Forumadvies Actualisatie basiscriteria 16 april 2025

Content

Vergadering: Forum Standaardisatie woensdag 16 april 2025

Agendapunt: 4B

Documentnummer: FS-20250416.4B

Rechten: CC0 publieke domeinverklaring

1. Samenvatting

In dit voorstel wordt het Forum Standaardisatie gevraagd om akkoord te gaan met de actualisering van de criteria voor het in procedure nemen van een standaard. Deze criteria worden gebruikt tijdens de intake om te bepalen of een aanmelding binnen de scope van de lijsten valt. De nieuwe voorgestelde geactualiseerde criteria zijn:

1. Het opnemen van de standaard op de lijst dient in substantiële mate bij te dragen aan het bevorderen van de interoperabiliteit, van een toekomstbestendige gegevensopslag, en/of van een verminderde leveranciersafhankelijkheid. 

2. Het beoogde functioneel toepassingsgebied en het organisatorisch werkingsgebied van de standaard dient voldoende breed te zijn, en betrekking te hebben op gebruik door de (semi-) overheid.

3. Het uitvragen of gebruiken van de standaard moet niet al verplicht zijn op grond van een bestaande (Europees) wettelijke verplichting die gelijk dan wel groter is dan het voor de lijst beoogde functioneel toepassingsgebied en het organisatorisch werkingsgebied. 

4. De standaard dient bij te dragen aan de oplossing van een bestaand, relevant probleem.

Dit voorstel brengt geen verandering in de inhoudelijke criteria die door de experts gebruikt worden zodra een standaard in procedure is genomen. Er zal dus nog steeds in het intake advies vooruit worden geblikt op de vier inhoudelijke criteria: Toegevoegde waarde, Open standaardisatieproces, Draagvlak, en Adoptiebevordering. Wel schept deze aanpak de randvoorwaarden waarmee tegemoet kan worden gekomen aan een aantal eerder gegeven en door het Forum onderschreven adviezen.  

2. Aanleiding

Sinds 2018 hanteert het Forum Standaardisatie de volgende vier criteria om te bepalen of een standaard überhaupt in behandeling genomen kan worden:

1. Is het een standaard voor elektronische gegevensuitwisseling tussen (semi-) overheidsorganisaties en bedrijven, tussen (semi-)overheidsorganisaties en burgers of tussen (semi-)overheidsorganisaties onderling? 

2. Is het beoogde functioneel toepassingsgebied en het organisatorisch werkingsgebied van de standaard, voldoende breed om substantieel bij te dragen aan de interoperabiliteit van de (semi-)overheid? 

3. Is het zinvol de standaard op te nemen, gezien het feit dat deze niet al wettelijk verplicht is voor het beoogde functioneel toepassingsgebied en organisatorisch werkingsgebied?

4. Draagt de standaard bij aan de oplossing van een bestaand, relevant (interoperabiliteits)probleem en het voorkomen van leveranciersafhankelijkheid?

Deze criteria zijn in hun onderlinge samenhang en cumulatieve karakter onnodig complex en ze leggen eenzijdig de focus op interoperabiliteit, en het moeten kunnen gebruiken van de standaard als onderdeel van gegevensuitwisseling. Door deze focus is in het verleden de operationele reikwijdte van de “Pas toe of leg uit”-lijst beperkter gemaakt dan de aanwezige beleidsruimte en de beleidsopdracht van het kabinet die ten grondslag ligt aan de ‘Pas toe of leg uit’-lijst. Er hebben zich nu meerdere redenen aangediend om die operationele reikwijdte aan te passen:

In de vergadering van 20 april 2022 adviseerde onderzoeker Paul Dam in zijn onderzoek naar de doorontwikkeling van de ‘pas toe of leg uit’-lijst aan het Forum dat de beoordelingscriteria aangepast zouden moeten worden zodat ook best practices, baselines en normenkaders die bijdragen aan een betrouwbare gegevensuitwisseling, opgenomen kunnen worden op de lijst met aanbevolen standaarden. Het Forum heeft dit advies unaniem onderschreven. Om deze “andersoortige standaarden” echter in behandeling te kunnen nemen dienen in ieder geval de basiscriteria aangepast te worden, waarbij de focus zich niet langer enkel richt op het moeten zijn van een standaard voor elektronische gegevensuitwisseling.  

In de vergadering van 28 februari 2024 heeft het Forum Standaardisatie, naar aanleiding van een expertadvies uit 2023 over de standaarden CalDav en IMAP, de opdracht gegeven aan het bureau om binnen een jaar te onderzoeken of het criterium voor inbehandelname "Is het een standaard voor elektronische gegevensuitwisseling tussen (semi-) overheidsorganisaties en bedrijven, tussen (semi-)overheidsorganisaties en burgers of tussen (semi-) overheidsorganisaties onderling?" ruimer moet worden geïnterpreteerd of moet worden herzien voor gegevensuitwisseling met leveranciers, zodat de aanbeveling of verplichting van standaarden ook geldt voor gegevensuitwisseling binnen organisaties waar de leveranciersonafhankelijkheid en/ of digitale soevereiniteit cruciaal zijn. 

