Advies Knelpunten Adoptie

Content

Agendapunt: 4B2

Documentnummer: FS-20201209.4B2

Download hier de PDF versie van dit vergaderstuk. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Rechten: CC0 publieke domein verklaring

Inhoudsopgave

  1. Inleiding
  2. Beeld van de huidige stand van zaken
    • ‘Pas toe of leg uit’ bij aanschaf van ICT
      • Bezien vanuit de standaarden
      • Bezien vanuit de aanbestedingen
    • Toepassing bij belangrijke voorzieningen
    • Andere gegevens over het gebruik van open standaarden
  3. De belangrijkste knelpunten voor adoptie
  4. Analyse
  5. Aanbevelingen
    • Geef meer prioriteit en versterk de volwassenheid
    • Focus op de uitdaging en hanteer een brede mix aan instrumenten
    • Overweeg om het huidige beleid te versterken

1. Inleiding

Een standaard staat op de ‘pas toe of leg uit’-lijst, omdat het belangrijk is dat alle overheden die standaard (gaan) toepassen. Minister Knops stelt in de Kabinetsreactie Inventarisatie Standaardisatie (15 november 2019):

“Alhoewel de toepassing van open standaarden in de afgelopen jaren is toegenomen, is verdere verbetering nog wel noodzakelijk om de effecten van beleid voor burgers en bedrijven te realiseren. Standaardisatie is daarbij niet het einddoel, maar een middel om doelstellingen te bereiken.” Hij heeft daarom het Forum Standaardisatie gevraagd om “(…) een analyse te maken naar de oorzaken waarom open standaarden niet altijd worden toegepast.”

In opdracht van het Forum Standaardisatie hebben PBLQ en ICTU eerst een Quick Scan uitgevoerd van de bevindingen in zeven eerdere onderzoeken naar knelpunten voor adoptie uit de afgelopen acht jaar, zie Quickscan knelpunten adoptie standaarden (versie 1.1, PBLQ, 29 september 2020). En vervolgens op basis van de rode draden uit die onderzoeken een advies opgesteld over de belangrijkste oplossingsrichtingen voor deze adoptie-knelpunten. Dat advies wordt gepresenteerd in hoofdstuk 4 en 5. Ter inleiding wordt eerst in hoofdstuk 2 kort geschetst in hoeverre open standaarden inderdaad nog onvoldoende worden toegepast en daarna wordt in hoofdstuk 3 kort samengevat welke knelpunten in de Quickscan zijn genoemd.

2. Beeld van de huidige stand van zaken

De ‘pas toe of leg uit’-lijst telt inmiddels meer dan veertig open standaarden. Sommigen worden breed toegepast, voor anderen verloopt de adoptie traag. Hierover wordt jaarlijks uitgebreid gerapporteerd in de Monitor Open standaarden en halfjaarlijks in de Meting Informatieveiligheidstandaarden. In de monitor wordt gekeken naar het gebruik van standaarden door voorzieningen, de vraag naar standaarden bij aanbestedingen en het gebruik van standaarden op basis van gegevens van de beheerders van standaarden. Welk beeld leveren die publicaties op hoofdlijnen met betrekking tot de adoptie van open standaarden?

2.1 ‘Pas toe of leg uit’ bij aanschaf van ICT

Voor de Monitor Open standaarden worden elk jaar 50 tot 70 aanbestedingen onderzocht van de rijksoverheid, uitvoeringsorganisaties, gemeenten, provincies en waterschappen. Experts bepalen voor elke aanbesteding welke standaarden relevant zijn voor die aanbesteding en gaan na of daar om gevraagd is.

