ICTU Hoofdlijnen en conclusies

MONITOR OPEN STANDAARDEN 2023

Hoofdlijnen en conclusies

Vergadering: Forum Standaardisatie 13 december 2023

Agendapunt: 4A1

Documentnummer: FS-20231213.4A1

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Auteurs: Siwert de Groot, Joost Vreuls 

Datum: 29 november 2023

versie: Versie: 0.9

Inhoudsopgave

• Kernboodschap
  • De cloud
• Inleiding
• 1. Het open standaarden beleid
  • Het 'Pas toe of leg uit'-beleid
• 2. ‘Pas toe’ bij aanbestedingen: langzaam vooruit
  • In helft van de gevallen wordt om de relevante open standaarden gevraagd
  • Onderscheid tussen goed en minder goed scorende aanbestedingen
  • Goede voorbeelden: organisaties die 100 procent scoorden in 2022
• 3. Aantal standaarden neemt toe, een snelle blik op individuele standaarden
  • Digitoegankelijk minder vaak gevraagd, uitwisseling en veiligheid bij het Rijk blijven achter
• 4. ‘Leg uit’ bij aanbestedingen: werkt niet zoals bedoeld
• 5. Standaarden in landelijke voorzieningen: een positief beeld
• 6. THEMA – werken in de cloud: voordelen, risico’s en gevolgen
  • Beheer en toegang niet meer in eigen hand
  • Risico’s en het beheersen daarvan, marktmacht verschuift naar leveranciers
• 7. Gesprekken met aanbesteders
  • Pleidooi voor beter vindbare en toepassingsgerichte informatie
  • Leg uit: werkt niet en gaat niet werken is de verwachting van gesprekspartners
• 8. De praktijk bij medeoverheden: worden de standaarden gevraagd en geleverd?
  • Aanbestedende diensten en leveranciers onderkennen het belang van open standaarden
  • Door de veelheid aan kaders is het lastig bepalen welke standaarden van toepassing zijn
  • Naarmate het proces vordert, neemt de aandacht voor open standaarden af
  • Organisaties hebben niet altijd tijd en kennis om de levering van standaarden te controleren
  • Beschrijf het doel van standaarden en controleer of ze geleverd zijn
• 9. Gegevens over het gebruik van open standaarden
• 10. Reflectie op de monitoring van open standaarden
  • Langzaam aan de goede kant op: is dat voldoende?
  • Volwassen informatievoorziening en ICT-huishouding bevordert adoptie
  • Communiceren over instrumenten en inzetten op de achterliggende doelen
  • Over de monitor

Let op: in deze rapportage wordt her en der doormiddel van P.M.-en aangegeven dat er nog aanvul- lingen volgen. Dat betreft vooral visualisaties en voorbeelden, ze veranderen de lijn van het betoog en de conclusies niet meer. Belangrijke zinsneden of constateringen (positief of negatief) worden vi- sueel benadrukt (kleur, lettertype, etc.). Na behandeling in het Forum in december 2023, wordt het stuk verder opgemaakt en vormgegeven om het nog leesbaarder en toegankelijker te maken. Alle figuren worden daarbij opnieuw vormgegeven.

Kernboodschap

Het belang van open standaarden is groot. De overheid wil door middel van deze standaarden bijdra- gen aan veilig internet, toegankelijke overheidsinformatie, hoge kwaliteit van data en goede gege- vensuitwisseling tussen overheidsorganisaties onderling én met burgers en ondernemers. Bovendien helpen open standaarden om te grote afhankelijkheid van individuele leveranciers te voorkomen.

Het toepassen van open standaarden is een voorwaarden voor goede publieke dienstverlening.

Uit de onderzoeken die de basis vormen voor deze en eerdere Monitors Open Standaarden, blijkt dat de lange termijn ontwikkeling van de adoptie van standaarden van de Pas toe of leg uit-lijst langzaam de goede kant op gaat. In 2022 werd in 50 procent van de gevallen de relevante open standaarden bij ICT-aanbestedingen daadwerkelijk uitgevraagd. Dat percentage vertoont een licht stijgende lijn. Er zijn overheidsorganisaties die het heel goed doen, die alle relevante standaarden uitvragen. Organi- saties die in het algemeen hun informatievoorziening en ICT-huishouding in orde hebben, lijken ook goed te scoren op de toepassing van open standaarden. Eerdere analyses van 35 landelijke voorzie- ningen – denk aan DigiD, MijnOverheid, de Basisregistratie Personen – laten zien dat een ruime meerderheid van deze landelijke voorzieningen aan de eisen voldoet, daar (groten-)deels aan voldoet of concrete plannen heeft om daar aan te gaan voldoen.

Naast de cijfermatige onderbouwing van de stand van zaken, zijn er ook veel gesprekken gevoerd met aanbesteders. De uitkomsten daarvan kun je niet zomaar veralgemeniseren, maar een onder- zoek naar aanbestedingen en het vervolg daarop (implementatie, inbeheername) bij medeoverhe- den, wijst in de richting van een verdere professionalisering van het ICT-inkoopproces.

Er is ook minder goed nieuws. Als we in dit tempo doorgaan, duurt het nog heel lang voor het per- centage uitgevraagde standaarden echt omhoog gaat. Het Leg uit-deel van het beleid werkt boven- dien niet zoals bedoeld. Daarnaast geven sommige open standaarden reden tot zorg: digitoeganke- lijkheid - wettelijk verplicht - werd in 2022 minder vaak uitgevraagd dan in 2021. De veiligheidsstan- daarden werden in 2022 maar in de helft van de onderzochte gevallen uitgevraagd, standaarden ge- richt op gegevensuitwisseling werden bij de Rijksoverheid maar in 30 procent van de gevallen ge- vraagd.

De gesprekken met medeoverheden laten zien dat de aandacht voor open standaarden na de gun- ning verflauwt. Tijdens implementatie en inbeheername wordt niet structureel gecontroleerd of ze daadwerkelijk geleverd worden. De bekendheid met de Pas toe of leg uit-lijst en de hulpmiddelen van het Forum – de handreiking en de beslisboom – is bovendien nog niet erg groot.

De cloud

Het speciale thema van de Monitor was dit jaar de cloud. De voordelen hiervan zijn evident: lagere kosten, minder onderhoud en groter gebruikersgemak. Een ruime meerderheid van de onderzochte aanbestedingen in 2022 betreft inmiddels dit soort systemen. We stevenen af op de vanzelfspre- kende keuze voor de cloud, tenzij er duidelijke redenen zijn om dat niet te doen. In het essay SaaS of Soeverein waarschuwt Arend Jan Wiersma voor de risico’s van de cloud. Hij wijst op het feit dat de toegang tot de applicaties en de data in handen komt van derde partijen. En op de noodzaak van maatregelen om de risico’s daarvan te beperken. In de gesprekken met aanbesteders constateren zij dat de marktmacht van de cloudpartijen steeds groter wordt. Er is minder ruimte om eigen eisen te stellen. Dat geldt ook voor de eis om specifieke open standaarden toe te passen.

