MOS 2023 ICTUVraag naar open standaarden in aanbestedingen 2023 ('pas toe' en 'leg uit')

Content

Vergadering: Forum Standaardisatie 13 december 2023

Agendapunt: 4A2

Documentnummer: FS-20231213.4A2

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Datum: 29 november 2023

Versie: 0.9

INHOUDSOPGAVE

  1. Inleiding
  2. 'Pas toe' bij aanbestedingen in 2022
    • ‘Pas toe’ toegepast
    • Enkele goede voorbeelden
  3. 'Leg uit' bij aanbestedingen in 2022
    • ‘Leg uit’ voor aanbestedingen uit 2022; de formele route
    • De informele route van hoor en wederhoor
  4. De afzonderlijke open standaarden
    • Algemeen
    • Afzonderlijke open standaarden in de aanbestedingen
  5. Belangrijkste bevindingen samengevat

Bijlagen

  • Bijlage 1 Aanpak onderzoek van aanbestedingen
  • Bijlage 2 Overzicht van beoordeelde aanbestedingen uit 2022 Bijlage 3 Gesprekken met aanbestedende diensten

Dit onderzoek is onderdeel van de Monitor Open Standaarden 2023, dat bestaat uit de volgende onderdelen:

  • Monitor Open Standaarden 2023 – hoofdrapport
  • Open standaarden bij aanbestedingen 2023 – onderzoeksrapport (3 bijlagen)
  • PBLQ – Eindrapportage - Open standaarden in aanbestedingen bij medeoverheden – onderzoeksrapport
  • Inventarisatie gebruiksgegevens 2023 - onderzoeksrapport
  • J. Wiersma - SaaS of Soeverein – Essay

Open standaarden bij aanbestedingen ('pas toe' en 'leg uit')

1. Inleiding

Het centrale beleidsinstrument van het open standaardenbeleid is het 'pas toe of leg uit'- principe. Dat houdt in: bij de aanschaf van ICT de relevante open standaarden van de lijst met verplichte standaarden toepassen, en verantwoording afleggen in het jaarverslag wanneer deze standaarden (ondanks dat zij relevant zijn) niet worden toegepast.

In het kader van de Monitor Open standaarden 2023 is voor het twaalfde jaar op rij onderzoek gedaan naar de toepassing van open standaarden bij aanbestedingen door overheden, dit jaar over aanbestedingen uit 2022. Daarbij gaat het om 69 aanbestedingen. Per aanbesteding is vastgesteld welke open standaarden van de lijst daarop van toepassing waren en in hoeverre daar daadwerkelijk om is gevraagd ('pas toe'). Vervolgens is nagegaan in hoeverre overheden in hun jaarverslag verantwoording hebben afgelegd, wanneer bij aanbestedingen van de lijst werd afgeweken ('leg uit').

De opzet van dit hoofdstuk is als volgt. In paragraaf 2 staat ‘Pas toe’ bij aanbestedingen centraal. Daarna volgt paragraaf 3 waarin wordt belicht in hoeverre wordt voldaan aan ‘Leg uit’ bij de onderzochte aanbestedingen. Na deze beschrijving van de kern van dit deelonderzoek volgt in paragraaf 4 een aanvullend inzicht vanuit een andere invalshoek: die van de open standaarden van de ‘Pas-toe-of-leg-uit’ lijst. In paragraaf 5 volgt een korte samenvatting van de belangrijkste bevindingen. Achtergrond en aanpak van dit onderzoek zijn terug te vinden in een bijlage.

2. 'Pas toe' bij aanbestedingen in 2022

2.1. ‘Pas toe’ toegepast

In de 69 aanbestedingen uit 2022 die voor deze monitor zijn beoordeeld had in totaal om 813 open standaarden gevraagd moeten worden. Feitelijk is er echter 408 keer om een open standaard gevraagd. Dat is 50% daarvan (zie de groene rijen in het gestippelde kader midden in Tabel 1), en dat ligt onder de score van vorig jaar (toen 53%). In de jaren daarvoor waren de scores respectievelijk 48%, 45% en 50%. De stijging van dit uitvraag-percentage die bij de vorige twee metingen kon worden genoteerd, zet derhalve niet door. Van een doorbraak de goede kant op met structureel hogere uitvraag-percentages is nog geen sprake.

Deze afname van 53% naar 50% uitgevraagd is in zijn geheel toe te schrijven aan een lager uitvraag-percentage bij de aanbestedingen door mede-overheden: van 56% vorig jaar naar 52% nu. Ter herinnering: vorig jaar liet het uitvraag-percentage bij mede-overheden nog een forse stijging zien, van 45% naar 56%. Een deel van deze ‘winst’ is derhalve weer ingeleverd.

Het overeenkomstige percentage voor de rijksaanbestedingen is dit jaar hetzelfde als vorig jaar: 48%. Met name bij de rijksaanbestedingen wisselen lagere en hogere uitvraagpercentages

elkaar de laatste jaren vaak af, zonder een duidelijke richting. Dit keer is dus sprake van een stabilisatie.

Tabel 1: 'Pas toe' en 'leg uit' bij aanbestedingen uit 2022

(Bron: onderzoek aanbestedingen 2022, uitgevoerd zomer 2023)

Rijksoverheid Mede- overheden Totaal 2022   Totaal 2021  
  # % # % # % # %
totaal aantal beoordeelde aanbestedingen 34 100% 35 100% 69 100% 67 100%
waarbij OSn relevant waren                
* perfect: alle relevante OSn gevraagd 5 15% 1 3% 6 9% 7 10%
* op de goede weg: 29 85% 29 83% 58 84% 54 81%
deel van relevante OSn gevraagd                
- op weg naar perfect (67-99%) 4 12% 8 23% 12 17% 14 21%
- de middenmoot (34-66%) 17 50% 16 46% 33 48% 22 33%
- nog een heel eind te gaan (1-33%) 8 24% 5 14% 13 19% 18 27%
geen relevante OSn gevraagd, waarvan 0 0% 5 14% 5 7% 6 9%
* matig: er is wel algemene aandacht voor 0 0% 0 0% 0 0% 0 0%
architectuur-kaders en/of OSn-beleid                
* slecht: geen aandacht voor OSn-beleid 0 0% 5 14% 5 7% 6 9%
* heel slecht: strijdig met OSn-beleid 0 0% 0 0% 0 0% 0 0%
In aantallen standaarden:                
totaal aantal relevante OSn 374 100% 439 100% 813 100% 750 100%
totaal aantal gevraagde relevante OSn 179 48% 229 52% 408 50% 394 53%
     

Bij 6 van de 69 aanbestedingen (9%, zie de grijze kolommen in tabel 1; vorig jaar 10%) werd om alle relevante open standaarden gevraagd (‘perfect’), dat is 'pas toe' in strikte zin. Dit waren 5 aanbestedingen vallend in de categorie rijksoverheid (de Kamer van Koophandel, de Sociale Verzekeringsbank, Rijkswaterstaat en de Dienst Wegverkeer [RDW] met twee aanbestedingen) en de Veiligheidregio Utrecht. Ter vergelijking: vorig jaar waren er nog 4 gemeenten met een perfect-score.

Daarnaast werd bij 58 aanbestedingen (84%; vorig jaar 81%) gevraagd om een deel van de voor die aanbesteding relevante standaarden (‘op de goede weg’). Bij de resterende 5 aanbestedingen (7%; vorig jaar 9%) waren wel standaarden relevant, maar werd om geen enkele gevraagd en was in de aanbestedingsdocumenten in het geheel geen aandacht voor open standaardenbeleid terug te vinden (‘slecht’).

De categorie ‘op de goede weg’ is – net als vorig jaar – erg groot en daardoor blijven de verschillen binnen die grote groep aanbestedingen onderbelicht. Er zijn aanbestedingen die op een enkele misser in de uitvraag na de score ‘perfect’ zouden hebben gehad, maar ook aanbestedingen die wel het predicaat ‘op de goede weg’ krijgen omdat er om één standaard

van de relevante standaarden gevraagd is, maar waarbij de aandacht voor open standaarden verder heel marginaal is geweest.

Om die reden is binnen de categorie ‘op de goede weg’ net als vorig jaar een nadere nuancering aangebracht:

  • ‘op weg naar perfect’ (aanbestedingen waarbij om 67% tot 99% van de relevante standaarden gevraagd is; zie de percentages in de rechter kolom van bijlage 2;
  • ‘de middenmoot’ (met uitvraag-scores van 34% - 66%);
  • ‘nog een heel eind te gaan’ (met uitvraag-scores van 1% - 33%).

Deze nuancering leidt tot het volgende beeld:

  • 17% van alle aanbestedingen is ‘op weg naar perfect’, 48% behoort tot de middenmoot en voor 19% geldt dat er nog een heel eind te gaan is;
  • in vergelijking met de vorige monitor valt vooral op dat het aandeel van de categorie ‘middenmoot’ flink is toegenomen, van 33% naar 48%. Dit gaat ten koste van een daling bij de beide andere categorieën. Er is zowel sprake van een daling bij de categorie ‘op weg naar perfect’: van 21% naar 17% als ook bij het aandeel achterblijvers (“nog een heel eind te gaan”): van 27% naar 19%. Van een dergelijke beweging richting middenmoot was ook vorig jaar al sprake, zij het in veel mindere mate;
  • inzoomend op de afzonderlijke categorieën overheid (rijksoverheid vs. mede-overheden), vallen enkele verschillen op. Zo is de score ‘op weg naar perfect’ bij de rijksoverheid laag: 12% tegen 23% bij de mede-overheden. De categorie ‘middenmoot’ is bij de rijksoverheid en mede-overheden dit jaar vrijwel even groot. Bij de mede-overheden komt de score ‘nog een heel eind te gaan’ duidelijk minder voor: 14% tegen 24% voor de rijksoverheid.
  • Bij De rijksoverheid zijn de verschuivingen in vergelijking met vorig jaar niet groot genoeg om er veel gewicht aan toe te kennen. Bij de mede-overheden is per saldo wel sprake van een verschuiving de goede kant op. De categorie ‘middenmoot’ is daar flink toegenomen (van 23% naar 46%) en daar staat een ongeveer even grote afname tegenover van de categorie ‘nog een heel eind te gaan’ (van 34% naar 14% dit jaar).

In de categorie ‘geen relevante open standaarden gevraagd’ vielen vijf aanbestedingen:

  • matig: er is algemene aandacht voor architectuur-kaders en/of open standaardenbeleid (0%, vorig jaar eveneens 0%),
  • slecht: er is geen aandacht voor open standaardenbeleid (5 aanbestedingen = 7%, vorig jaar nog 9%);
  • heel slecht: strijdig met het open standaardenbeleid: (dit jaar geen enkele aanbesteding, vorig jaar evenmin).

Alles bij elkaar genomen is deze verzamelcategorie ‘geen relevante open standaarden gevraagd’ dus fractioneel kleiner geworden. Wat dit jaar opvalt is dat alleen aanbestedingen van mede-overheden in deze categorie zijn terug te vinden.

Op basis van de cijfers van dit jaar (zie tabel 1) en de cijfers van voorgaande jaren (zie figuur 1) is de ontwikkeling als volgt:

  • Het aantal aanbestedingen waarbij om alle relevante standaarden is gevraagd ligt procentueel wat fractioneel lager dan vorig jaar; nu 9% tegen 10% vorig jaar. Voor een breder perspectief in de tijd : de vijf jaren daarvoor lag de score steeds op 6%, 7% of 8% en in de jaren daarvoor was drie jaren op rij sprake van een afname (acht jaar geleden lag dit percentage nog op 21%). De scores bij de rijksoverheid en die van de mede-overheden verschillen op dit punt dit jaar behoorlijk (15% tegen 3% bij medeoverheden).
  • De middencategorie - gekwalificeerd als 'op de goede weg' - is ook bij deze monitor weer op afstand de grootste met 84% (vorig jaar 81%). Binnen deze middencategorie is het aantal aanbestedingen met de kwalificatie 'op weg naar perfect' afgenomen, iets wat zowel is terug te vinden bij de aanbestedingen rijksoverheid als van de mede-overheden. Hier staat als positief punt tegenover dat het aandeel van de kwalificatie 'nog een heel eind te gaan' ook is afgenomen. Deze subcategorie is overigens alleen bij mede-overheden (flink) kleiner geworden. Tot slot de ‘middenmoot’; deze is zoals we eerder al hebben kunnen constateren fors in omvang toegenomen. Voor een breder perspectief in de tijd: het laatste decennium wordt deze middencategorie flink groter.
  • Het aantal aanbestedingen waarbij om geen enkele standaard is gevraagd (met oordelen 'matig' dan wel 'slecht') is teruggelopen, van 9 % vorig jaar naar 7 % dit Voor een breder perspectief in de tijd: de categorie ‘geen relevante aanbestedingen gevraagd’ was bij aanvang van de monitor-metingen verreweg het grootst en wordt in de loop der jaren steeds kleiner.

In Figuur 1 is de ontwikkeling in een breder tijdsperspectief geplaatst, vanaf het jaar 2011. Let op: in de definitieve versie van dit rapport worden de figuren opnieuw vormgegeven, het betreft dus tijdelijke figuren.

Figuur 1: 'Pas toe' bij aanbestedingen, 2011 – 2022

De middengroep ‘op de goede weg’, bestaande uit aanbestedingen waarbij wel om één of meer van de relevante standaarden gevraagd werd maar niet om alle, is in de loop der jaren flink gegroeid, inmiddels structureel tot boven de 80% van alle aanbestedingen (zie Figuur 1). Binnen die middengroep maken we nog een nadere onderverdeling tussen aanbestedingen waarbij maar om een klein deel van de relevante standaarden werd gevraagd (1-33%; ‘nog een heel eind te gaan’), een middensegment (34-66%; de middenmoot) en de groep die om een groter deel van de relevante standaarden heeft gevraagd (‘op weg naar perfect’). Het segment van de middengroep met de kwalificatie ‘de middenmoot’ is dit jaar verreweg het grootst is, gevolgd door wat we hier de minst goede scores noemen (‘nog een heel eind te gaan’). Het segment met de kwalificatie ‘op weg naar perfect’ is relatief het kleinst. Dat was vorig jaar ook al zo, maar het verschil met de subcategorie ‘nog een heel eind te gaan’ is dit jaar wat kleiner geworden.

In de monitor van vorig jaar werd gesteld dat de rijksoverheid het minder goed doen dan de mede-overheden. Dit jaar is het beeld veel meer in balans, met soms een ‘plus’ voor de rijksoverheid en dan weer een ‘plus’ voor de mede-overheden.

Bij 27% van de aanbestedingen (vorig jaar nog 25%) vroeg men bok de rijksoverheid om alle relevante standaarden (‘perfect’) of om tenminste twee-derde daarvan (‘op weg naar perfect’), voor de mede-overheden ligt het vergelijkbare percentage op 26% (vorig jaar 37%). De samengestelde scores zijn dit jaar derhalve voor rijksoverheid en mede-overheden vrijwel gelijk, Daarbij is bij de rijksoverheid sprake is van stabilisatie, terwijl bij mede-overheden sprake is van een terugval. Aan de andere kant van het spectrum: de rijksoverheid vroeg bij 24% van de aanbestedingen om geen enkele of om minder dan een derde van de relevante standaarden (vorig jaar 32%). Bij de medeoverheden ligt dit aandeel op 28% (vorig jaar 40%). Ook hier zijn de onderlinge verschillen dit jaar klein. Verder is voor zowel de rijksoverheid als de mede-overheden derhalve sprake van een verbetering op deze variabele.

Eerder is al opgemerkt dat de categorie ‘middenmoot’ relatief erg groot is, zowel bij de rijksoverheid (50%) als bij de mede-overheden (46%).

In Figuur 2a en 2b [Let op: in de definitieve versie worden deze figuren 2a en 2b in 1 figuur gecombineerd] zijn duidelijk de verschillen te zien tussen enerzijds de rijksoverheid en anderzijds de medeoverheden, ook in vergelijking met vorig jaar:

  • bij de rijksaanbestedingen is het aandeel ‘perfect’ toegenomen ten opzichte van vorig jaar (van 9% naar 15%) en het aandeel ‘geen enkele standaard gevraagd’ staat dit jaar op 0% (vorig jaar nog 13%);
  • bij de aanbestedingen van de medeoverheden is het aandeel ‘perfect’ afgenomen ten opzichte van vorig jaar (van 11% naar 3%), en is het aandeel ‘geen enkele standaard gevraagd’ toegenomen (van 6% naar 14%);
  • de middencategorie ‘op de goede weg’ is bij de rijksaanbestedingen iets groter dan vorig jaar (85% nu tegen 78% vorig jaar). Binnen die middencategorie is bij de rijksaanbestedingen echter sprake van een verschuiving de verkeerde kant op. Het aandeel ‘op weg naar perfect’ is namelijk gedaald (van 16% naar 12%). Het aandeel ‘nog een heel eind te gaan’ is gestegen: van 19% naar 24%. Het aandeel ‘middenmoot’ binnen de middencategorie van de rijksaanbestedingen is na een flinke stijging vorig jaar verder doorgestegen, van 44% naar 50%;
  • bij de medeoverheden is de middencategorie ‘op de goede weg’ gelijk gebleven in vergelijking met vorig jaar: 83%. Het aandeel ‘op weg naar perfect’ is iets afgenomen (van 26% naar 23%). Het meest opvallend hier is de forse afname bij de categorie ‘nog een heel eind te gaan’ (van 34% naar 14%). Het aandeel ‘middenmoot’ bij de medeoverheden is in omvang twee keer zo groot geworden, van 23% naar 46%.

Figuur 2a: 'Pas toe' bij aanbestedingen Rijk, 2019 tm 2022

Figuur 2b: 'Pas toe' bij aanbestedingen medeoverheden, 2019 tm 2022

Ter afsluiting van deze paragraaf komen we nog even terug bij een van de eerste constateringen aan het begin: het uitvraag-percentage dat dit jaar op 50% ligt. Ruim 12 jaar nadat de Instructie Rijksdienst bij aanschaf ICT-diensten of ICT-producten van kracht werd zijn rijksoverheid en mede-overheden dus halverwege: ongeveer in de helft van de gevallen wordt – wat kabinetsbeleid is – gevraagd om de relevante open standaarden van de lijst. Deze standaarden zijn inmiddels alleen maar belangrijker geworden, en ook voor het kabinetsbeleid voor een veilige, inclusieve en kansrijke digitale samenleving zijn deze open standaarden een voorwaarde. Maar dan moeten overheden wel in alle gevallen voldoen aan de relevante standaarden, en niet in de helft van de gevallen. De vraag wanneer de gewenste 100% worden bereikt. In figuur 3 is een lineaire trendextrapolatie van de ontwikkeling van het gevraagde percentage relevante standaarden te zien, op basis van de realisatie getallen in de 2011 tot en met 2022. Uit de figuur blijkt dat het in het huidige tempo, tot bijna halverwege deze eeuw (2046) gaat duren voordat de 100% wordt bereikt. Om het beleidsdoel eerder te realiseren is dus een flinke versnelling nodig.


Figuur 3: Extrapolatie van 'Pas toe' bij aanbestedingen: wanneer wordt 100% bereikt?

2.2. Enkele goede voorbeelden

Ook dit jaar brengen we weer enkele goede voorbeelden van aanbestedingen voor het voetlicht. Bij de keuze van de voorbeelden is het oordeel ‘perfect’ op zichzelf niet leidend geweest. Ook nu weer zijn er namelijk drie aanbestedingen met het predicaat ‘perfect’ met een zeer beperkt aantal relevant geachte standaarden waardoor een oordeel ‘perfect’ relatief makkelijk te bereiken is.

In het navolgende worden zeven aanbestedingen kort belicht die alle een complex beeld van relevant geachte standaarden hebben en waar sprake is van een zeer goede uitvraag: drie aanbestedingen met een score ‘perfect’ (SVB, RDW en Veiligheidsregio Utrecht, al eerder in dit hoofdstuk genoemd) en vier aanbestedingen die daar zeer dichtbij in de buurt komen, van het UWV en een drietal gemeenten.

Sociale Verzekeringsbank.

 

  • Bij deze aanbesteding gaat het om het leveren van applicatie- en exploitatiebeheer, housing & hosting en technisch beheer van het huidige V&O informatiesysteem (V&O: Verzetsdeelnemers en Oorlogsgetroffenen). Dit informatiesysteem moet voor nu en in de toekomst veilig, betrouwbaar en schaalbaar zijn.
  • De volgende vijf standaarden zijn relevant en allemaal uitgevraagd: ISO 27001, ISO 27002 HTTPS & HSTS, TLS en PDF.

RDW.

 

  • De RDW is op zoek naar één internetprovider die voorziet in internettoegang en bijbehorende dienstverlening als onderdeel van de internettoegang van de RDW, naast de huidige Daarmee wordt de internetprovider onderdeel van de RDW Internet Ontsluiting en verzorgt hij samen met de tweede internetprovider de totale internetconnectiviteit van de RDW. Verder biedt de internetprovider de mogelijkheid tot het afnemen van een anti-DDoS dienst die aanvallen binnen de drie hoofdcategorieën (volumetric, protocol en application) bewezen kan mitigeren.
  • Alle relevante open standaarden zin uitgevraagd: ISO 27001, ISO 27002, HTTPS & HSTS, TLS, IPv4 & IPv6 en PDF.

VeiligheidsregioUtrecht.

  • De Veiligheidsregio Utrecht wil haar externe website nl en het bijbehorende Content Management Systeem (CMS) vervangen. Met deze aanbesteding zoekt de VRU een partij die de vervanging van de huidige website kan uitvoeren en de nieuwe website inclusief risico-en crisiscommunicatiefunctionaliteiten vervolgens kan beheren en doorontwikkelen.
  • Ook hier een score ‘perfect’: zowel ISO 27001 als ISO 27002, HTTPS & HSTS, TLS, IPv4 & IPv6, Digitoegankelijk, SAML als ODF zijn uitgevraagd.
  • Commentaar van de beoordelaar: “Netjes!”.

UWV.

  • De scope van deze aanbesteding omvat de levering van netwerkdiensten en bestaat op hoofdlijnen uit:
    • basis netwerkdiensten voor connectiviteit en transport van data;
    • in netwerkdiensten geïntegreerde securityfuncties;
    • benodigde beheerdiensten;
    • transitie en transformatie van de huidige naar de nieuwe
  • Bij deze aanbesteding zijn 13 open standaarden relevant: ISO 27001, ISO 27002, HTTPS & HSTS, TLS, DNSSEC, IPv4&IPv6, SPF, DKIM, DMARC, STARTTLS & DANE, SAML, STIX en TAXII en

RPKI. Alleen de laatste twee zijn niet uitgevraagd.

  • Commentaar van de beoordelaar: “Verder heel volledig”.

GemeenteHengelo.