In de vergadering van 19 juni 2024 adviseerden tot slot de onderzoekers  Arjen Brienen en Jeroen de Ruig bij het onderzoek “Standaarden en standaardisatieactiviteiten voor clouddiensten”  aan het Forum Standaardisatie om de operationele scope van de ‘aanbevolen’ lijst en de ‘pas toe of leg uit’-lijst te verbreden met standaarden die leveranciersonafhankelijkheid en digitale soevereiniteit bevorderen.  

3. Aanpassing

We stellen voor om met ingang van 2025 de volgende basiscriteria te gaan hanteren bij de aanmelding van nieuwe standaarden en waar relevant bij de evaluatie van bestaande standaarden: 

  1. Het opnemen van de standaard op de lijst dient in substantiële mate bij te dragen aan het bevorderen van de interoperabiliteit, van een toekomstbestendige gegevensopslag, en/of van een verminderde leveranciersafhankelijkheid. 
  2. Het beoogde functioneel toepassingsgebied en het organisatorisch werkingsgebied van de standaard dient voldoende breed te zijn, en betrekking te hebben op gebruik door de (semi-) overheid.
  3. Het uitvragen of gebruiken van de standaard moet niet al verplicht zijn op grond van een bestaande (Europees) wettelijke verplichting die gelijk dan wel groter is dan het voor de lijst beoogde functioneel toepassingsgebied en het organisatorisch werkingsgebied.
  4. De standaard dient bij te dragen aan de oplossing van een bestaand, relevant probleem.

Toelichting criterium 1: Een in behandeling te nemen standaard dient allereerst bij te dragen aan een of meerdere van de doelen waar de lijst voor in het leven is geroepen. Er is kennis nodig van de relevante feiten en omstandigheden om vast te stellen op welke wijze een aangemelde standaard kan bijdragen aan het bereiken van deze doelen. Wel dient de bijdrage substantieel te zijn. Dat wil zeggen dat standaarden die door plaatsing op de lijst slechts in beperkte mate bijdragen aan deze doelen buiten de scope vallen. Concreet voorbeeld hiervan zijn beschrijvende en intern gerichte procesmodelleerstandaarden zoals BPMN en Archimate, waarvan de mogelijkheid tot afstemming van architecturen en bedrijfsprocessen met andere organisaties eerder een mooie bijkomstigheid is, in plaats van dat het substantieel bijdraagt aan het bevorderen van de interoperabiliteit. 

Als voorbeeld van standaarden die wel binnen de scope vallen kan gedacht worden aan informatieveiligheidstandaarden. Deze kunnen zorgen voor een veilige en betrouwbare gegevensuitwisseling, en leveren daarmee een bijdrage aan het vergroten van de interoperabiliteit.   

Naast de bevordering van interoperabiliteit omvat het eerste criterium nu ook expliciet de doelen van een toekomstbestendige gegevensopslag en leveranciersonafhankelijkheid.  

Waar het gaat om een toekomstbestendige gegevensopslag staat de vraag centraal op welke wijze gegevens zodanig kunnen worden opgeslagen (al dan niet in de cloud) dat toekomstig gebruik en hergebruik gewaarborgd is. Open standaarden spelen hierbij een belangrijke rol en helpen overheden om te kunnen voldoen aan de wettelijke eisen op het gebied van toegankelijkheid en archivering. Relevante wetgeving op dit gebied is onder meer de Wet hergebruik overheidsinformatie waar in de Memorie van Toelichting ook een verwijzing staat naar het onder deze wet kunnen verplichten van standaarden die zijn opgenomen op de “Pas toe of leg uit”-lijst.  

Het doel van leveranciersonafhankelijkheid omvat niet alleen de wens om in het kader van digitale autonomie de risicovolle afhankelijkheden van individuele (cloud) leveranciers te verminderen, maar ook het blijvend kunnen garanderen van de zeggenschap over en toegang tot de eigen gegevens van de overheid. Daarbij gaat het bijvoorbeeld om open standaarden die een bevorderende rol kunnen spelen bij de implementatie van continuïteit afspraken, exit-strategieën en dataportabiliteit. Denk hierbij aan CalDAV waarmee tussen cloudproviders mail- en kalenderdata uitgewisseld kan worden. 

Toelichting criterium 2: Dit criterium hangt sterk samen met het eerste criterium, en maakt duidelijk dat, om substantieel bij te kunnen dragen aan een of meerdere van de doelen, het functioneel toepassingsgebied en het organisatorisch werkingsgebied voldoende breed moet zijn. Bij een smal functioneel toepassingsgebied en/of een beperkt organisatorisch werkingsgebied dient onderzocht te worden of de doelen kunnen worden bereikt door middel van het zelfregulerend vermogen in de betrokken sector of sectoren, of dat daarvoor het gebruik van de lijst noodzakelijk is. Tevens is in dit criterium opgenomen dat het toepassingsgebied betrekking moet hebben op gebruik door de (semi-) overheid. Dit om indieners er op te wijzen dat enkel standaarden in behandeling kunnen worden genomen die ook daadwerkelijk (tevens) door een (semi-) overheidsorganisatie gebruikt gaan worden. Dit vereiste sluit aan bij het inhoudelijke criterium “draagvlak” en bij de ontstane praktijk dat er bij de intake een overheidsorganisatie moet zijn die de indiening ondersteund.  

