Onderhoud op de lijst aanbevolen standaarden

Content

Vergadering: Forum Standaardisatie 8 februari 2023
Agendapunt: 3B
Documentnummer: FS-20230208.3B-onderhoud-lijst-aanbevolen-standaarden
Aan: Forum Standaardisatie
Van: Stuurgroep Open Standaarden
Bijlagen: geen
Rechten: CC0 publieke domein verklaring

Download hier de PDF versie van dit agendapunt. Wij kunnen de digitale toegankelijkheid van dit PDF bestand niet garanderen.

1. Gevraagd besluit

Wij vragen het Forum Standaardisatie om:

  1. de standaarden vast te stellen die in aanmerking komen voor verwijdering van de lijst aanbevolen standaarden.
  2. in te stemmen met de start van een gecombineerde toetsingsprocedure ter verwijdering van de onder punt 1 genoemde standaarden van de lijst aanbevolen standaarden.

Een concept lijst van standaarden ter verwijdering vindt u in paragraaf 3, en een aantal schriftelijke reacties van Forumleden op deze concept lijst in paragraaf 4. Wij vragen het Forum Standaardisatie om deze concept lijst standaarden te bespreken, waar nodig aan te passen en vast te stellen.

2. Achtergrond

In de vergadering van het Forum Standaardisatie van 20 april 2022 presenteerde Paul Dam van Lex Digitalis de conclusies van zijn onderzoek naar de doorontwikkelingen van de ‘pas toe of leg uit’-lijst en de lijst aanbevolen open standaarden. Hieruit kwam een aantal adviezen voort dat het Forum Standaardisatie in de vergadering van 20 april 2022 onderschreef. Een van de adviezen was om een actiever onderhoud te plegen op de lijst aanbevolen standaarden en standaarden te verwijderen die op de lijst geen toegevoegde waarde meer hebben.

Bureau Forum Standaardisatie identificeerde daarop de standaarden die in aanmerking komen ter verwijdering. Hiervoor hanteerde het Bureau dezelfde criteria die in de intakes en toetsingsprocedures gebruikt worden. Als een standaard op de lijst niet (meer) aan één of meer van deze criteria lijkt te voldoen, komt deze in aanmerking voor een verwijderingsprocedure.

Ook staan er standaarden op de lijst aanbevolen standaarden waarvan de beveiligde versie op de ‘pas toe of leg uit’-lijst staat. Concreet gaat het om https en DNS, waarvan de ‘secure’ versies https en DNSSEC verplicht zijn en waarvoor streefbeeldafspraken bestaan in het OBDO. Bureau Forum Standaardisatie stelt voor om geen standaarden op de lijst aanbevolen standaarden te handhaven die ‘secure’ versies hebben die op de ‘pas toe of leg uit’-lijst staan. Dit kan het ‘pas toe of leg uit’-beleid ondermijnen omdat gebruikers kunnen denken (of als excuus kunnen aanvoeren) dat niet-secure versies van deze standaarden ook nog gebruikt mogen worden.

De Stuurgroep Open Standaarden besprak de concept lijst verwijderbare standaarden op 17 november 2022 en daarna volgde een schriftelijke commentaarronde onder de leden van het Forum Standaardisatie die tot 17 januari 2023 duurde. Hierin ontvingen wij reacties van een aantal Forumleden, die in paragraaf 4 hieronder zijn weergegeven.

In de vergadering van het Forum Standaardisatie van 8 februari 2023 vragen wij de leden van het Forum Standaardisatie om de lijst standaarden ter verwijdering te bespreken en vast te stellen.

Als het Forum instemt, behandelen wij de door het Forum vastgestelde groep standaarden in één procedure, waarin wij wel iedere standaard afzonderlijk op hoofdlijnen beoordelen tegen de criteria die het Forum Standaardisatie voor de lijst hanteert. De procedure volgt verder de gebruikelijke stappen en bestaat uit een expertonderzoek, een openbare consultatie en een Forumadvies.

3. Standaarden aangemerkt voor verwijdering van de lijst

De volgende tabel geeft een overzicht van de standaarden die Bureau Forum Standaardisatie in overleg met de Stuurgroep Open Standaarden heeft aangemerkt voor verwijdering van de lijst aanbevolen standaarden. Bij iedere standaard geven wij de reden aan waarom wij denken dat deze van de lijst aanbevolen standaarden verwijderd kan worden. Wij vragen het Forum Standaardisatie om deze lijst te bespreken, waar nodig aan te passen of aan te vullen, en vast te stellen.