P.M. De kernboodschap wordt (ook) in de vorm van een infographic inzichtelijk gemaakt.

Inleiding

ICTU verzorgt in opdracht van het Forum Standaardisatie een jaarlijkse rapportage die inzicht geeft in het gebruik van de open standaarden. De Monitor Open Standaarden ziet er dit jaar wat anders uit dan in de voorgaande jaren: de rapportage is in een aantal onderdelen gesplitst. Dit stuk is een samen- vattende, integrerende en niet al te technische rapportage van een beperkte omvang. Het is gebaseerd op onderliggende rapporten, die beschikbaar zijn voor degenen die dieper op de materie in willen gaan. De Monitor Open Standaarden 2023 bestaat uit de volgende onderdelen:

• Hoofdlijnen en conclusies (ICTU): dit
• Vraag naar open standaarden in aanbestedingen (ICTU): onderzoek naar een selectie van open- bare aanbestedingen die in 2022 werden gedaan, het rapport heeft drie bijlagen met daarin res- pectievelijk een beschrijving van de onderzoeksaanpak (1), een overzicht van alle onderzochte aan- bestedingen (2) en het verslag van gesprekken met de aanbestedende diensten (3).
• Aanbesteding en follow-up bij medeoverheden (PBLQ): kwalitatief onderzoek (11 organisaties, 15 gesprekken) bij medeoverheden naar het proces van aanbesteding en het vervolg daarop en de rol van open standaarden die daarin spelen.
• Inventarisatie gebruiksgegevens (BFS, ICTU): Een overzicht van het gebruik per open
• Essay: Saas of Soeverein (Arend Jan Wiersma)

Tenzij anders vermeld, zijn alle cijfers die genoemd worden afkomstig uit de Monitor 2023.

P.M. de bovenstaande opsomming wordt gevisualiseerd om de verschillende onderdelen en hun sa- menhang duidelijk te maken. Tevens worden links naar de bestanden op de website van het Forum toegevoegd.

1. Het open standaarden beleid

De overheid wil door middel van het open standaarden beleid een aantal doelen realiseren. Om goede publieke diensten te verlenen, moeten overheidsorganisaties over de juiste gegevens beschik- ken en die gegevens op het juiste moment met elkaar en met burgers en bedrijven kunnen delen.

Om dit mogelijk te maken zijn er afspraken nodig over de manier waarop gegevens worden vastge- legd en hoe ze uitgewisseld worden, dat heet interoperabiliteit. Deze standaardisatie bevordert bo- vendien de kwaliteit van data. Het beleid is ook gericht op leveranciersonafhankelijkheid: door open standaarden te gebruiken kan men eenvoudiger naar een andere ICT-aanbieder overstappen. Open standaarden dragen daarnaast bij aan de veiligheid op het internet: het beveiligen van websites en applicaties tegen misbruik door kwaadwillenden. En tot slot zijn er standaarden gericht op openbaar- heid en ervoor zorgen dat ook mensen met een tijdelijke of permanente beperking, met de overheid kunnen communiceren (inclusie en openbaarheid). Kortom, voor het kabinetsbeleid gericht op een veilige, inclusieve en kansrijke digitale samenleving zijn deze open standaarden een voorwaarde. De open standaarden zijn onderdeel van de Generieke Digitale Infrastructuur, de verzameling van stan- daarden, afspraken(stelsels) en voorzieningen die door alle publieke dienstverleners wordt gebruikt voor hun digitale dienstverlening aan burgers en ondernemers.

Het 'Pas toe of leg uit'-beleid

Het centrale beleidsinstrument van het open standaardenbeleid is het 'Pas toe of leg uit'-principe. Pas toe houdt in dat overheidsorganisaties bij de aanschaf van ICT relevante open standaarden van de lijst met verplichte standaarden toepassen. Aan de leverancier(s) wordt dan gevraagd om de rele- vante open standaarden in de ICT voorziening op te nemen of te leveren. Indien wordt afgezien van het toepassen van een relevante standaard, dan moet de organisatie daarover verantwoording

afleggen in het jaarverslag: Leg uit. Forum Standaardisatie toetst open standaarden en adviseert of ze aanbevolen worden aan publieke organisaties of een plek krijgen op de ‘Pas toe of leg uit’-lijst. Standaarden met een 'Pas toe of leg uit'-verplichting kunnen verzwaard worden met een streefbeeld- afspraak of een wettelijke verplichting. Bij een streefbeeldafspraak kan een volgende aanschaf niet meer afgewacht worden en moet de standaard voor een bepaalde datum toegepast worden. Dus ook op al bestaande ICT-systemen/-diensten. Op dit moment gelden er streefbeeldafspraken voor een aantal open standaarden (IPv6, STARTTLS en DANE, SPF en DMARC, TLS, DNSSEC, SPF, DKIM en

DMARC). Voor twee open standaarden geldt inmiddels een wettelijke verplichting (Digitale toeganke- lijkheid en HTTPS en HSTS).

De verplichting om open standaarden te gebruiken is voor de rijksoverheid (departementen en hun dienstonderdelen) in 2008 vastgelegd in de Instructie Rijksdienst bij aanschaf ICT -diensten of ICT-producten. Op 18 april 2018 heeft het Overheidsbreed Beleidsoverleg Digitale overheid (OBDO) be- sloten dat medeoverheden (gemeenten, provincies, waterschappen en gemeenschappelijke regelin- gen) en uitvoeringsorganisaties bij aanschaf van ICT moeten kiezen voor de relevante open standaar- den van de pas toe of leg uit-lijst.

Naast het monitoren van het gebruik van open standaarden, heeft Forum Standaardisatie ook een stimulerende taak ten aanzien van nieuwe standaarden. Zo heeft men in het verleden bewerkstelligd dat er veilige emailstandaarden kwamen en die inmiddels al enkele jaren verplicht zijn, en meer re- cent is dat gebeurd rond API’s.

P.M. Om de uitkomsten van de monitor tot zich te nemen, hoeven enigszins ingevoerden deze para- graaf niet per se te lezen. In verband met Digitoegankelijkheid is het niet wenselijk om hiervan een tekstbox te maken, dus er wordt een andere visuele oplossing voor gezocht. Eventueel gaat de para- graaf naar de bijlage.

2. ‘Pas toe’ bij aanbestedingen: langzaam vooruit

In 2023 heeft ICTU voor het twaalfde jaar op rij onderzoek gedaan naar de toepassing van open stan- daarden bij openbare aanbestedingen door overheden, dat wil zeggen: de rijksoverheid, uitvoerings- organisaties, provincies, gemeenten, waterschappen en gemeenschappelijke regelingen. In dit onder- deel worden de belangrijkste uitkomsten op een rij gezet, in het rapport Vraag naar open standaar- den in aanbestedingen wordt in meer detail ingegaan op de uitkomsten.