Toelichting criterium 3: Hoewel geherformuleerd komt dit criterium vrijwel volledig overeen met een van de bestaande criteria. Wel is hieraan toegevoegd dat het hier niet langer alleen gaat om Nederlandse wetgeving, maar dat het hier ook zou kunnen gaan om bijvoorbeeld geharmoniseerde standaarden die zijn vastgesteld door de Europese Commissie. Dit criterium maakt duidelijk dat een standaard die voor gebruik door de (semi-) overheid reeds wettelijk verplicht is, niet (langer) zal worden opgenomen op de lijst indien het functioneel toepassingsgebied en het organisatorisch werkgebied van de wettelijke verplichting gelijk dan wel groter is dan dat van de lijst. Een voorbeeld hiervan is digitoegankelijk, die om deze reden niet langer onder het Pas toe of leg uit principe valt. Het blijft hiermee echter ook nog steeds mogelijk om standaarden op de lijst te plaatsen en te behouden waarvan het gebruik binnen een beperkter functioneel toepassingsgebied of organisatorisch werkgebied wettelijk is voorgeschreven. Als voorbeeld kunnen zes verschillende PTOLU standaarden worden genoemd, waaronder Digikoppeling en DNSSEC, waarvan het gebruik is voorgeschreven in het “Besluit elektronische dienstverlening burgerlijke stand”. 

Toelichting criterium 4: Het vierde criterium maakt duidelijk dat enkel een bijdrage leveren aan een of meerdere van de hierboven beschreven doelen onvoldoende is, en dat er tevens sprake moet zijn van een op te lossen probleem. Dat kan een probleem zijn dat zich voordoet binnen en tussen (semi-)overheidsorganisaties onderling, tussen (semi-) overheidsorganisaties en burgers, en tussen (semi-)overheidsorganisaties en andere organisaties zoals bedrijven. Om te voldoen aan dit basiscriterium is dus vereist dat voldoende zekerheid bestaat dat plaatsing op de lijst werkelijk zal leiden tot het oplossen of verminderen van dat probleem, dat er geen minder bezwarende alternatieven zijn, en dat de kosten en lasten daarvan gerechtvaardigd worden door de ernst van het probleem. 

4. Gevolgen

We passen met dit voorstel enkel de criteria aan die gehanteerd worden in het intake advies om te bepalen of een standaard überhaupt in procedure kan worden genomen. Er moet daarvoor aan alle vier criteria voldaan worden. De inhoudelijke criteria waarop een in behandeling genomen standaard vervolgens getoetst gaan worden, veranderen hierdoor niet. Er zal dus nog steeds zelfs al in het intake advies vooruit worden geblikt op de vier inhoudelijke criteria: Toegevoegde waarde, Open standaardisatieproces, Draagvlak, en Adoptiebevordering. 

De grootste wijziging doet zich voor in het laten vervallen van de eis dat een aan te melden standaard een standaard dient te zijn voor elektronische gegevensuitwisseling. In plaats daarvan zijn de verschillende doelstellingen van de lijst centraal geplaatst. 

De standaard zelf hoeft dus niet langer -net zoals dat in het verleden overigens ook het geval was- een uitwisselingsstandaard te zijn. Als goed voorbeeld kunnen ISO 27001 en de best practices van ISO 27002 worden genoemd, die zelf ook geen standaarden zijn “voor elektronische gegevensuitwisseling”, maar die wel degelijk in bevorderende zin bijdragen aan een veilige en betrouwbare gegevensuitwisseling en daarmee aan de interoperabiliteit. Door deze wijziging ontstaat ook ruimte om andersoortige standaarden zoals Secure Software Development, MANRS en NL Design System in behandeling te nemen.  

Er is met deze voorgestelde aanpak geen sprake van een beleidswijziging. Ook de Rijksinstructie geeft in haar toelichting expliciet aan dat de voor te schrijven standaarden zouden kunnen bijdragen aan het doel van een toekomstbestendige gegevensopslag, of aan vermindering van afhankelijkheid van individuele ICT-leveranciers. Bovendien valt in de toelichting van de Rijksinstructie te lezen dat zowel de PTOLU lijst alsook de Rijksinstructie zelf de ruimte bieden voor toekomstige verbreding van de operationele reikwijdte van de instructie, door gebruik te maken van de mogelijkheid om het toepassingsgebied van een standaard nader te bepalen. Deze nieuwe aanpak schept de randvoorwaarden waarmee tegemoet kan worden gekomen aan een aantal eerder gegeven en door het Forum onderschreven adviezen.  

 

Documentatie-type

vergaderstuk