2.1.1 Bezien vanuit de standaarden

  • Bij ICT-aanbestedingen zijn steeds meer standaarden van toepassing: gemiddeld groeide het aantal relevante standaarden van 4,4 per aanbesteding in 2015 naar 11,6 per aanbesteding dit
  • Van de meer dan 40 standaarden op de lijst was een derde de afgelopen vijf jaar bij in totaal 283 onderzochte aanbestedingen zelden of nooit relevant, laat staan dat er bij een aanbesteding om gevraagd Verschillende standaarden staan al zeker vijf jaar op de lijst, maar de mate waarin erom wordt gevraagd is al die jaren nauwelijks toegenomen.
  • Wanneer een standaard relevant was, dan werd daar de afgelopen vijf jaar steeds in ongeveer 45% van de gevallen om Dat percentage schommelt enigszins per jaar, maar in vijf jaar tijd is geen duidelijke verbetering zichtbaar in het percentage ‘gevraagd’.
  • Dat betekent wel dat 45% van een steeds groter absoluut aantal relevante standaarden per aanbesteding wordt gevraagd.

2.1.2 Bezien vanuit de aanbestedingen

Hoe ‘goed’ scoorden de onderzochte aanbestedingen dan van jaar tot jaar? Het beeld op hoofdlijnen is als volgt:

  • Het komt zelden voor dat bij een aanbesteding om alle relevante standaarden werd gevraagd: vijf jaar geleden gold dat nog voor 21% van de aanbestedingen, dit jaar voor slechts 7%.
  • Gelukkig komt het ook weinig (en steeds minder) voor dat om geen enkele relevante standaard is gevraagd: vijf jaar geleden gold dat nog voor 29% van de aanbestedingen, dit jaar voor 6%.
  • Hoewel veelvuldig niet om een standaard is gevraagd waar die wèl relevant was, vindt ‘leg uit’ in strikte zin bij de rijksoverheid en bij medeoverheden zelden of nooit plaats. Dit veronderstelde sluitstuk van het beleid lijkt van meet af aan niet gefunctioneerd te hebben.
  • Inmiddels vallen veruit de meeste aanbestedingen (in de Monitor 2020: 87% van alle onderzochte aanbestedingen) dus in de middenmoot: er is wel om één of meer standaarden gevraagd, maar niet om alle. De mate waarin om open standaarden is gevraagd loopt daarbij sterk uiteen: slechts een vijfde van de groep heeft om meer dan 66% van de relevante standaarden gevraagd, en bijna de helft heeft om minder dan 33% van de relevante standaarden gevraagd.

Dat laatste is interessant: kennelijk zijn standaarden wel (enigszins) in beeld, maar (zeer) onvolledig. Het is overigens denkbaar, dat om sommige standaarden niet gevraagd is vanwege de ‘pas toe of leg uit’-verplichting, maar om een andere reden (bijvoorbeeld informatieveiligheidsbeleid). Het zou dus kunnen zijn dat specifieke standaarden wel in beeld zijn bij de aanbestedende partij, maar de pas-toe- of-leg-uit- lijst niet.

Bij de beoordeling van de aanbestedingen door vier experts blijkt, dat het regelmatig zelfs voor hen best ingewikkeld is om vast te stellen welke standaarden relevant zijn. Het blijkt noodzakelijk om kennis en inzichten over de standaarden op de lijst op te bouwen en te onderhouden.

2.2 Toepassing bij belangrijke voorzieningen

Voor de Monitor Open standaarden wordt ook jaarlijks onderzocht in hoeverre standaarden worden toegepast door meer dan dertig belangrijke overheidsvoorzieningen, waaronder die van de Generieke Digitale Infrastructuur. Het beeld bij de voorzieningen is veel positiever dan bij het onderzoek naar de aanbestedingen.

  • In de Monitor 2019 bleek bij 36 voorzieningen in totaal 417 keer een standaard In 69% van de gevallen voldeed de voorziening daar ook aan, in 15% van de gevallen deels of op korte termijn gepland en slechts in 16% van de gevallen niet.
  • Ook voor de voorzieningen geldt, dat een deel van de lijst-standaarden voor geen enkele van de 36 onderzochte voorzieningen relevant is. Dit zijn voor een groot deel dezelfde standaarden die zelden of nooit relevant zijn voor aanbestedingen.”

2.3 Andere gegevens over het gebruik van open standaarden

Naast de monitor open standaarden onderzoekt het Bureau Forum Standaardisatie halfjaarlijks de standaarden binnen het domein Internet & beveiliging door 548 domeinnamen te toetsen m.b.v. www.internet.nl. Deze Meting Informatieveiligheidstandaarden plaatst de uitkomsten tegen de achtergrond van de ‘streefbeeldafspraken’ rondom de informatieveiligheidsstandaarden van het Nationaal Beraad en het OBDO.