In helft van de gevallen wordt om de relevante open standaarden gevraagd

Er zijn dit jaar 69 openbare aanbestedingen uit 2022 onderzocht. Per aanbesteding is vastgesteld welke open standaarden van de lijst daarop van toepassing waren en in hoeverre daar daadwerkelijk om is gevraagd (Pas toe). In de 69 aanbestedingen had in totaal om 813 open standaarden gevraagd moeten worden, in de praktijk is er echter 408 keer om een open standaard gevraagd. Dat resulteert in een percentage van 50 procent, dat wil zeggen: in de helft van de gevallen zijn de relevante en ver- plichte open standaarden daadwerkelijk uitgevraagd. In Figuur 1 is te zien dat dit percentage enigs- zins op en neer gaat: in 2021 was het met 53 procent hoger en in 2020 met 48 procent lager dan in 2022. De lange termijn ontwikkeling, zichtbaar als de roze lijn in Figuur 1, is echter ook duidelijk: er is sprake van een stijgende trend. De grootste vooruitgang is in de jaren 2011 tot en met 2014 geboekt, sindsdien stijgt de lijn nog maar heel lichtjes.

Als de trendlijn naar de toekomst wordt doorgetrokken - als we dus in het huidige tempo van de toe- passing van open standaarden doorgaan – dan wordt de doelstelling van 100% pas halverwege deze eeuw (2046) gerealiseerd . Zie daarvoor ook figuur 3 in Open standaarden bij aanbestedingen 2023.

Figuur 1. Percentage relevante open standaarden waar om gevraagd werd (2011-2022).

Onderscheid tussen goed en minder goed scorende aanbestedingen

De aanbestedingen worden van oudsher onderscheiden in drie categorieën die aangeven hoeveel van de relevante standaarden zijn uitgevraagd. In 2018 is deze indeling verder verfijnd en sindsdien worden 5 categorieën onderscheiden, te weten: perfect (alle relevante standaarden zijn uitge- vraagd), op weg naar perfect (67 – 99 procent van de relevante standaarden uitgevraagd), de mid- denmoot (34 tot 66 procent), nog een heel eind te gaan (1 tot 33 procent) en geen (geen enkele rele- vante standaard uitgevraagd). In Figuur 2 wordt deze indeling voor de afgelopen 12 jaar weergege- ven.

Figuur 2. Pas toe bij aanbestedingen, 2011-2022.

In Figuur 2 is te zien dat in 2022 de middengroep de grootste groep is, bijna de helft van de aanbeste- dingen behoort tot deze categorie. Circa een kwart behoort tot de groep perfect of op weg naar per- fect en nog een kwart tot de categorie slecht of nog een heel eind te gaan. Dit beeld is het resultaat

van een ontwikkeling waarbij met name de groep die geen relevante standaarden uitvraagt, enorm is afgenomen en de middengroep in omvang is gestegen.

Goede voorbeelden: organisaties die 100 procent scoorden in 2022

De figuren in de voorgaande alinea’s tonen aan dat er een hoge mate van diversiteit is in de kwaliteit van aanbestedingen met betrekking tot open standaarden. Sommige overheidsorganisaties preste- ren in dit opzicht ondermaats en andere overheidsorganisaties presteren juist heel goed. Het enigs- zins sombere beeld uit het begin van deze paragraaf – slechts de helft van de relevante standaarden werd uitgevraagd en de beleidsdoelen worden pas in 2046 bereikt – wordt hierdoor enigszins genu- anceerd. De doelstellingen van het open standaarden beleid zijn namelijk wel degelijk te realiseren, sterker nog: ze worden op dit moment al door specifieke overheidsorganisaties in praktijk gebracht. In het onderliggende onderzoek wordt een aantal van deze goede voorbeelden beschreven. Zo be- haalden aanbestedingen van de Sociale Verzekeringsbank, de Rijksdienst voor het Wegverkeer en de Veiligheidsregio Utrecht perfecte scores. De gemeenten Hengelo, den Bosch en Velsen scoorden bijna perfect, evenals het Uitvoeringsinstituut Werknemersverzekeringen.

P.M. eventueel toevoegen 1 a 2 verder uitgewerkte goede voorbeelden die ook iets verklaren over de factoren die ten grondslag liggen aan succesvolle aanbestedingen (bronnen: Vraag naar open standaarden in aanbestedingen (ICTU) of Aanbesteding en follow-up bij medeoverheden (PBLQ).

Organisaties die het ene jaar goed scoren kunnen in latere jaren opeens weer laag scoren. Het lijkt erop dat het goed uitvragen van de relevante standaarden afhangt van het team of de personen die de aanbesteding doen. Een belangrijke vraag voor de toekomst van het open standaarden beleid is daarom: wat verklaart dat sommige overheidsorganisaties (consistent) goed scoren en welke lessen kunnen daaruit getrokken worden om minder goed scorende organisaties te helpen om zich te ver- beteren?

3. Aantal standaarden neemt toe, een snelle blik op individuele standaarden

Er worden steeds meer eisen gesteld waar overheidsorganisaties die ICT-producten en -diensten in- kopen aan moeten voldoen. Digitale voorzieningen spelen een steeds grotere rol in de dienstverle- ning van de overheid en in de samenleving in het algemeen. ICT-aanbestedingen zijn er daardoor in de loop der jaren niet eenvoudiger op geworden. Er staan steeds meer open standaarden op de Pas Toe of Leg Uit-lijst en er zijn steeds meer standaarden van toepassing. In de afgelopen jaren zijn vooral de veiligheidsstandaarden in aantal toegenomen. Ten tijde van de eerste Monitor open stan- daarden stonden er 24 standaarden op de ‘Pas toe of leg uit’ lijst, in 2022 waren dat er al 42.

Figuur 3. Aantal relevante standaarden per aanbesteding, 2013-2022.

P.M. deze figuur wordt nog aangepast zodat per staafje het getal van het totaal aantal relevante standaarden wordt ge- toond en niet de getallen voor de wel c.q. niet gevraagde relevante standaarden. Daardoor wordt de figuur eenvoudiger om te interpreteren.

In Figuur 3 is te zien hoeveel open standaarden er tussen 2013 en 2022 per aanbesteding van toepas- sing waren. Er wordt bovendien onderscheid gemaakt tussen het aandeel standaarden dat wel en dat niet gevraagd werd.

Digitoegankelijk minder vaak gevraagd, uitwisseling en veiligheid bij het Rijk blijven achter

In Vraag naar open standaarden in aanbestedingen (paragraaf 4) wordt voor alle 42 open standaar- den inzichtelijk gemaakt hoe vaak ze als relevant werden beoordeeld en hoe vaak ze bij aanbesteding daadwerkelijke werden gevraagd.

De wettelijke verplichting voor Digitale toegankelijkheid is in 2018 ingegaan. In slechts 65 procent van de gevallen waarin hij relevant was, werd deze wettelijk verplichte standaard in 2022 daadwer- kelijk gevraagd. En in vergelijking met het voorgaande jaar was er zelfs sprake van een daling van dat percentage.