 

  • De gemeente wil de levering en het gebruiksklaar opleveren van een contractmanagement oplossing. De opdracht bestaat o.a. uit: het leveren en gebruiksklaar opleveren van een contractmanagement oplossing, het opleiden/trainen van gebruikers en functioneel beheerders en het onderhoud (m.u.v. functioneel beheer) incl. gebruikersondersteuning, updates en upgrades gedurende de looptijd van de
  • Van de 14 relevante standaarden ISO 27001, ISO 27002, HTTPS & HSTS, TLS, IPv4 & IPv6, DNSSEC, SPF, DKIM, DMARC, STARTTLS & DANE, PDF/A, SAML, StUF en ODF) is alleen ODF

niet uitgevraagd.

Gemeente ’s Hertogenbosch.

  • De aanbieding dient te voorzien in een toereikende computerfunctionaliteit, -capaciteit – en faciliteiten (in de vorm van een Saas-oplossing) ten behoeve van een burgerzakensysteem inclusief de bijbehorende ondersteunende digitale dienstverlening aan burgers en/of bedrijven, zodat met dit systeem toekomstgericht gewerkt kan worden. Tevens ligt de nadruk op de kwaliteit van de BRP-gegevens en de aansluiting bij relevante marktontwikkelingen zoals common ground.
  • In totaal zijn 18 standaarden relevant ISO 27001, ISO 27002, HTTPS en HSTS, TLS, SPF, DKIM, DMARC, STARTTLS & DANE, DNSSEC, IPv4 en IPv6, StUF, Digitoegankelijk, PDF, SAML, Digikoppeling, OpenAPI, NLGOV/Oauth en REST-API. Alleen de laatste twee zijn niet
  • Commentaar van de beoordelaar: “Sterke aanbesteding”.

GemeenteVelsen.

 

  • De gemeente wil een overeenkomst sluiten met één leverancier voor de aanschaf, implementatie en het beheer van een zaaksysteem (SaaS Oplossing). Onderdeel van de opdracht is de migratie van de gegevens van het huidige systeem E-suite van Atos. De gemeente wenst een naadloos geïntegreerde suite, bestaande uit een klantportaal (persoonlijke internet pagina), klantcontactmodule (KTM), zaaktypecatalogus (ZTC), zaakafhandeling, document beheer en opslag (DMS), zaakroutering, record

management (RMA), zoek- en rapportagefunctionaliteit en documentcreatie (sjablonen).

  • Er zijn 17 open standaarden relevant: ISO 27001, ISO 27002, HTTPS & HSTS, TLS, IPv4 & IPv6, DNSSEC, SPF, DKIM, DMARC, STARTTLS & DANE, Digitoegankelijk, PDF/A, SAML, StUF, ODF,

Digikoppeling en NL GOV/Oauth. De laatste twee zijn niet uitgevraagd.

  • Commentaar van de beoordelaar: “Complimenten, heel volledig”.

Voor de volgende drie aanbestedingen geldt: net als bij de eerste drie aanbestedingen uit bovenstaande opsomming ook 100% uitgevraagd, maar bij een veel kleiner aantal relevante standaarden (twee of drie):

  • Kamer van Koophandel. Men wil beter zicht krijgen op de kwaliteit van het KVK IT- landschap, omdat qua compleetheid en objectiviteit verbetering nodig is. Een doorlichting/meting van de 'Productkwaliteit' van het IT-landschap door een daarin gespecialiseerd bureau is derhalve noodzakelijk. Om een compleet en onafhankelijk inzicht te krijgen in de kwaliteit van de door KVK zelfgebouwde (maatwerk)software van het IT- landschap, wil men een nulmeting laten uitvoeren en daarna nog vervolgmetingen. Het betreft een statische code- kwaliteit en hierdoor worden er geen runtime kwaliteitsindicatoren afgegeven.
  • RDW. De doelstelling is het realiseren van een goed werkend en onderhoudbaar tolsysteem opdat de taken met betrekking tot tolheffing op verantwoorde wijze kunnen worden uitgevoerd.
  • De opdrachtnemer dient in hoofdzaak het volgende te verrichten: specifieke adviesdiensten op het gebied van verontreiniging van oppervlaktewater en de analyse en verwerking van specifieke data voortvloeiend uit bestaande onderzoeksresultaten, alsmede het duiden van en rapporteren over de onderzoeksresultaten.

3.  'Leg uit' bij aanbestedingen in 2022

Voor de beoordeelde aanbestedingen is nagegaan in hoeverre inmiddels 'leg uit' plaatsgevonden heeft in jaarverslagen over 2022, daar waar dat nodig was. Dit komt aan bod in paragraaf 3.1. Daarna volgt in paragraaf 3.2. een inkijkje in het proces van hoor en wederhoor naar aanleiding van de beoordelingen.

3.1. ‘Leg uit’ voor aanbestedingen uit 2022; de formele route

Bij zes aanbestedingen die in het kader van deze Monitor 2023 zijn beoordeeld, is om alle relevante standaarden gevraagd. Bij de andere 63 aanbestedingen moet dus in het jaarverslag verantwoording afgelegd worden ('Leg uit') voor het niet toepassen van de relevante standaard(en).

Voor deze 63 aanbestedingen (door 49 verschillende overheidsorganisaties: 17 vallend onder de rijksoverheid, waarvan dit jaar 8 ministeries, en 32 Medeoverheden) is in het Jaarverslag 2022 nagegaan of 'leg-uit' is toegepast. Zie het groen gemarkeerde deel van tabel 2. Van 'Leg uit' was in de jaarverslagen van deze 49 overheidsorganisaties echter geen sprake, in die zin dat in

geen van de jaarverslagen een concrete aanbesteding wordt genoemd uit het voorliggende onderzoek waarbij van de lijst voor 'pas toe of leg uit' werd afgeweken.

Tabel 2: 'Leg uit' bij aanbestedingen uit 2022

(Bron: onderzoek aanbestedingen 2022, uitgevoerd zomer 2023)

Rijksoverheid Mede- overheden Totaal 2022   Totaal 2021  
  # % # % # % # %
totaal aantal beoordeelde aanbestedingen 34 100% 35 100% 69 100% 67 100%
* perfect 5 15% 1 3% 6 9% 7 10%
* op de goede weg 29 85% 29 83% 58 84% 54 81%
* matig 0 0% 0 0% 0 0% 0 0%
* slecht 0 0% 5 14% 5 7% 6 9%
* heel slecht 0 0% 0 0% 0 0% 0 0%
Niet alle OSn gevraagd => Leg Uit vereist 29 100% 34 100% 63 100% 60 100%
- concrete verantwoording in jaarverslag 0 0% 0 0% 0 0% 0 0%
- beperkte verantwoording in jaarverslag 8 28% 0 0% 8 13% 10 17%
- geen Leg Uit in jaarverslag 21 72% 34 100% 55 87% 50 83%

In het navolgende wordt achtereenvolgens stilgestaan bij de jaarverslagen van ministeries, van ZBO’s en van de bij het onderzoek betrokken mede-overheden.

Ministeries

Er is naar de jaarverslagen van alle 12 ministeries gekeken, hoewel strikt genomen alleen de volgende acht departementen onderwerp van onderzoek zijn: Binnenlandse Zaken en Koninkrijksrelaties, Buitenlandse Zaken, Financiën, Defensie, Economische Zaken en Klimaat, Onderwijs, Cultuur en Wetenschap, Volksgezondheid, Welzijn en Sport en Infrastructuur en Waterstaat. Van deze acht departementen zijn namelijk aanbestedingen beoordeeld uit 2022, met een beoordeling die noodzaakt tot 'leg uit' (Voor twee van de hier genoemde ministeries betreft deze betrokkenheid een onder het ministerie vallend agentschap: het ministerie van I&W (vanwege RWS) en het ministerie van EZK (vanwege RVO). Dit geldt ook voor het ministerie van VWS (vanwege RIVM) maar daarnaast is dit ministerie ook betrokken vanwege een ‘eigen’ aanbesteding.).

Het overall-beeld voor 'Leg uit' door de 12 departementen is als volgt:

  • Zeven ministeries (vorig jaar eveneens zeven) hebben een vorm van verantwoording opgenomen in het jaarverslag Er is daarbij sprake van één nieuwkomer (het ministerie van Justitie en Veiligheid) en één departement (het ministerie van Buitenlandse Zaken) had vorig jaar nog wel een opmerking in het jaarverslag staan over het toepassen van open standaarden maar dit jaar niet meer.
  • Een vijftal ministeries gaat relatief uitgebreid in op het beleid rond open standaarden, overigens zonder op ‘Leg uit’ bij concrete aanbestedingen in te gaan. Dit zijn de ministeries van Binnenlandse Zaken en Koninkrijksrelaties, Infrastructuur en Waterstaat, Justitie en Veiligheid, Onderwijs, Cultuur en Wetenschap en Volksgezondheid, Welzijn en Alleen in het jaarverslag van het ministerie van OCW wordt expliciet aangegeven dat niet is afgeweken van de afspraken rond het gebruik van open standaarden zoals is vastgelegd in de Instructie Rijksdienst.
  • De toelichting van de ministeries van Infrastructuur en Waterstaat en van Justitie en Veiligheid overstijgt het tamelijk procedurele niveau van de toelichting van de andere drie hierboven genoemde departementen en gaat concreet in op de praktijk van het toepassen van open standaarden (en gebruik maken van open source software).
  • De ministeries van Algemene Zaken en Defensie zijn heel summier in hun toelichting. Zie onderstaand overzicht. Daarbij moet wel de kanttekening worden geplaatst dat er voor deze beide ministeries geen onderzochte aanbestedingen zijn die aanleiding vormen voor ‘Leg uit’.
  • Drie van de vijf ministeries die dit jaar niets melden over het gebruik van open standaarden deden dat vorig jaar ook Uit het overzicht hieronder valt af te leiden dat het gaat om de ministeries van Economische Zaken en Klimaat, Financiën en Landbouw, Natuur en Visserij.

In onderstaand overzicht zijn de bevindingen samengebracht.

  1. Leg uit’ is voor één of meer aanbestedingen noodzakelijk
Ministerie Uitvoering ‘leg uit’
BZK

Open standaarden en open source software

Het Ministerie van BZK handelt in overeenstemming met artikel 3, eerste lid van de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten. BZK ziet erop toe zoveel mogelijk te voldoen aan de open standaarden op de pas toe of leg uit -lijst van het Forum Standaardisatie. BZK stimuleert ook rijksbreed het gebruik en publicatie van open source software met inachtneming van de wetten en beleidsregels omtrent privacy, informatiebeveiliging en informatiehuishouding. Daarnaast is binnen BZK ook in 2022 verder gewerkt aan het bevorderen en op orde brengen van de open standaarden voor beveiliging van domeinen en email. Daarnaast zijn er inmiddels meerdere broncodes gepubliceerd op de BZK Github.

(Bron: B. Beleidsverslag, onder 6. Bedrijfsvoeringsparagraaf.
Buza [geen informatie]
EZK [geen informatie]
Fin [geen informatie]
I&W

Open standaarden en open source software

IenW stuurt al jarenlang op het toepassen van Open Source (onder andere op basis van de Open Source strategie van 2011) en, via de IenW Enterprise architectuur, op de verplichte en aanbevolen Open standaarden zoals gepubliceerd door Forum Standaardisatie. De standaarden maken ICT oplossingen daadwerkelijk beter in de praktijk. Binnen IenW helpt daarbij ook de Praktische Toepassing Verplichte Eisen aan Digitale Voorzieningen, en de toepassing van het door IenW zelf ontwikkelde Open Source platform Standaard Platform, dat inmiddels door Logius wordt geëxploiteerd. Door dit soort initiatieven te gebruiken bij inkoop en aanbesteding werkt IenW actief mee aan de invulling van het rijksbeleid. Op basis van de halfjaarlijkse meting Internetstandaarden door Forum Standaardisatie is eind 2022 een start gemaakt met het verbeteren van de naleving van de standaarden in samenwerking met DCO. Tot slot is in de Architectuurboard van IenW afgesproken dat consultaties over standaarden centraal worden gemonitord en dat IenW indien gewenst gezamenlijk zal reageren om bij te dragen aan betere standaarden.

(Bron: B. Beleidsverslag, onder 6. Bedrijfsvoeringsparagraaf)
J&V

Gebruik open standaarden en open source software

De genoemde Monitor Open Standaarden 2022 kent de peildatum van 19 mei 2022. Inmiddels heeft het ministerie van JenV een actie in gang gezet om de adoptiepercentages naar een hoger niveau te brengen. Hiertoe is door JenV een periodieke rapportage ingericht over de naleving van de standaarden op alle e-mail- en websitedomeinen van het ministerie . Gezien de urgentie van de naleving van de standaarden wordt er met die onderdelen van het ministerie, die nog niet volledig voldoen aan de naleving, een eerste planning opgesteld.

(Bron: B. Beleidsverslag, onder 6. Bedrijfsvoeringsparagraaf)
OCW

Gebruik open standaarden en open source software

De Instructie Rijksdienst schrijft voor dat bij de aanschaf en ontwikkeling van ICT-diensten of ICT-producten in beginsel gebruik moet worden gemaakt van open standaarden van de lijst van het Forum Standaardisatie (www.forumstandaardisatie.nl). Valide afwijkingsgronden zijn opgenomen in de Instructie Rijksdienst. Indien er sprake is van een afwijking van de Instructie Rijksdienst, dan wordt dit gemotiveerd aangegeven. Bij het Ministerie van OCW is bij de meting eind 2022 geen sprake geweest van afwijking van de Instructie Rijksdienst.

(Bron: B. Beleidsverslag, onder 6. Bedrijfsvoeringsparagraaf)
VWS

Gebruik open standaarden en open source software

Binnen het concern VWS wordt indien mogelijk gestreefd naar het gebruik van open standaarden en open source. In een aantal gevallen, bijvoorbeeld bedrijfsvoering met gevoelige informatie, of vanwege een andere technische oplossing, is het gebruik van open source niet altijd mogelijk. Dit geldt ook voor functionele inkoop van software binnen

VWS. Indien het proces (functioneel, c.q. non-functioneel) een dergelijke IV ondersteuning toelaat hebben open source oplossingen de voorkeur en worden als wens in het programma van eisen opgenomen.

In de periode van de pandemie is er gekozen om o.a. de CoronaMelder en Coronacheck op een open en transparante wijze te ontwikkelen met burgerparticipatie. Deze open source aanpak is succesvol gebleken en zal zich voortzetten in andere projecten.

(Bron: B. Beleidsverslag, onder 6. Bedrijfsvoeringsparagraaf)
  • Geen aanbestedingen beoordeeld waarvoor ‘Leg uit’ noodzakelijk is
Ministerie Uitvoering ‘leg uit’
AZ

Gebruik open standaarden en open source software Er zijn geen bijzonderheden te melden.

(Bron: B. Beleidsverslag, onder H.4: bedrijfsvoeringsparagraaf, zelfde tekst bij elk van drie onderdelen: Eenheid van het algemeen regeringsbeleid, Kabinet van de Koning en Commissie van Toezicht).
DEF

Gebruik open standaarden en open source software

Het beleid inzake open standaarden en open source software wordt zoveel mogelijk gevolgd.

(Bron: B. Beleidsverslag, onder 6. Bedrijfsvoeringsparagraaf)
LNV [geen informatie]
SoZaWe [geen informatie]

Twee van de bovengenoemde ministeries zijn direct betrokken bij het beleid met betrekking tot het toepassen van open standaarden bij aanbestedingen en nemen in die zin in dit verband een wat andere positie in. Gedoeld wordt op het Ministerie van BZK, dat een kaderstellende rol heeft op het gebied van de digitale overheid, en het Ministerie van EZK, dat verantwoordelijk is voor verbetering van de aanbestedingspraktijk.

Hoewel beide ministeries -net als de andere ministeries- niet voldoen aan het principe van ‘leg uit’ zoals dat door de overheid is bedoeld, mag in dit verband niet onvermeld blijven dat de betrokkenheid met het onderliggende beleid wel uitgebreid is terug te vinden in de jaarverslagen van beide ministeries. Waar in het jaarverslag van het ministerie van BZK het thema ‘standaarden’ regelmatig is terug te vinden, geldt dat voor het jaarverslag van het ministerie van EZK voor zaken die te maken hebben met de (verbetering van de) aanbestedingspraktijk.

ZBO’s

In het kader van dit onderzoek zijn negen ZBO’s in beeld waarvoor ‘leg-uit’ aan de orde is naar aanleiding van één of meer aanbestedingen die zijn beoordeeld. In geen van de jaarverslagen 2022 is over het gebruik van open standaarden bij ICT-aanbestedingen gesproken, laat staan dat er een passage is gevonden die als een ‘leg-uit’ kan worden gezien.

Mede-overheden

Bij de 32 mede-overheden waarvan aanbestedingen zijn onderzocht is in de jaarverslagen c.q. jaarstukken 2022 (voor zover beschikbaar) evenmin een verwijzing naar het open standaardenbeleid teruggevonden. Er is ook geen sprake van ‘Leg uit’ voor een specifieke aanbesteding waarvoor dat aan de orde is.

Het geheel overziend, kan evenals in voorgaande jaren worden vastgesteld dat de regels met betrekking tot 'leg uit' er nog niet toe hebben geleid, dat overheden zich in jaarverslagen over specifieke aanbestedingen (en daarvoor relevante open standaarden) verantwoorden voor het niet toepassen van relevante open standaarden. In vergelijking met de verslaglegging over 2021 in de Monitor 2022 valt op dat dit jaar bij evenveel departementen een verwijzing naar het beleid rond de toepassing van open standaarden is verschenen.

3.2. De informele route van hoor en wederhoor

Sinds enkele jaren informeren wij aanbesteders over de beoordeling van hun aanbesteding en in het verlengde daarvan worden zij uitgenodigd om op die beoordeling te reageren. Een citaat uit de betreffende mail:

“Graag horen wij van u hoe het komt dat niet alle open standaarden zijn gevraagd in deze aanbesteding. Als dit een reden is van bijzonder gewicht, zoals bedoeld in artikel 3 lid 2 van de Instructie rijksdienst inzake aanschaf ICT-diensten en ICT-producten, dan kan dit immers leiden tot een andere beoordeling.”

Dit blijkt steeds meer in een behoefte te voorzien. Daarbij komt dat dit proces van hoor en wederhoor kan worden beschouwd als een aanvulling op het formele ‘leg-uit’ waarover in paragraaf 3.1 is gerapporteerd. Die paragraaf is geëindigd met de constatering dat deze vorm van ‘leg-uit’ maar zeer beperkt in praktijk wordt gebracht. Bovendien draagt hoor en wederhoor bij aan meer begrip over en weer; zowel bij de beoordelaars als bij degenen van wie een aanbesteding is beoordeeld. Soms leidt dit proces van hoor en wederhoor nog tot een

aanpassing van de beoordeling; zowel ten aanzien de relevantie van een specifieke standaard als ten aanzien van de kwestie of een standaard al dan niet is uitgevraagd.

Bij een deel van de mailwisselingen stond de technisch-inhoudelijke discussie centraal. Daarbij werd door de aanbestedende partij veelal naar voren gebracht waarom één of meer van de door de beoordelaar relevant geachte open standaarden in het specifieke geval niet van toepassing was. De beoordelaar is hier regelmatig in meegegaan.

Ook over (het ontbreken van) de uitvraag van relevant geachte standaarden is regelmatig de discussie gevoerd. Dit heeft maar heel beperkt tot bijstelling van het oordeel geleid. De rode draad in deze discussie is dat in de optiek van de beoordelaar de uitvraag onvoldoende specifiek was, daar waar de aanbestedende partij van mening was dat wel voldoende concreet was uitgevraagd.

Hoor en wederhoor heeft erin geresulteerd dat het oordeel bij negen aanbestedingen in positieve zin is bijgesteld, waardoor de uitvraag-score bij elk van deze aanbestedingen ook hoger is geworden (zie de percentages in de tabel die is opgenomen in bijlage 2). Bij zes van deze negen aanbestedingen heeft dit overigens niet geleid tot een andere kwalificatie, bij de drie andere wel:

  • twee aanbestedingen hebben zo de kwalificatie ‘perfect’ gekregen;
  • bij één aanbesteding is het oordeel gewijzigd van ‘slecht’ naar ‘op de goede weg’.

Om een inkijkje te geven in de discussie die ontstaat tijdens dit proces van hoor en wederhoor bij wijze van bloemlezing drie voorbeelden van mailwisseling.

Aanbestedende partij (Veiligheidsregio). “Dank voor uw mail. Ik heb de door u geconstateerde omissies besproken met de ICT afdeling. De aanbesteding betrof de uitvraag van een SaaS applicatie. Daarin worden een aantal van de door u geschetste open standaarden niet uitgevraagd omdat deze door de VR zelf dienen te worden ingeregeld (STARTTLS & DANE, SPF, DKIM en DMARC zijn zaken rondom E-mail, waarvoor VR zelf verantwoordelijk is) of niet vallen binnen de eisen die de VR stelt aan een leverancier van een Saas applicatie. SAML wordt uitgevraagd (als SSO koppeling waarbij naar de wereldwijde standaarden wordt verwezen). Digitoegankelijkheid is naar de mening van VR niet van toepassing. Digitoegankelijkheid heeft te maken met de toegankelijkheid van websites, niet met de door ons uitgevraagde SaaS applicatie.

Door de toepassing van eis 96 in het PvE worden de overige door u geconstateerde omissies naar de mening van de VR afgedekt:

Indien u nog aanvullende vragen heeft, of hierover nog van gedachten wilt wisselen met mijn ICT collega's, hoor ik het graag.”

Beoordelaar: “Met betrekking tot de email standaarden: het gebruik van eigen email infrastructuur is voor ons vaak lastig af te leiden uit de bestek teksten. Deze zullen we daarom als niet relevant achterwege laten. Hetzelfde geldt voor digitoegankelijk.

Voor de overige ontbrekende standaarden geldt dat deze expliciet geëist moeten worden. Voor SSO zijn immers meerdere authenticatie protocollen mogelijk.

Met betrekking tot overige verwijzingen naar o.a. de BIO: wat dit in de praktijk betekent is dat deze documenten een veelvoud aan standaarden/technieken bevatten die mogelijk wel of niet relevant zijn voor de onderhavige aanbesteding. Dit betekent dat de verantwoordelijkheid voor het correct selecteren en toepassen van de standaarden naar de leverancier wordt verplaatst. Dit terwijl het wettelijk gezien de verantwoordelijkheid van de aanbesteder is om ervoor te zorgen dat de relevante standaarden in het eindproduct terecht komen. Daarom moeten de relevante open standaarden specifiek geëist worden door de aanbesteder aan de hand van de functionaliteit van de aan te besteden dienst.”

Aanbestedende partij (ZBO): “Bij navraag blijkt:

Er is geen reden waarom IPv6 bewust NIET is uitgevraagd, het had toegevoegd kunnen worden maar was eigenlijk een no- brainer. Het betreft hier applicatiebeheer. Overigens gebruikt de aanbesteding helemaal geen website voor cliënten.