  • De adoptie van de internetveiligheidstandaarden is flink gevorderd, een enkele uitzondering
  • Afgezet tegen de ‘streefbeeldafspraken’ valt wel op dat volledige adoptie (100%) niet wordt gehaald, dat bijna-volledige adoptie meestal meer tijd vergde dan afgesproken en dat inmiddels het tempo bij de laatste loodjes afneemt.

Naast deze gegevens vragen we voor de Monitor Open standaarden jaarlijks aan de beheerders van open standaarden of zij zicht hebben op de mate waarin ‘hun’ standaard wordt toegepast. Sommige beheerders kunnen die vraag beantwoorden. Maar er zijn ook beheerders die niet weten in hoeverre ‘hun’ standaard toegepast wordt, en die geen activiteiten ontplooien om de adoptie van die standaard te bevorderen.

3. De belangrijkste knelpunten voor adoptie

Naast de Monitor Open standaarden zijn de afgelopen jaren verschillende onderzoeken gedaan naar de adoptie van standaarden. PBLQ heeft voorjaar 2020 een analyse gemaakt van de belangrijkste conclusies uit de verschillende onderzoeken die in voorgaande jaren zijn gedaan en komt op basis daarvan tot de volgende (clusters van) knelpunten.

Aanbesteden

  1. Het toepassen van standaarden veronderstelt een bepaald kennisniveau, de vraag is of die kennis paraat is bij het opstellen van een aanbesteding.
  2. Bij raamovereenkomsten is het bij de aanbesteding meestal nog onduidelijk welke standaarden relevant kunnen zijn, dat is afhankelijk van de specifieke nadere overeenkomsten die later worden
  3. Het is onduidelijk wie verantwoordelijk is voor toepassing van de relevante standaarden: de opdrachtgever, de CIO, de CISO, de architect, de inkoper?
  4. Sommige aanbesteders zijn bang om belangrijke leveranciers uit te sluiten wanneer zij toepassing van relevante standaarden eisen.

Governance

  1. Bij overheidsvoorzieningen staan sturing en keuzes per afzonderlijke voorziening voorop, de overwegingen op stelselniveau krijgen weinig prioriteit.
  2. Als er binnen een domein geen bepalende (aanjagende) partijen zijn (zoals ZiNL en Nictiz in de zorg) dan blijkt standaardisatie vaak moeilijk van de grond te komen.
  3. Kosten en baten van de implementatie van standaarden vallen zelden op dezelfde plek (organisatie of afdeling) en ook niet altijd op hetzelfde moment in de tijd.
  4. Voor de implementatie van standaarden zijn organisaties vaak (mede) afhankelijk van de technisch beheerders cq. shared service organisaties waaraan zij diensten hebben uitbesteed. Vaak levert dat een complex netwerk van partijen op die allemaal hun rol moeten vervullen om een standaard goed werkend te Denk bijvoorbeeld aan standaarden rondom websites en email waar registrar, hoster, applicatiebeheerder, mail-provider, websiteprovider, en dns-provider hun activiteiten moeten coördineren om een standaard goed geïmplementeerd te krijgen. Soms liggen die rollen in één hand maar vaak ook niet.
  5. Daarnaast is er de afhankelijkheid van leveranciers die de standaarden in software en hardware moeten opnemen. In het geval van grote internationale leveranciers is daar lastig op te sturen vanuit Nederlandse overheidsorganisaties.

Belang van architectuur

  1. Een gezamenlijke architectuur is essentieel, en deze is ook beschikbaar (NORA). Maar er wordt door de opdrachtgevers nog onvoldoende op gestuurd, en er wordt te gemakkelijk van
  2. Bestaande, deels verouderde software (legacy) is een hindernis voor adoptie van Dat vraagt vaak niet alleen investeringen van één organisatie, maar van de hele keten.
  3. Beheerorganisaties van voorzieningen hebben behoefte aan roadmaps, die inzicht geven in welke standaarden en verplichtingen er aan komen.