Standaard Reden
CalDAV CalDAV is een profiel op de standaard WebDAV waarmee je kalenders kan synchroniseren. Deze standaard wordt voornamelijk binnen organisaties gebruikt. Voor zover de standaard over de grenzen van organisaties gebruikt wordt, is het toepassingsgebied te nauw.
DHCP Deze standaard wordt gebruikt om IP-adressen aan apparaten toe te wijzen in een netwerk. Het is een standaard die op een laag niveau in de communicatiestack werkt, en die niet over de grenzen van organisaties heen gebruikt wordt. Daardoor valt hij buiten de scope van de lijst.
DNS DNS is geen standaard, maar bestaat uit een collectie standaarden die in feite een gedistribueerde applicatie vormen. DNSSEC is een uitbreiding van DNS en staat op de ‘pas toe of leg uit’-lijst als verplichte standaard. Handhaven van DNS op de lijst aanbevolen standaarden geeft een verwarrend signaal. Gebruikers zouden kunnen denken dat DNSSEC weliswaar verplicht is, maar dat DNS ook nog aanbevolen wordt en dus ook nog gebruikt mag worden. De specificaties van DNSSEC verwijzen bovendien al normatief naar de relevante specificaties van DNS, waardoor handhaving van DNS op de lijst onnodig is.
EI Standaarden EI Standaarden is een collectie standaarden voor het Zorgdomein die sinds 2009 op de lijst aanbevolen standaarden staat. Destijds was de gedachte dat de standaard ook sector-overstijgend gebruikt kan worden, maar er zijn geen gevallen van sector-overstijgend gebruik bekend.
http De veilige variant https staat op de ‘pas toe of leg uit’-lijst en wordt binnenkort wettelijk verplicht door de Wet digitale overheid. Handhaven van http op de lijst aanbevolen standaarden geeft een verwarrend signaal. Gebruikers zouden kunnen denken dat het Forum Standaardisatie http blijft aanbevelen ondanks de wettelijke verplichting voor https. De specificatie van https verwijst al normatief naar http, waardoor handhaving van http op de lijst onnodig is.
IMAP IMAP is een open standaard voor toegang tot e-mail servers via het Internet. Het gebruik van IMAP voorkomt leveranciersafhankelijkheid bij e-mail clients en servers. Maar omdat IMAP voornamelijk binnen organisaties gebruikt wordt, valt de standaard strikt genomen buiten de scope van de lijst.
IPP IPP is een standaard voor het printen over een netwerk, en wordt alleen binnen organisaties gebruikt. Daardoor valt IPP buiten de scope van de lijst aanbevolen standaarden.
MTOM MTOM is een standaard die het mogelijk maakt om zeer grote bestanden via Web Services uit te wisselen. DigiKoppeling gebruikt MTOM voor het Grote Berichten koppelvlak. Omdat via DigiKoppeling het gebruik van MTOM al verplicht is voor toepassingen waar deze standaard relevant is, hoeft MTOM niet apart op de lijst aanbevolen standaarden te staan. Logius stemt ermee in om MTOM van de lijst aanbevolen standaarden te verwijderen.
SIP SIP is een standaard die wordt gebruikt voor het opzetten van Voice over IP-gesprekken. Het functioneel toepassingsgebied van SIP overlapt met dat van WebRTC dat ook op de lijst aanbevolen standaarden staat. Van deze twee is WebRTC de modernere standaard die volgens peer-to-peer principe werkt en minder sterk op telecommunicatie georiënteerd is. Daarom is het advies om WebRTC op de lijst te laten staan en SIP eraf te halen.
UDDI

Twintig jaar geleden maakte UDDI deel uit van de drie pilaren waar Web Services op bouwen: SOAP, WSDL en UDDI. Met UDDI kan een organisatie een directory opzetten om Web-Services over het Internet vindbaar te maken. Het idee was dat er een wereldwijd netwerk zou ontstaan van Web Services, een soort World Wide Web maar dan voor applicaties, maar dit werd nooit werkelijkheid. Hoewel UDDI nog door OASIS wordt beheerd, wordt de standaard weinig gebruikt.

Voor REST APIs van de overheid bestaat inmiddels het register developer.overheid.nl. Daarnaast schrijft DigiKoppeling voor hoe de overheid Web Services moet gebruiken. Geen van beiden maakt gebruik van UDDI. Logius stemt ermee in om UDDI van de lijst aanbevolen standaarden te verwijderen.

WebDav WebDAV is een standaard waarmee bestanden over het Internet gesynchroniseerd en documenten beheerd kunnen worden. WebDAV is ingehaald door modernere technologie en lastig te implementeren, maar wordt nog wel gebruikt. Het is echter de vraag of het Forum Standaardisatie WebDAV nog actief moet aanbevelen.

4. Reacties van Forumleden

In de schriftelijke consultatie ontvingen wij reacties over de volgende standaarden. Wij vragen het Forum Standaardisatie om deze reacties mee te nemen in de bespreking en besluitvorming.

IMAP

Floor Jas merkt op dat er bij e-mail een trend is waarbij grote e-mail providers hun e-mail client applicaties opdringen en gebruikers ontmoedigen om andere mail clients met open standaarden te gebruiken. Dit zou een reden kunnen zijn om IMAP toch op de lijst aanbevolen standaarden te handhaven.

SIP

Floor Jas vraagt zich af of SIP niet nog altijd een grote rol heeft in voice-over-IP. Als de functioneel toepassingsgebieden van WebRTC en SIP onderscheiden kunnen worden, dan kunnen beiden wellicht op de lijst aanbevolen standaarden blijven staan.

UDDI

Cor Franke wijst erop dat het toenemende gebruik van APIs bij de overheid zal leiden tot een vraag naar een overzicht of register van APIs die de overheid aanbiedt. Hoewel UDDI hiervoor waarschijnlijk niet de aangewezen standaard is, vraagt hij zich af of er een standaard of voorziening is die hierin wel voorziet.

WebDav

Floor Jas vraagt zich af of WebDAV overbodig geworden is, en betwijfelt dat WebDav niet over de grenzen van organisaties gebruikt wordt. Zij stelt terecht dat WebDav voor bestandsynchronisatie gebruikt kan worden in samenwerkingsruimten die door verschillende organisaties gebruikt worden.

Documentatie-type