Binnen de organisatie intern is het gebruik van IPv6 niet van toepassing, intern wordt IPv4 gehanteerd. Ik hoop dat we hiermee voldoende gemotiveerd hebben om toch een plaats in de ranking te stijgen

  • Door twee aanbestedende partijen is gewezen op de specifieke marktomstandigheden (“een nichemarkt”) die met zich meebrengen dat het uitvragen van open standaarden het [verondersteld] ongewenste effect heeft dat geen enkele aanbieder zal inschrijven. Voor een van deze beide partijen is dat reden geweest om geen standaarden uit te vragen.
  • Door één aanbestedende partij is aangevoerd dat de aanbesteding niet ten doel had een ICT-dienst aan te schaffen.
  • Niet-openbaar. Dit is ingebracht vanuit twee verschillende aanbestedende partijen. In het ene geval was sprake van een niet-openbare aanbesteding in de vorm van een concurrentiegerichte dialoog, de andere casus betreft een niet-openbare gunningsfase (mededingingingsprocedure met onderhandeling; zie kader hieronder).

Deze varianten op ‘leg-uit’ hebben tot een nadere aanscherping geleid waar het gaat om de beoordeling van voorliggende aanbestedingen.

Ten aanzien van het aspect van de (moeilijke) marktomstandigheden (Dit thema komt aan de orde bij het jaarlijkse ‘belrondje’ waarbij met een aantal aanbestedende partijen wordt gesproken naar aanleiding van een recente aanbesteding die is beoordeeld.): vooralsnog is en blijft het uitgangspunt dat dat onvoldoende grond biedt om in de uitvraag op voorhand al te besluiten om geen aandacht te hebben voor open standaarden. Een van de aanbestedende partijen op wie dit betrekking heeft (gemeente Den Haag), is het overigens niet eens met deze uitkomst (zie ook bijlage B).

Aan het als tweede genoemde aspect is niet tegemoet gekomen bij de beoordeling. Het kan zijn dat in het betreffende geval de aanbestedende dienst zelf uiteindelijk geen ICT-product of - dienst afneemt maar een intermediaire organisatie die hierbij wordt ingeschakeld doet dat immers wel.

Tot slot de kwestie van de niet-openbaarheid . Dit heeft zich grotendeels werkende weg opgelost binnen het traject van hoor en wederhoor. Bij de casus ‘concurrentiegerichte dialoog’ is in een later stadium een ingekorte lijst van eisen overlegd die zijn opgenomen in de uiteindelijke uitvraag (mede tot stand gekomen door de beslisboom te gebruiken). Feit is overigens wel dat de betreffende aanbesteding zich liet lezen als ware het een raamovereenkomst. Vooralsnog openstaande vraag is daarom of aanbestedingen als deze voortaan terzijde moeten worden gelegd.

Bij de andere casus is met wederzijds goedvinden de aanvullende uitvraag in het niet-openbare gedeelte niet meegenomen in de beoordeling, met verwijzing naar het gehanteerde toetsingskader. Zie onderstaand kader.

4. De afzonderlijke open standaarden

In de vorige twee paragrafen is gekozen voor de invalshoek van de aanbestedingen. In deze vierde paragraaf kiezen we voor een andere invalshoek, namelijk die van de afzonderlijke open standaarden die op de ‘Pas-toe-of-leg-uit’-lijst staan.

4.1. Algemeen

Ten tijde van de eerste Monitor open standaarden (over het jaar 2011) stonden er 24 open standaarden op de ‘Pas-toe-of-leg-uit’ lijst. Twee jaar later waren dat er 10 meer, en in het decennium dat daarop volgde is het aantal standaarden op de lijst jaarlijks per saldo gemiddeld met één standaard toegenomen tot het huidige aantal van 43 standaarden. Ter vergelijking: vorig jaar waren dat er 44. In de tussenliggende periode zijn er twee standaarden van de lijst verdwenen (COINS en OWMS) en is er zeer recent (mei 2023) een nieuwe standaard aan de lijst toegevoegd: security.txt. Deze nieuwe standaard is uiteraard niet meegenomen in de beoordeling van aanbestedingen uit 2022. Zodoende zijn voor dit onderzoek 42 standaarden in beeld als het erom gaat vast te stellen of ze ook relevant zijn voor de onderzochte aanbestedingen(De twee standaarden die zijn afgevoerd van de lijst waren bij geen enkele aanbesteding relevant en zijn om die reden buiten de rapportage gehouden.).

Terug kijkend in de tijd, dan blijkt het aantal standaarden dat (gemiddeld) per aanbesteding relevant is gedurende een lange periode gestaag te groeien: van 4,4 in 2015 tot 11,7 in 2020. Met de meting over 2022 erbij is de beperkte daling van vorig jaar (van 11.7 naar 11.2) weer teniet gedaan en is de stijgende lijn opgepakt, tot 11,8 standaard per aanbesteding (zie Figuur 4).

Over het uitvraag-percentage is al eerder in paragraaf 2 gerapporteerd. In onderstaande tabel is dit aspect nogmaals meegenomen, nu vanaf 2013. Dit uitvraag-percentage ligt sinds 2015 ruwweg rond de 45% (zie de paarse lijn en de bijbehorende percentage-schaal). Gemiddeld wordt gedurende een lange periode dus om iets minder dan de helft van de relevante standaarden gevraagd, maar er zijn wel ieder jaar meer standaarden relevant. Tot nu toe is twee keer gepiekt boven de 50%, vorig jaar voor het laatst. De score van deze monitor bedraagt zoals eerder al besproken 50%.


Figuur 4: Aantal relevante standaarden bij aanbestedingen, 2013-2022

De gestage groei van het aantal relevante standaarden per aanbesteding (even afgezien van de correctie vorig jaar) is slechts voor een klein deel te verklaren doordat er meer standaarden op de lijst komen te staan: in 2013 stonden er 34 standaarden op de lijst en voor deze Monitor 2022 waren het er 43 (één minder dan vorig jaar). De lijst groeide dus per saldo met 26 %. Dat is slechts een fractie van de toename van het aantal relevante standaarden (voor 2022 ruim 3 keer zoveel als in 2013). Een beperkt deel van de verklaring is, dat er enkele standaarden van de lijst afgevoerd zijn waarvan de meeste niet erg vaak relevant waren en tegelijkertijd er nieuwe standaarden op de lijst zijn gezet die vaak relevant zijn (voornamelijk uit het domein Internet & beveiliging). Overigens zijn er ook nieuwe standaarden op de lijst gekomen die niet bovengemiddeld vaak relevant zijn. De voornaamste verklaring lijkt te zijn, dat een aantal standaarden de afgelopen jaren geleidelijk vaker relevant is geworden, en dat geldt het sterkste voor de standaarden uit het domein Internet & beveiliging. De 16 standaarden uit dit domein (ruim een-derde van de lijst) zijn goed voor een belangrijk deel van het aantal keer relevant: in

totaal was 813 keer een standaard relevant en daarvan betrof het 622 keer (77 %, vorig jaar 82%) een standaard uit het domein Internet & beveiliging. Daarnaast (en mogelijk daarmee samenhangend): de toename van het aantal relevante standaarden per aanbesteding kan heel goed te maken hebben met veranderingen in de ICT, zoals bijvoorbeeld een toename van het aantal SAAS-applicaties (via internet verbinding maken met toepassingen in de cloud en deze te gebruiken.

4.2. Afzonderlijke open standaarden in de aanbestedingen

In het navolgende staan de volgende twee items centraal:

  • De mate van ‘pas toe’ per open standaard
  • De mate waarin open standaarden relevant waren bij de onderzochte aanbestedingen

Mate van ‘pas toe’ per open standaard

 

Voor de mate waarin om een open standaard wordt gevraagd (wanneer die voor de aanbesteding relevant is) biedt Tabel 1 al een eerste indicatie. Bij 69 aanbestedingen was dit jaar in totaal 813 keer een open standaard relevant, en in 408 gevallen (50%) werd bij de aanbesteding daadwerkelijk om die standaard(en) gevraagd. Om deze cijfers in het juiste perspectief te plaatsen het volgende:

  • het aantal relevant geachte standaarden per aanbesteding is gemiddeld hoger dan vorig jaar (11,8 dit jaar tegen 11,2 standaarden per aanbesteding vorig jaar; zie paragraaf 1). In de monitor van vorig jaar was nog sprake van een ongeveer even grote daling, nadat de vier jaren daarvoor sprake was van een flinke stijging; dit terwijl het aantal standaarden op de lijst vrijwel hetzelfde is als vorig jaar;
  • het percentage daarvan dat is uitgevraagd is 50%, dat is lager dan vorig jaar (toen 53%);
  • de combinatie van bovenstaande twee constateringen betekent dat er dit jaar per aanbesteding gemiddeld evenveel standaarden zijn uitgevraagd als vorig jaar (5,9 voor beide jaren);
  • en het betekent dat er dit jaar meer relevant geachte standaarden NIET uitgevraagd zijn. Het gemiddelde aantal niet-gevraagde standaarden per aanbesteding is dit jaar 5,9 (vorig jaar: 5,3). Daarmee zijn we weer bijna terug op het niveau van twee jaar terug.

Dit is ook terug te zien in de scores voor 'Pas toe' per afzonderlijke standaard (zie Tabel 3). Het aantal standaarden dat beter is uitgevraagd dan vorig jaar is duidelijk lager dan het aantal standaarden dat minder goed uitgevraagd is.

Tabel 3: 'Pas toe' bij aanbestedingen: relevante standaarden en percentage gevraagd in 2022.

Rijksoverheid Mede-overheden Totaal 2022 2021
  relevant gevraagd relevant gevraagd relevant gevraagd gevraagd
aantal aanbestedingen: 34   35   69   67
Veilig internet 291 46% 331 53% 622 50%  
DKIM 21 5% 26 42% 47 26% 31%
DMARC 21 5% 26 42% 47 26% 31%
DNSSEC 24 17% 28 29% 52 23% 47%
HTTPS en HSTS 30 70% 31 74% 61 72% 59%
IPv6 en IPv4 29 28% 34 29% 63 29% 33%
NEN-ISO\IEC 27001:2005nl 33 91% 34 79% 67 85% 83%
NEN-ISO\IEC 27002:2007nl 33 91% 34 79% 67 85% 83%
NL GOV Assurance 6 0% 9 0% 15 0% 25%
RPKI 2 0% 1 0% 3 0%  
SAML 19 79% 23 52% 42 64% 66%
SPF 21 5% 26 42% 47 26% 31%
STARTTLS en DANE 19 5% 26 42% 45 27% 31%
STIX en TAXII 1 0% 1 0% 2 0% 67%
TLS 30 70% 31 74% 61 72% 59%
WPA2 Enterprise 2 50% 1 0% 3 33% 0%
Uitwisselingsfundament 23 30% 32 63% 55 49%  
Digikoppeling 2 50% 8 63% 10 60% 71%
Geo−standaarden 2 100% 1 0% 3 67% 0%
OpenAPI Specification 9 22% 7 71% 16 44% 17%
REST_API Design Rules 8 13% 5 0% 13 8% 17%
StUF 2 50% 11 91% 13 85% 92%
Openbaar en toegankelijk 83 69% 92 58% 175 63%  
Ades Baseline Profiles 0   0   0   100%
Digitoegankelijk *) 19 74% 18 56% 37 65% 76%
ODF 13 15% 16 31% 29 24% 27%
PDF 25 80% 29 66% 54 72% 68%
- PDF 23 83% 24 58% 47 70%  
- PDF/A 2 50% 5 100% 7 86%  
SKOS 1 100% 0   1 100%  
Bestuur en recht 0 - 2 0% 2 0%  
BWB 0   1 0% 1 0% 50%
ECLI 0   1 0% 1 0%  
EML_NL 0   0   0    
JCDR 0   0   0    
Bouwen en wonen 0 - 0 - 0 -  
IFC 0   0   0    
NLCS 0   0   0    
Visi 0   0   0    
Economie en werk 2 50% 9 0% 11 9%  
NLCIUS 1 100% 3 0% 4 25% 100%
SETU 0   0   0    
WDO Datamodel 0   0   0   0%
XBRL 1 0% 6 0% 7 0% 40%
Onderwijs en cultuur 0 - 1 0% 1 0%  
E−portfolio 0   1 0% 1 0% 0%
NL LOM 0   0   0   0%
Schoon water en bodem 0 - 1 100% 1 100%  
Aquo Standaard 0   0   0    
GWSW 0   1 100% 1 100%  
SIKB 0101 0   0   0    
SIKB 0102 0   0   0    
Totaal 374 48% 439 52% 813 50% 53%

Andere zaken die opvallen bij nadere beschouwing van Tabel 3:

  • twaalf standaarden zijn vaker gevraagd dan gemiddeld (dus meer dan 50%): HTTPS & HSTS, ISO 27001/02, SAML, TLS, Digitoegankelijk, PDF, SKOS, Digikoppeling, de Geo-standaarden, StUF en GWSW. In vergelijking met vorig jaar zijn er drie standaarden uit dit rijtje verdwenen: STIX en TAXII, Ades Baseline Profiles en NLCIUS. Nieuwkomers dit jaar zijn SKOS, de Geo- standaarden en GWSW.
  • Deze drie nieuwkomers komen we slechts incidenteel tegen bij aanbestedingen, variërend van 1 tot 3 keer op een totaal van dit jaar 69 onderzochte Een soortgelijke opmerking geldt overigens ook voor de standaarden die uit deze opsomming zijn verdwenen; ook die komen weinig voor (NLCIUS nog het meest; 4 keer).
  • Bij twee van de standaarden die behoorlijk vaak relevant waren (> 20 keer) is het percentage gevraagd flink gestegen (meer dan 10%), te weten bij HTTPS en HSTS en TLS (+13%). Open API Specification vinden we ook redelijk vaak terug bij aanbestedingen (16 keer) en bij deze standaard is het uitvraag-percentage nog sterker verbeterd (+27%). Daar waar verder nog meer sprake is van stijgende uitvraag is deze ofwel heel beperkt, ofwel komt de betreffende standaard erg weinig voor.
  • Bij de andere standaarden die vaak relevant waren (> 20 keer), vinden we twee dalers terug als we ‘meer dan 10%’ als criterium Hierbij gaat het om DNSSEC (flink omlaag, 47% uitgevraagd naar 23%) en Digitoegankelijk (11% lager dan vorig jaar). Twee andere standaarden die in dit verband het vermelden waard zijn:
    • NL GOV Assurance is bij 15 aanbestedingen relevant maar wordt nergens uitgevraagd;
    • XBRL wordt ook nergens uitgevraagd (bij 7 aanbestedingen relevant). En ook hier geldt weer: daar waar verder nog meer sprake is van dalende uitvraag is deze ofwel heel beperkt, ofwel komt de betreffende standaard erg weinig voor.
  • In de vorige monitor is gewezen op een opvallend veel lager uitvraag-percentage bij rijksaanbestedingen voor een aantal standaarden in de hoek van Internet & beveiliging in vergelijking met de uitvraag bij mede-overheden. Hierbij gaat het om DKIM, DMARC, SPF en STARTTLS & DANE. Dit jaar is dit verschil alleen maar groter geworden. Bij de rijksoverheid is voor deze standaarden sprake van een uitvraag van 5%, bij de mede-overheden 42%. Een dergelijk verschil draagt bij aan een relatief lage uitvraag-score voor rijksaanbestedingen. Een eenduidige verklaring is hiervoor niet Wellicht liggen hier aanknopingspunten om in de nabije toekomst een betere uitvraag-score te gaan realiseren. Behalve de eerder genoemde IV-standaarden zijn er ook andere standaarden aan te wijzen waar sprake is van relatief grote verschillen bij de uitvraag-percentages bij veel voorkomende standaarden:
    • rijksoverheid scoort beter bij de ISO-standaarden, SAML, Digitoegankelijk en PDF;
    • mede-overheden scoren beter bij ODF, Open API Specification en

Welke open standaarden waren relevant bij aanbestedingen?

In het onderzoek is van elke aanbesteding vastgesteld welke standaarden van de 'pas-toe-of- leg-uit'-lijst daarvoor relevant waren. Dat levert ook interessante informatie op vanuit het perspectief van de adoptie van standaarden. In Tabel 4 is weergegeven hoe vaak elk van de

standaarden van de lijst relevant is gebleken bij een aanbesteding. Van de 42 standaarden op de lijst voor 'pas toe of leg uit'(Er staan momenteel (zomer 2023) zoals eerder vermeld 43 standaarden op de lijst maar voor één standaard (security.txt) geldt dat deze pas sinds mei 2023 op de lijst staat en derhalve niet is meegenomen in de beoordeling van standaarden uit 2022.) zijn er 30 (ruim 70% van de lijst) minimaal bij één aanbesteding relevant. De andere 12 standaarden op de lijst waren dus dit jaar voor geen van de 69 onderzochte aanbestedingen relevant. Daarvan waren er negen ook vorig jaar voor geen enkele onderzochte aanbesteding relevant: SETU, de Aquo-standaarden, SIKB 0101en SIKB 0102, IFC, NLCS, Visi, JCDR en EML_NL. De resterende drie standaarden (Ades Baseline Profiles, WDO Datamodel en NL LOM) waren bij de vorige monitor wel relevant.

Een vijftal standaarden steekt er met kop en schouders bovenuit als het gaat om de mate waarin zij relevant worden geacht. ISO 27001en ISO 27002 zijn net als vorig jaar bijna altijd relevant (97%) en ook IPv4 en IPv6 scoort hoog met 91%. TLS en HTTPS & HSTS completeren het beeld en scoren net als vorig jaar ook hoog (beide 88%). Opvallend is dat de hier genoemde percentages exact hetzelfde zijn als vorig jaar.

Als we als criterium aanhouden ‘bij meer dan 50% van de 69 aanbestedingen relevant’, dan kunnen aan dit rijtje nog acht standaarden worden toegevoegd: PDF (78%), DNSSEC (75%), DKIM, DMARC en SPF (alle 68%), STARTTLS & DANE (65%), SAML (61%) en Digitoegankelijk (54%). Laatstgenoemde standaard is de enige nieuwkomer in dit rijtje.

Daarna volgt één standaard die bij 25 tot 50% van de aanbestedingen relevant was: ODF. Vorig jaar behoorde alleen Digitoegankelijk tot deze categorie. Het geheel overziend is sprake van een behoorlijk constante groep standaarden die relatief vaak relevant zijn. Echte uitschieters zitten er niet tussen.

Aan de andere kant: van de 30 standaarden die bij de beoordeelde aanbestedingen relevant werden geacht, zijn er dit jaar 6 slechts incidenteel (1 of 2 keer) als relevant aangemerkt (vorig jaar waren dat er 7): STIX en TAXII twee keer en SKOS, GWSW, BWB, ECLI en E-portfolio elk één keer. In vergelijking met vorig jaar is bij dit rijtje maar beperkt sprake van enige overlap (alleen BWB en E-portfolio). De lage trefkans om dergelijke standaarden bij aanbestedingen tegen te komen, verklaart deze geringe overlap.

Tabel 4: Open standaarden bij aanbestedingen: percentage relevant en gevraagd in 2022

  Rijksoverheid   Mede-overheden Totaal 2022
  Relevant Gevraagd relevant gevraagd Relevant gevraagd
aantal aanbestedingen: 34   35   69  
Veilig internet            
DKIM 62% 3% 74% 31% 68% 17%
DMARC 62% 3% 74% 31% 68% 17%
DNSSEC 71% 12% 80% 23% 75% 17%
HTTPS en HSTS 88% 62% 89% 66% 88% 64%
IPv6 en IPv4 85% 24% 97% 29% 91% 26%
NEN-ISO\IEC 27001:2005nl 97% 88% 97% 77% 97% 83%
NEN-ISO\IEC 27002:2007nl 97% 88% 97% 77% 97% 83%
NL GOV Assurance 18% 0% 26% 0% 22% 0%
RPKI 6% 0% 3% 0% 4% 0%
SAML 56% 44% 66% 34% 61% 39%
SPF 62% 3% 74% 31% 68% 17%
STARTTLS en DANE 56% 3% 74% 31% 65% 17%
STIX en TAXII 3% 0% 3% 0% 3% 0%
TLS 88% 62% 89% 66% 88% 64%
WPA2 Enterprise 6% 3% 3% 0% 4% 1%
Uitwisselingsfundament            
Digikoppeling 6% 3% 23% 14% 14% 9%
Geo−standaarden 6% 6% 3% 0% 4% 3%
OpenAPI Specification 26% 6% 20% 14% 23% 10%
REST_API Design Rules 24% 3% 14% 0% 19% 1%
StUF 6% 3% 31% 29% 19% 16%
Openbaar en toegankelijk            
Ades Baseline Profiles 0%   0%   0%  
Digitoegankelijk *) 56% 41% 51% 29% 54% 35%
ODF 38% 6% 46% 14% 42% 10%
PDF 74% 59% 83% 54% 78% 57%
- PDF 68% 56% 69% 40% 68% 48%
- PDF/A 6% 3% 14% 14% 10% 9%
SKOS 3% 3% 0%   1% 1%
Bestuur en recht            
BWB 0%   3% 0% 1% 0%
ECLI 0%   3% 0% 1% 0%
EML_NL 0%   0%   0%  
JCDR 0%   0%   0%  
Bouwen en wonen            
IFC 0%   0%   0%  
NLCS 0%   0%   0%  
Visi 0%   0%   0%  
Economie en werk            
NLCIUS 3% 3% 9% 0% 6% 1%
SETU 0%   0%   0%  
WDO Datamodel 0%   0%   0%  
XBRL 3% 0% 17% 0% 10% 0%
Onderwijs en cultuur            
E−portfolio 0%   3% 0% 1% 0%
NL LOM 0%   0%   0%  
Schoon water en bodem            
Aquo Standaard 0%   0%   0%  
GWSW 0%   3% 3% 1% 1%
SIKB 0101 0%   0%   0%  
SIKB 0102 0%   0%   0%  

Eerder in dit hoofdstuk is al opgemerkt dat het aantal relevant geachte standaarden per aanbesteding weer wat hoger ligt dan vorig jaar. Het verschil is evenwel klein. Dit valt ook terug te lezen in Tabel 4: het aantal stijgers voor wat betreft relevantie is wat groter dan het aantal dalers maar het ontloopt elkaar niet veel. Een paar opvallende verschillen zijn met name terug te vinden bij de stijgers: met name PDF (+23%) en ODF (+20%) en in wat mindere mate NL GOV Assurance en de beide API-standaarden zijn dit jaar vaker relevant dan vorig jaar. Uitschieters de andere kant op – veel minder vaak ‘relevant’ dan vorig jaar – zijn er niet, of het moeten de IV- standaarden DKIM, DMARC, SPF en STARTTLS & DANE zijn (ongeveer 10% minder vaak relevant).

In vergelijking met de vorige monitor zijn er zoals eerder al opgemerkt drie standaarden deze keer bij geen enkele aanbesteding relevant gebleken en vorig jaar wel: Ades Baseline Profiles, WDO Datamodel en NL LOM. Daarbij moet wel worden aangetekend dat de relevantie van deze standaarden vorig jaar ook al niet groot was. Andersom zijn er vier standaarden dit jaar wel relevant en vorig jaar niet. Hierbij gaat het om RPKI, SKOS, GWSW en ECLI. Ook voor deze vier standaarden geldt: de relevantie is beperkt.

