Oplegnotitie Open Standaarden Lijsten

Content

Vergadering: Forum Standaardisatie woensdag 28 september 2022

Agendapunt: 3

Documentnummer: FS-20220928.3

Aan: Forum Standaardisatie

Van: Stuurgroep Open Standaarden

Bijlage:

  • FS-20220928.3A-Intakeadvies-security.txt
  • FS-20220928.3B-Forumadvies-Verwijdering-OWMS
  • FS-20220928.3C-Notitie-indeling-standaarden-volgens-domeinen

Download hier de PDF versie van deze oplegnotitie. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Samenvatting

Ter besluitvorming

Vraag aan Forum Standaardisatie om in te stemmen met het volgende advies:

  • A. te toetsen of de standaard security.txt geschikt is om te verplichten aan de overheid (‘pas toe of leg uit’-verplichting) (veiliger internet)
  • B. standaard OWMS niet meer te verplichten of aan te bevelen aan de overheid door verwijdering van ‘pas toe of leg uit’-lijst (meer toegang en openbaarheid)

Ter bespreking

  • C. Acties voor de doorontwikkeling van de lijst open standaarden

Ter toelichting

  • D. Voortgang lopende procedures
    1. Veiliger internet:
      • Nederlands profiel bij OpenID Connect 1.0 (authenticatie) lopende procedure: verplichten aan de overheid (‘pas toe of leg uit’-verplichting)
    2. Betere gegevensuitwisseling:
      • VISI (bouwstandaard voor procescommunicatie) lopende procedure: nieuwe versie verplichten aan de overheid
  • E. Professionaliseren registraties open standaarden (meer toegang en openbaarheid)

Ter besluitvorming

A. Intakeadvies security.txt (veiliger internet)

[Bijlage: FS-20220928.3A-Intakeadvies-security.txt]

Vraag aan Forum Standaardisatie om in te stemmen met het advies om te toetsen of de standaard security.txt geschikt is om te verplichten aan de overheid (‘pas toe of leg uit’-verplichting), voor veiliger internet.

Advies

De Stuurgroep Open Standaarden adviseert het Forum Standaardisatie om te toetsen of de standaard security.txt geschikt is te verplichten aan de overheid (‘pas toe of leg uit’-verplichting). security.txt is een standaard voor security- en policy-contactinformatie.

De standaard beschrijft op een uniforme wijze, hoe een kwetsbaarheid gemeld kan worden aan een organisatie die diensten/systemen heeft die verbonden zijn met het internet. Daarmee draagt security.txt bij aan de oplossing van een bestaand en relevant probleem: er is op dit moment geen eenduidige wijze waarop kwetsbaarheden kunnen worden gemeld. Dit maakt het voor melders van cybersecurity-kwetsbaarheden erg lastig om een melding bij de juiste personen binnen een organisatie te krijgen.

security.txt is bedoeld voor alle organisaties die één of meerdere diensten/systemen hebben verbonden met het internet, zowel overheidsorganisaties als private ondernemingen. De gegevensuitwisseling die de standaard bewerkstelligt, bevordert de veiligheid van de gegevensuitwisseling en informatieverstrekking.

Een uitgebreid expertonderzoek is aangewezen om de standaard te toetsen aan de criteria voor opname op de ‘pas toe of leg uit’-lijst, met extra aandacht voor de punten die naar voren zijn gekomen tijdens het intakegesprek.

Belang van de standaard: veiliger internet

De standaard security.txt draagt bij aan een veiliger internet doordat meldingen over kwetsbaarheden in een dienst of systeem sneller terecht komen bij de juiste personen binnen een organisatie. Hierdoor kunnen kwetsbaarheden sneller worden verholpen en is de kans kleiner dat cybercriminelen kwetsbaarheden gebruiken.

Hoe is het proces verlopen?

Op donderdag 2 juni 2022 meldden National Cyber Security Centrum (NCSC) en Digital Trust Center (DTC) de standaard security.txt aan bij het Bureau Forum Standaardisatie voor plaatsing op de Lijst Open Standaarden. Op maandag 20 juni 2022 heeft het intakegesprek plaatsgevonden. Tijdens het intakegesprek hebben de indieners de wens geuit om de standaard in te dienen voor plaatsing op de ‘pas toe of leg uit’-lijst. Op basis van dit intakegesprek is het intakeadvies samengesteld.

Over de standaard

De standaard security.txt schrijft voor op welke wijze organisaties de juiste security- en policy-contactinformatie beschikbaar stellen. Wanneer een persoon of organisatie een kwetsbaarheid heeft gevonden in een dienst/systeem dat verbonden is aan het internet, dan kan de melder eenvoudig de verantwoordelijken binnen de betreffende organisatie informeren door gebruik te maken van de beschikbaar gestelde contactinformatie via security.txt.