Wat verder opvalt is dat er bij rijksaanbestedingen in vergelijking met die bij medeoverheden, voor een aantal standaarden in de hoek van veiligheid een lager uitvraagpercentage zichtbaar is dan voor medeoverheden. Het gaat om DKIM, DMARC, SPF en STARTTLS & DANE. Datzelfde beeld geldt voor de standaarden die de gegevensuitwisseling betreffen: daar worden door medeoverheden in 63 pro- cent van de gevallen de relevante standaarden gevraagd, bij de rijksoverheid is dat 30 procent.

4. ‘Leg uit’ bij aanbestedingen: werkt niet zoals bedoeld

Bij 6 van de 69 aanbestedingen die zijn beoordeeld, is om alle relevante standaarden gevraagd (dat is de eerder genoemde categorie ‘perfect’). Voor de resterende 63 aanbestedingen geldt dat, volgens het 'Pas toe of leg uit'-beleid, de aanbestedende diensten verplicht zijn om in hun jaarverslag verant- woording af te leggen - 'Leg uit' - over het niet toepassen van (alle) relevante standaard(en). Deze 63 aanbestedingen werden door 49 verschillende overheidsorganisaties gedaan, van sommige organisa- ties werden meerdere aanbestedingen beoordeeld. Hiervan vielen 17 organisaties onder de rijks- overheid - waarvan 8 ministeries - en 32 behoren tot de medeoverheden. Voor al deze overheidsor- ganisaties is in het jaarverslag over 2022 nagegaan of 'leg-uit' is toegepast.

De conclusie van het onderzoek in de jaarverslagen laat aan duidelijkheid niets te wensen over: van Leg uit zoals dat bedoeld is, was in geen enkel van de 49 jaarverslagen sprake. Zeven van de twaalf departementen hebben een vorm van verantwoording opgenomen in het jaarverslag 2022, maar deze is over het algemeen zeer summier en er worden geen concrete aanbesteding aangehaald. In het jaarverslag van het ministerie van OCW wordt expliciet aangegeven dat niet is afgeweken van de afspraken rond het gebruik van open standaarden zoals is vastgelegd in de Instructie Rijksdienst. Ook bij de ministeries van I&W en J&V is sprake van een beweging de goede kant op. Bij de andere depar- tementen is in het jaarverslag helemaal niets over open standaarden te vinden. In de jaarverslagen van de onderzochte zbo’s en medeoverheden worden open standaarden niet genoemd, laat staan dat er een passage is gevonden die als een ‘leg-uit’ kan worden gezien. Kortom: het ‘Leg uit’ gedeelte van het beleid werkt niet zoals bedoeld.

De correspondentie en gesprekken die in het kader van de Monitor met aanbesteders worden ge- voerd en waarover wordt gepubliceerd, dragen in zekere zin bij aan de verantwoording van over- heidsorganisaties over de keuze die zij maken ten aanzien van het toepassen of juist niet toepassen van open standaarden.

Uit de volgende paragrafen blijkt dat het open standaarden beleid, de pas toe of leg uit-lijst en de in- strumenten ter ondersteuning daarvan, niet bij alle aanbesteders bekend zijn. Als met het beleid, de lijst en de instrumenten niet kent, dan kent men de plicht tot verantwoorden natuurlijk ook niet. Dat kan een verklaring zijn voor een deel van het achterwege blijven van uitleg en verantwoording.

5. Standaarden in landelijke voorzieningen: een positief beeld

In de Monitor werd in de afgelopen jaren gerapporteerd over de toepassing van open standaarden bij een aantal landelijke voorzieningen. Met ingang van 2020 onderzoeken we het ene jaar voorzie- ningen die direct raken aan de communicatie en gegevensuitwisseling met burgers en bedrijven. Dat gaat bijvoorbeeld over DigiD en DigiD Machtigen, MijnOverheid, Berichtenbox bedrijven, Overheid.nl en de websites van RDW en de Kamer van Koophandel. In het andere jaar worden voorzieningen on- derzocht die vooral gericht zijn op de communicatie en gegevensuitwisseling tussen overheden on- derling en op de onderliggende infrastructuur. Dat zijn bijvoorbeeld de Beheervoorziening voor het Burgerservicenummer, de Verstrekkingsvoorziening in het kader van Basisregistratie Personen (GBA- V), allerhande basisregistraties zoals die van inkomen (BRI), adressen en gebouwen (BAG), onder- grond (BRO) en voertuigen (BRV) en voorzieningen voor het uitwisselen van berichten met de over- heid (Digipoort) en met burgers en bedrijven (Diginetwerk).

Voor de Monitor 2023 is besloten om de toepassing van de open standaarden in de landelijke voor- zieningen een jaar over te slaan, dit in verband met het behoorlijk positieve en stabiele beeld dat uit de voorgaande Monitors spreekt. Om het geheugen op te frissen grijpen we in Figuur 4 terug op de cijfers uit de meest recente metingen.

Het gaat bij deze meting niet om de vraag of er bij aanbestedingen om de relevante open standaar- den is gevraagd, maar of de open standaarden daadwerkelijk in de landelijke voorziening zijn geïm- plementeerd. Figuur 4 laat zien dat voor beide typen landelijke voorzieningen een ruime meerder- heid aan de eisen voldoet, daar deels aan voldoet of concrete plannen heeft om daar aan te voldoen.

Figuur 4. Toepassing van open standaarden in landelijke voorzieningen (2018-2021).

2019 2021 burgers en bedrijven

2018 2020 overheden en infrastructuur

Bron: Monitor Open Standaarden 2020, Monitor Open Standaarden 2022.

6. THEMA – werken in de cloud: voordelen, risico’s en gevolgen

In de afgelopen twee decennia heeft Software as a Service (SaaS) – ook wel clouddiensten of werken in de cloud genoemd – een enorme vlucht genomen. Deze begrippen staan voor werken en opslaan via internet. Data, bestanden en programma’s staan niet op eigen computers maar elders. Om toe- gang te krijgen is een internetverbinding nodig. Zowel de computers als de programmatuur zijn veelal eigendom van externe partijen. Bekende voorbeelden van clouddiensten zijn iCloud, OneDrive, Office 365, Google Workspace en Dropbox.

Een analyse van de in het kader van deze monitor onderzochte aanbestedingen uit 2022 in deze Mo- nitor, laat zien dat een ruime meerderheid hiervan betrekking had op de inkoop van systemen die op zijn minst een substantiële cloudcomponent hadden. Deze indruk wordt bevestigd door responden- ten in de gespreksronde in het najaar van 2023 (zie paragraaf 7). Voor Forum Standaardisatie is de cloud een terugkerend thema. Op basis van de grote toename in het gebruik van cloudoplossingen bij de overheid is Forum Standaardisatie van mening dat het hoog tijd is voor meer aandacht voor open standaarden op dit terrein. Bij het Bureau Forum Standaardisatie is men bezig met een interna- tionale verkenning naar bestaande en nog te ontwikkelen cloudstandaarden.