Voor de feitelijke adoptie is uiteraard niet alleen van belang hoe vaak de standaard relevant bleek te zijn, maar vooral hoe vaak er daadwerkelijk om is gevraagd. Zoals al bleek in paragraaf

3.2 is er dit jaar bij aanbestedingen minder vaak dan vorig jaar om de relevante standaarden gevraagd: 50% dit jaar tegen 53% vorig jaar. In Tabel 4 is voor de afzonderlijke standaarden berekend hoe vaak daarom is gevraagd in % van het aantal aanbestedingen. De hoogste scores zijn in de betreffende kolom terug te vinden bij: NEN-ISO\IEC 27001/27002 (83% voor beide), HTTPS & HSTS (64%), TLS (64%), PDF (57%) en SAML (39%). DNSSEC is uit dit rijtje verdwenen en daarvoor in de plaats is SAML gekomen. De afgelopen vijf jaren stonden op SAML na dezelfde vijf standaarden op dit punt bovenaan.

Na dit rijtje koplopers volgt nog een achttal standaarden met een score boven de 10%: Digitoegankelijk (35%), IPv4 & IPv6 (30%), DNSSEC (17%), DKIM, DMARC, SPF en STARTTLS & DANE

(ook alle 17%).

Om de andere standaarden is slechts bij enkele aanbestedingen gevraagd of zelfs in het geheel niet. Dit laatste is het geval bij NL GOV Assurance, RPKI, STIX en TAXII, XBRL, BWB en ECLI. Met name NL GOV Assurance en XBRL vallen op in dit rijtje omdat deze beide standaarden wel regelmatig als relevant zijn aangemerkt bij de beoordeling van de aanbestedingen: NL GOV Assurance 15 keer en XBRL 7 keer.

5. Belangrijkste bevindingen samengevat

Pas toe:

  • Verspreid over 69 aanbestedingen zijn 813 open standaarden als relevant
  • Daarvan is dit jaar 50% daadwerkelijk
  • Na twee jaren van stijgende uitvraagpercentages, is nu sprake van een lichte terugval; een duidelijke doorbraak naar hogere uitvraag-percentages blijft uit.
  • Bij 6 aanbestedingen (9%) zijn alle relevante open standaarden uitgevraagd (score: ‘perfect’).
  • Van de onderzochte aanbestedingen scoren er 5 ‘slecht’ (7%); daar is geen sprake van aandacht voor open standaarden.
  • De overige aanbestedingen (58 [84%]) vallen in de grote middencategorie: ‘op de goede weg’.
  • De verdeling over deze drie categorieën (alle, deels en niet uitgevraagd) lijkt in het totaalbeeld erg op die van vorig jaar.
  • Pluspunten bij de subcategorie rijksoverheid:
    • bijna alle perfect-scores (op één uitzondering na) zijn aanbestedingen van de rijksoverheid;
    • Binnen de rijksoverheid vinden we geen enkele score ‘slecht’ terug;
    • Op deze beide punten scoort de rijksoverheid beter dan vorig jaar en ook beter dan de mede-overheden.
  • Bij de mede-overheden is sprake van een duidelijk verbetering binnen de categorie ‘op de goede weg’.

Leg uit:

  • Bij 6 van de 69 onderzochte aanbestedingen zijn alle relevante open standaarden uitgevraagd. Bij de overige 63 aanbestedingen is dat niet het Daar moet dus in het jaarverslag verantwoording worden afgelegd voor het niet toepassen van de relevante standaard(en): 'Leg uit'.
  • Van 'Leg uit' zoals dat is bedoeld, was in de jaarverslagen van de 49 overheidsorganisaties die achter deze aanbestedingen schuil gaan echter geen
  • Zeven van de twaalf departementen hebben een vorm van verantwoording opgenomen in het jaarverslag 2022, zij het over het algemeen erg summier en zonder dat een concrete aanbesteding wordt genoemd. Bij de andere vijf departementen is in dit verband niets te vinden in het jaarverslag. Bij drie van deze vijf departementen had dat wel gemoeten.
  • In de jaarverslagen van de ZBO’s en de mede-overheden waarvoor ‘leg uit’ dit jaar noodzakelijk was, wordt over het gebruik van open standaarden bij ICT-aanbestedingen nergens gesproken, laat staan dat er een passage is gevonden die als een ‘leg-uit’ kan worden gezien.
  • Het principe van ‘leg uit’ zoals dat in regelgeving is vastgelegd, komt niet uit de Deze conclusie wordt al jaren achtereen getrokken.

De standaarden:

  • Het afgelopen decennium is de ‘Pas-toe-of-leg-uit’ lijst gegroeid met ongeveer 10 standaarden tot het huidige aantal van 43 standaarden.
  • Het aantal standaarden dat als relevant wordt aangemerkt bij een aanbesteding is in diezelfde periode veel harder gegroeid: van ongeveer 4 naar ongeveer 12. De belangrijkste verklaring voor deze stijging is dat een aantal standaarden, met name uit het domein Internet & beveiliging, steeds vaker relevant is geworden.
  • Waar het gaat om de vraag of een standaard relevant is bij een aanbesteding en of die al dan niet wordt uitgevraagd, is er sprake van een vast patroon van koploper- standaarden en achterblijver-standaarden. In de grensgebieden wil elk jaar nog wel wat wisseling plaatsvinden, maar het algemene beeld wijzigt niet.
  • Opvallende zaken, gerelateerd aan specifieke standaarden:
    • Daar waar Digitoegankelijk relevant wordt geacht, ligt het uitvraag-percentage met 65% 11% lager dan vorig jaar, ondanks de wettelijke verplichting ten aanzien van deze standaard;
    • Er is sprake van een opvallend veel lager uitvraag-percentage bij rijksaanbestedingen voor een aantal standaarden in de hoek van Internet & beveiliging in vergelijking met de uitvraag bij mede-overheden. Hierbij gaat het om DKIM, DMARC, SPF en STARTTLS & DANE.
    • Een vijftal standaarden (dezelfde als vorig jaar) is op afstand het vaakst bij aanbestedingen: ISO 27001en ISO 27002, IPv4 en IPv6, TLS en HTTPS &
    • Twaalf standaarden op de ‘Pas toe of leg uit’-lijst zijn dit jaar voor geen van de 69 onderzochte aanbestedingen relevant.

Bijlage 1 Aanpak onderzoek van aanbestedingen

Met ingang van de vorige monitor 2022 (over 2021) worden telkens aanbestedingen van één volledig kalenderjaar onderzocht, zo ook dit jaar. Voorheen werden de aanbestedingen van Q3+Q4 van het voorgaande jaar en Q1+Q2 van het lopende jaar onderzocht. Voor deze Monitor 2023 worden derhalve aanbestedingen uit het hele kalenderjaar 2022 door de rijksoverheid (met inbegrip van onder andere uitvoeringsorganisaties, agentschappen en ZBO's) en door de mede-overheden onderzocht.

De resultaten van de beoordeling van 69 aanbestedingen uit 2022 worden in dit deelrapport gepresenteerd: 34 van de rijksoverheid en 35 van medeoverheden. De resultaten worden vergeleken met de opbrengst uit de vorige monitor.

Onderzocht zijn vooral aanbestedingen die op tenderned.nl zijn gepubliceerd. Het betreft daardoor veelal Europese aanbestedingen. Drempelwaarden daarvoor waren in 2022 voor de rijksoverheid € 140.000 ex BTW en voor decentrale overheden € 215.000 ex BTW. Is de geraamde waarde van de opdracht evenveel of hoger dan het drempelbedrag, dan moet Europees worden aanbesteed en een Europese procedure worden gevolgd. (Deze waarden worden telkens voor twee jaar door de Europese Commissie vastgesteld. Per 1 januari 2022 zijn deze drempelwaarden opnieuw vastgesteld voor de jaren 2022 en 2023).

Aanbestedingen onder deze grenzen (maar groter dan € 50.000) worden weinig op tenderned.nl gepubliceerd en vallen om die reden grotendeels buiten het onderzoek. Verder zijn detacheringen (waaronder maatwerk-opdrachten) in principe niet onderzocht, omdat 'pas toe of leg uit' daarbij hoogstens op bijzondere wijze kan plaatsvinden (bijvoorbeeld door bepaalde competenties te eisen). Daarnaast is moeilijk te beoordelen of daarbij ICT-producten/-diensten gerealiseerd worden waarop open standaarden van toepassing zijn en in hoeverre die daarbij geëist worden. Een kanttekening hierbij: in de onderzoekspraktijk blijkt dat deze grens niet altijd even duidelijk is te trekken. Voor een goede beoordeling moeten alle relevante en beschikbare aanbestedingsdocumenten bestudeerd kunnen worden.

In principe worden elk jaar veel van de in de voorafgaande periode verzamelde relevante aanbestedingen van de rijksoverheid beoordeeld; de speelruimte om een steekproef te trekken is beperkt. Dit jaar viel ongeveer een derde van de aanbestedingen door de rijksoverheid buiten de steekproef. Het aantal beoordeelde aanbestedingen van de rijksoverheid (34) ligt dit jaar op het gebruikelijke niveau voor een jaarlijkse periode. Ook dit jaar is een aantal (6) aanvankelijk geselecteerde aanbestedingen van de rijksoverheid bij nader inzien door de experts gekwalificeerd als 'niet beoordeelbaar'. Om toch tot het streef-aantal van beoordeelde aanbestedingen te komen, was de steekproef ruimer genomen. Bij de niet beoordeelbare aanbestedingen gaat het om uiteenlopende casuïstiek:

  • er is in drie gevallen bij nader inzien sprake van een raamovereenkomst zonder zicht op de inhoud van onderliggende nadere overeenkomsten en daarmee buiten scope;
  • één aanbesteding blijkt naderhand alsnog te zijn ingetrokken;
  • bij één aanbesteding ontbreken de juiste documenten om tot een beoordeling te kunnen komen (de documenten blijken van een andere organisatie te zijn);
  • één aanbesteding betreft een niet-openbare

Voor de medeoverheden wordt elk jaar een steekproef getrokken uit de vele gevonden aanbestedingen (ongeveer 300). Dit jaar zijn net als voorgaande jaren 35 aanbestedingen van medeoverheden beoordeeld over het jaar 2022. Wellicht ten overvloede nogmaals ter herinnering: met ingang van de Monitor 2018 is gekozen voor een verdubbeling van het aantal te onderzoeken aanbestedingen door medeoverheden om daar beter zicht op te krijgen.

In totaal zijn 69 aanbestedingen beoordeeld: 34 van de rijksoverheid en een steekproef van 35 aanbestedingen van medeoverheden. De 69 beoordeelde aanbestedingen vormen een goede afspiegeling van de overheids-ICT-aanbestedingen, voor zover die binnen de beschreven zoek- kaders vallen.

Het is al enkele jaren gebruik om de beoordeelde rijksaanbestedingen voor te leggen aan een eerste èn een tweede expert om vervolgens beide visies naast elkaar te leggen en met elkaar te bespreken. De rolverdeling tussen de experts is dit jaar als volgt. De beoordeling van aanbestedingen is uitgevoerd door Arend-Jan Wiersma terwijl Mathieu Paapst (Rijksuniversiteit Groningen) de second opinion op de rijksaanbestedingen heeft geleverd. De onderlinge discussie die in het kader van de second opinion is gevoerd, heeft geleid tot enkele bijstellingen van de aanvankelijke beoordeling, overigens zonder dat daar een vast patroon in valt te herkennen. De rapportage (dit hoofdstuk) is geschreven door Joost Vreuls.

Na de beoordeling, daarbij inbegrepen de bevindingen uit de second opinion sessies voor wat betreft de aanbestedingen van de rijksoverheid, zijn de resultaten in een proces van hoor en wederhoor voorgelegd aan de contactpersonen van alle beoordeelde aanbestedingen, met daarbij een expliciete uitnodiging om te reageren (in paragraaf 3.2. wordt nader ingegaan op het verloop van dit proces van hoor en wederhoor). Een substantieel aantal aanbestedende partijen heeft van deze mogelijkheid gebruik gemaakt. Bij 9 aanbestedingen heeft dit geleid tot een heroverweging van het aanvankelijke oordeel door de experts met als resultaat een bijstelling van het oordeel. In elk van deze gevallen is sprake van een gunstiger oordeel, zij het dat de bijstelling veelal beperkt is gebleven tot een of meer afzonderlijke standaarden. In drie gevallen heeft de bijstelling ertoe geleid dat ook de overall-eindkwalificatie naar boven toe is bijgesteld.

Voor een goed begrip van het cijfermateriaal nog enkele opmerkingen over de praktijk van ICT- aanbestedingen door overheden:

  • veel overheidsorganisaties werken met (ICT-)mantelovereenkomsten, die voor een langere periode van kracht zijn en/of met enkele jaren verlengd worden; aanbestedingen binnen de mantelovereenkomst worden direct bij de mantelpartijen uitgezet en zijn dus niet via tenderned.nl te achterhalen;
  • de vervangingscyclus van veel bedrijfs-software is 5 tot 8 jaar, wat betekent dat dergelijke applicaties maar eens in de zoveel jaar (opnieuw) worden aanbesteed. Met name bij kleinere overheidsorganisaties kan dit betekenen dat men slechts zeer incidenteel van doen heeft met het beleid rond open standaarden;
  • de huidige lijst voor 'pas toe of leg uit' bevat onder andere diverse semantische open standaarden, waaronder een aantal met een zeer specifiek Dergelijke standaarden blijken in de praktijk vaker relevant voor maatwerk-oplossingen dan voor standaardsoftware-pakketten. Zoals gezegd valt juist een deel van de maatwerk- opdrachten buiten het onderzoek (detacheringen, mantelovereenkomsten).

Uit de praktijk van de beoordeling door de experts van de aanbestedingen blijkt dat een aantal standaarden uitsluitend in combinatie al dan niet relevant worden geacht, ook al staan deze

standaarden los op de lijst. Voorbeelden van dergelijke combinaties zijn DKIM met DMARC en SPF (emailstandaarden), HTTPS&HSTS met TLS en ISO-27001 met ISO-27002.

De variatie in de aard van de ICT-producten en -diensten die werden aanbesteed is net als in de voorgaande jaren groot. Zie ook het overzicht van alle beoordeelde aanbestedingen in bijlage B2. Bij wijze van bloemlezing enkele kleurrijke voorbeelden van aanbestedingen:

  • De opdrachtgever (Sociale Verzekeringsbank) is bij deze aanbesteding op zoek naar één opdrachtnemer voor de implementatie, transitie en exploitatie van haar digitale leeromgeving, inclusief de brokerdienstverlening. Het LeerEcoSysteem maakt het voor meer dan 4000 werknemers mogelijk om een passende opleiding of bijscholing te vinden in een online omgeving met meer dan 1500 leeractiviteiten van interne en externe aanbieders. Deze opleidingen zijn veelal gesorteerd op thema en gekoppeld aan het beschikbaar gestelde persoonlijke budget van elke werknemer. Het moet voor de werknemer mogelijk zijn om een leeractiviteit te selecteren en te volgen die aansluit bij zijn of haar professionele of persoonlijke behoefte.
  • De huidige web-omgeving vaste boekenprijs is gedateerd (gebouwd in 2006) en voldoet niet meer aan de moderne standaarden qua techniek en functionaliteit. Het Commissariaat van de Media start daarom een Europese openbare aanbesteding voor het ontwerpen en bouwen van een nieuwe WVP (inclusief hosting, beheer en onderhoud van de nieuwe WVP).
  • The aim of this tender is to ensure that the Netherlands gains a better understanding of the protection situation of Syrian refugees in Turkey and Lebanon, including return dynamics, through direct safe communication, through technology that ensures a wide reach and swift and easily accessible communication, such as mobile technology, with refugees and their host communities. (Opdrachtgever: Ministerie van Buitenlandse Zaken).
  • De scope van de aanbestedende dienst (provincie Groningen) is het leveren, plaatsen, inrichten, beschikbaar- en beheersbaar houden van de centrale print-, kopieer-, scan- en fax functionaliteiten (MFP) evenals de decentraal geplaatste Single Functionele Printer (SFP) gedurende de contract periode. De MFP apparatuur zal op basis van een Leaseconstructie worden afgenomen met hier aan toegevoegd een beheercontract ten aanzien van de overige te leveren diensten.
  • Deze aanbesteding van de gemeente Hilversum heeft betrekking op de inkoop en het werkend opleveren, implementeren en vervolgens ter beschikking stellen van een gebruiksvriendelijke Waarderingsapplicatie, inclusief koppelingen met andere applicaties en voorzieningen binnen het applicatielandschap van de De applicatie dient zo te zijn ingericht dat deze voldoet aan landelijke standaarden en werkt conform de gemeente specifieke inrichtingsvereisten (o.a. taxatiemodellen) voor een goede waardering van objecten binnen de betreffende gemeenten. De waarderingsapplicatie wordt als clouddienst beschikbaar gesteld en opdrachtnemer verzorgt het (technisch) applicatiebeheer en het technisch beheer, zoals de hosting, het maken van back-ups, testen en installeren van nieuwe versies en updates, beveiliging tegen ongeautoriseerde toegang, e.d.
  • De volgende diensten worden binnen de overeenkomst afgenomen (opdrachtgever: provincie Limburg):
    • Stateninformatiesysteem (SIS): het SIS dient de processen ten behoeve van de voorbereiding, uitvoering, monitoring en afhandeling van Staten- en Statencommissievergaderingen en activiteiten te ondersteunen.
    • Webcasten/ streamen van vergaderingen: De PS- en Commissievergaderingen dienen live gestreamd te kunnen De vergaderingen zijn in het geheel en per agendapunt terug te kijken.
    • Notulering en indexering: Van de PS- en Commissievergaderingen dienen videotulen en een woordelijk verslag te worden De videotulen dienen conform de archiefwet door opdrachtnemer opgeslagen te worden.
  • Het Waterschap Drents Overijsselse Delta heeft behoefte aan een onderhoudsbeheersysteem waarmee het mogelijk is om de uit te voeren maaiwerkzaamheden te plannen, uit te zetten naar het veld, te registreren in het veld, de voortgang te monitoren en over de uitgevoerde werkzaamheden te rapporteren en kengetallen te verzamelen. In de toekomst volgt naar verwachting een uitbreiding van het systeem met de ondersteuning van het boombeheer, waterkeringenbeheer en baggerwerkzaamheden. Dit dient in de toekomst ook door het systeem ondersteund te kunnen worden.

Bijlage 2. Overzicht van de beoordeelde aanbestedingen uit 2022

De 34 aanbestedingen van Rijk en uitvoeringsorganisaties en de 35 van mede-overheden die dit jaar zijn beoordeeld zijn in Tabel B2.1 en Tabel B2.2 opgesomd, met een korte omschrijving van het onderwerp van de aanbesteding, de open standaarden die de beoordelaars relevant achten en de uiteindelijke beoordeling. Hiervoor is de volgende indeling gehanteerd (conform Hoofdstuk 3):

  • er is om alle relevante open standaarden gevraagd > perfect
  • er is om een deel van de open standaarden gevraagd > op de goede weg
  • er is om geen enkele open standaard gevraagd:
    • alleen algemene aandacht voor architectuur-kaders en/of open standaardenbeleid > matig
    • er is geen aandacht voor open standaardenbeleid > slecht
  • strijdig met het open standaardenbeleid > heel slecht

De midden-categorie ‘op de goede weg’ is nog onderverdeeld naar het aantal gevraagde standaarden in procenten van de als relevant beoordeelde standaarden: 1-33% (nog een heel eind te gaan), 34-66% (de middenmoot) of 67-99% (op weg naar perfect).

Tabel B2.1 Overzicht van beoordeelde aanbestedingen Rijk en uitvoeringsorganisaties

aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

 oordeel
Sociale Verzekeringsbank (ZBO)

Het doel van de aanbesteding is om een overeenkomst te sluiten met één Application Service Provider (ASP) voor applicatie- en exploitatiebeheer, housing & hosting en

technisch beheer van het huidige V&O

ISO 27001

ISO 27002 HTTPS & HSTS TLS

PDF

   perfect (100%)
  informatiesysteem. Dit informatiesysteem moet      
  voor nu en in de toekomst veilig, betrouwbaar en      
  schaalbaar zijn.      
RDW (ZBO) De RDW op zoek naar één internetprovider die ISO 27001 perfect (100%)
  voorziet in internettoegang en bijbehorende ISO 27002    
  dienstverlening als onderdeel van de HTTPS & HSTS    
  internettoegang van de RDW, naast de huidige TLS    
  provider. Daarmee wordt de internetprovider IPv4 & IPv6    
  onderdeel van de RDW Internet Ontsluiting en PDF    
  verzorgt hij samen met de tweede      
  internetprovider de totale internetconnectiviteit      
  van de RDW. Verder biedt de internetprovider de      
  mogelijkheid tot het afnemen van een anti-DDoS      
  dienst die aanvallen binnen de drie      
  hoofdcategorieën (volumetric, protocol en      
  application) bewezen kan mitigeren.      
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

 oordeel
RWS (Min. I&W) De opdrachtnemer dient in hoofdzaak het volgende te verrichten: specifieke adviesdiensten op het gebied van verontreiniging van oppervlaktewater en de analyse en verwerking van specifieke data voortvloeiend uit bestaande onderzoeksresultaten, alsmede het duiden van en rapporteren over de onderzoeksresultaten.

PDF ODF

Digitoegankelijk

   perfect (100%)
RDW (ZBO) De doelstelling van opdrachtgever is het realiseren van een goed werkend en onderhoudbaar tolsysteem opdat de taken met betrekking tot tolheffing op verantwoorde wijze kunnen worden uitgevoerd.