Daarnaast geeft de standaard organisaties die toezien op de cyberweerbaarheid van overheden en bedrijven (zoals NCSC en DTC), de mogelijkheid om organisaties die (mogelijk) kwetsbaarheden hebben, snel te informeren over deze (mogelijke) kwetsbaarheden met eventueel te nemen maatregelen.

De standaard is toepasbaar voor elektronische gegevensuitwisseling tussen (semi-)overheidsorganisaties en bedrijven, tussen (semi-)overheidsorganisaties en burgers of tussen (semi-)overheidsorganisaties onderling.

Ad B. Forumadvies OWMS (verwijdering uit ‘pas toe of leg uit’-lijst)

[Bijlage: FS-20220928.3B-Forumadvies-Verwijdering-OWMS]

Vraag aan Forum Standaardisatie om in te stemmen met het advies om de metadatastandaard OWMS niet meer te verplichten of aan te bevelen aan de overheid door verwijdering van ‘pas toe of leg uit’-lijst.

Advies

De Stuurgroep Open Standaarden adviseert het Forum Standaardisatie om de metadatastandaard Overheid.nl Web Metadata Standaard (OWMS) niet meer te verplichten of aan te bevelen aan de overheid via verwijdering uit de ‘pas toe of leg uit’-lijst. OWMS beschrijft eigenschappen en structuur van overheidsinformatie op internet.

OWMS heeft end of life-status bereikt. De beheerorganisatie KOOP doet geen investeringen meer in de doorontwikkeling en in het beheer van de standaard. Er is geen draagvlak voor het gebruik van OWMS voor nieuwe toepassingen omdat KOOP OWMS gaat vervangen voor de nieuwe standaard Thesaurus en Ontologie OverheidsInformatie (TOOI).

Experts adviseren om duidelijk te communiceren dat de standaard na verwijdering nog steeds gebruikt kan worden.

Belang van de standaard: meer toegang en openbaarheid

OWMS draagt bij aan meer toegang en openbaarheid van overheidsinformatie doordat burgers en bedrijven overheidsinformatie beter kunnen vinden en interpreteren.

OWMS bevordert deze vindbaarheid door overheidsinformatie op een eenduidige manier te beschrijven en te ordenen. Het gaat om informatie die de overheid op het internet publiceert, zoals artikelen, kamerstukken, bekendmakingen en formulieren.

Hoe is het proces verlopen?

Het Forum Standaardisatie heeft op 7 oktober 2020 groen licht gegeven om de procedure te starten om OWMS niet meer te verplichten of aan te bevelen. Uit gezamenlijk onderzoek van Bureau Forum Standaardisatie en KOOP bleek dat het niet haalbaar was om de verwijdering van OWMS te combineren met de aanmelding van TOOI in één gezamenlijke procedure. Op 3 mei 2022 kwam de expertgroep bijeen voor de verwijdering van OWMS. Aan dit expertonderzoek namen vertegenwoordigers deel uit een coalitie van overheids- en koepelorganisaties.

Het expertadvies is van 24 juni 2022 tot 25 juli 2022 ter openbare consultatie gepubliceerd op internetconsultatie.nl. De enige binnengekomen reactie weersprak de verwijdering van OWMS. Deze reactie en de duiding ervan door de experts zijn opgenomen in de eindconclusie in het Forumadvies. Op basis van het Expertadvies en de reactie uit de openbare consultatie is het Forumadvies samengesteld.

Over de standaard

OWMS (Overheid.nl Web Metadata Standaard) beschrijft eigenschappen en structuur van overheidsinformatie op het internet. De overheid produceert dagelijks ontzettend veel informatie. Deze overheidsinformatie verschilt sterk in vorm, inhoud, publiek, onderwerp, herkomst en actualiteit. Om ervoor te zorgen dat al die overheidsinformatie vindbaar is en in samenhang met andere informatie gepresenteerd kan worden, is het nodig om deze informatie te ordenen. De afspraken die de overheid hierover heeft gemaakt, zijn vastgelegd in de Overheidsbrede Web Metadata Standaard.

OWMS beschrijft met de metadata (dat wil zeggen gegevens die gegevens beschrijven) informatieobjecten die de overheid op het internet publiceert. Het doel van metadata is de eigenschappen van ongestructureerde gegevens (bijvoorbeeld de inhoud van een website) te kenmerken zodat deze meer structuur krijgen en beter te vindbaar en interpreteren zijn.

OWMS laat uitbreiding toe met eigenschappen en waarden voor specifieke toepassingen. Voor een dergelijke toepassing wordt dan een toepassingsprofiel gemaakt.