Implementatie en compliance

  1. Het gemak van implementatie loopt per standaard Bovendien zijn er standaarden waarbij implementatie bestaat uit het doorlopend blijven toepassen van uitgangspunten en procedures.
  2. Bij verschillende standaarden is betrokkenheid van de (eind)gebruikers essentieel: zonder hen kunnen bijvoorbeeld DigiToegankelijk en NEN-ISO/IEC 27001/27002 cq. BIO niet toegepast worden. Zo is een website als nl afhankelijk van de gebruikers die teksten voor de site leveren.
  3. Implementatie van standaarden komt bij een voorziening beheerder alleen op de prioriteitenlijst als hun opdrachtgever het belang daarvan onderschrijft en er zo nodig budget voor vrijmaakt.
  4. Implementatie van een nieuwe standaard vraagt tijd: de adviseurs moeten kennis opdoen over de standaard, en de implementatie moet een plaats krijgen in de (meerjaren)planning.

Over de standaarden zelf

  1. Organisaties en mensen die in het algemeen het nut van open standaarden (nog) niet inzien, blijken veel minder tot adoptie over te gaan.
  2. De perceptie van het nut van een specifieke standaard blijkt verschil te maken voor de adoptiegraad, zoals bij de inmiddels veel breder bekende en gevoelde veiligheidsrisico’s rond email en internet.
  3. Toepassen van en voldoen aan open standaarden kan complex zijn, het helpt als het mogelijk is om te toetsen of aan een standaard voldaan wordt (zoals op internet.nl).

Het‘pas-toe-of-leg-uit’-beleid

  1. Er is verwarring over de doelstellingen van de lijst: gaat het bij alle standaarden om interoperabiliteit en leveranciersonafhankelijkheid, is de lijst bedoeld als tijdelijke impuls om adoptie van de standaard te bevorderen, of als blijvend referentiekader, moeten de standaarden sectoraal of overheidsbreed relevant zijn?
  2. De beschrijving van het organisatorisch werkingsgebied en het functioneel toepassingsgebied is zo breed mogelijk Voor de lijst is dat wellicht de juiste aanpak, omdat het beleid voor veel partijen in veel gevallen geldt, maar wie concreet met de adoptie bezig gaat loopt hierdoor tegen twijfelgevallen aan.
  3. Formeel is het ‘pas toe of leg uit’-beleid gekoppeld aan de aanschaf van ICT, terwijl om werkelijk aan de standaardisatiedoelstellingen te voldoen deze open standaarden überhaupt toegepast zouden moeten worden (waar zij relevant zijn).
  4. De lijst richt zich op beheerders met voldoende kennis van standaarden, voor de doorsnee betrokkenen is het een lijst met afkortingen waarvan nut en noodzaak niet direct duidelijk
  5. Over de ‘Leg Uit’-verplichting bestaan veel misverstanden, bijvoorbeeld dat in aanbestedingsstukken toegelicht moet worden waarom een standaard wel (of niet) wordt gevraagd. Daaruit blijkt dat onvoldoende duidelijk is hoe aan leg-uit voldaan kan worden. In de praktijk heeft leg-uit ook niet de aandacht van toezichthouders en wordt er niet op
  6. Naleving van het ‘pas toe of leg uit’-beleid is, aldus Van Eeten (TU Delft) vooral gebaat bij het regelmatig meten van het gebruik van standaarden en daar weloverwogen over publiceren.

Zie voor een uitgebreidere beschrijving de Quickscan knelpunten standaarden (en de achterliggende eerdere onderzoeken).

4. Analyse

Het huidige beleid is meer dan tien jaar gelden ingevoerd. In de tussentijd is – getuige de Monitor Open standaarden en de resultaten van de Quickscan knelpunten standaarden – het nodige ten positieve gewijzigd. De awareness ten aanzien van nut en noodzaak van open standaarden is gestegen, en de adoptie is toegenomen. Gesprekken bij voorzieningen gaan momenteel meer over het hoe en wanneer van de implementatie dan over het belang van openheid van standaarden in het algemeen. Tegelijkertijd is duidelijk dat open standaarden nog niet overal en altijd worden toegepast en dat er een reeks aan hindernissen blijkt te zijn die verdere adoptie in de weg staan.

