties tussen juridische concepten en technische specificaties (bijv. het koppelen van het juridische concept "rechtssubject" aan het technische concept "stakeholder") om duplicatie te voorkomen en consistentie te garanderen.
• Doel-gedreven (T3): Het selecteren van relevante inhoudsitems op basis van organisatiedoelen.

4. Resultaten

Uit de studies en de synthese van het model komen de volgende bevindingen naar voren:

• Noodzaak van Coördinatie: Regulatory RE kan niet worden opgelost door alleen juridische experts in te schakelen; het vereist een systematische coördinatie tussen viewpoints via gedeelde artefacten.
• Juridische Interpretatie is Cruciaal: Wetten zijn vaak abstract en vereisen een kennisintensief interpretatieproces om ze om te zetten in concrete, project-specifieke vereisten.
• Validatie van het Concept:
  • Juridische experts gaven positieve feedback op de mogelijkheid om juridische viewpoints te specificeren die onafhankelijk zijn van specifieke projecten.
  • Praktijktesten met GDPR-excerpts toonden aan dat het toewijzen van concepten aan requirements- en systeemniveaus haalbaar is en helpt bij het vastleggen van juridische domeinkennis.
  • De belangrijkste methodische kenmerken voor Privacy by Design bleken te zijn: het vastleggen van juridische kennis, traceerbaarheid, consistentie en transparantie van specificaties.
• Aanpak van Uitdagingen: Het model adresseert de uitdagingen van inconsistentie, het ontbreken van juridische kennis bij engineers, en de moeilijkheid om iteraties tussen juridische en technische vereisten te beheren.

5. Betekenis en Toekomstperspectief

De betekenis van dit werk ligt in het bieden van een systematisch raamwerk voor "Compliance by Design". In plaats van compliance als een naderende gedachte (afterthought) te behandelen, integreert AM4RRE juridische vereisten direct in de SDLC via een gestructureerde artefactenbenadering.

• Voor de Industrie: Het biedt een weg om compliance te integreren in agile en scaled frameworks zonder de processen te verlammen, door de focus te leggen op de inhoud van artefacten in plaats van strikte activiteitenvolgorde.
• Voor de Wetenschap: Het vult een lacune in het empirisch begrip van hoe juridische en technische viewpoints effectief kunnen worden gecoördineerd.

Toekomstig werk:
De auteur plant de definitieve validatie van AM4RRE. Vanwege de complexiteit en de gevoeligheid van compliance-onderwerpen worden twee opties overwogen:

1. Een walkthrough met experts aangevuld met een experiment waarbij deelnemers vereisten specificeren op basis van voorbeeldcases en templates.
2. Een experiment waarbij professionals een specifieke rol (viewpoint) aannemen om een geval te behandelen met behulp van het model.

De paper dient als een oproep tot discussie en feedback van de gemeenschap om het eindmodel en de validatiestrategie te verfijnen.