ISO 27001

ISO 27002

Digitoegankelijk

   perfect (100%)
KvK (ZBO) Bij de KvK wil men beter zicht krijgen op de kwaliteit van het KVK IT-landschap, omdat qua

ISO 27001

ISO 27002

   perfect (100%)
  compleetheid en objectiviteit verbetering nodig      
  is. Een doorlichting/meting van de      
  'Productkwaliteit' van het IT-landschap door een      
  daarin gespecialiseerd bureau vindt men      
  derhalve noodzakelijk. Om een compleet en      
  onafhankelijk inzicht te krijgen in de kwaliteit van      
  de door KVK zelfgebouwde (maatwerk)software      
  van het IT- landschap, wil men een nulmeting      
  laten uitvoeren en daarna nog vervolgmetingen.      
  Het betreft een statische code- kwaliteit en      
  hierdoor worden er geen runtime      
  kwaliteitsindicatoren afgegeven.      
Kansspelautorit eit (ZBO) De Kansspelautoriteit verzamelt alle data uit de Controledatabanken (CDB’s) van de

ISO 27001

ISO 27002 HTTPS & HSTS TLS

IPv4 & IPv6 PDF

 ODF op de goede weg: op weg naar perfect (86%.)
  Kansspelaanbieders in één omgeving, de    
  Geaggregeerde Databank Toezicht omgeving    
  (GDT). Deze aankondiging ziet op de Europese    
  openbare aanbesteding gericht op het sluiten    
  van een overeenkomst voor de hosting en    
  (optioneel) het onderhoud en het beheer van de    
  GDT-omgeving van de Kansspelautoriteit.    
UWV (ZBO) Netwerkdiensten. De scope van deze ISO 27001 STIX en TAXII Op de (85%)
  aanbesteding omvat de levering van ISO 27002 RPKI goede  
  netwerkdiensten en bestaat op hoofdlijnen uit: HTTPS & HSTS   weg; op  
  - basis netwerkdiensten voor TLS   weg naar  
  connectiviteit en transport van data; DNSSEC   porfect  
  - in netwerkdiensten geïntegreerde IPv4 & IPv6      
  securityfuncties; SPF      
  - benodigde beheerdiensten; DKIM      
  - transitie en transformatie van de huidige DMARC      
  naar de nieuwe leverancier. STARTTLS & DANE      
    SAML      
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

   oordeel
Min. OCW Men zoekt voor de periode van 4 jaar een partij

ISO 27001

ISO 27002 HTTPS & HSTS TLS

Digitoegankelijk DNSSEC

IPv4 & IPv6 SAML

PDF

OpenAPI REST-API

SPF DKIM DMARC

STARTTLS & DANE ODF

 op de goede weg: op weg naar perfect (69%)
  die de (door)ontwikkeling, hosting en beheer van  
  websites verzorgt en daarbij gebruik maakt van  
  een nieuw CMS dat de opdrachtgever in staat  
  stelt de eigen content zoveel mogelijk en op  
  eenvoudige wijze te beheren. De aanbesteding is  
  inclusief de uit te voeren transitie van de huidige  
  naar een nieuwe leverancier.  
Sociale Ver- zekeringsbank (ZBO) De opdrachtgever heeft met deze aanbesteding tot doel een overeenkomst af te sluiten met één Opdrachtnemer voor de implementatie, transitie en exploitatie van haar digitale leeromgeving, inclusief de brokerdienstverlening.

ISO 27001

ISO 27002 HTTPS & HSTS TLS

IPv4 & IPv6 PDF

SAML

Digitoegankelijk NLCIUS

DNSSEC NL GOV

OpenAPI REST-API

 op de goede weg: op weg naar perfect (69%)
  Het LeerEcoSysteem maakt het voor meer dan      
  4000 werknemers mogelijk om een passende      
  opleiding of bijscholing te vinden in een online      
  omgeving met meer dan 1500 Leeractiviteiten      
  van interne en externe aanbieders). Deze      
  opleidingen zijn veelal gesorteerd op thema en      
  gekoppeld aan het beschikbaar gestelde      
  persoonlijke budget van elke werknemer. Het      
  moet voor de werknemer mogelijk zijn om een      
  leeractiviteit te selecteren en te volgen die      
  aansluit bij zijn of haar professionele of      
  persoonlijke behoefte.      
RIVM (Min. VWS) RIVM needs a pharmaceutical e-Quality Management System (e-QMS) to guarantee the pharmaceutical quality and patient safety of the vaccination and prevention programmes.

ISO 27001

ISO 27002 HTTPS & HSTS TLS

PDF/A

 IPv4 & IPv6 DNSSEC ODF op de goede weg: middenmo ot (63%)
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

   oordeel
KvK (ZBO)

Tot de scope van de aanbesteding behoort o.a.: ontwikkelen, implementeren en publicatiegereed opleveren van de hernieuwde data- inzichtproduct(en) die voorziet in de

functionaliteiten zoals ontsloten in de huidige drie

ISO 27001

ISO 27002 HTTPS & HSTS TLS

Digitoegankelijk IPv4 & IPv6 SAML

PDF SKOS

Geo- standaarden

DNSSEC SPF DKIM DMARC

STARTTLS & DANE

NL GOV/OAuth ODF

 op de goede weg: midden moot (59%)
  KVK data-inzichtproducten.    
  beschikbaar stellen, bewerken en updaten van    
  databestanden ten behoeve van gebruik in data-    
  inzichtproducten.    
  trainen van KVK super-users over de data-    
  inzichtproducten ten behoeve van 1e lijns    
  ondersteuning.    
  integratie met website KVK.    
  leveren van het gebruiksrecht van de data-    
  inzichtproducten in de vorm van Software-as-a-    
  Service (licenties)    
  uitvoeren van (functioneel) beheer .    
  afleveren van duidelijke (technische- en    
  functionele) documentatie over de applicaties.    
Min. Fin. De gevraagde oplossing bestaat uit: ISO 27001 PDF   op de (57%)
(belastingdienst) het UX-lab: betreft zowel het UX-lab op ISO 27002 IPv4 & IPv6 goede  
  locatie van de opdrachtgever (vaste HTTPS & HSTS WPA2 Enterprise weg:  
  opstelling) als het mobiele UX-lab TLS   midden  
  (mobiele opstelling), bestaande uit:     moot  
  producten: desktops, laptops,        
  beeldschermen, camera’s, microfoons,        
  geluidsboxen, netwerkcomponenten,        
  enz.;        
  programmatuur: centrale        
  besturingssysteem en software die nodig        
  is om de tests uit te kunnen voeren;        
  beheer en onderhoud, ten minste        
  bestaande uit regulier onderhoud en        
  het verhelpen van storingen.        
Min. Fin. Binnen deze opdracht valt: ISO 27001 SPF op de (54%)
(belastingdienst) cloud gebaseerde Inkoop, contract en ISO 27002 DKIM goede  
  leverancier management voorziening; HTTPS & HSTS DMARC weg;  
  licenties; TLS DNSSEC middenmo  
  realisatie (inrichting en configuratie) van de Digitoegankelijk IPv4 & IPv6 ot  
  inkoop en contract- en PDF ODF    
  leveranciersmanagementvoorziening conform SAML      
  het inrichtingsdocument;        
  opleiding en training van gebruikers;        
  support;        
  documentatie.        
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

   oordeel
Min. Fin. (belastingdienst)

De opdracht heeft betrekking op het verwerven van een ITSM-oplossing voor zowel cloud als on- premises.

Op dit moment is een gedeeltelijke of volledige cloud-oplossing nog niet mogelijk. In 2023 worden er aanpassingen aan de wetgeving verwacht, waarna het wellicht mogelijk zal worden om een gedeeltelijke of volledige cloud-oplossing te kunnen en mogen gebruiken.

ISO 27001

ISO 27002 HTTPS & HSTS TLS

Digitoegankelijk DNSSEC

IPv4 & IPv6 SAML

ODF

SPF DKIM DMARC

STARTTLS & DANE

NL GOV/OAuth OpenAPI

REST-API PDF

 op de goede weg: midden moot (53%)
UWV (ZBO)

UWV zoekt één ondernemer die een online trainingenplatform kan leveren, dat gericht is op de bemiddeling en verbetering van de arbeidsmarktpositie van werkzoekenden en werkgevers.

De opdracht ziet samengevat toe op de levering van een online trainingenplatform als SaaS oplossing, inclusief de implementatie en het opleiden en trainen van functioneel beheerders en productontwikkelaars van UWV.

ISO 27001

ISO 27002 HTTPS & HSTS TLS

Digitoegankelijk PDF

SAML

DNSSEC

IPv4 & IPv6 SPF

DKIM DMARC STARTTLS & DANE ODF

 op de goede weg: middenmo ot (50%)
UWV (ZBO) Het UWV heeft veel aandacht voor “de

ISO 27001

ISO 27002 HTTPS & HSTS TLS

Digitoegankelijk SAML

OpenAPI

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE ODF

 op de goede weg: middenmo ot (50%)
  menselijke maat” als het om haar dienstverlening  
  gaat. Klantonderzoek in de vorm van “Direct  
  Feedback” is hierin een onmisbaar instrument. De  
  opdracht betreft de opzet, implementatie,  
  borging en doorontwikkeling van de Direct  
  Feedback dienst. Men zoekt een  
  softwareoplossing die geschikt is voor het  
  uitvragen en presenteren van feedback van  
  klanten aan medewerkers en management.  
  Daarnaast wordt gezocht naar een  
  dienstverlener voor het uitvoeren van Direct  
  Feedback klantonderzoek, het analyseren van  
  de klantfeedback op geaggregeerd niveau en  
  daarover rapporteren en adviseren.  
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

   oordeel
Min. Fin. (belastingdienst)

De opdracht betreft het implementeren en 24/7 beschikbaar stellen van een Web Analytics Tool (SaaS) voor het kunnen meten, analyseren en monitoren van bezoekersgedrag rondom digitale

content, met inbegrip van onderhoud en

ISO 27001

ISO 27002 HTTPS & HSTS TLS

PDF SAML

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC

STARTTLS & DANE

NL GOV/ Oauth

 op de goede weg: midden moot (46%)
  support.    
  De oplossing maakt het mogelijk de    
  gebruikersinteracties van alle digitale diensten    
  die de aanbestedende dienst levert aan burgers,    
  bedrijven, intermediairs en medewerkers,    
  anoniem, te kunnen meten, analyseren en    
  monitoren. Met deze inzichten kunnen de digitale    
  producten en de online klantervaring op deze    
  kanalen worden verbeterd.    
Min. BZK The aim of this Tender is to further increase the

ISO 27001

ISO 27002 HTTPS & HSTS TLS

SAML PDF

DNSSEC

IPv4 & IPv6 SPF

DKIM DMARC STARTTLS & DANE

OpenAPI REST-API

 op de goede weg: middenmo ot (43%)
  independence of the traveller when booking,  
  changing, and cancelling travel and claiming  
  travel expenses. Ideally the traveller will be able  
  to do this easily and independently in the travel  
  application and will depend as little as possible  
  on the travel agent.  
  For Travelpoint the starting point is a SaaS solution  
  for a travel and expense application, including  
  the functionalities offered by a supplier in line with  
  the Client's requirements.  
UWV (ZBO) De opdracht heeft betrekking op de lease van printsystemen, de levering van daarmee samenhangende producten (waaronder gebruiksmaterialen) en bijbehorende dienstverlening (o.a. beheer en onderhoud van

ISO 27001

ISO 27002 PDF

HTTPS & HSTS TLS

IPv4 & IPv6 ODF

 op de goede weg: middenmo ot (43%.)
  de prinstsystemen) en het voorzien in een        
  uitwijkmogelijkheid in geval van calamiteiten en        
  capaciteitsproblemen.        
Kadaster (ZBO) De opdracht heeft betrekking op levering van ISO 27001 DNSSEC op de (40%)
  Contact Center as a Service CCaaS en ISO 27002 IPv4 & IPv6 goede  
  uitvoering van Dienstverlening inclusief HTTPS & HSTS SPF weg;  
  Implementatie, migratie en Nazorg. Het TLS DKIM midden  
  omnichannel gebruik van CCaaS wordt Digitoegankelijk DMARC moot  
  gefaseerd uitgebouwd, waarbij eerst de SAML STARTTLS & DANE    
  noodzakelijke vervanging van de telefonie zal   OpenAPI    
  plaatsvinden.   REST-API    
      NL GOV / OAuth    
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

 oordeel
RIVM (Min. VWS) Deze aanbesteding valt binnen het programma Digitoegankelijk ISO 27001 op de (40%)
  DEP/SEO. Het doel van dit programma is om PDF ISO 27002 goede  
  zwangere vrouwen die dat wensen tijdig te   ODF weg:  
  informeren over de eventuele aanwezigheid van     middenmo  
  één of meer aandoeningen.     ot  
  Opdrachtnemer dient voor het uitvoeren van        
  deze opdracht gebruik te maken van gegevens        
  uit de landelijke database Peridos. Met deze        
  data zal de opdrachtnemer de indicatoren voor        
  de monitor moeten berekenen. De Regionale        
  Centra voor Prenatale Screening (RC’s) zijn        
  verantwoordelijk voor tijdige en volledige        
  datalevering in Peridos. Opdrachtnemer is        
  verantwoordelijk voor valideren van data op        
  basis waarvan de analyses kunnen worden        
  uitgevoerd/ indicatoren kunnen worden        
  berekend (datavalidatie).        
KvK (ZBO) De KVK wenst de levering en de implementatie

ISO 27001

ISO 27002 HTTPS & HSTS TLS

PDF

Digitoegankelijk

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE NLGOV/Oa

uth REST-API

OpenAPI SAML

 op de goede weg: middenmo ot (38%)
  van een SaaS-oplossing voor de Identity  
  Governance en Administration software. Deze  
  oplossing moet een totaalpakket omvatten. Dit  
  betekent een flexibel rollenmodel dat om kan  
  gaan met verschillende organisatorische  
  structuren, waarin direct zichtbaar is hoe  
  identiteiten verschillende entitlements  
  toegewezen hebben gekregen. Een uitgebreide  
  governance-oplossing moet in de software  
  inbegrepen zijn waarbij op alle business logica  
  (on demand) rapportages gedraaid kunnen  
  worden. De inhoud van deze rapportages moet  
  flexibel en aanpasbaar zijn naar wens van KVK.  
  Daarnaast moeten alle acties inzichtelijk zijn  
  waaraan de software is gekoppeld, als wel de  
  acties in het product zelf.  
RDW (ZBO) De RDW heeft een aantal locaties verspreid over IPv4 & IPv6 DNSSEC op de (38%)
  heel Nederland in gebruik. Deze verschillende Digitoegankelijk SPF goede  
  locaties dienen verbonden te worden met de PDF DKIM weg:  
  RDW infrastructuur zodat systemen vanuit de HTTPS & HSTS DMARC middenmo  
  RDW-datacenters beschikbaar gesteld kunnen TLS STARTTLS & ot  
  worden op deze locaties. Daarnaast worden   DANE    
  andere typen verkeersstromen onderkend zoals   Digitoegank    
  toegang tot clouddiensten, directe toegang tot   elijk    
  Internet, etc. Binnen scope van de opdracht valt   ISO 27001    
  het leveren van eVPN-lijnen op alle RDW-   ISO 27002    
  kantoorlocaties waarover verschillende diensten        
  kunnen worden afgenomen, met bijbehorende        
  dienstverlening.        
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

 oordeel
RVO (Min EZK)

Looking for a supplier to support with the technical aspects of monitoring and the delivery of monitoring results (e.g. markers, signals and the processing of images). The activities can be

grouped into five categories:

ISO 27001

ISO 27002

Geo- standaarden

IPv4 & IPv6 DNSSEC HTTPS & HSTS TLS

SAML

 op de goede weg: midden moot (38%)
  1. Hosting: Environment for running algorithms and        
  having all data available;        
  2. Production: Activities related to regular AMS        
  production;        
  3. Development: Activities related to        
  development of new markers and functionalities;        
  4. Data: Activities related to buying and        
  processing (commercial) satellite data;        
  5. Archive: Activities related to archiving of        
  production data according to the requirements        
  set by the European Commission.        
Min. VWS VWS/DUS-I beschikt op dit moment over een ISO 27001 HTTPS & HSTS op de (36%)
  eigen subsidieplatform voor het verwerken van ISO 27002 TLS goede  
  subsidieaanvragen door instellingen. Op dit PDF DNSSEC weg:  
  moment is er sprake van een technische transitie SAML IPv4 & IPv6 middenmo  
  van diverse legacy-systemen naar het nieuwe   Digitoegank ot  
  Subsidieplatform (SPF). Het SPF wordt nog steeds   elijk    
  doorontwikkeld en functioneel uitgebreid. SSC-   REST-API    
  ICT heeft als leverancier van diensten voor   OpenAPI    
  technisch applicatiebeheer, platform hosting en        
  netwerk beheer aangegeven de dienstverlening        
  voor het Subsidieplatform te willen beëindigen.        
  Dit vormt aanleiding voor DUS-I om over te gaan        
  tot aanbesteding van diensten voor het        
  Subsidieplatform. Als gevolg van de        
  aanbesteding zal de volledige dienstverlening        
  voor applicatiediensten, hosting en netwerk        
  worden overgedragen aan opdrachtnemer.        
Min. Buza. The aim of this tender is to ensure that the ISO 27001 DNSSEC op de (36%)
  Netherlands gains a better understanding of the ISO 27002 IPv4 & IPv6 goede  
  protection situation of Syrian refugees in Turkey HTTPS & HSTS SPF weg:  
  and Lebanon, including return dynamics, through TLS DKIM middenm  
  direct safe communication, through technology   DMARC oot  
  that ensures a wide reach and swift and easily   PDF/A    
  accessible communication, such as mobile   Digitoegankeli    
  technology, with refugees and their host   jk    
  communities.        
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

   oordeel
Commissariaat voor de Media (ZBO)

De huidige web-omgeving vaste boekenprijs is gedateerd (gebouwd in 2006) en voldoet niet meer aan de moderne standaarden qua techniek en functionaliteit. Het CvdM start daarom een Europese openbare aanbesteding

voor het ontwerpen en bouwen van een nieuwe

ISO 27001

ISO 27002 PDF

Digitoegankelijk

IPv4 & IPv6 DNSSEC HTTPS & HSTS TLS

SPF DKIM DMARC

STARTTLS & DANE

 op de goede weg: nog een heel eind te gaan (33%)
  WVP (inclusief hosting, beheer en onderhoud van      
  de nieuwe WVP).      
UWV (ZBO) De afdelingen werken met Excel bestanden en

ISO 27001

ISO 27002 HTTPS & HSTS TLS

SAML

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE

PDF ODF

OpenAPI REST-API XBRL

 op de goede weg: nog een heel eind te gaan (31%)
  de opbouw hiervan is per bedrijfsonderdeel  
  verschillend. De foutgevoeligheid van begroten  
  en verantwoorden in Excel is aanzienlijk. De  
  bestanden zijn complex geworden, waardoor  
  fouten lastig op te sporen zijn en overdracht  
  moeilijk is. Borging van de kwaliteit is verbonden  
  aan individuen, wat kwetsbaar is. De kwaliteit van  
  de verschillende producten wisselt, en het  
  leervermogen tussen divisies is niet optimaal. Het  
  uitrekenen van meerjarige scenario’s is  
  tijdrovend.  
  Om de kwaliteit, efficiency en beheersbaarheid  
  te verbeteren is besloten om over te gaan naar  
  een organisatie brede Planning & Control cloud  
  oplossing die organisaties ondersteunt in de  
  uitvoering van de P&C-activiteiten.  
DJI (Min. J&V) Het doel is een optimale planapplicatie te

ISO 27001

ISO 27002 DNSSEC SAML

HTTPS & HSTS TLS

IPv4 & IPv6 SPF

DKIM DMARC

STARTTLS & DANE

Digitoegankelijk PDF

 op de goede weg: nog een heel eind te gaan (31%)
  verkrijgen waarmee de gehele dienstverlening  
  van de dienst vervoer en ondersteuning (DV&O)  
  flexibel en toekomstvast automatisch kan worden  
  gepland.  
CIZ (ZBO) De aanbesteding Applicatiedienstverlening heeft ISO 27001 HTTPS & HSTS op de (31%)
  als hoofddoel het sluiten van een overeenkomst ISO 27002 TLS goede  
  voor het beheer en de vernieuwing van het Digikoppeling DNSSEC weg; nog  
  gehele applicatielandschap zodat het primaire StUF IPv4 & IPv6 een heel  
  bedrijfsproces voor nu en in de toekomst   SPF eind te  
  maximaal gefaciliteerd wordt om haar kerntaak   DKIM gaan  
  uit te voeren. Daarnaast wordt er een   DMARC    
  overeenkomst gesloten voor de levering van de   STARTTLS &    
  softwarelicenties.   DANE    
      SAML    
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

 oordeel
RWS (Min. I&W)

Specifieke adviesdiensten op het gebied van opinie- en/of klantonderzoeken op het gebied van de beleving ten aanzien van de netwerken van Rijkswaterstaat. De werkzaamheden strekken zich verder uit tot:

1. het gedurende vier (4) jaar inrichten en

ISO 27001

ISO 27002 PDF

HTTPS & HSTS TLS

SPF DKIM DMARC

STARTTLS & DANE

IPv4 & IPv6 ODF

Digitoegank elijk

 op de goede weg: nog een heel eind te gaan (25%)
  instandhouden van het Klantenpanel      
  Rijkswaterstaat met dertien (13) subpanels, voor      
  het doen van onderzoek onder een      
  desbetreffend subpanel, alsmede;      
  2. het geheel digitaal begeleiden waaronder het      
  uitzetten van vragenlijsten, voor op zijn minst 30      
  en ten hoogste 50 panelonderzoeken over 4 jaar,      
  alsmede het rapporteren van de      
  onderzoeksresultaten;      
  3. het verzorgen van een terugkoppeling van de      
  onderzoeksresultaten aan deelnemende      
  respondenten.      
RDW (ZBO)

De RDW heeft een aantal locaties door geheel Nederland in gebruik. De hoofdlocaties Zoetermeer en Veendam dienen verbonden te worden met de RDW infrastructuur middels een Private Line. De te bereiken doelstelling is het

beschikbaar stellen van één type fysieke

HTTPS & HSTS TLS

PDF

ISO 27001

ISO 27002

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE

RPKI

 op de goede weg: nog een heel eind te gaan (25%)
  verbinding per vermelde locatie waarbij de      
  benodigde capaciteit, tegen de noodzakelijke      
  KPI's, geleverd kan worden. Deze verbindingen      
  kunnen dusdanig geconfigureerd worden dat      
  een aantal diensten van deze verbinding gebruik      
  kunnen maken.      
Dopingautoriteit De dopingautoriteit is op zoek naar een ISO 27001 IPv4 & IPv6 op de (25%)
(ZBO) “hosted” digitale werkomgeving welke in ISO 27002 DNSSEC goede  
  volledig beheer bij de IT-dienstverlener is. De WPA2 Enterprise HTTPS & HSTS weg: nog  
  omgeving biedt een virtuele desktop (op   TLS een heel  
  basis van VDI of RDS), een File server voor de   SPF eind te  
  opslag van bedrijfs- en persoonlijke data en   DKIM gaan  
  documenten en een “OnPremise” Exchange   DMARC    
  mailomgeving voor e-mail en scanner   STARTTLS &    
  functionaliteiten. De doorlopende diensten   DANE    
  omvatten gebruik, onderhoud en   SAML    
  ondersteuning op de geleverde software en        
  koppelingen.        
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd

relevante standaarde n: NIET

gevraagd

 oordeel
RIVM (Min. VWS)

De opdracht betreft dienstverlening waarbij het RIVM wordt ontzorgd op de volgende gebieden:

1. Hosting en beheer van de elf BRP-omgevingen voor RIVM

2. Ontsluiting van de BRP-gegevens waar het

RIVM conform de vigerende met BRP afgesloten

ISO 27001

ISO 27002 SAML

HTTPS & HSTS TLS

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE

StUF

Digikoppelin g

 op de goede weg: nog een heel eind te gaan (23%)
  autorisaties recht op heeft door middel van:      
  a. Aanlevering en teruglevering via SFTP      
  b. Aanlevering via API      
  c. Raadplegen via BRP-webservices      
  3. BRP-webservices      
  4. Mogelijkheid voor support middels een      
  complete gebruikers en beheerderstraining      
  inclusief bijbehorende gebruikers en beheerders      
  documentatie. Daarnaast is ondersteuning met      
  bijvoorbeeld een telefonische helpdesk gewenst.      