De rijksoverheid was van oudsher terughoudend in het gebruik van clouddiensten van externe par- tijen, er werd vooral gebruik gemaakt van SaaS die draaide op eigen computers of in eigen datacen- ters. Staatssecretaris Van Huffelen van Koninkrijksrelaties en Digitalisering heeft in augustus 2022 demogelijkheden voor organisaties binnen de rijksoverheid verruimd om van commerciële clouddien-sten gebruik te maken. Dit besluit is ingegeven door de overweging dat commerciële clouddiensten zich de afgelopen jaren, mede onder invloed van de coronapandemie, snel hebben ontwikkeld. De kosten zijn relatief laag en risico’s zijn vaak beter te beheersen dan voorheen. Ook bij de Vereniging van Nederlandse Gemeenten is men actief om gemeenten te ondersteunen in de transitie naar decloud.

Beheer en toegang niet meer in eigen hand

In zijn essay SaaS of Soeverein geeft Arend Jan Wiersma – als expert verbonden aan het team van de Monitor Open Standaarden– uitleg over het gebruik van SaaS bij de overheid. De voordelen zijn evi- dent: het is goedkoper, kost minder onderhoud, updates worden sneller doorgevoerd, er zijn veel koppelmogelijkheden met andere systemen, het toegangsmanagement is beter beheersbaar en SaaS sluit vaak beter aan bij eindgebruikers. In het artikel wordt ook beschreven hoe met de transitie naar de cloud, de verantwoordelijkheid en het beheer is verschoven van de gebruiker – in dit geval de overheidsorganisatie – naar de leverancier. De nadelen en risico’s van het gebruik van SaaS van com- merciële aanbieders hangen sterk samen met die verschuiving: de toegang tot de applicatie en tot de daarin opgeslagen data komt in handen van derde partijen. In veel gevallen bevinden de programma- tuur en de data zich niet in Nederland en soms zelfs niet in binnen de EU. Het is van groot belang dat overheidsorganisaties zich rekenschap geven van deze risico’s en daarop acteren.

Risico’s en het beheersen daarvan, marktmacht verschuift naar leveranciers

De Nederlandse overheid – zowel de rijksoverheid als de medeoverheden – is volop bezig met de transitie naar de cloud. In zijn essay wijst Wiersma op de risico’s die daarmee gepaard kunnen gaan. De beschikbaarheid, integriteit en vertrouwelijkheid van de gegevens – drie kernaspecten van infor- matiebeveiliging – worden gecontroleerd door een derde partij. Als het lange termijn contracten be- treft, loopt de organisatie bovendien de kans op een lock-in van data, iets wat moeilijk omkeerbaar is. De risico’s waarmee SaaS gepaard gaat zijn beheersbaar, maar dan moet aan een aantal specifieke voorwaarden voldaan worden, zoals: het regelmatig maken van back-ups, het gebruik van open

source software, het toepassen van open standaarden, end-to-end versleuteling van data. Ook het gebruik van eigen systemen van identity- en accessmanagement kunnen helpen om de risico’s te be- perken. Op de Pas toe of leg uit-lijst staat een aantal standaarden die daarbij behulpzaam zijn.

P.M. de paars gemaakte stukken tekst zijn afkomstig uit het essay van Arend Jan Wiersma, dat is een opiniërend stuk. Om duidelijk te maken welk deel opiniërend is en welk deel de meer feitelijke be- schrijvend in de Monitor, zullen we dat in de vorm (opmaak, lettertype o.i.d.) ook duidelijk maken.

Respondenten in de gesprekken met aanbesteders zijn zich in het algemeen bewust van de risico’s waarmee SaaS gepaard gaat en zijn ook actief bezig die risico’s te beperken. Tegelijkertijd wordt ge- constateerd dat de helft van de respondenten niet weet of de eigen organisatie een cloud-beleid heeft. Het lijkt erop alsof de keuze bij aanbesteding inmiddels is: de cloud tenzij. Dat wil zeggen: de voordelen van cloudapplicaties zijn zo groot dat die in het algemeen de voorkeur krijgen, tenzij er zwaarwegende redenen zijn om – “cruciale of anderszins gevoelige bedrijfsprocessen” - om ze niet aan de cloud toe te vertrouwen.

Een belangrijke constatering van een aantal respondenten is dat de marktmacht van de partijen die cloudoplossingen aanbieden steeds groter wordt: “We lopen steeds vaker aan tegen ‘harde’ gebrui- kers-voorwaarden van de leverancier (vooral marktleiders uit de VS) waarbij de boodschap is: take it or leave it.” Men heeft minder te zeggen over de voorwaarden waaronder wordt ingekocht. Dat geldt dan natuurlijk ook over de toepassing van open standaarden.

Individueel staan aanbestedende diensten relatief machteloos tegenover de grote internationaal opererende leveranciers van clouddiensten. Door gezamenlijk op te trekken, als Nederlandse over- heid of nog beter in Europees verband, kunnen dit soort grote partijen wel degelijk aangesproken worden op de noodzaak om open standaarden te implementeren. Zo is het ministerie van BZK ( Stra- tegisch Leveranciersmanagement Rijksoverheid) samen met Forum Standaardisatie in gesprek met Microsoft over onvolledige ondersteuning van DANE (beveiligde verbinding tussen mailservers). De leverancier heeft inmiddels toegezegd in juni 2024 de gewenste aanpassingen beschikbaar te maken.

P.M. omdat deze paragraaf over de cloud een bijzonder thema is in de Monitor van dit jaar, zal dat in de vormgeving ook benadrukt worden.

7. Gesprekken met aanbesteders

In het kader van de Monitor wordt niet alleen cijfermatig onderzoek gedaan naar de aanbestedingen maar worden ook gesprekken gevoerd met (inkopers van) aanbestedende diensten. Het doel van die gesprekken is om knelpunten en succesfactoren in de adoptie van open standaarden te achterhalen en daarmee de cijfers in de Monitor in te kleuren. Begin 2023 zijn gesprekken gevoerd met zes aan-bestedende diensten. In oktober en november van 2023 zijn opnieuw gesprekken gevoerd met zes (andere) aanbestedende diensten: een ministerie, drie zbo’s, een gemeente en een samenwerkings- verband van gemeenten. Het verslag van deze gesprekken is te vinden in het rapport Vraag naar open standaarden in aanbestedingen (bijlage 3).

Pleidooi voor beter vindbare en toepassingsgerichte informatie

Uit de gesprekken blijkt dat men de Pas toe of leg uit-lijst zeker niet altijd paraat heeft tijdens aanbe- stedingen, niet iedereen is bekend met de open standaarden of weet de bestaande kennis daarover te vinden. Duidelijker informatie over de relatie tussen het type ICT-systeem en de specifieke daarop van toepassing zijnde open standaarden zou welkom zijn. Slechts twee respondenten (voorjaar 2023) zijn bekend met de Beslisboom van het Forum voor Standaardisatie, de overige gesprekspartners

niet. Dat instrument komt wel tegemoet aan de behoefte om zicht te krijgen op de open standaarden en geholpen te worden bij het bepalen van de relevante open standaarden. Dat geldt zeker ook voor cloudapplicaties, een respondent geeft aan dat een opsomming van waarschijnlijk-relevante stan- daarden voor dit soort systemen zou zeer wenselijk zijn.