De minister stelt terecht, dat het er om gaat om effecten voor burgers en bedrijven te realiseren. Het gaat om interoperabiliteit, om leveranciersonafhankelijkheid en (later toegevoegd) ook om thema’s als informatieveiligheid en toegankelijkheid. ‘Pas toe of leg uit’ is het middel dat in 2007 gekozen is om aan deze doelen bij te dragen.

De afgelopen jaren heeft het Forum Standaardisatie op verschillende manieren het huidige beleid ondersteund en aangejaagd. Uit de interviews in het kader van de monitor blijkt dat dit gewaardeerd wordt door het veld. Tegelijkertijd is het juist aan dat veld zelf om de adoptie ter hand te nemen. Het is de vraag of het huidige ‘formele beleid’ (‘pas toe of leg uit’ in enge zin) daarbij helpt of niet. In het vervolg van dit hoofdstuk maken we dan ook een analyse van deze wijze waarop het Forum het adoptiebeleid insteekt, de wijze waarop partijen er mee omgaan, en het meer ‘formele’ beleid.

Adoptie is verantwoordelijkheid van het veld

De feitelijke adoptie van standaarden moet bij organisaties in de publieke sector plaatsvinden. Het Forum kan daarbij ondersteunen maar kan niet verantwoordelijk zijn voor de daadwerkelijke verandering.

  • Op basis van de beschikbare beelden lijkt er een sterke correlatie tussen de mate waarop partijen hun IV- en ICT-huishouding op orde hebben en de mate waarin ze standaarden toepassen. Partijen die heldere rollen hebben (CIO, CISO, architecten) en ondersteunende middelen goed toepassen (architectuur, beveiligingsbeleid) scoren hoog op het toepassen van standaarden.
  • Dit geldt niet alleen binnen organisaties, maar geldt ook sectoraal en landelijk. Zo werken degelijke landelijke en sectorale architecturen door in het gebruik van standaarden bij organisaties. Vanzelfsprekend vergt dit kennis en aandacht bij gebruikers en
  • In omgevingen waar een heldere governance op IV en ICT ontbreekt, zien we dat geworsteld wordt met de adoptie van Partijen die geen heldere rolverdeling hebben wijzen naar elkaar en beschikken vaak ook niet over de vereiste kennis en middelen. Dit is een breder probleem dan de uitdaging om standaarden te adopteren, maar is wel een belangrijke factor daarbij.
  • Het is opvallend dat partijen de adoptie van standaarden zeer divers borgen binnen hun organisatie. Het ligt soms bij de architect, soms bij de compliance afdeling, soms bij een productmanager, maar in veel gevallen is volstrekt niet helder wie ervoor verantwoordelijk Dit heeft logischerwijs ook te maken met de diversiteit aan standaarden.
  • Om de adoptie van standaarden te versterken is het noodzakelijk dat partijen en mensen weten wie daarvoor aan de lat staat. Dat kan nooit de inkoper of architect zijn, maar moet, afhankelijk van het type standaard hoger in de organisatie belegd worden, bijvoorbeeld bij de CIO voor meer algemene standaarden, de CISO voor informatiebeveiligingsstandaarden of wellicht hoofd communicatie als het gaat om standaarden als digitoegankelijk.
  • Uit de interviews a.v. de monitor 2020 is een aantal vormen van het organiseren van de adoptie van standaarden naar voren gekomen. Het is nuttig dit beeld uit te breiden en te kijken of je kunt komen tot een overzicht van best practices bij organisaties voor de adoptie van standaarden.
  • Tot slot een punt over beheerders van standaarden. Een aantal standaarden kent geen Nederlandse beheerder of aanjagende partij die bij adoptie kan Waar dat wel het geval is valt op dat vaak veel energie gaat zitten in de ontwikkeling van de standaard en minder in het (daarna) stimuleren van het gebruik ervan. Het versterken van beheerders of sectorale aanjagende partijen kan een verdere impuls geven aan standaardisatie. Hier kunnen duidelijker afspraken over gemaakt worden vóórdat een standaard op de lijst geplaatst wordt.