Tabel B2.2 Overzicht van beoordeelde aanbestedingen Medeoverheden

aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  
Veiligheidsregio De Veiligheidsregio Utrecht wil haar externe ISO 27001   perfect (100%)
Utrecht website vru.nl en het bijbehorende Content ISO 27002    
  Management Systeem (CMS) vervangen. Met HTTPS & HSTS    
  deze aanbesteding zoekt de VRU een partij die TLS    
  de vervanging van de huidige website kan IPv4 & IPv6    
  uitvoeren en de nieuwe website inclusief risico-en Digitoegankelijk    
  crisiscommunicatiefunctionaliteiten vervolgens SAML    
  kan beheren en doorontwikkelen. ODF    
Gemeente Hengelo De gemeente wil de levering en het gebruiksklaar ISO 27001 ODF op de (93%.)
  opleveren van een contractmanagement ISO 27002   goede  
  oplossing. De opdracht bestaat o.a. uit: - Het HTTPS & HSTS   weg: op  
  leveren en gebruiksklaar opleveren van een TLS   weg naar  
  contractmanagement oplossing - Het IPv4 & IPv6   perfect  
  opleiden/trainen van gebruikers en functioneel DNSSEC      
  beheerders. - Het onderhoud (m.u.v. functioneel SPF      
  beheer) incl. gebruikersondersteuning, updates DKIM      
  en upgrades gedurende de looptijd van de DMARC      
  overeenkomst. STARTTLS & DANE      
    PDF/A      
    SAML      
    StUF      
Gemeente Hilversum Deze aanbesteding heeft betrekking op de inkoop en het werkend opleveren, implementeren en vervolgens ter beschikking stellen van een gebruiksvriendelijke waarderingsapplicatie, inclusief koppelingen met

ISO 27001

ISO 27002 HTTPS & HSTS TLS

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC

STARTTLS & DANE

Digitoegankelijk PDF

StUF

 ODF op de goede weg: op weg naar perfect (93%)
  andere applicaties en voorzieningen binnen het      
  applicatielandschap van de gemeente      
  Hilversum.      
  De applicatie dient zo te zijn ingericht dat deze      
  voldoet aan landelijke standaarden en werkt      
  conform de gemeente specifieke      
  inrichtingsvereisten (o.a. taxatiemodellen) voor      
  een goede waardering van objecten binnen de      
  gemeenten Hilversum en Wijdemeren. De      
  waarderingsapplicatie wordt als clouddienst      
  beschikbaar gesteld en opdrachtnemer verzorgt      
  het (technisch) applicatiebeheer en het      
  technisch beheer, zoals de hosting, het maken      
  van back-ups, testen en installeren van nieuwe      
  versies en updates, beveiliging tegen      
  ongeautoriseerde toegang, e.d.      
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  
Gemeente Roosendaal

De opdracht bestaat uit de volgende scope:

1. Het implementeren, gebruiksklaar opleveren, hosten en technisch beheren van de website;

2. Het ontwikkelen van een website voor de

gemeente Roosendaal, ZI2T, (jeugdhulpwbw.nl)

ISO 27001

ISO 27002 HTTPS & HSTS TLS

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC

STARTTLS & DANE

Digitoegankelijk PDF

 SAML op de goede weg: op weg naar perfect (92%)
  inclusief content migratie en het maken van een      
  website ontwerp in de huidige huisstijl van het      
  ZI2T;      
  3. Het gedurende de looptijd van de      
  overeenkomst op afroep ontwikkelen, realiseren      
  en technisch beheren en/of door ontwikkelen      
  van de website op het geleverde en      
  geïmplementeerde CMS.      
Gemeente ‘s Hertogenbosch De aanbieding dient te voorzien in een toereikende computerfunctionaliteit, -capaciteit – en faciliteiten (in de vorm van een Saas- oplossing) ten behoeve van een burgerzakensysteem inclusief de bijbehorende

ISO 27001

ISO 27002 HTTPS en HSTS TLS

SPF DKIM DMARC

STARTTLS & DANE DNSSEC

IPv4 en IPv6 StUF

Digitoegankelijk PDF

SAML

Digikoppeling OpenAPI

 NLGOV/Oauth REST-API op de goede weg: op weg naar perfect (89%)
  ondersteunende digitale dienstverlening aan      
  burgers en/of bedrijven, zodat met dit systeem      
  toekomstgericht gewerkt kan worden. Tevens ligt      
  de nadruk op de kwaliteit van de BRP-gegevens      
  en de aansluiting bij relevante      
  marktontwikkelingen zoals common ground.      
Gemeente Velsen De gemeente wil een overeenkomst sluiten met één leverancier voor de aanschaf, implementatie en het beheer van een zaaksysteem (SaaS Oplossing). Onderdeel van de opdracht is de migratie van de gegevens van

ISO 27001

ISO 27002 HTTPS & HSTS TLS

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC

STARTTLS & DANE

Digitoegankelijk PDF/A

SAML StUF ODF

 Digikoppeling NL GOV/Oauth op de goede weg: op weg naar perfect (88%)
  het huidige systeem E-suite van Atos. De      
  gemeente wenst een naadloos geïntegreerde      
  suite, bestaande uit een klantportaal      
  (persoonlijke internet pagina),      
  klantcontactmodule (KTM), zaaktypecatalogus      
  (ZTC), zaakafhandeling, document beheer en      
  opslag (DMS), zaakroutering, record      
  management (RMA), zoek- en      
  rapportagefunctionaliteit en documentcreatie      
  (sjablonen).      
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  
Gemeente Peel en Maas

De scope van de ICT-oplossing (in de GIBIT genoemd ICT prestatie) bestaat uit het ter beschikking stellen van een integrale oplossing voor Digitale Leeromgeving waarbij dit een

werkend geheel moet zijn. De ter beschikking

ISO 27001

ISO 27002 HTTPS & HSTS TLS

DNSSEC SPF DKIM DMARC

STARTTLS & DANE

SAML

E-portfolio IPv4 & IPv6

 op de goede weg: op weg naar perfect (75%)
  gestelde oplossing wordt volledig gehost door de      
  leverancier.      
Gemeente ‘s De gemeente is op zoek naar een nieuw ISO 27001 ODF op de (72%)
Hertogenbosch informatiesysteem voor IT (ITMS) en FZ (FMIS). Doel ISO 27002 NL GOV/Oauth goede  
  voor ICT is dat het systeem ondersteuning biedt HTTPS & HSTS REST-API weg: op  
  bij de uitvoering van service-, incident-, problem- TLS OpenAPI weg naar  
  en changemanagement en dat zodanig te IPv4 & IPv6 Digitoegankelijk perfect  
  configureren is, dat de werking goed aansluit bij DNSSEC      
  onze gewenste dienstverlening. ICT wil daarbij SPF      
  gebruik maken van standaard ITIL-processen DKIM      
  (vanuit de gedachte system-of-record). In de DMARC      
  nieuwe situatie is het de bedoeling dat de STARTTLS & DANE      
  beheerders van de afdeling ICT en de PDF      
  beheerders van de drie decentrale afdelingen SAML      
  SIM gaan werken in hetzelfde systeem, samen Digikoppeling      
  met de FZ-afdelingen.        
  De omvang van de opdracht is:        
  - Leveren, implementeren en onderhouden van        
  de gevraagde ICT-oplossing t.b.v. ITMS/FMIS,        
  conform gesteld in het Programma van eisen        
  - Inclusief de gevraagde koppelingen        
  - Inclusief de portaalfunctionaliteit        
Gemeente

De beoogde servicebus biedt functionaliteit voor zowel synchrone als asynchrone (technische) communicatie tussen applicaties door middel van elektronisch berichtenverkeer, waarbij tenminste de volgende technieken worden ondersteund:

- Content based routing (gebaseerd op de inhoud van berichten)

- Store-and-forward

- Fire-and-forget

- Request-reply

- Publish-subscribe

- Multicast

- Guaranteed delivery.

Bovendien biedt de oplossing functionaliteit voor monitoring (logging, foutregistratie, signalering en dergelijke) van deze communicatie, alsmede voor het afvangen van storingen".

 ISO 27001 IPv4 en IPv6 op de (71%)
Vijfheerenlanden ISO 27002 DNSSEC goede  
  HTTPS & HSTS PDF weg: op  
  TLS NL GOV/Oauth weg naar  
  SPF   perfect  
  DKIM      
  DMARC      
  STARTTLS & DANE      
  Digikoppeling      
  StUF      
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  
Gemeente Almelo Het voorwerp van de opdracht betreft de

ISO 27001

ISO 27002 HTTPS en HSTS TLS

StUF PDF

Digitoegankelijk SAML

GWSW

OpenAPI

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE

 op de goede weg: middenm oot (63%)
  levering van een ICT-applicatie, te weten een  
  “Integrale beheeromgeving”. Dit bestaat op  
  hoofdlijnen uit: licenties/hosting/ implementatie/  
  beheer, doorontwikkeling en gerelateerde  
  dienstverlening. En daarmee is de aard en het  
  zwaartepunt van de opdracht een dienst.  
Veiligheidsregio Om te komen tot goede financiële informatie, is HTTPS & HSTS ISO 27001 op de (61%)
Midden- en West VRMWB op zoek naar een SaaS (Software As A TLS ISO 27002 goede  
Brabant Service) oplossing waarmee de financiële- en IPv4 & IPv6 NLCIUS weg:  
  inkoopprocessen van opdrachtgever volledig DNSSEC XBRL middenm  
  worden ondersteund en wat gedurende de SPF NL GOV/Oauth oot  
  gehele duur van de overeenkomst voldoet aan DKIM REST-API    
  de wet- en regelgevingen. Het technisch beheer DMARC ODF    
  wordt door opdrachtnemer uitgevoerd. Het STARTTLS & DANE      
  functioneel beheer wordt door opdrachtgever SAML      
  uitgevoerd. Gebruikers worden ondersteund door PDF/A      
  de 1ste lijn servicedesk en de functioneel OpenAPI      
  applicatiebeheerder.        
Belastingsamenwerki ng Gouwe-Rijnland BSGR wenst een integrale telefonieoplossing voor de vaste telefonie met klantcentrum functionaliteiten teneinde de bereikbaarheid van de organisatie te verbeteren.

ISO 27001

ISO 27002 PDF

 IPv4 en IPv6 SAML op de goede weg: middenm oot (60%)
Gemeente Leeuwarden

De gemeente Leeuwarden besteedt de dienstverlening voor basis en geavanceerde telefonie en KCC (klant contactcentrum) aan voor de gemeenten Leeuwarden en de SSC-

samenwerkingspartners De Friese

ISO 27001

ISO 27002 HTTPS en HSTS TLS

StUF SAML

Digitoegankelijk PDF

ODF

OpenAPI

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE

NLGOV/Oauth REST-API

 op de goede weg: middenm oot (56%)
  Waddeneilanden (Vlieland, Terschelling,    
  Ameland en Schiermonnikoog), de gemeente    
  Noardeast-Fryslân, de gemeente Waadhoeke en    
  de Dienst Sociale Zaken en Werkgelegenheid    
  (Sozawe). De opdracht omvat het leveren van    
  functionaliteit ten behoeve van basis en    
  geavanceerde telefonie en KCC door middel    
  van het beschikbaar stellen van een SAAS-    
  platform waarop alle deelnemende SSC-partners    
  in een eigen tennant kunnen aansluiten.    
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  

Gemeente Súdwest-

Fryslân

 De gemeente Súdwest-Fryslân voert een Europese aanbestedingsprocedure uit in verband met het verwerven van een ICT prestatie bestaande uit de levering/implementatie/ migratie en bijgaande dienstverlening met betrekking tot een systeem ten behoeve van de processen rondom WOZ-registratie, het heffen en innen (inclusief kwijtschelding) van de gemeentelijke belastingen.

ISO 27001

ISO 27002 HTTPS en HSTS TLS

PDF ODF StUF

Digikoppeling Digitoegankelijk

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE SAML XBRL

 op de goede weg: middenm oot (53%)
Provincie Groningen De scope van de aanbestedende dienst is het leveren, plaatsen, inrichten, beschikbaar- en beheersbaar houden van de centrale print-, kopieer-, scan- en fax functionaliteiten (MFP) evenals de decentraal geplaatste Single Functionele Printer (SFP) gedurende de contract periode. De MFP apparatuur zal op basis van een Leaseconstructie worden afgenomen met hier aan toegevoegd een beheercontract ten aanzien van de overige te leveren diensten.

ISO 27001

ISO 27002 HTTPS & HSTS TLS

PDF SAML

IPv4 en IPv6 SPF

DKIM DMARC STARTTLS & DANE ODF

 op de goede weg: middenm oot (50%)
Veiligheidsregio Kennemerland

De aanbestedende dienst is op zoek naar een opdrachtnemer die een standaard CVS levert in de vorm van een SAAS oplossing en de implementatie van het nieuwe systeem, inclusief dataconversie, opleiding en onderhoud van het CVS voor haar rekening neemt.

Tevens dient het functioneel beheer te worden uitgevoerd door deze opdrachtnemer.

ISO 27001

ISO 27002 HTTPS en HSTS TLS

IPv4 & IPv6 DNSSEC PDF

SAML

 op de goede weg: middenm oot (50%)
RID De Liemers Het doel van deze aanbesteding is de levering, ISO 27001 HTTPS & HSTS op de (47%)
  implementatie en onderhoud van een IT ISO 27002 TLS goede  
  softwareapplicatie sociaal domein voor 1Stroom SPF IPv4 & IPv6 weg:  
  (de ambtelijke samenwerking van Gemeente DKIM DNSSEC middenm  
  Duiven en Gemeente Westervoort). DMARC ODF oot  
  De applicatie betreft de implementatie van één STARTTLS & DANE SAML    
  systeem waarmee de werkzaamheden van PDF Digikoppeling    
  beide gemeenten (Duiven en Westervoort)   StUF    
  worden ondersteund. Er is dus geen sprake van        
  een separate applicatie per gemeente, maar        
  één applicatie met daarin twee 'omgevingen'.        
Regio Rivierenland Werkzaak Rivierenland begeleidt mensen bij het HTTPS & HSTS ISO 27001 op de (44%)
  vinden van werk en biedt TLS ISO 27002 goede  
  inkomensondersteuning. Wij voeren de SPF IPv4 en IPv6 weg:  
  participatiewet en sociale werkvoorziening uit. DKIM DNSSEC middenm  
  Het beoogde eindresultaat van deze DMARC Digitoegankelijk oot  
  aanbesteding is een geïmplementeerd, werkend PDF STARTTLS &    
  systeem waarmee door opgeleide medewerkers SAML DANE    
  volgens de geïmplementeerde best practice   ODF    
  processen gewerkt kan worden. Dit voor de   NLCIUS    
  domeinen: ERP (productieproces), 2. WMS   XBRL    
  (warehouse management system) en        
  Relatiebeheer.        
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  
Provincie Limburg De volgende diensten worden binnen de

ISO 27001

ISO 27002 HTTPS & HSTS TLS

PDF/A ODF

DNSSEC

IPv4 en IPv6 SPF

DKIM DMARC STARTTLS & DANE

Digitoegankelijk SAML

 op de goede weg: middenm oot (43%)
  overeenkomst afgenomen: 1.  
  Stateninformatiesysteem (SIS): het SIS dient de  
  processen ten behoeve van de voorbereiding,  
  uitvoering, monitoring en afhandeling van Staten-  
  en Statencommissievergaderingen en activiteiten  
  te ondersteunen. 2. Webcasten/ streamen van  
  vergaderingen: De PS- en  
  Commissievergaderingen dienen live gestreamd  
  te kunnen worden. De vergaderingen zijn in het  
  geheel en per agendapunt terug te kijken. 3.  
  Notulering en indexering: Van de PS- en  
  Commissievergaderingen dienen videotulen en  
  een woordelijk verslag te worden gemaakt. De  
  videotulen dienen conform de archiefwet door  
  opdrachtnemer opgeslagen te worden.  
AM Match De volgende doelen worden nagestreefd: 1)

ISO 27001

ISO 27002 HTTPS & HSTS TLS

PDF

Digikoppeling

SPF DKIM DMARC DNSSEC

IPv4 en IPv6 STARTTLS & DANE

ODF XBRL

 op de goede weg: middenm oot (43%)
  kunnen beschikken over een gebruiksvriendelijk  
  geïntegreerd ERP-systeem, dat bijdraagt aan een  
  geordende administratie en ondersteuning biedt  
  aan de werkprocessen en de dienstverlening. Het  
  ERP-systeem beschikt o.a. over een  
  verplichtingenadministratie,  
  contractenregistratie, urenregistratiefunctie,  
  verlofregistratie, documentgenerator,  
  persoonsdossier en rapportagetool. 2) Het ERP-  
  systeem is een SaaS oplossing (in de cloud van  
  opdrachtnemer) die past in het  
  applicatielandschap van de aanbestedende  
  dienst, met een zo laag mogelijke TCO en een zo  
  laag mogelijke beheercomplexiteit. 3) Koppeling  
  met Filelinx vindt plaats alwaar facturen worden  
  ingescand en in de financiële administratie  
  worden verwerkt.  
Gemeente Almere Het doel van deze aanbesteding is om te komen

ISO 27001

ISO 27002 HTTPS en HSTS TLS

PDF StUF

OpenAPI

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE

Digitoegankelijk SAML

Digikoppeling ODF

 op de goede weg: op weg naar perfect (41%)
  tot een aanbieder die “SaaS  
  Informatievoorziening Toegang en Regie  
  (voorportaal)” in aansluiting op Wmo processen  
  en dienstverlening Backoffice Wmo en Jeugd als  
  BPO in het Sociaal Domein aanbiedt, die de  
  gemeente in staat stelt optimale hulp en  
  ondersteuning aan inwoners met een  
  ondersteuningsbehoefte te bieden, waarbij de  
  inwoners centraal staan.  
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  
WerkSaam Westfriesland Van de partner wordt verwacht het leveren, implementeren en beheren van personeels- en salarisadministratie software met urenregistratie en op termijn eventueel uitbreiding naar ERP. Dit pakket moet geschikt zijn voor 850 medewerkers.

ISO 27001

ISO 27002 HTTPS & HSTS TLS

Digitoegankelijk SAML

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE

PDF

NL GOV/Oauth XBRL

 op de goede weg: middenm oot (40%)
Gemeente Leidschendam - Voorburg

Het doel van deze aanbesteding is om te komen tot een overeenkomst met opdrachtnemer, die de zorg op zich neemt voor de levering, implementatie en het beheer van een nieuw financieel systeem. De aangeboden applicatie dient een standaardoplossing te zijn, een Software as a Service (SaaS) applicatie te zijn en bevat geen maatwerkfunctionaliteiten.

.

ISO 27001

ISO 27002 HTTPS & HSTS TLS

PDF/A StUF

IPv4 en IPv6 DNSSEC

SPF DKIM DMARC

STARTTLS & DANE SAML XBRL

ODF

 op de goede weg: middenm oot (40%)
Gemeente Lansingerland Het gaat hier om Vervanging Storage, SAN, Servers en bijbehorende dienstverlening, bestaande uit installatie, onderhoud en support.

SAML

IPv4 en IPv6

ISO 27001

ISO 27002

NL GOV/Oauth

 op de goede weg: middenm oot (40%)
Gemeente Eindhoven De gemeente wil een applicatie-omgeving waarmee alle beschikbare informatie op een locatie-, gebieds- en objectgerichte manier in samenhang beschikbaar is. Om dat te bereiken wil de gemeente een passende ICT-oplossing

ISO 27001

ISO 27002 HTTPS en HSTS TLS

STARTTLS & DANE

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC

Digitoegankelijk PDF

Geo- standaarden

 op de goede weg: middenm oot (38%)
  met de volgende hoofdbestanddelen:      
  1 Software voor het visualiseren en analyseren      
  van (GIS) data en (GIS) informatie      
  2 Software voor het maken en beheren van      
  mapservices      
  3 Software voor het maken, beheren en      
  ontsluiten van webbased kaartviewers voor de      
  interne organisatie      
  4 Software voor het maken, beheren en      
  ontsluiten van webbased kaartviewers buiten de      
  organisatie      
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  
Gemeente Lelystad

Gemeente Lelystad kent een behoefte in connectiviteitsdiensten, hieronder verstaat de gemeente Lelystad internettoegang met AntiDDOS en Point-to-Point verbindingen. De gemeente Lelystad maakt gebruik van een

glasvezelnetwerk wat eigendom is van Eurofiber

ISO 27001

ISO 27002

IPv4 en IPv6 RPKI

STIX & TAXII

WPA2 Enterprise

 op de goede weg: nog een heel eind te gaan (33%)
  Nederland voor de huidige        
  connectiviteitsdiensten. De opdracht bestaat uit        
  het aanbieden van de dienstverlening op het        
  gebied van connectiviteitsdiensten over het        
  bestaande glasvezelnetwerk van Eurofiber        
  Nederland.        
GGD Hollands GGD HN is het bezit van Microsoft 365 E5-licenties ISO 27001 IPv4 en IPv6 op de (27%)
Noorden en heeft daarom de complete Microsoft 365 ISO 27002 DNSSEC goede  
  Defender-suite kunnen inzetten. Alle hierin PDF HTTPS en HSTS weg: nog  
  bewaakte Microsoft cloud data worden verder in   TLS een heel  
  een eigen Microsoft Sentinel-omgeving   SPF eind te  
  opgenomen voor verdere analyse. Omdat het   DKIM gaan  
  resultaat van de verzamelde gegevens inzicht   DMARC    
  dient te geven in potentiële IT- incidenten en -   STARTTLS &    
  onder voorwaarden- signalering dient af te   DANE    
  geven welke gebruikt kan worden om snel en        
  adequaat te kunnen reageren op systeem- en        
  beveiligingsincidenten, dient er een MDR/SOC        
  ingericht te worden.        
Gemeente Etten-Leur Met deze aanbesteding beoogt opdrachtgever

ISO 27001

ISO 27002

Digitoegankelijk IPv4 en IPv6

DNSSEC HTTPS en HSTS TLS

SPF DKIM DMARC

STARTTLS & DANE

PDF SAML ECLI BWB

 op de goede weg: nog een heel eind te gaan (27%)
  een leverancier te contracteren voor de levering,  
  implementatie en beheer van een platform voor  
  interne beheersing van de bedrijfsvoering op  
  verschillende thema’s zoals Privacy,  
  Informatiebeveiliging en Financiële  
  Rechtmatigheid volgens het SaaS-principe met  
  bijbehorende dienstverlening.  
Waterschap Drents Overijsselse Delta Het Waterschap heeft behoefte aan een onderhoudsbeheersysteem waarmee het mogelijk is om de uit te voeren maaiwerkzaamheden te plannen, uit te zetten naar het veld, te registreren in het veld, de voortgang te monitoren en over de uitgevoerde

ISO 27001

ISO 27002 HTTPS en HSTS TLS

IPv4 & IPv6 DNSSEC SPF

DKIM DMARC STARTTLS & DANE SAML

Digitoegankelijk NLGOV/Oauth REST-API

OpenAPI PDF

 op de goede weg: nog een heel eind te gaan (25%)
  werkzaamheden te rapporteren en kengetallen      
  te verzamelen. In de toekomst volgt naar      
  verwachting een uitbreiding van het systeem met      
  de ondersteuning van het boombeheer,      
  waterkeringenbeheer en      
  baggerwerkzaamheden. Dit dient in de toekomst      
  ook door het systeem ondersteund te kunnen      
  worden.      
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  
Gemeente Veenendaal De opdracht Beheerdiensten I&A is verdeeld in de volgende 6 percelen: functioneel applicatiebeheer Key2Datadistributie, functioneel en technisch applicatiebeheer OpenTunnel, functioneel en technisch applicatiebeheer SmartAIM, technisch applicatiebeheer overige applicaties en databasebeheer, systeembeheer en netwerkbeheer.