Over het aanbieden van de Beslisboom op TenderNed is men maar matig enthousiast: via TenderNed bereik je alleen de inkoper en niet de andere leden van het team en ook de inkoper komt pas in een vergevorderd stadium van de aanbesteding op TenderNed. Men pleit voor betere vindbaarheid van toepassingsgerichte informatie. Men constateert dat er nu te veel sprake is van een niche-benade- ring, de aandacht moet niet gericht worden op één klein item (de open standaarden). De gespreks- partners vinden PIANOo, het expertisecentrum Aanbesteding een belangrijker bron van informatie. Op PIANOo zijn overigens wel links te vinden, zowel naar de Beslisboom Open Standaarden als naar de Handreiking open standaarden bij aanschaf ICT van het Forum voor Standaardisatie te vinden.

Leg uit: werkt niet en gaat niet werken is de verwachting van gesprekspartners

Twee gesprekspartners zijn niet bekend met de ‘Leg uit’-verplichting in het open standaarden beleid. De andere gesprekspartners bevestigen dat deze verplichting niet werkt en verwachten ook niet dat die zal gaan werken. De verplichting voelt als straffen, zegt één respondent, maar men is veel meer op zoek naar hulp. Als voorbeeld van goede hulp wordt naar het thema Maatschappelijk Verant- woord Inkopen op de PIANOo-site verwezen.

Respondenten betrokken bij een aanbesteding die hoog werd gewaardeerd in het onderzoek, verwe- zen naar de betrokkenheid van goede (externe) deskundige(n) en de ervaring in het team als verkla- ring voor het succes. In het algemeen geldt dat er bijna altijd sprake is van multidisciplinaire teams. De geconsulteerde inkopers hebben de neiging om hun rol in het proces van de aanbesteding klein te maken, qua inbreng, doorzettingsmacht en verantwoordelijkheid. Het leidend principe bij veel inko- pers is het bewaken van de juiste toepassing van de aanbestedingswet. In het algemeen geldt dat het belangrijkste uitgangspunt is dat er een product gerealiseerd moet worden ‘waar je wat mee kunt’. De check op open standaarden gebeurt zeker maar is wel ondergeschikt.

8. De praktijk bij medeoverheden: worden de standaarden gevraagd en geleverd?

In paragraaf 5 is beschreven het tamelijk positieve en stabiele beeld van de toepassing van open standaarden in landelijke voorzieningen beschreven. Dat was aanleiding om dat onderzoek een jaar over te slaan. Dat gaf ruimte aan een ander onderzoek naar de rol van open standaarden in het hele aanbestedingsproces, van aanbesteding en gunning tot implementatie en beheer. Hoe komen de aanbestedende diensten tot de gevraagde open standaarden en krijgen zij ook daadwerkelijk wat ze gevraagd hebben? Het gaat dan om het proces dat volgt op de aanbesteding. Het door PBLQ uitge- voerde onderzoek Aanbesteding en follow-up bij medeoverheden richt zich op decentrale overheden, omdat deze in de Monitor de afgelopen jaren minder aandacht hebben gekregen. Het betreft een kwalitatief onderzoek: het onderzoeksbureau heeft 15 gesprekken gevoerd over 11 aanbestedingen, zowel met aanbestedende diensten als met leveranciers. Met het veralgemeniseren van de conclu- sies moeten we daarom voorzichtig zijn. De rijksoverheid en de uitvoerende diensten zijn in dit on- derzoek niet bevraagd.

Aanbestedende diensten en leveranciers onderkennen het belang van open standaarden

Alle partijen waar mee gesproken is begrijpen wat de voordelen zijn om met open standaarden te werken; interoperabiliteit en leveranciersonafhankelijkheid worden als belangrijkste argumenten ge- noemd. De standaarden worden steeds beter in het reguliere aanbestedingsproces geborgd. Er

wordt steeds meer gewerkt in vaste projectstructuren en in multidisciplinaire teams waarin expliciet kennis van informatieprocessen en informatiemanagement wordt betrokken, bijvoorbeeld via rollen als de informatieadviseur, architect of security-officer. Aanbestedende diensten zijn veelal bekend met bestaande kaders en richtlijnen waarin (open) standaarden zijn opgenomen. De kennis en exper- tise van rollen als de CIO, CISO en informatiemanagers wordt steeds vaker buiten het formele aanbe- stedingsproces betrokken, bijvoorbeeld na gunning tijdens de implementatiefase. Ook leveranciers zien het belang van open standaarden, het is voor hen normaal geworden om deze te leveren.

Door de veelheid aan kaders is het lastig bepalen welke standaarden van toepassing zijn

Ook al onderschrijft men het belang van open standaarden, gaat dit in de praktijk niet altijd goed. Sommige organisaties doen het beter dan anderen, daarin speelt de volwassenheid en professionali- teit van de organisatie een belangrijke rol. Grote organisaties hebben vaak meer middelen, kennis en expertise om dit goed aan te pakken dan kleinere organisaties, maar dat is niet het geval. Zo hebben de onderzoekers uitzonderingen gezien, bijvoorbeeld bij kleine gemeenten die professionele aanbe- stedingen realiseren door met elkaar samenwerken.

Er wordt geconstateerd dat er veel verschillende kaders, bronnen en lijstjes van standaarden zijn, zo- wel sectorspecifiek – onder meer afkomstig van VNG, IPO, UvW - als landelijk, waaronder de Baseline Informatiebeveiliging Overheid, tooling van Centrum Informatiebeveiliging en Privacybescherming, richtlijnen van het Nationaal Cybersecuritycentrum, de Algemene Rijksvoorwaarden bij IT-overeen- komsten (ARBIT) en uiteraard de lijst met open standaarden van het Forum voor Standaardisatie. Uit het onderzoek blijkt dat organisaties worstelen met het bepalen van relevantie uit de grote hoeveel- heid aan kaders en informatiebronnen waar standaarden in terugkomen. In 3 van de 10 onderzochte aanbestedingen was (ook) van de beslisboom van het Forum voor Standaardisatie gebruik gemaakt om te bepalen welke open standaarden van toepassing waren.

In de gesprekken met aanbesteders die in het najaar door ICTU werden gevoerd, werd er bovendien op gewezen dat er bij aanbestedingen met veel kaders rekening moet worden gehouden. Dat betreft niet alleen aan ICT gerelateerde kaders, maar bijvoorbeeld ook richtlijnen over maatschappelijk ver- antwoord ondernemen en social return on investment.

Naarmate het proces vordert, neemt de aandacht voor open standaarden af

Nadat de aanbestedingsdocumenten openbaar zijn gemaakt, worden aanvullende vragen beant- woord in de nota van inlichtingen en volgen gunning en de implementatiefase. Uit de gesprekken met medeoverheden komt naar voren dat aanbiedingen van leveranciers niet afgewezen worden op basis van de eisen en wensen ten aanzien van standaarden. In de implementatiefase is er betrekkelijk weinig aandacht voor open standaarden. Het nagaan of de geëiste open standaarden daadwerkelijk worden geleverd gebeurt zelden. In sommige gevallen komt het ontbreken van gevraagde standaar- den wel aan het licht. Na implementatie wordt een pentest uitgevoerd, daaruit kan blijken dat het geleverde niet aan bepaalde veiligheidsstandaarden voldoet. Op eenzelfde manier kan na implemen- tatie blijken dat de koppelstandaarden niet of niet op de juiste manier zijn toegepast omdat er niet met andere systemen gekoppeld kan worden.