Doel versus middel

De lijst met ‘pas toe of leg uit’ verplichte standaarden is de laatste tien jaar het centrale aandachtspunt geworden in het open standaarden beleid van de overheid en heeft daarmee ook een centrale rol in het werk van het Forum. Dit komt terug in veel aspecten van het werk van het Forum. Zo is de monitor sterk gericht op de vraag of een standaard gebruikt wordt of niet. Daarbij is ruimte voor nuance, maar er wordt niet gekeken of het probleem waarvoor de standaard een oplossing biedt ook daadwerkelijk wordt opgelost. Je meet dus vooral de implementatie van de standaard en niet wat je daarmee beoogt.

Bovendien neemt de monitor slechts een select aantal partijen (centrale overheidsvoorzieningen en partijen die een aanbesteding doen) onder de loep. Voor overige partijen en voor de standaarden die in een andere sector moeten worden toegepast is het aanjagen van de adoptie door middel van monitoring beperkt.

Met de huidige insteek - de focus op de lijst, en de wijze van monitoring – bestaat het risico dat een standaard het doel wordt en niet langer het middel is om een probleem te verhelpen. Het Forum beweegt dan ook al een aantal jaren naar het centraal stellen van het knelpunt in de overheidsdienstverlening waarvoor de standaard aan de oplossing bijdraagt.

Het huidige beleid

Naast het werk van het Forum en de wijze waarop partijen in staat zijn de adoptie van standaarden te borgen, is het formele beleid een belangrijke factor in het bepalen van het tempo van adoptie.

  • Het huidige beleid is sterk gericht op het vragen naar standaarden in de Dit was in 2007 een logische keuze, passend bij de introductie van dit beleid. Uit de resultaten van de monitor en de quickscan komt naar voren dat de verwerving vaak niet het bepalende moment is voor het gebruik van standaarden. Daarnaast wordt soms het feit dat er geen verwerving heeft plaatsgevonden gehanteerd als reden om standaarden niet toe te passen. De vraag is dus, of het moment van de aanschaf van ICT (nog) het beste (enige) aangrijpingspunt voor beleid biedt.
  • Naast de oorspronkelijke doelen achter het beleid (interoperabiliteit en leveranciersonafhankelijkheid) zie we dat ook andere redenen genoemd worden voor het gebruik van open standaarden, bijvoorbeeld veiligheid en toegankelijkheid.
  • Het leg-uit deel van het beleid wordt in de praktijk niet of nauwelijks door overheden
  • Er vindt geen handhaving plaats op het beleid, op de toepassing van standaarden, noch op het geven van uitleg.

Bovenstaande observaties – een volgende beleidsfase, de verbreding van de doelen van het beleid en de toepasbaarheid van het huidige instrumentarium – roepen de vraag op of het huidige ‘formele’ beleid de adoptie nog wel versterkt. Door het Bureau Forum Standaardisatie is de afgelopen jaren veel geïnvesteerd in overleg met en ondersteuning van overheidsorganisaties. Forum en Bureau Forum Standaardisatie hebben gezorgd dat over verschillende standaarden streefbeeldafspraken gemaakt zijn, en de risico’s op het gebied van informatieveiligheid bleken een ‘mobiliserend’ effect te hebben. Daarnaast was de adoptie van de informatieveiligheidsstandaarden sterk gebaat met de

opname in overige wet- en regelgeving. Enerzijds is er dus creatief aangejaagd door het Forum, anderzijds is het duidelijk dat inmiddels aanvullend beleid – en verdergaand beleid – nodig is.

5. Aanbevelingen

Op basis van bovenstaande analyse en enkele gesprekken met het Bureau Forum Standaardisatie komen we tot de onderstaande aanbevelingen. Slechts voor een klein deel betreft het aanbevelingen die door het Forum en het Bureau zelfstandig verwezenlijkt kunnen worden. Het Forum kan wel aanjager zijn van de discussie hierover maar de daadwerkelijk uitvoering van de aanbevelingen vergt een breder samenspel van partijen en ligt daarmee op het bord van het OBDO.