ISO 27001

ISO 27002

HTTPS en HSTS TLS

SPF DKIM DMARC

STARTTLS & DANE DNSSEC

IPv4 en IPv6 PDF

 op de goede weg: nog een heel eind te gaan (18%)
RID De Liemers Het door opdrachtgever beheerde applicatielandschap bevat verschillende kernapplicaties die gebruik maken van de  

ISO 27001

ISO 27002 PDF

 slecht (n.v.t.)
  gemoderniseerde Oracle infrastructuur en        
  databases. Deze applicaties ondersteunen de        
  gemeenten en SLD bij het verlenen van diensten        
  aan burger en bedrijven. De applicaties die        
  gebruik maken van de Oracle infrastructuur zijn        
  bedrijf kritisch waardoor de beschikbaarheid        
  24x7x365 geborgd moet worden. Opdrachtgever        
  heeft onvoldoende capaciteit en kennis        
  beschikbaar waardoor besloten is het beheer en        
  onderhoud van de Oracle databases en        
  infrastructuur uit te besteden.        
Gemeente Den Haag

De scope van de opdracht is als volgt:

• het leveren van Snelheidsinformatie displays (SID’s), inclusief energievoorziening middels zonnepanelen;

• installatie en configuratie van SID’s;

• het vanuit een centrale locatie faciliteren van uitleesmogelijkheden voor de opgeslagen snelheidsgegevens in de SID’s;

• het (naar behoefte) verplaatsen van SID’s. De gemiddelde tijd van een SID op een locatie bedraagt naar verwachting 4 tot 8 weken;

• beheer en onderhoud van het geleverde;

• het ter beschikking stellen van rapportagesoftware.

  

HTTPS & HSTS TLS

IPv4 & IPv6 DNSSEC PDF

ODF

 slecht (De aanbestedende partij heeft een kanttekening bij dit oordeel geplaatst. Zie paragraaf 3.5.2.) (n.v.t.)
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  
BAR organisatie

De levering van ANPR camerasystemen voor twee verkeersknooppunten IJsselmondse Knoop en Kilweg. Daarmee samenhangend:

1. het verzorgen van onderhoud op de volledige installatie gedurende de contractduur;

2. het realiseren van de installatie, ingebruikname en configuratie van de camerasystemen;

3. het verzorgen van aansluiting van de systemen op netstroom;

4. het verzorgen van aansluiting van de systemen op een centraal koppelpunt van waaruit een verbinding kan worden gelegd naar Sensingnet (het netwerk van de Nationale Politie);

5. het leveren en installeren van camerasoftware om een datastroom te genereren richting het politienetwerk;

6. het verzorgen en ter beschikking stellen van handleidingen, projectie- en revisietekeningen (as-built);

7. het verzorgen van de benodigde vergunningen.

  

ISO 27001

ISO 27002 HTTPS en HSTS TLS

IPv4 en IPv6

 slecht (n.v.t.)
Gemeente Teylingen De opdracht bestaat uit het leveren,

ISO 27001

ISO 27002 HTTPS & HSTS TLS

IPv4 & IPv6 DNSSEC

Digitoegankelijk

 slecht (n.v.t.)
  implementeren en onderhouden van een sociale    
  kaart en omvat:    
  • Opleveren sociale kaart in huisstijl van de    
  gemeente(en) door de inschrijver.    
  • Opleveren landelijke en regionale content die    
  reeds bij de inschrijver bekend is en    
  relevant is voor de gemeente(n).    
  • Inlezen lokaal verzamelde content.    
  • Initieel wordt gestart met een basisvariant op    
  basis van 2 pijlers van Positieve    
  Gezondheid.    
  • Verzorgen van en ondersteunen bij de    
  doorontwikkeling naar een volledig gevulde    
  sociale kaart op basis van de 6 pijlers van    
  Positieve Gezondheid. De roadmap voor    
  deze doorontwikkeling wordt door de gemeente    
  afgestemd met de inschrijver.    
  • Functioneel beheer uitgevoerd door inschrijver.    
aanbesteder onderwerp van aanbesteding relevante standaarden: gevraagd relevante standaarden: NIET gevraagd oordeel  
Gemeente Amsterdam, afd. ICT

Via de PC-regeling wordt aan lagere- en

middelbare school jongeren uit minima gezinnen

  

ISO 27001

ISO 27002 HTTPS & HSTS TLS

IPv4 en IPv6 DNSSEC

SPF DKIM DMARC

STARTTLS & DANE

PDF

Digitoegankelijk NLCIUS

 slecht (n.v.t.)
  een laptop of tablet in eigendom gegeven. De    
  opdracht betreft een levering met aanvullende    
  diensten. Opdrachtgever binnen de Gemeente is    
  de Directie Inkomen, Armoedebestrijding. De    
  Amsterdamse agenda voor armoede en    
  schulden 2019-2022 heeft zes pijlers: 1. Perspectief    
  op een betere toekomst;2. Kansen voor kinderen    
  en jongeren;3. Preventie van armoede en    
  schulden;4. Amsterdam vrij van problematische    
  schulden;5. Meedoen zonder belemmeringen;6.    
  Financiële ruimte door inkomensondersteuning.    

Bijlage 3. Gesprekken met aanbestedende diensten

Eind 2023 zijn zes gesprekken gevoerd met aanbestedende partijen waarvan in de Monitor 2023 een aanbesteding beoordeeld is. De respondenten zijn werkzaam voor respectievelijk een ministerie, een drietal ZBO’s, een gemeente en een samenwerkingsverband van gemeenten.

De gesprekken zijn gevoerd op basis van enkele thema’s en vragen, met de kanttekening dat niet alle thema’s voor elke respondent even relevant zijn. In het navolgende komen de reacties op deze thema’s aan bod. Elke bullit bij een thema staat voor de reactie van één van de respondenten. Daar waar in de tekst gesproken wordt over ‘ik’ of ‘we’, dan handelt dat over de dagelijkse praktijk van de betreffende respondent.

Eerder hebben we ons gebogen over het fenomeen van de raamovereenkomst, met daarbij als vraag: hebben we, redenerend vanuit het monitor-belang, wel voldoende zicht op wat daar gebeurt met betrekking tot de toepassing van open standaarden. Iets soortgelijks doet zich voor of kan zich voordoen als een aanbestedende dienst gebruik maakt van de diensten van een broker. Mogelijke vragen: wanneer is inzet van een broker aan de orde (criteria)?; heeft men er al ervaring mee?; hoe is het opdrachtgeverschap ingericht?; is er enige aandacht voor het gebruik van open standaarden bij de uitvoerende organisatie, of verdwijnt de aandacht daarvoor helemaal uit beeld.

  1. Er wordt zo nu en dan wel gebruik gemaakt van de route van de broker, maar deze brokers (ook de software-brokers) worden alleen gebruikt in een administratieve rol (denk aan bundelen van facturatie). Het opdrachtgeverschap, daarbij inbegrepen de aandacht voor open standaarden, houdt men heel bewust in eigen De openbare aanbesteding doet men zelf; van 1-op-1 gunning of van een mini-competitie is geen sprake. Het beeld dat de aandacht voor open standaarden bij een broker-route uit beeld raakt is bij de eigen organisatie niet aan de orde. Denkbeeldig is dit echter zeker niet; R. ziet een en ander in het werkveld wel degelijk gebeuren.
  2. De broker-route wordt ingezet om een tussenpersoon aan ons te binden die het onderhandelen en contracteren overneemt. De markt waar het om gaat heeft meerdere leveranciers / meerdere produkten op het gebied van trainingen en opleidingen. Wij als eindgebruiker worden geacht daarin geen specifieke voorkeuren te hebben, maar de markt zijn werk te laten doen. De gedachte achter het inzetten van een broker is dus tweeledig: ontzorgen en borgen van marktwerking. Aan de beoogde eindprodukten (opleidingen e.d.) zit geen voor open standaarden bedoelde IT- component, wel aan het te gebruiken portaal. De eigen organisatie geeft zelf het p.v.e. mee, daarbij inbegrepen de aandacht voor open standaarden. R. snapt de angst voor op de achtergrond raken van de aandacht voor open standaarden bij een broker-route, dat zou eigenlijk niet mogen voorkomen. De parallel met het fenomeen raamovereenkomsten ligt voor de hand.
  3. heeft geen inhoudelijke motivering om al dan niet te kiezen voor de broker-route (in dit geval gaat het om standaard-software). In dit geval valt deze keuze simpelweg binnen de afgesloten raamovereenkomst en dat maakt dat er geen bewegingsruimte is voor eigen afwegingen. De organisatie heeft het zo ingericht dat de aanbesteding vervolgens buiten tenderned om plaatsvindt in de vorm van een mini-competitie.
  • De organisatie blijft wel de penvoerder van de aanbesteding en houdt dus de ook de regie in eigen hand. In het standaard p.v.e.-template staat ook een passage (in algemene termen) die verwijst naar het toepassen van open standaarden. In geval van afwijking daarvan wordt gevraagd om een motivering, tevens bestaat de mogelijkheid om contact op te nemen met het CIO-office.
  1. Wij nemen deel aan rijks-raamcontracten, hebben daar als deelnemer verder weinig invloed op en zijn daar ook aan gebonden. Als er sprake is van een aanbesteding met een broker-route, dan zijn er uitvraag-formats ter beschikking (voor de broker richting onderaannemer) waarin ook het item ‘open standaarden’ wordt meegenomen. Alle deelnemers onder een dergelijk raamcontract zijn eraan gehouden die formats ook te gebruiken. Wij doen dat, of iedereen dat doet is een vraag. En of er in de praktijk ook echt aan wordt voldaan wordt niet / nauwelijks getoetst. “Zo kregen wij van de broker een inschrijving van een onderaannemer terug waarbij die onderaannemer aangaf niet aan de voorwaarden te voldoen. De broker legde dat vervolgens even makkelijk weer bij ons terug, in plaats van zelf in de slag te gaan met de onderaannemer.”
  • is geen fan van brokers. “Daar gebeurt niet veel meer dan ‘dozen schuiven’, de toegevoegde waarde van een broker is zeer beperkt.” Verder, meer algemeen ten aanzien van de route met inzet van een broker: je moet oppassen dat je als Rijk de verantwoordelijkheid om de markt op een goede manier te benaderen niet verlegt naar de broker. Als een aanbestedende partij vooral ontzorgd wil worden en verder ook niet omkijkt naar hoe een broker aanbesteed, dan is het risico groot dat aandacht voor open standaarden meer en meer uit beeld raakt. Zelf houdt men de penvoering strak in eigen hand.
  1. De gemeente heeft een software-makelaar als broker aan zich gebonden, maar die wordt alleen gebruikt voor ‘recht-toe-recht-aan’ aanbestedingen naar standaard- software waar het er alleen om gaat een zo gunstig mogelijke prijs te bedingen. Wanneer de aanbesteding langs deze route boven een bepaald bedrag uitkomt, levert de gemeente zowel de functionele uitvraag als de bijpassende criteria waaraan moet worden voldaan (daaronder kunnen ook open standaarden vallen) aan bij de In die gevallen houdt men deels de regie in eigen hand. Als ook kwaliteitsaspecten een belangrijke rol spelen bij het doen van een aanbesteding, dan houdt men die aanbesteding helemaal in eigen hand en is de broker-route niet aan de orde.

  2. Geen enkele ervaring 

    Duiding:

    • Men heeft ervaring met het gebruik van de ‘broker-route’.
    • Er zijn veel paralellen met het eerder onderzochte fenomeen van de
    • Respondent-organisaties houden de penvoering / de regie in de regel in eigen hand (in plaats van alles volledig bij de broker neer te leggen). Daarbij inbegrepen de aandacht voor open standaarden, maar wel in algemene termen.
    • Aandacht voor open standaarden zal zeker verslappen als de aanbestedende partij met inzet van een broker vooral ontzorgd wil Van een broker mag je op dat punt niet veel verwachten.

De casus van de nichemarkt. Dit gaat over het onderdeel ‘leg uit’. Een citaat van een aanbestedende partij uit de laatste ronde beoordeelde aanbestedingen: “We gaan het met het toepassen van open standaarden niet moeilijker maken dan het al is door in de uitvraag om open standaarden te vragen, want het is al lastig genoeg om een leverancier te vinden in deze nichemarkt. Vragen we wel, dan prijzen we ons uit de markt en hebben we geen zicht meer op realisering van het gewenste product / de dienst.” Is dit een legitieme leg-uit? Aspecten die aan ‘onze kant’ spelen:

  • een verwijzing naar marktomstandigheden is binnen de kaders van de beoordeling van de aanbesteding niet te toetsen;
  • als je hieraan toegeeft, werkt dat niet mee aan het realiseren van een doorbraak bij leveranciers;
  • er zijn toch ook alternatieven in de uitvraag, zoals iets als een wens inbrengen in plaats van een eis?
  • als we hieraan toegeven wordt dit een soort van vrijbrief om van alle ‘open-standaarden- gezeur’ af te zijn.
  •  
    1. Bij deze casus-beschrijving (R. heeft een dergelijke casus nooit bij de hand gehad maar wel iets soortgelijks. Toen was de boodschap: “openbaar aanbesteden heeft geen zin want voor wat wij vragen is maar 1 oplossing voorhanden”.) zou de wedervraag van R. zijn: “Kan je dat hard maken, bijvoorbeeld op basis van de uitkomst van een marktconsultatie?”. Dat zou helpen de claim van een niche-markt waarbij open-standaarden uitvragen leidt tot geen bieding te toetsen op waarheidsgehalte. Het is de vraag of dat een uitvoerbare taak is binnen de kaders van een monitor-onderzoek. Te makkelijk toegeven aan een dergelijke claim pakt verkeerd uit: de effecten zoals beschrijven bij de 2e en 4e bullit van de vraagstelling worden door onderschreven. Van de mogelijke uitweg om in plaats van eisen te stellen wensen te formuleren verwacht R. weinig. “Dat gaat niet de oplossing zijn. Wat je aan standaarden vraagt, zit wel of niet in wat de leverancier te bieden heeft, dat gaan ze echt niet voor jou aanpassen. En wat schiet je ermee op als eenvoudigweg niet aan de wensen wordt voldaan, dan sta je alsnog met lege handen. Met iets in de vorm van een eis neer te leggen sta je sterker.”
  • Tot slot twee kanttekeningen bij het Ten eerste: er zullen ook (meer dan) voldoende niche-markten zijn waar open standaarden prima zijn doorgevoerd dus waar deze kwestie helemaal niet speelt. En ten tweede: Ook al is een dergelijke claim veel te makkelijk geponeerd, een beetje herkent R. het wel: “onze ervaring is dat de markt selectiever is met inschrijven”.
  1. Elke aanbesteding wordt -aan de voorkant- vooraf gegaan door een marktverkenning. Stel dat sprake zou zijn van een niche-markt (dit komt zelden voor), dan komt het aspect van het toepassen van open standaarden expliciet aan bod in de vraagstelling van de marktverkenning (en ook alleen dan: in geval van een niche-markt). De vraag valt in dat geval in drie delen uiteen: voldoe je aan open standaarden / waarom niet / in de toekomst mogelijk wel? Daarbij maken we dan een keuze: wie komt er (op dit punt) het dichtst bij in de buurt? Je moet je wel realiseren dat je leveranciers niet zal kunnen dwingen: wat er niet is, zal je niet kunnen afdwingen.
  2. Zonder wettelijke verankering van de verplichting tot toepassing van de open standaarden van de ‘pas toe of leg uit’ lijst is het lastig om een goed onderbouwd tegengeluid te bieden tegen dit soort R. herkent overigens wel het ongemak dat rond deze kwestie leeft aan de kant van de ICTU-onderzoekers en BFS.
  • Terzijde: een marktconsultatie (dit zou duidelijkheid kunnen bieden of inderdaad sprake is van een nichemarkt) wordt bij deze organisatie niet standaard ingezet.
  1. Als er daadwerkelijk sprake is van een nichemarkt, in de zin van 1 mogelijke aanbieder, dan kan ik het me wel voorstellen dat de aanbestedende partij ervoor kiest geen open standaarden te vragen om zo nog enige kans op succes te behouden. Als je op die manier bent overgeleverd aan die ene partij, dan bepaalt dat ook meteen de machtsverhouding op de markt; de leverancier zal niet snel in beweging komen. Een marktconsultatie zou kunnen helpen (wordt ook steeds meer ingezet), met als mogelijke follow-up dat als blijkt dat er inderdaad maar 1 mogelijke oplossing is voor wat je beoogt, dat je dan als aanbesteder nog eens nadenkt over alternatieven voor het beoogde product (als er redenen zijn om niet met die ene aanbieder in zee te gaan).
  2. Soms ben je als aanbesteder redelijk afhankelijk van één leverancier, maar ook dan is het nog een beetje te kort door de bocht om met een beroep op een nichemarkt het uitvragen van open standaarden maar te Wij zullen in zo’n geval snel overgaan tot een marktconsultatie. Bij ons is het uitgangspunt dat we toch wel graag meerdere aanbiedingen hebben waaruit we kunnen kiezen. De marktconsultatie kan daarbij helpen om wat breder in te zetten dan alleen op de markt met die ene aanbieder. Tegelijkertijd moet je ervoor waken dat je de uitvraag netjes optuigt, maar dan vooral voor de buhne; dan houd je jezelf (en mogelijk anderen) ook voor de gek.
  3. Het verhaal van de niche-markt is herkenbaar. De markt-macht ligt meer en meer bij de leverancier, zoveel keuze heb je vaak niet (meer) als aanbestedende partij. Aanbestedende partijen zijn overigens mede debet aan die marktontwikkeling. Dat is jammer want we willen graag dat er sprake is van mededinging en dat we kunnen kiezen. Om onze keuze-mogelijkheid zo groot mogelijk te maken, doen we bij 9 van de 10 aanbestedingen een marktverkenning(Niet te verwarren met een marktconsultatie. Een consultatie is een formele procedure die bijvoorbeeld via Tenderned verloopt. “”Een verkenning is meer low-profile, daarbij nodigen we marktpartijen uit op de koffie om de wensen en mogelijkheden te bespreken.”). onderkent ook de problematiek zoals die in de vraagstelling wordt geschetst als partijen een beroep gaan doen op het feit van een niche-markt.

Duiding:

  • Op zich wel herkenning in het verhaal van de niche-markt maar er moet niet te makkelijk worden mee-bewogen met een claim van een nichemarkt. Argumenten: zoveel zijn er niet, er zijn ook nichemarkten waar open standaarden goed zijn ingevoerd en een leverancier zal zijn aanbod toch niet gaan aanpassen op door jou als aanbestedende diensten gevraagde open standaarden.
  • Een marktconsultatie voorafgaand aan een aanbesteding kan een goed inzicht bieden in wat wel en niet mogelijk is en wat eventueel alternatieven zijn voor het beoogde produkt. Men wil uiteindelijk wel graag wat te kiezen hebben.
  • De marktverhoudingen zijn bepaald niet zo dat je richting leverancier zaken kan

Al meer dan 10 jaar monitoren we het gebruik van open standaarden bij aanbestedingen. Dit alles tegen de achtergrond van het vigerende beleid. Uit de cijfers blijkt dat het maar niet wil lukken om een doorbraak bij het uitvraag-percentage te forceren. We mogen al blij zijn als de helft van de standaarden die relevant worden geacht wordt uitgevraagd.