Er wordt tijdens de implementatie en bij de inbeheername in het algemeen niet systematisch nagelo- pen of de gevraagde open standaarden daadwerkelijk geleverd zijn. Als verklaring hiervoor wordt aangevoerd dat tijdens de implementatie pragmatische afwegingen worden gemaakt. De focus ligt op het werkend krijgen van het systeem, ook vanuit het perspectief van de (toekomstige) gebruikers, en niet of veel minder op de standaarden.

Organisaties hebben niet altijd tijd en kennis om de levering van standaarden te controleren Uit de gesprekken met leveranciers, maar ook die met de medeoverheden, kwam naar voren dat de er bij de aanbestedende diensten soms een gebrek aan tijd en kennis is om te controleren of alle open standaarden geleverd zijn en goed functioneren. Leveranciers constateren dat sommige aanbe- stedende diensten vragen om aan alle kaders te voldoen, zonder bijvoorbeeld in te gaan op welke open standaarden dan precies van toepassing zijn. Daarmee leggen ze de verantwoordelijkheid bij de leverancier om te bepalen welke standaarden van toepassing zijn.

Beschrijf het doel van standaarden en controleer of ze geleverd zijn

In het eindrapport concludeert PBLQ dat er veel goed gaat in het uitvragen en inbrengen van open standaarden bij aanbestedingen, maar geeft ook suggesties voor verbeteringen. De belangrijkste daarvan is dat het essentieel is om de gevraagde open standaarden te beschrijven in het licht van de doelstellingen die ermee beoogd worden. Als bijvoorbeeld gevraagd wordt om een specifieke kop- pelstandaard, dan wordt het belang beter begrepen als beschreven wordt dat de applicatie moet communiceren met systemen X, Y en Z. Voorkomen moet worden dat open standaarden tijdens het aanbestedingsproces gezien worden als onderdeel van een bureaucratisch afvinklijstje. Open stan- daarden zijn immers geen doel op zich, maar een middel om doelen als veiligheid, goede gegevens- uitwisseling en leveranciersonafhankelijkheid te realiseren.

PBLQ adviseert overheidsorganisaties om tijdens de implementatiefase explicieter te controleren of de standaarden die zijn uitgevraagd ook daadwerkelijk zijn geleverd. En om ervoor te zorgen dat in- formatie over de pas toe of leg uit-lijst opgenomen wordt in kaderdocumenten en handreikingen van koepelorganisaties als de VNG en het IPO. De eigen hulpmiddelen van het Forum voor Standaardisa- tie, de beslisboom en handreiking, zijn nog onvoldoende bekend bij de doelgroep.

9. Gegevens over het gebruik van open standaarden

Het 'pas toe of leg uit'-beleid en de monitoring daarvan is vooral gericht op de aanschaf van ICT, en dus op het toepassen van open standaarden bij toevoegingen aan en bij vernieuwingen van het ICT- systeem. Om een compleet beeld van open standaarden te schetsen is het feitelijk gebruik ook van belang. Helaas is het lang niet altijd even eenvoudig om - voor alle open standaarden- vast te stellen in welke mate die feitelijk gebruikt worden.

De accountmanagers van bureau Forum Standaardisatie hebben dit jaar wederom gegevens opge- vraagd bij de verschillende beheerorganisaties. Vervolgens zijn de bevindingen vastgelegd in een kort verslag voor elk van de standaarden. Bundeling hiervan heeft geleid tot de onderliggende onder- zoeksnotitie Inventarisatie gebruiksgegevens 2023.

Veel IV-standaarden zijn ondergebracht bij internet.nl waarbij het gebruik van de standaarden regel- matig wordt gemeten. Zo ook nu weer. Het over-all beeld van het gebruik van deze standaarden is dat sprake is van toename van het gebruik.

Uitspraken over de ontwikkeling van het gebruik bij de overige standaarden zijn veelal afkomstig van de beheerorganisaties. De mate van onderbouwing verschilt daarbij, afhankelijk van de beschikbaar- heid van harde gegevens of goede richtinggevende indicatoren. Met die nuancering in het achter- hoofd is -het geheel overziend- ook hier per saldo sprake van toename van het gebruik, zij het vaak met de toevoeging dat de toename beperkt is.

P.M. Het onderzoek is nog niet geheel afgerond, de uitspraken over het gebruik van de standaarden in deze paragraaf zijn daarom een voorlopig oordeel.

10. Reflectie op de monitoring van open standaarden

Al met al kan gesteld worden dat het met de adoptie van standaarden enigszins de goede kant op gaat. De landelijke voorzieningen doen het in dit opzicht goed, zo zagen we eerder. Maar er geen re- den voor groot optimisme. Het percentage uitgevraagde relevante standaarden (Pas toe) stijgt maar heel licht. Er is geen sprake van een versnelling of doorbraak. Het Leg uit-deel van het beleid werkt niet zoals het bedoeld is. Positief is wel dat we ook zien dat er overheidsorganisaties zijn die in 2022 alle relevante standaarden uitvroegen: het kan dus wel!

Op het niveau van individuele standaarden zien we behoorlijke verschillen, de adoptie van de ene standaard is veel verder gevorderd dan die van andere standaarden, en we zien soms ook verschillen in de adoptie tussen rijksoverheid en medeoverheden. Het kwalitatieve onderzoek naar aanbestedin- gen en de follow-up daarvan, laat zien dat open standaarden in de aanbestedingen van de onder- zochte instellingen een beperkte rol spelen en dat de aandacht in de fase van implementatie en de inbeheername verslapt.

Langzaam aan de goede kant op: is dat voldoende?

Het oordeel of de geschetste ontwikkeling van de adoptie van open standaarden voldoende is moet door beleidsmakers en politici geveld worden, niet door de onderzoekers. De doelen die men door middel van de adoptie van open standaarden probeert te realiseren zijn echter buitengewoon ur- gent: veilig internet, toegankelijkheid van overheidsinformatie, kwaliteit van data en goede gege- vensuitwisseling tussen overheidsorganisaties onderling én met burgers en ondernemers en het voorkomen van te grote leveranciersafhankelijkheid. Het zijn belangrijk voorwaarden voor een goede publieke dienstverlening. En over die kwaliteit van de publieke dienstverlening is in de afgelopen ja- ren natuurlijk veel te doen. Die problemen hebben te maken met oude ICT-systemen die vervangen moeten worden (legacy) maar ook in belangrijke mate met de gebrekkige gegevensuitwisseling tus- sen overheidsorganisaties onderling. Het toepassen van open standaarden -veiligheid, interoperabili- teit en kwaliteit van gegevens – levert een bijdrage aan het verbeteren van de publieke dienstverle- ning.