5.1 Geef meer prioriteit en versterk de volwassenheid

Uit de analyse blijkt dat de volwassenheid van organisaties sterk samenhangt met de prioriteit die aan de adoptie van standaarden wordt gegeven en het vermogen van organisaties om standaarden te adopteren.

Het eerste – het geven van prioriteit, zowel door expliciet opdracht te geven om de relevante open standaarden toe te passen als door het beschikbaar stellen van de benodigde middelen voor adoptie – is aantoonbaar effectief, maar ontbreekt vaak. Een goed voorbeeld is het project om domeinnamen binnen de overheid te saneren na een oekaze van de Bestuursraad hierover. Die oekaze maakte dat de benodigde aandacht en middelen beschikbaar kwamen. Dit geldt echter niet voor de meeste standaarden op de lijst en het feit dat er geen toezicht en handhaving is op het beleid versterkt dat beeld: blijkbaar vindt men het niet belangrijk genoeg.

Het tweede onderwerp - het vermogen van organisaties om standaarden te adopteren – hangt hier nauw mee samen. Omdat er weinig prioriteit aan wordt gegeven zijn overheden vaak onvoldoende volwassen om standaarden te implementeren. Zoals aangegeven geldt dat gebrek aan volwassenheid dan meestal niet alleen voor de adoptie van standaarden maar ook voor het op orde hebben van het werken onder architectuur, voor het werken aan informatieveiligheid etc. Dit wordt niet alleen veroorzaakt door een gebrek aan kennis maar ook door het feit dat de governance en onderliggende processen voor dit soort thema’s vaak niet goed is ingericht. In meer generieke zin doet de overheid er dan ook goed aan deze functies binnen de overheidsorganisaties te versterken.

Voor de duidelijkheid: dit is niet iets wat het Forum kan veranderen. Het Forum ervaart dit wel als knelpunt bij het aanjagen van de adoptie, en ook in bredere zin staat dit het open standaardenbeleid van de overheid in de weg. Het Forum kan desgewenst op basis van haar ervaringen een beeld leveren van de best practices voor de adoptie van standaarden. Een start daarmee is gemaakt, met de interviews in het kader van de monitor open standaarden. Geef daar vervolg aan, formuleer en verspreid dergelijke best practices. Besteed daarbij aandacht aan:

  • Governance binnen de organisaties en sectoren;
  • Rollen en verantwoordelijkheden binnen organisaties, sectoren en landelijk (CIO, Architect, Compliance-officer, inkoper, etc);
  • Gebruikte middelen;
  • Interne compliance;
  • Kennisbehoefte en informatievoorziening richting

Het is vervolgens nadrukkelijk aan de partijen zelf om wat te doen met deze best practices.

5.2 Focus op de uitdaging en hanteer een brede mix aan instrumenten

Het huidige beleid richt zich sterk op concrete (individuele) standaarden en de adoptie daarvan. Daarmee lijkt het of de standaard tot doel is verheven, terwijl de standaard een middel is om een maatschappelijke uitdaging cq een knelpunt in de overheidsdienstverlening op te lossen.

Toets daartoe niet zozeer de standaard voor opname op de lijst, maar eerder het bredere plan om de gewenste verandering te bereiken. Het Forum kan daarbij adviseren over het plan, de gewenste mix aan instrumenten, en kan monitoren op de voortgang maar kan niet verantwoordelijk zijn voor de uitvoering en het resultaat van het plan. Het is ons beeld dat in de huidige constellatie het OBDO de partij is die het plan en de instrumenten vaststelt en moet zorgen voor de middelen voor uitvoering voor de verschillende partijen.