  • Hoe komt dat / waar ligt dat aan / wat is een reële ambitie?
  • Oordelen we te streng (t.a.v. uitvraag: zie casus RIVM)?
  • Daar worstelen we zelf ook mee, waar precies te gaan zitten op de schaal van;
    • heel specifiek 1 open standaard bevragen
    • verwijzen naar toepassen open-standaarden-beleid (of verwijzen naar ptolu-lijst)
  •  
    1. Hierop heeft R. weinig zicht, vanuit zijn functie richt hij zich vooral op het inkoop-proces. Het is goed om te realiseren dat een aanbesteding altijd wordt ingezet vanuit een achterliggende functionele behoefte. Tegen die achtergrond is aandacht voor open standaarden niet meer dan een van de non-functional Anders gesteld: dat heeft zeker niet de hoogste prioriteit. In de praktijk betekent dat ook dat er nogal eens druk wordt uitgeoefend op de mensen die dat (aandacht voor in dit geval open standaarden) moeten bewaken, om daar wat meer soepelheid in te betrachten.
    2. Een belangrijke reden achter het blijven hangen op 50% uitvraag is (nog steeds): onvoldoende bekendheid met het Forum Standaardisatie en het De inhoudelijke kennis moet overigens niet zozeer van de inkoopadviseur komen maar vanuit de IT-hoek met het technische p.v.e. “De ICT-er van dienst is uiteindelijk vrij bepalend voor de te behalen uitvraag-score (sterk persoonsafhankelijk derhalve).”
  • De strengheid waarmee het uitvragen door ICTU wordt beoordeeld kan soms wel discutabel zjin; wanneer is iets specifiek genoeg? Vragen naar de BIO is blijkbaar wel voldoende, maar dat geldt voor een verwijzing naar andere overkoepelende begrippen soms niet. Wat is het leidende criterium hierbij? Dit neemt niet weg dat R. op de schaal van ‘specifiek op standaard-niveau uitvragen’ tot ‘verwijzen naar algemene kaders’ meer neigt naar het eerste. Dat geeft meteen ook aan (en daarmee: houvast) dat de betreffende IT-er er goed over heeft nagedacht. Als je het grondig en goed wil doen, hoort elke afzonderlijke standaarden in het p.v.e. benoemd te worden. Dat heeft de voorkeur boven ‘schieten met hagel’.
  1. Twee factoren zijn bepalend voor het achterblijven van een hoger uitvraag-percentage: deels ligt het aan een stukje onbekendheid, deels speelt mee dat toepassen van open standaarden niet wettelijk verplicht is (uitzondering daargelaten. Als er geen konsekwenties zitten aan het niet toepassen, komt dat niet ten goede aan de prioriteit die eraan wordt gegeven. Als je bij een uitvraag zou volstaan met alleen een verwijzing naar algemene kaders (of nog algemener gesteld : “u bent als leverancier zelf verantwoordelijk voor het toepassen van open standaarden”), dan biedt dat wel erg weinig houvast om e.e.a. in het vervolgstadium na de gunning te managen en te monitoren. Je mag toch hopen dat een leverancier in zo’n geval gaat doorvragen. Contractueel bezien kan het dan misschien wel op orde zijn, maar op technische inhoud niet echt (inzoomend op het belang van het toepassen van de standaarden). Overall bezien heeft het derhalve de voorkeur om meer gericht en specifiek uit te vragen.
  2. Algemeen beeld: vanuit inkoop moet je sturen op het uitvragen van relevante standaarden. Veel inkopers hebben alleen (te) weinig kennis van open standaarden en leunen op dat punt op de architect. Daar leeft nog wel eens de houding om het op het punt van extra randvoorwaarden (daaronder: open standaarden) zo makkelijk mogelijk te maken (“het zal wel …..”). Dat kan er in de praktijk toe leiden dat de ptolu-verplichting wordt doorgegeven aan de inschrijvende partij, en daarop wordt van de kant van de aanbieder vervolgens niet meer gestuurd.
  • Specifiek de eigen organisatie. We onderschrijven het belang van open standaarden en hechten dan ook aan een goede uitvraag-score, liefst 100%. De manier waarop wordt beoordeeld, is soms alleen niet helder. Zo is -als voorbeeld- niet helder waarom een verwijzing naar de NORA niet wordt gehonoreerd, en waarom verwijzing naar de BIO (bij wijze van voorbeeld) wel voldoende is. Daarbij: verwijzen naar de NORA heeft een duidelijk voordeel boven de door ICTU gevraagde verwijzing naar die ene specifieke open standaard; in de NORA wordt namelijk om de meest actuele formats en Streng zijn in het beoordelen draagt ook bij aan een lagere over-all uitvraag-score.
  1. Hierop heef R. onvoldoende zicht. Eerder genoemde punten (ontbrekende kennis van en onbekendheid met het fenomeen open standaarden èn de mogelijkheid van een te strenge beoordeling) worden wel herkend.
  2. Onbekendheid speelt hierbij een belangrijke rol. “Voordat ik dit jaar met een aanbesteding betrokken ben geraakt bij de monitor en het beoordelen van aanbestedingen op het gebruik van open standaarden , had ik er nog nooit van gehoord”. Hoe en waar je wat kan doen aan het verhelpen van die onbekendheid is een lastige Voor inkopers is Pianoo een logische vindplaats en dat helpt in elk geval de awareness bij hen te bevorderen. R. weet niet hoe IT-specialisten en architecten het best te bereiken.
  • Bij het beter bekend maken zou het helpen als je met de ter beschikking gestelde informatie zicht krijgt op wat het toepassen van die standaarden oplevert of als extra’s zou hebben kunnen opleveren: het ‘What’s in for me’ gevoel valt niet te onderschatten.

Duiding:

  • Een verklaring voor een lage uitvraag-score ligt deels bij de aanbestedende partij:
    • (nog steeds) onvoldoende kennis van en bekendheid met de verplichte open standaarden
    • toepassing daarvan heeft zeker geen hoge prioriteit
  • anderzijds met betrekking tot het beoordelen van de uitvraag:
    • strenge beoordeling leidt tot een lagere uitvraag-score
    • welke criteria of overwegingen worden gehanteerd om een verwijzing naar een algemeen kader niet te honoreren als voldoende uitgevraagd?
  • Bovenstaande neemt niet weg dat er een voorkeur bestaat om toch specifiek te moeten uitvragen. Dat verplicht jou als organisatie om van tevoren goed na te denken en biedt naderhand houvast bij het managen en monitoren van het vervolg.

Er zou sprake zijn van veel / teveel (beleids)kaders waaraan een aanbestedende partij moet voldoen bij een aanbesteding, zonder dat die kaders voldoende op elkaar zijn afgestemd en tot 1 werkbaar geheel zijn gesmeed (“nu van alles op een grote hoop”?).

  • Wordt dit beeld herkend?
  • Worden er nu niet van verschillende kanten / invalshoeken vragen over de schutting gegooid richting aanbesteders?
  • Wiens verantwoordelijkheid is dat? / Waar hoort regie te liggen?
  1. Het beeld wordt zeker gedeeld, met voorbeelden als open standaarden, m.v.o., social return on investment of digitoegankelijkheid. De partijen die daarachter schuil gaan redeneren vooral vanuit hun eigen een-dimensionale visie. Om dit alles werkbaar te maken heeft men intern inmiddels een redelijk goed lopend proces ingericht, maar dat heeft wel wat voeten in de aarde “Ik kan me zo voorstellen dat dit voor kleinere organisaties een flinke worsteling is”.
  • Met betrekking tot de regierol: misschien iets voor Pianoo, maar dat heeft ook zijn beperking: daar zitten vooral inkopers op die op de proceskant zitten. De architect die zich druk moet maken over de inhoudelijke kant ga je daar niet vinden (die zitten vooral bij gartner). Blijft overigens de vraag waartoe een goede regie zou kunnen leiden; is er iets als ‘one size fitts all ’ te vinden?
  1. Het is mijn werk als inkoopadviseur om hier intern de rol van regisseur te Het is wel veel en daarmee een puzzel, maar ik breng het samen in het bestek. Daarbij is het inherent aan het werk dat het vrijwel altijd leidt tot onderlinge discussies maar we komen er altijd wel uit. Mitigeren en het sluiten van compromissen is daarbij soms nodig. R. ziet geen rol voor een externe, mogelijke zelfs landelijk opererende regisseur. Daarvoor blijft het allemaal teveel maatwerk. Laat dat vooral bij de organisaties liggen, die weten wel tot een werkbare oplossing te komen.
  2. Binnen de organisatie is dit goed geborgd tot een werkbaar geheel, met (bijvoorbeeld) bouwblokken die je kan toepassen bij e verschillende items die hier spelen (naast open standaarden ook v.o., retun on investment e.d.). Men ervaart hiermee geen probleem. Aan overkoepelende regie hierop van buiten de organisatie is geen behoefte.
  3. Best lastig om dat als geheel goed werkbaar te maken en te houden. Er wordt op de verschillende onderdelen zoveel mogelijk gebruik gemaakt van eerder (intern) gemaakte standaard-teksten. Inkopers maken op deze punten ook steeds meer gebruik van gerichte ingehuurde deskundigheid. Alles bij elkaar genomen werkt dit goed. Nadeel van het gebruik van standaardteksten is (in algemene zin gesproken) dat de lat daarin niet hoog wordt gelegd. Je zou moeten stimuleren dat de inkopers met even een stapje verder zetten dan te kiezen voor het minimale uit de standaard-teksten.
  • Terzijde: voor wat betreft de uitvraag in geval van software is het ‘extra’ vragen waar je mee te dealen hebt relatief beperkt.
  1. Het beeld wordt herkend maar alles bij elkaar genomen is het wel werkbaar voor de organisatie. We gaan daarbij redelijk pragmatisch te werk en selecteren daarbij wat we wel en niet meenemen in de uitvraag. Voorbeelden van zaken waar we in de praktijk tegenaan lopen: een marktpartij die bezwaar maakt, hoe een en ander goed te beoordelen (voorbeeld: een reactie van een leverancier op het aspect ‘duurzaamheid’) en soms te hoge verwachtingen vanuit onze eigen organisatie. Als er een partij zou zijn die landelijk een soort van integrerende regie voert op al die verschillende aspecten die we op ons bordje krijgen, zou dat wel toegevoegde waarde hebben. is niet bang dat dat te knellend wordt terwijl elke aanbesteding om maatwerk vraagt. “Ik zie het als niet meer dan een hulpmiddel waar we al naar gelang onze behoefte gebruik van kunnen maken”.
  2. De eigen ambitie van de organisatie (functioneel: het product of de dienst die men op het oog heeft) is eigenlijk altijd leidend. Het is daarbij mijn rol als inkoper om het team verder te laten kijken, naar de aspecten zoals hier met de vraagstelling bedoeld. De interne stakeholders (inclusief de eindgebruikers) waarmee ik te maken heb zitten daar onderling vaak verschillend in. En het draagvlak voor de verschillende aanvullende vragen bij een aanbesteding varieert ook in de tijd. Zo is het aspect ‘duurzaamheid’ in de huidige tijdgeest bovenliggend; daar hecht men veel waarde aan. Uiteindelijk komen we er intern er altijd wel uit.

Duiding:

  • Het beeld wordt wel herkend dat er vanuit allerlei verschillende invalshoeken (soms botsende of knellende) voorwaarden ten aanzien van het doen van een aanbesteding worden opgelegd.
  • Intern heeft men er na het nodige puzzelwerk een werkbare modus voor gevonden om er met elkaar uit te komen.
  • Men houdt graag zelf de regie op dit proces; er is bij de meesten geen behoefte aan een overkoepelende partij die hierop regie pakt; “het blijft maatwerk”. Kanttekening (vanuit een grote organisatie): mogelijk zijn kleinere organisaties minder goed in staat om een goed werkend proces hierop in te richten.
  • Vanuit een kleinere organisatie is er wel behoefte aan landelijke Met de opbrengst daarvan gaat men vervolgens pragmatisch om.

Cloud, met als mogelijke vragen:

  • Heeft men ermee te maken? Welk deel van de ICT-aanbestedingen heeft een cloud- aspect?
  • Hoe is het -heel algemeen gesteld- met het bewustzijn van de mogelijke risico’s van een cloud-oplossing?
  • Is men zich er van bewust dat vrijwel alle controle over data en de toegang daartoe wordt afgegeven aan een andere partij?
  • Is nagedacht over de gevolgen en acties die nodig zijn in een scenario waarin toegang voor langere tijd (met of zonder opzet van de leverancier) wordt ontzegd/geblokkeerd?
  • Zijn er bijvoorbeeld noodscenario's, backup plannen of andere alternatieven?
  1. Aanbestedingen met een cloud-oplossing komen steeds meer voor. Voor de eigen organisatie gaat het zeker richting de helft van de Onderdeel van een aanbesteding is een (intern) cloud-advies. Dat kan er (nog steeds) toe leiden dat wordt gekozen voor een on premise oplossing als de risico-analyse van dat advies uitwijst dat een cloud-oplossing te risicovol is. Dit speelt met name bij cruciale bedrijfsprocessen. Risico’s die worden onderkend zijn o.a. ransomeware-aanvallen, faillissementen en exit- strategieën die worden gevolgd. Daarop heeft de organisatie deels mitigerende maatregelen getroffen maar daarmee dek je de risico’s maar gedeeltelijk af. Voor het overige zal je moeten accepteren dat dit een onderdeel is van de nieuwe werkelijkheid.
  • Het wordt in de aanbestedingspraktijk als nadeel ervaren dat je weinig te zeggen hebt over de voorwaarden; de marktmacht van de partijen die cloud-oplossingen aanbieden wordt steeds groter.
  1. Inmiddels gaat 2/3 van wat er aan aanbestedingen passeert de cloud in. Daaronder ligt een intern cloudbeleid. De rode draad daarbij is inmiddels: alles wat niet tot onze kerntaak behoort, gaat de cloud in. Wat gaat er dan niet de cloud in: als vertrouwelijkheid van de gegevens een groot issue is en als het om iets gaat dat rechtstreeks de burger raakt. Overigens begint dat laatste ook al te schuiven; het is een continue proces van meer en meer cloud-oplossingen: we versaasen zoveel mogelijk. On premise -als alternatief- kan nog steeds, maar is duur, weinig flexibel en we zullen als organisatie ook wendbaar moeten zijn als er nieuwe wetgeving op ons af komt.
  • Voor wat betreft de marktsituatie: we lopen steeds vaker aan tegen ‘harde’ gebruikers- voorwaarden van de leverancier (vooral marktleiders uit de VS) waarbij de boodschap is: take it or leave it. Onze eigen inkoopvoorwaarden zijn al lang niet meer bepalend. In de praktijk betekent dat ook vaak op voorhand al: minder inschrijvers, omdat leveranciers onze inkoopvoorwaarden niet accepteren.
  • Het managen van het risico is integraal onderdeel van het cloudbeleid. Dat is behoorlijk op orde maar zit nog wel ruimte in om te groeien. Voorlopig denken we over voldoende uitwijkmogelijkheden te beschikken (wordt ook regelmatig getest). Hopelijk zijn de echt grote risico’s verwaarloosbaar. Andere kant van de medaille: we zullen ook moeten leren leven met wat het aanbod Dat zou in de praktijk kunnen betekenen dat we onze security eisen wat moeten verlagen.
  1. Indicatief op basis van recente aanbestedingen: 3 van de 4 aanbestedingen betreft SAAS, bij de 4e is dat nog niet heel duidelijk. Het Cloud-beleid wordt binnen de organisatie werkendeweg bijgesteld en De trend is duidelijk van voorheen alles on premise (“veilig, veilig, veilig”) naar SAAS. De markt ontwikkelt ook duidelijke die kant op, je zal als organisatie ook mee moeten met de tijd. In het cloud-beleid zit ook een stevige risico-paragraaf; die moet nog verder groeien. R. heeft verder geen zicht op de inhoud daarvan.
  2. Het merendeel van de ict-aanbestedingen (klein en groot samen) die langs komen hebben inmiddels een cloud-aspect. is niet op de hoogte van intern cloud-beleid maar gaat ervan uit dat dat goed is belegd bij de afdeling met IV in portefeuille.
  • De reden dat het merendeel van de aanbestedingen tegenwoordig cloud omvat is overigens geen gevolg van een gerichte en bewuste keuze voor cloud. Het is eerder andersom: gedurende het jaar komen er soms aanbestedingen langs waarbij men huiverig is om dat toe te vertrouwen aan de cloud (Daarbij spelen overwegingen waarbij het beoogde produkt raakt aan zaken als ‘hoge prioriteit’, ‘primair proces’ of ‘persoonsgegevens’). In dat geval wordt bewust gekozen om e.e.a. in eigen data-centre van het Rijk te implementeren. Men stelt daarbij dat het Rijk haar beveiliging beter op orde heeft dan commerciële partijen. Of dat helemaal waar is, is zeer de vraag. Het feit dat het merendeel tegenwoordig in de cloud uitkomt is niet zozeer terug te herleiden tot een bewuste keuze als wel de ontwikkelingen op de markt; wij zullen moeten meebewegen met leveranciers die alleen nog maar cloud-opties aanbieden.
  1. Bij meer dan de helft van de aanbestedingen is sprake van SaaS. Of er binnen de organisatie een uitgewerkt cloud-beleid bestaat weet R. niet. De praktijk is echter dat overal waar een SaaS-oplossing bestaat, dat daar de voorkeur dan ook naar Er is binnen de organisatie alles behalve sprake van koudwatervrees voor cloud.
  • Er blijven natuurlijk altijd aanbestedingen waar cloud niet aan de orde is (denk aan hardware-aanbestedingen). En er zijn ook zaken die de kritische processen binnen de organisatie (kunnen) “Daar besteden we vooralsnog niet uit en gaan door op de oude voet, dus zonder cloud”.
  1. Inmiddels is ongeveer 40% van onze aanbestedingen SaaS, en dat aandeel neemt alleen maar toe. R. heeft er geen zicht op welke overwegingen een rol spelen als sprake is van een bewuste keus om niet te kiezen voor SaaS. Ook weet hij niet of de eigen organisatie beschikt over cloud-beleid, net zo min als beleid (en uitvoering daarvan) dat erop is gericht om mogelijke risico’s van een cloud-oplossing te managen. “Als ik afga op de omvang van de afdeling en op de kundigheid van mijn collega’s, dan is dat beleid er vast. Maar volgens mij hebben we tot nu toe nog nooit SaaS-gerelateerde problemen gehad”.

Duiding:

  • Een intern cloud-beleid is inmiddels gangbaar binnen enkele van de organisaties waarmee is gesproken; een levend document dat nog wordt uitgebreid en aangescherpt waar nodig.
  • De helft van de respondenten weet niet of de eigen organisatie cloud-beleid
  • Het merendeel van de aanbestedingen heeft inmiddels een cloud-element. Bij aanbestedingen waar geen sprake is van cloud en waar bewust gekozen wordt voor ‘on premise’, gaat het om cruciale of anderszins gevoelige bedrijfsprocessen die men (nog) niet aan de cloud toevertrouwt.
  • Een keuze voor ‘cloud’ is niet zozeer terug te herleiden tot een bewuste inhoudelijk keus maar veeleer gebaseerd op het (moeten) meebewegen met de markt: leveranciers die alleen nog maar cloud-oplossingen aanbieden.
  • De marktmacht van de partijen die cloud-oplossingen aanbieden wordt steeds

NA de aanbesteding Op basis van de PBLQ-onderzoeksresultaten zou het met name interessant zijn om te informeren naar de uitdagingen die zij zijn tegengekomen. Worden deze herkend?

Hoe worden deze door andere partijen aangepakt? Denk aan uitdagingen als:

  • Hoe maak je de levering van open standaarden conform de gestelde eisen zo waarschijnlijk mogelijk? Hoe vraag je effectief in aanbestedingsdocumenten uit? Hoe maak je de levering waarschijnlijk zonder te rigide te worden en alle ruimte voor leveranciers weg te nemen?
  • Hoe controleer je of de eisen ook zijn geleverd? Hoe houd je daar voldoende aandacht voor ondanks dat de prioriteit elders ligt (namelijk op het werkend krijgen van de oplossing)?
  1. Voor wat betreft het selecteren van de juiste standaarden: dat ligt vooral bij de architect. Die gebruiken zeker vaste bestaande bronnen, maar heeft daarop (als inkoopadviseur) niet goed zicht.
  • Bewaking van het proces rond de (juiste) levering verloopt via het interne proces van contractmanagement, waarbij het v.e. in principe leidend is. De architect-adviseur wordt daarbij zeker geconsulteerd. De uitkomst is daarbij niet zwart-wit, in die zin dat alles 100% overeen moet komen met wat in een eerder stadium is afgesproken; de uitvoeringspraktijk blijkt soms weerbarstig. De ruimte om te ‘polderen’ tot een voor alle partijen acceptabele uitkomst, hangt sterk af van de kwestie waarover partijen het niet eens zijn. Als het gaat om security-aspecten is men in de regel vasthoudend en scherp, bij zaken als (bijvoorbeeld)

m.v.o. wordt de soep sneller niet zo heet gegeten. Kernvraag hierbij: wat is het risico?

  1. Voor wat betreft de keuze van relevante standaarden: zie eerdere opmerking over inbreng ICT-specialist (persoonsgebonden). Een stukje volwassenheid van de organisatie (lees: goed werkende interne processen) moet er verder borg voor staan dat je daar met de leverancier goed uit komt. Na de gunning komt al snel het contractmanagement in beeld. Die controleren op de naleving van de kpi’s. In de praktijk komen regelmatig knelpunten voor. Daarover wordt het gesprek gevoerd waarbij je soms ook als aanbestedende partij wat water bij de wijn moet doen. De ruimte die je daarbij hebt hangt af van de voorliggende casus. Een en ander kan leiden tot ontbinding van een contract (zeldzaam) of overgaan tot niet-verlenging in een later stadium. In 90% van de gevallen komen we er wel uit.
  2. Het aanbestedingsdossier wordt na gunning overgedragen aan de leveranciers- of contractmanager. Die heeft ook al meegedraaid in de periode van aanbesteden voor de gunning. Dat maakt dat de overdracht soepel verloopt. R. heeft als inkoper verder geen zicht op het feitelijke vervolg. Het ligt voor de hand dat i.g.v. afwijking van eerder gemaakte afspraken rond de gunning, dat de contractmanager de leverancier daarop zal aanspreken. Uiteindelijk komen ze er meestal wel uit, soms met wat water bij de Ontbinding van een eerder gemaakte afspraak is geen voor de hand liggende route. Het is goed daarbij ook te bedenken dat de aandacht voor open standaarden geen kern-functionaliteit is.
  3. De fase na de gunning is bij een inkoper meer uit het zicht. In die fase wordt door architecten / de projectmanager wel getoetst op de gevraagde open standaarden. Als er op onderdelen niet aan wordt voldaan, wordt gevraagd naar een ‘leg uit’ bij de leverancier. In latere fasen zijn geen voorbeelden bekend waarbij wordt gecheckt op het daadwerkelijk toepassen van de standaarden, laat staan dat tegen die tijd nog een ‘leg uit’ aan de orde is. Als een gunning eenmaal rond is, komt de aandacht voor open standaarden onderaan het ‘to-do-lijstje’. Dit wordt zeker niet hard gespeeld. “Als de leverancier eenmaal met een demo komt die er goed uit ziet, dan is iedereen wel om”.
  4. Binnen de organisatie is nog geen sprake van een geformaliseerde vorm van contractmanagement. Daaraan wordt nu hard gewerkt om dat in te Dat wil niet zeggen dat er in de praktijk niet gemanaged wordt in de fase na de gunning. Dat gebeurt wel degelijk maar dat maakt tot nu toe nog deel uit van de verlengde fase van voor de gunning. De inkoopadviseur is daar in de praktijk dan ook zelf vaak bij betrokken, ook als een leverancier bijvoorbeeld ter verantwoording moet worden geroepen omdat eerder gemaakte afspraken niet worden nagekomen. Binnenkort is dat verleden tijd en is contractmanagement een afzonderlijke en te onderscheiden fase na het proces van gunning.
  5. Bij de overgang van de fase van de gunning naar die van het realiseren van het beoogde product is sprake van een warme overdracht die twee kanten op werkt: de contractmanager zit er vanaf het allereerste begin bij (lid van het projectteam of agenda-lid), en de inkoopadviseur blijft ook na de gunning verbonden met het
  • We onderscheiden in de praktijk het moment van de voorlopige gunning en de definitieve gunning. In de tussenliggende periode vragen we allerlei documenten op bij de geselecteerde leverancier. In het vervolg, na de gunning, zijn we scherp op wezenlijke wijzigingen ten opzichte van wat eerder onderling is afgesproken en vastgelegd. Als die afwijkingen zich manifesteren op een belangrijk aspect waarop de beslissing is genomen om leverancier X te kiezen en Y te laten afvallen en X blijkt dat niet waar te maken, dan ontstaat een ongemakkelijke verhouding. In het uiterste geval gaan we dan over tot een in-gebreke- stelling.

Duiding:

  • Na gunning wordt het traject overgedragen naar de projectmanager / contractmanager. De respondenten (inkoopadviseurs) zijn daar (meestal) niet langer bij betrokken of slechts op afstand. Daarmee is er minder goed zicht op het vervolg.
  • Eerder overeengekomen afspraken tussen aanbestedende dienst en leverancier blijken na de gunning in de praktijk vaak net even anders te Daarover wordt het gesprek gevoerd en in de regel komt men er onderling wel uit.
  • Aan het fenomeen ‘open standaarden’ wordt na de gunning een lage prioriteit

Documentatie-type

vergaderstuk