Ter bespreking

C. Acties voor de doorontwikkeling van de lijst open standaarden

[Bijlage: FS-20220928.3C-Notitie-indeling-standaarden-volgens-domeinen]

Vraag aan het Forum Standaardisatie om het voorstel over het actualiseren van de indeling van standaarden te bespreken en de voorkeurbenaming voor ieder domein vast te stellen

Het voorstel over het actualiseren van de indeling van standaarden wordt in de volgende paragraaf toegelicht. De overige paragrafen zijn ter kennisname en rapporteren over de voortgang van de overige acties voor de doorontwikkeling van de lijsten.

Indeling van standaarden

In de vergadering van 20 april 2022 besprak het Forum Standaardisatie de acties die voortkwamen uit het onderzoek van Paul Dam over de doorontwikkeling van de lijsten open standaarden. Het Forum Standaardisatie (FS) gaf hoge prioriteit aan de uitwerking van een doelmatiger clustering (in het vervolg aangeduid met: indeling) van standaarden op de lijsten. Bureau Forum Standaardisatie (hierna: Bureau) pakt deze uitwerking op in twee fases. De eerste fase betreft een actualisering van de huidige indeling op domeinen op de website en op de flyer. In een tweede fase werkt het Bureau aan heel nieuwe indelingen voor verschillende doelgroepen. Deze alternatieve indelingen maken verschillende ‘views’ mogelijk op de verbanden tussen de open standaarden op de lijst.

Het hier voor liggende voorstel betreft de uitwerking van de eerste fase. De huidige indeling op domeinen op de website en op de flyer laat zich teveel leiden door het technische domein van individuele standaarden. Zij geeft inkopers, architecten en bestuurders te weinig inzicht in de samenhang van standaarden en hun toepasbaarheid in de digitale dienstverlening. Het Bureau past eerst de bestaande indeling volgens domeinen aan.

De scope van dit voorstel is een laagdrempelige herbenoeming van bestaande indeling volgens domeinen, die verschuivingen van standaarden vermijdt of tot een minimum beperkt. Hierbij is het zoeken naar goed midden tussen namen die dichtbij huidige namen staan en meer wervende namen die geen technische lading hebben en aanduiden wat met een standaard wordt bereikt.

Opname van ‘andersoortige standaarden’

Het Forum Standaardisatie nam het advies over uit het onderzoek doorontwikkeling van de lijsten open standaarden om ‘andersoortige standaarden’ zoals principes, baselines en richtlijnen toe te laten op de lijst aanbevolen standaarden als deze belangrijke meerwaarde hebben voor de interoperabiliteit, online veiligheid of leveranciersonafhankelijkheid van de overheid. Het Bureau pakt dit op via een proof of concept (PoC). De PoC behelst het uitvoeren van een informele toetsingsprocedure; dat wil zeggen de toetsingsprocedure leidt niet tot het plaatsen van een standaard op de Lijst open Standaarden. Uitkomsten uit de PoC geven weer richting aan de verdere uitwerking van het advies rond andersoortige standaarden.

Actief onderhoud op de lijst aanbevolen standaarden

Afgaand op het advies uit het onderzoek naar de doorontwikkeling van de lijsten, vraagt het Forum Standaardisatie om een actiever onderhoud op de lijst aanbevolen standaarden. Dit voorkomt dat er standaarden zonder toegevoegde waarde op de lijst blijven staan, bijvoorbeeld standaarden die niet meer beheerd worden of met de tijd overbodig geworden zijn.

Het Bureau heeft een tiental standaarden geïdentificeerd die in aanmerking komen voor verwijdering van de lijst aanbevolen standaarden. In de Forumvergadering van december komt het Bureau met een voorstel ter besluitvorming om verwijderingsprocedures te starten voor concrete standaarden.

Daarnaast heeft Forum Standaardisatie een twintigtal standaarden geïdentificeerd die als ‘gangbaar’ kwalificeren, waaronder HTML, CSS en http. Voor deze standaarden is verwijdering van de lijst niet aan de orde, maar volgens het advies uit het onderzoek naar de doorontwikkeling van de lijsten moeten ze minder op de voorgrond staan. Bureau Forum Standaardisatie zoekt nog uit hoe dit op de website het beste geïmplementeerd kan worden (zie ook deze oplegger ‘E. Professionaliseren registraties open standaarden (meer toegang en openbaarheid’)).

Ter toelichting

D. Voortgang lopende procedures

Nederlands profiel bij OpenID Connect 1.0 (authenticatie): tweede expertbijeenkomst

Forum Standaardisatie toetst of de standaard van Logius NL GOV Assurance Profile for OIDC 1.0 geschikt is om te verplichten aan de overheid via plaatsing op de ‘pas toe of leg uit’-lijst. Experts adviseren de standaard OpenID Connect 1.0 aan te vullen met een Nederlands profiel. NL GOV Assurance Profile for OIDC 1.0 draagt bij aan veiliger internet doordat authenticatieservices (zoals DigiD) de identiteit van een eindgebruiker controleren op een gestandaardiseerde wijze.