Belangrijke aspecten daarbij zijn:

  • Het definiëren van de maatschappelijk uitdaging/ het knelpunt in de overheidsdienstverlening;
  • Het betrekken van de stakeholders die een rol spelen of baat hebben bij het oplossen van de uitdaging. Dat zijn niet alleen de beoogde (overheids)gebruikers van een standaard. Vaak gaat het ook om leveranciers (intern en extern) van gegevens en systemen, gebruikers van overheidsdiensten, beheerders van de relevante standaarden, beleidsmakers, Bepaal daarom:
    1. Hoe om te gaan met standaarden waarvoor geen natuurlijke partij als beheerder naar voren treedt;
    2. Hoe sectorale partijen versterkt kunnen worden zodat ze beter kunnen bijdragen aan het aanjagen van de adoptie;
    3. Hoe beheerders beter in hun rol gezet kunnen worden door het ontwikkelen van adoptie- ondersteunende middelen.
  • Laat het Forum adviseren over de gewenste instrumentenmix om de uitdaging (bv. interoperabiliteitprobleem) op te lossen. Daar kan financiering, wet- en regelgeving, het maken van afspraken, het versterken van de rol van de beheerder, communicatie etc. bij horen. Maak concrete afspraken over wie wanneer en hoe de uitdaging aanpakken en hoe het gebruik en de adoptie daarin past;
  • En heel belangrijk: wie is verantwoordelijk voor de Dat kan niet het Forum zijn, omdat zij nu eenmaal geen mandaat van de stakeholders hebben. Uiteindelijk ligt de verantwoordelijkheid bij het OBDO, maar daarvoor geldt vaak dat de afstand tot het veld - waar de verandering moet plaatsvinden - veel te groot is. Zorg daarom dat de verantwoordelijkheid ook op de verschillende lagen belegd is:
    1. Beleg verantwoordelijkheid bij partijen en personen die daadwerkelijk van invloed kunnen zijn;
    2. Laat de overheden (als beoogde gebruikers van de standaard) afspraken over implementatie maken, zowel over de wijze waarop, als over de termijn (zoals de IV-streefbeeldafspraken).
  • Bepaal de business case: ga na of de baten opwegen tegen de gevergde Heb daarbij oog voor de onevenredige verdeling van baten en lasten onder stakeholders;
  • Zet monitoring en evaluaties in om te meten wat de voortgang is op het oplossen van de uitdaging (bv. interoperabiliteitsprobleem). Dus niet langer alleen op de hele lijst met standaarden, maar zeer concreet op de voortgang van het oplossen van een uitdaging. Maak daartoe vooraf afspraken over de verandering die je wilt zien, en de wijze van meten.

Tot slot: beperk dit vanwege de vereiste inspanningen tot een beperkt aantal uitdagingen (en daarmee standaarden).

5.3 Overweeg om het huidige beleid te versterken

Deels kunnen bovenstaande aanbevelingen gerealiseerd worden binnen de kaders van het huidige beleid. Tegelijkertijd gaan ze verder dan het huidige beleid, dat daardoor ook als rem ervaren kan

worden, en inmiddels wellicht minder relevant lijkt. Het verdient daarom aanbeveling om het huidige beleid na meer dan tien jaar te evalueren. Dat is de verantwoordelijkheid van de beleidsverantwoordelijken voor het open standaardenbeleid. Ook hier kan het Forum uiteraard, op basis van haar ervaringen, inzichten en visie meedenken over eventuele aanvullingen en verbreding van het open standaardenbeleid. Daarbij zou in elk geval aandacht besteed moeten worden aan:

  • De huidige focus van het beleid op het moment van verwerving en de vraag of deze inmiddels verbreed zou moeten worden naar het gebruik van de standaard;
  • De wijze waarop gezorgd kan worden dat de naleving van het beleid serieus wordt genomen, inclusief ‘Leg uit’ (is daarvoor een andere invulling van toezicht en handhaving noodzakelijk?);
  • De rol van de verschillende lijsten met standaarden (verplicht, en aanbevolen);
  • De relatie met flankerend of hoger liggend beleid en wet- en regelgeving;
  • De rol van het Forum Standaardisatie en de rol van overige partijen, zoals beheerders en indieners, bij de adoptie van Wie stelt kaders, wie stimuleert en jaagt aan, hoe wordt toegezien op de uitvoering van het beleid, en wie is verantwoordelijk voor de feitelijke adoptie van de standaarden.

Tot slot: gooi geen oude schoenen weg voor je nieuwe hebt.

Documentatie-type