Volwassen informatievoorziening en ICT-huishouding bevordert adoptie

Eerder in dit rapport werd – naar aanleiding van de grote verschillen in prestaties van organisaties met betrekking tot het uitvragen van relevante standaarden – de vraag opgeworpen hoe die verschil- len te verklaren zijn. Er werd geconstateerd dat de kwaliteit van aanbestedingen afhankelijk lijkt te zijn van individuele personen of van het team dat de betreffende aanbesteding doet. Wordt door be- trokkenen het belang van de standaarden onderkend en de uitvraag en follow up daarvan goed ter hand genomen, dan is dat goed voor de adoptie van standaarden. Is men niet bekend met de stan- daarden of met de hulpmiddelen om ze toe te passen, of ziet men het nut van standaarden niet in, dan bevordert dat de adoptie van standaarden uiteraard niet.

Waar liggen dan de aanknopingspunten om de adoptie echt een stap verder te helpen? In het Adviesknelpunten voor adoptie uit november 2020, constateert het onderzoeksbureau dat er een sterke correlatie lijkt te bestaan “tussen de mate waarop partijen hun informatievoorziening (IV) en ICT- huishouding op orde hebben en de mate waarin ze standaarden toepassen.” Overheidsorganisaties die duidelijke rollen hebben (Chief information officer (CIO), Chief Information Security Officer (CISO), architecten) en ondersteunende middelen goed toepassen, scoren hoog op het toepassen van (open) standaarden. De andere kant van de medaille is dat in organisaties waar een duidelijke gover- nance op de informatievoorziening en ICT-huishouding ontbreekt, wordt geworsteld met de adoptie

van standaarden. Soms is dat door een gebrek aan kennis, in andere gevallen is dat ingegeven door de angst om leveranciers af te schrikken als er te veel eisen rond standaarden worden gesteld.

Eén van de aanbevelingen uit het Advies Knelpunten voor adoptie luidt dan ook dat, wil men de adop- tie van standaarden versterken, het noodzakelijk is dat partijen en mensen weten wie waarvoor ver- antwoordelijk is. “Dat kan nooit de inkoper of architect zijn, maar moet, afhankelijk van het type standaard hoger in de organisatie belegd worden, bijvoorbeeld bij de CIO voor meer algemene stan- daarden, de CISO voor informatiebeveiligingsstandaarden of wellicht hoofd communicatie als het gaat om standaarden als digitoegankelijk”. Het is aan de organisatie om ervoor te zorgen dat de adoptie van standaarden structureel belegd wordt en daarmee niet alleen afhankelijk is van indivi- duen of teams die een aanbesteding doen.

Communiceren over instrumenten en inzetten op de achterliggende doelen

In één van de voorgaande paragrafen is erop aangedrongen om in het opvolgingstraject na de aanbe- steding, beter te controleren of de verplichte open standaarden daadwerkelijk geleverd worden.

Daarnaast werd het advies gegeven om het instrumentarium van het Forum, de beslisboom en de handreiking, beter onder de aandacht van de doelgroep te brengen: direct bij individuele overheids- organisaties, maar ook via de sectorale koepels (VNG, IPO, UvW) en platforms zoals PIANOo.

Tegelijkertijd is het belangrijk om verder te kijken dan alleen de open standaarden. Dat betekent dat vooral de achterliggende doelen als uitgangspunten moeten worden genomen, niet de lijst met open standaarden die als het ware afgevinkt moet worden. Maar het is ook belangrijk om de informatie- voorziening en ICT-huishouding van overheidsorganisaties in den brede te verbeteren. Door aan- dacht te besteden aan de governance en duidelijkheid te scheppen over afspraken en rollen en ver- antwoordelijkheden zowel binnen organisaties als in sectoren en op landelijk niveau.

Het beschrijven en verspreiden van goede voorbeelden kan een uitstekend instrument zijn beleids- doelstellingen te realiseren. Met de handreiking van het Forum en de interviews in het kader van de Monitor Open Standaarden is daarmee een begin gemaakt. Daar kan een vervolg aan worden gege- ven door best practices verder uit te werken, inclusief aandacht voor de informatievoorziening en de ICT-huishouding. Inspiratie daarvoor kan ook buiten de overheid gevonden worden, in andere secto- ren (de zorg) en in andere landen.

In het licht van de uitkomsten van deze monitor is het de vraag of met goede voorbeelden volstaan kan worden. In de briefwisseling tussen Arre Zuurmond, de Regeringscommissaris Informatiehuis- houding en Larissa Zegveld, de voorzitter van het Forum voor Standaardisatie wordt de vraag gesteld of het open standaardenbeleid voldoende effect heeft. Men is het er vrij snel over eens dat dit niet het geval is, er is sprake van te veel vrijblijvendheid. Er zijn weliswaar afspraken gemaakt over de toe- passing van open standaarden, maar blijkbaar is dat niet voldoende om organisaties te bewegen zich daar ook aan te houden. In termen van oplossing wordt er onder meer gesproken over het eerder optreden in het inkoopproces, over het strenger handhaven van afspraken en over meer stuwkracht vanuit bewindspersonen.

Over de monitor

De uitkomsten in deze monitor zijn gebaseerd op een representatieve steekproef en op basis daar- van kunnen betrouwbare uitspraken worden gedaan over de toepassing van standaarden in open- bare aanbestedingen. De toevoeging dat het daarbij om openbare aanbestedingen gaat is van belang. Een deel van de IT-producten en -diensten wordt immers ingekocht via mantels of in handen

gegeven van derde partijen (de zogenaamde brokers). Dat betekent dat de aanbestedingsdocumen- ten niet openbaar zijn en niet meegenomen kunnen worden in het onderzoek.

In het verleden is een poging gedaan om meer zicht te krijgen op aanbestedingen in mantels, maar dat heeft vooralsnog geen bruikbare informatie opgeleverd. Met het oog op toekomstige monitoring loont het de moeite om nogmaals na te denken over manieren om toch meer inzicht te krijgen in de omvang en de aard van de niet openbare aanbestedingen in relatie tot de mate waarin open stan- daarden daarin voorkomen.

Daarnaast is het wenselijk om breder zicht te krijgen op overheidsorganisaties, dat wil zeggen: niet op de enkele vraag of ze de open standaarden toepassen, maar meer in het algemeen of zij hun in- formatievoorziening en ICT-huishouding op orde hebben. En dat is wat het programma Open opOrde voor ogen heeft, voor de Rijksoverheid.

In de voorstellen van de regeringscommissaris (de concept Algemene Informatiewet) wordt van over- heidsorganisaties gevraagd om jaarlijks te rapporteren over de inrichting en instandhouding van de informatiehuishouding, en om zich te verantwoorden over de naleving van verplichtingen ten aan- zien van ‘bindende kaders, standaarden en generieke voorzieningen.’ Vooruitlopend op een derge- lijke verplichting - waarvan de invoering een tijd op zich zou kunnen laten wachten – zou bekeken moeten worden of op basis van bestaande bronnen, en in samenwerking met anderen, een breder beeld geschetst kan worden.