Uit expertadvies (najaar 2021) en reacties uit de openbare consultatie (winter 2022) kwamen drie aandachtspunten naar voren, namelijk ‘toegevoegde waarde (overlap met SAML)’, ‘draagvlak (marktondersteuning) (voorbeeldimplementatie)’ en samenhang met het internationale iGOV-profiel voor OIDC. In overleg met de indiener Logius (7 april 2022) is besloten een tweede expertbijeenkomst te houden als aanloop naar een Forumadvies. De tweede expertbijeenkomst adresseert de genoemde aandachtspunten.

De tweede expertsessie vindt plaats op 6 oktober. Bureau Forum Standaardisatie (BFS) legt op de expertsessie een adviesrapport voor over het in samenhang publiceren van de registraties SAML en NL GOV AP OIDC op de Lijst Open Standaarden (aandachtspunt ‘toegevoegde waarde (overlap met SAML)’). Logius presenteert de resultaten uit de hackathon van 14 en 15 september. De hackathon is georganiseerd voor deze toetsingsprocedure en heeft de toepasbaarheid van het OIDC-profiel getoetst aan een breed scala van OIDC implementaties (aandachtspunten ‘draagvlak (marktondersteuning) (voorbeeldimplementatie)’ en samenhang internationale iGOV-profiel voor OIDC).

De toetsingsprocedure voor NL GOV Assurance Profile for OIDC 1.0 is de voortzetting van de aanmelding van de standaard door Logius op 15 oktober 2020 voor opname op de ‘Pas toe of leg uit’-lijst. In de toetsingsprocedure is er aandacht voor opmerkingen die het Forum Standaardisatie heeft uitgesproken na het akkoord op het Intakeadvies van NL GOV Assurance Profile for Open ID Connect 1.0.

VISI (bouwstandaard voor procescommunicatie)

Forum Standaardisatie toetst of de bouwstandaard VISI in de nieuwe versie (1.6) geschikt is om te blijven verplichten aan de overheid. VISI is een standaard voor procescommunicatie in de bouw. De bouwstandaard VISI draagt bij aan betere gegevensuitwisseling en leveranciersonafhankelijkheid doordat VISI de transparantie en traceerbaarheid van het bouwproces vergroot en het gemakkelijker maakt om informatie over bouwprocessen uit te wisselen.

Het BIM Loket heeft op 15 oktober 2021 VISI 1.6 aangemeld voor versiewijziging op de ‘pas toe of leg uit’-lijst. Het Forum Standaardisatie heeft op 8 maart 2022 besloten om VISI in procedure te nemen. Experts zijn benaderd en een Expertadvies komt in openbare consultatie in oktober 2022. De verwachting is het Forumadvies in het najaar van 2022 voor te leggen aan het Forum Standaardisatie.

E. Professionaliseren registraties open standaarden (meer toegang en openbaarheid)

Bureau Forum Standaardisatie professionaliseert de informatiehuishouding van registraties van standaarden (Lijst Open Standaarden). Dit draagt bij aan meer toegang en openbaarheid. De nieuwe inrichting van de informatiehuishouding verhoogt de datakwaliteit van de registraties via duurzaam beheer ervan volgens principes van records management. Daarnaast zorgt deze oplossing ervoor om de registraties deelbaar, verbindbaar en machineleesbaar beschikbaar te stellen als open data volgens linked data standaarden en -principes.

De professionalisering van informatiehuishouding is nodig om een aantal aanbevelingen uit het onderzoek Doorontwikkeling lijst open standaarden te realiseren, zoals het indelen en presenteren van standaarden. Daarnaast sluit de professionalisering aan bij nationale beleidskaders zoals actieplan ‘Informatie Op Orde’, ‘I-strategie Rijk 2021 – 2025’ en ‘Nederlandse Digitaliseringsstrategie 2021’. Tot slot draagt de nieuwe informatiehuishouding bij aan stimuleren van adoptie van standaarden.

Bureau Forum Standaardisatie en Nederlandse Overheid Referentie Architectuur (NORA) trekken in dit traject samen op. Partijen als NORA, GEMMA (GEMeentelijke Model Architectuur) Softwarecatalogus van VNG, en Logius Stelselcatalogus hebben aangegeven interesse te hebben in hergebruik van de registraties van standaarden via deze linked open data. De resultaten worden voorjaar 2023 verwacht.

Documentatie-type